Protocollo SSL/TLS: vulnerabilità e prossimo aggiornamento di sicurezza

In questa categoria sono visualizzati i notiziari relativi ai temi della sicurezza ICT pubblicati dal CERT-SPC quale ulteriore mezzo per informare la Constituency del Sistema Pubblico di Connettività, cittadini ed operatori interessati su alcuni temi di interesse per la sicurezza dei sistemi informatici delle Amministrazioni connesse a SPC. L'iniziativa mira, pertanto, a contribuire alla sensibilizzazione sulle tematiche di sicurezza informatica per consolidare e maturare una cultura della sicurezza delle applicazioni e dei sistemi informatici nella P.A.

Notize collegate

Recupero dati: sfatiamo i falsi miti 18 May 2012 | 3:20 pm
Google, LinkedIn e Skype: attenzione ai falsi messaggi 10 Apr 2012 | 4:46 pm
Android: vulnerabilità risolta da un team italiano 27 Mar 2012 | 6:01 pm
WordPress vittima di nuovi attacchi 7 Mar 2012 | 4:37 pm
Android sotto attacco malware nel 2012 5 Mar 2012 | 5:02 pm
Google Chrome gestirà le password degli utenti 24 Feb 2012 | 3:00 pm
Google Wallet: una falla mette a rischio la sicurezza 10 Feb 2012 | 2:39 pm
Come difendersi dalle app pericolose 30 Jan 2012 | 9:00 am
Regali di Natale: truffe nello shopping online 19 Dec 2011 | 12:45 pm
I dati degli utenti Android e iPhone sono stati intercettati 1 Dec 2011 | 11:57 am

(2 voti, media 2.50 su 5)

Venerdì 06 Novembre 2009 18:09

Alcune fonti del CERT-SPC rilevano la scoperta di una nuova vulnerabilità che interessa il protocollo SSL (Secure Socket Layer) anche nella sua più recente implementazione TLS (Transport Layer Security). La vulnerabilità è stata individuata per la prima volta lo scorso Agosto ed è stato subito avviato il processo di analisi per correggere la falla che ha interessato il Industry Consortium for the Advancement of Security on the Internet (ICASI), i produttori di tecnologia che implementano tale protocollo nei propri sistemi, l'Internet Engineering Task Force (IETF), e la comunità open source community.

Tale spiegamento di forze e sinergie è dovuto al fatto che il protocollo SSL/TLS rende potenzialmente vulnerabili tutti i dispositivi e le applicazioni che si basano su tale tecnologia come ad esempio, i web browser, software e dispositvi VPN, smart card ecc. Il gruppo di lavoro ha proposto come soluzione una specifica estensione al protocollo SSL/TLS per correggere la vulnerabilità.

Dalle informazioni disponibili risulta come la vulnerabilità possa essere sfruttata per compiere attacchi di tipo man-in-the-middle o per intercettare informazioni criptate. Il CERT-SPC, in accordo con altre fonti, informa la constituency che probabilmente a breve saranno rilasciati molteplici aggiornamenti di sicurezza da parte dei produttori e fornitori di software ed apparati che implementano versioni vulnerabili del protocollo SSL/TLS. Di seguito alcuni link:

Commenti

roan

Sembrerebbe una mobilitazione da parte di tutte le organizzazioni, produttori e comunità open source della Rete analogo a quanto avvenne per la vulnerabilità che interesso i DNS. Anche in quel caso, infatti, il ricercatore che scoprì la vulnerabilità non la divulgò in the wild ma prese subito contatti con i vendor e gli organismi per minimizzare il rischio di attacchi derivanti dallo sfruttamento della vulnerabilità.

Venerdì 06 Novembre 2009, 19:52

roan

La criticità risiede nella natura intrinseca del protocollo utilizzato quale protezione di sistemi dove transitano dati sensibili, riservati o dove la sicurezza per i dati scambiati è imprescindibile. Come sempre una falla nella sicurezza dei dispositivi e protocolli deputati a proteggere e garantire la riservatezza crea allarme.

Venerdì 06 Novembre 2009, 19:56

E' necessario autenticarsi per poter inviare commenti

< Prec.		Succ. >

Ultimo aggiornamento Venerdì 06 Novembre 2009 18:53

Notize collegate

Commenti

Ultimi bollettini

Canale RSS - Notiziari