giovedì 4 febbraio 2010

Sicurezza 2010: bisogna proteggersi da possibili attacchi Man-in-the-middle e DNS spoofing

Nel 2010 si prevede sarà in forte crescita il numero di attacchi che potrebbero coinvolgere gli utenti abituali di connessioni protette, per cui questo problema riguarda in modo particolare gli ambienti aziendali e quindi conviene approfondirlo.


Tutti i principali browser utilizzati per la navigazione web notificano agli utenti una serie d’avvisi relativi ai problemi che sono riscontrati sui certificati SSL, ad esempio, quando il certificato di un server è scaduto, se contiene un indirizzo diverso rispetto a quello del sito che è visitato oppure se è digitalmente firmato da un’autorità non riconosciuta.

Questi messaggi d’avviso (warning) possono talvolta segnalare che si è in presenza di un attacco di tipo Man-in-the-middle o DNS spoofing (per maggiori dettagli, vedere secondo e terzo link).

E’ vero che molto frequentemente le segnalazioni dei browser riguardano situazioni benigne, ovvero i cosiddetti falsi positivi, ma un utente che maneggia denaro via Internet dovrebbe comunque essere al corrente dei rischi che può correre e quindi deve leggere gli avvisi, comprenderli e tenerne conto.

Uno studio condotto recentemente dai ricercatori della Carnegie Mellon University rivela che gli utenti (anche quando utilizzano le connessioni protette, cioè quelle più a rischio) non comprendono l’importanza di questi strumenti di controllo, anzi si dichiarano infastiditi dai warning che i browser presentano e pertanto tendono ad ignorarli.

Ad esempio, il 51,6% del campione dello studio sopra citato continua imperterrito la sua sessione di navigazione anche quando il server con cui opera presenta un certificato digitale scaduto.

Si comportano allo stesso modo il 36% degli utenti ai quali è segnalato che un certificato digitale è stato firmato da una certification authority sconosciuta ed il 29% dei navigatori che visitano siti che espongono certificati non congruenti o in ogni modo non emessi per il dominio visitato. In tutte queste situazioni bisognerebbe quantomeno consultare il responsabile della sicurezza IT prima di operare.

source DUKE ITALIA