Giovedì, il team di Detectify Labs ha pubblicato un rapporto basato sull'analisi iniziale dei certificati SSL/TLS pubblici, condotta da giugno 2021.
Il team afferma che ci sono "insidie" nell'implementazione di questi certificati che "possono portare all'esposizione o alla compromissione dei dati aziendali da parte di attori malintenzionati".
I certificati SSL/TLS, emessi dalle autorità di certificazione (CA), vengono utilizzati per autenticare e proteggere le connessioni effettuate tramite un browser. La crittografia viene utilizzata per proteggere i flussi di comunicazione durante le sessioni online.
Quando vengono trasferite informazioni importanti, incluso l'invio di dati personali o quando vengono eseguite transazioni finanziarie, la crittografia tramite certificati è la chiave per prevenire furti, intercettazioni e attacchi Man-in-The-Middle (MiTM).
"I certificati SSL/TLS rendono Internet un luogo più sicuro, ma molte aziende non sanno che i loro certificati possono diventare uno specchio all'interno dell'organizzazione, potenzialmente perdendo informazioni riservate e creando nuovi punti di accesso per gli aggressori", hanno affermato i ricercatori sulla sicurezza informatica.
L'analisi di Detectify ha incluso l'esame di oltre 900 milioni di certificati SSL/TLS e gli eventi associati generati da organizzazioni emittenti tra cui Google, Amazon, Let's Encrypt e Digicert, resi possibili tramite punti dati pubblici. Mentre l'indagine è in corso, il team ha evidenziato alcuni dei rischi associati in particolare ai certificati SSL.
Il primo problema è che "alla stragrande maggioranza dei nuovi domini certificati" sono stati dati nomi descrittivi. Secondo il ricercatore di Detectify Fredrik Nordberg Almroth, questo può sembrare innocuo, ma se la certificazione viene rilasciata in una fase di sviluppo, ciò può dare ai concorrenti il tempo di minare nuove aziende o prodotti prima che raggiungano il mercato.
Inoltre, i certificati con caratteri jolly, spesso un'opzione meno costosa per le aziende, possono essere soggetti ad Application Layer Protocols Allowing Cross-Protocol Attack (ALPACA). Circa il 13% del set di dati riguarda l'uso dei caratteri jolly.
L'Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) ha avvertito dell'ALPACA nell'ottobre di quest'anno. Il vettore di attacco può essere utilizzato per ingannare i server con protocolli non crittografati per rubare cookie, dati utente o per eseguire attacchi di scripting cross-site (XSS).
Questi sono solo due potenziali rischi associati ai certificati di sicurezza, ma il team afferma che c'è altro da esaminare.
"Abbiamo appena iniziato a scavare nei dati", ha commentato Almroth. "Esistono diversi modi in cui un utente malintenzionato può utilizzare le informazioni pubbliche sui certificati SSL/TLS per mappare la superficie di attacco di un'azienda e capire dove si trovano i punti deboli. Ad esempio, un utente malintenzionato può vedere se un certificato sta per scadere o se è stato firmato utilizzando un algoritmo di firma debole. Quest'ultimo può essere sfruttato per ascoltare il traffico del sito Web o creare un altro certificato con la stessa firma, consentendo a un utente malintenzionato di spacciarsi per il servizio interessato."
Quindi, cosa possono fare le organizzazioni nel frattempo? Detectify consiglia di implementare i certificati SSL/TLS, ma è anche necessario monitorarli continuamente per punti deboli o comportamenti sospetti.
Ricerche passate hanno anche scoperto che i bug del software e l'errata interpretazione degli standard del settore sono normalmente la causa di certificati SSL emessi in modo errato.
In altre notizie sui certificati di questa settimana , Microsoft ha affermato che un certificato scaduto il 31 ottobre ha avuto un impatto sulle funzionalità di Windows 11, tra cui lo strumento di cattura integrato, la tastiera touch e la digitazione vocale. Una correzione è impostata per essere inviata agli utenti interessati dal problema.
Il team afferma che ci sono "insidie" nell'implementazione di questi certificati che "possono portare all'esposizione o alla compromissione dei dati aziendali da parte di attori malintenzionati".
I certificati SSL/TLS, emessi dalle autorità di certificazione (CA), vengono utilizzati per autenticare e proteggere le connessioni effettuate tramite un browser. La crittografia viene utilizzata per proteggere i flussi di comunicazione durante le sessioni online.
Quando vengono trasferite informazioni importanti, incluso l'invio di dati personali o quando vengono eseguite transazioni finanziarie, la crittografia tramite certificati è la chiave per prevenire furti, intercettazioni e attacchi Man-in-The-Middle (MiTM).
"I certificati SSL/TLS rendono Internet un luogo più sicuro, ma molte aziende non sanno che i loro certificati possono diventare uno specchio all'interno dell'organizzazione, potenzialmente perdendo informazioni riservate e creando nuovi punti di accesso per gli aggressori", hanno affermato i ricercatori sulla sicurezza informatica.
L'analisi di Detectify ha incluso l'esame di oltre 900 milioni di certificati SSL/TLS e gli eventi associati generati da organizzazioni emittenti tra cui Google, Amazon, Let's Encrypt e Digicert, resi possibili tramite punti dati pubblici. Mentre l'indagine è in corso, il team ha evidenziato alcuni dei rischi associati in particolare ai certificati SSL.
Il primo problema è che "alla stragrande maggioranza dei nuovi domini certificati" sono stati dati nomi descrittivi. Secondo il ricercatore di Detectify Fredrik Nordberg Almroth, questo può sembrare innocuo, ma se la certificazione viene rilasciata in una fase di sviluppo, ciò può dare ai concorrenti il tempo di minare nuove aziende o prodotti prima che raggiungano il mercato.
Inoltre, i certificati con caratteri jolly, spesso un'opzione meno costosa per le aziende, possono essere soggetti ad Application Layer Protocols Allowing Cross-Protocol Attack (ALPACA). Circa il 13% del set di dati riguarda l'uso dei caratteri jolly.
L'Agenzia per la sicurezza nazionale degli Stati Uniti (NSA) ha avvertito dell'ALPACA nell'ottobre di quest'anno. Il vettore di attacco può essere utilizzato per ingannare i server con protocolli non crittografati per rubare cookie, dati utente o per eseguire attacchi di scripting cross-site (XSS).
Questi sono solo due potenziali rischi associati ai certificati di sicurezza, ma il team afferma che c'è altro da esaminare.
"Abbiamo appena iniziato a scavare nei dati", ha commentato Almroth. "Esistono diversi modi in cui un utente malintenzionato può utilizzare le informazioni pubbliche sui certificati SSL/TLS per mappare la superficie di attacco di un'azienda e capire dove si trovano i punti deboli. Ad esempio, un utente malintenzionato può vedere se un certificato sta per scadere o se è stato firmato utilizzando un algoritmo di firma debole. Quest'ultimo può essere sfruttato per ascoltare il traffico del sito Web o creare un altro certificato con la stessa firma, consentendo a un utente malintenzionato di spacciarsi per il servizio interessato."
Quindi, cosa possono fare le organizzazioni nel frattempo? Detectify consiglia di implementare i certificati SSL/TLS, ma è anche necessario monitorarli continuamente per punti deboli o comportamenti sospetti.
Ricerche passate hanno anche scoperto che i bug del software e l'errata interpretazione degli standard del settore sono normalmente la causa di certificati SSL emessi in modo errato.
In altre notizie sui certificati di questa settimana , Microsoft ha affermato che un certificato scaduto il 31 ottobre ha avuto un impatto sulle funzionalità di Windows 11, tra cui lo strumento di cattura integrato, la tastiera touch e la digitazione vocale. Una correzione è impostata per essere inviata agli utenti interessati dal problema.
Commenti
Posta un commento