Con il suo gruppo ha condotto una ricerca per verificare la sicurezza nelle connessioni SSL utilizzate in genere nelle transazioni online verso le banche.
Ebbene , il gruppo ha identificato un bug sfruttando il quale un malintenzionato può accedere a ogni tipo di informazione riservata in transito, come password, numeri di carte di credito, email, dati personali, ecc.
In pratica vi è una falla nel sistema di generazione di numeri random utilizzati per cifrare i dati da trasmettere.
E' stato verificato che l'algoritmo utilizzato per produrre i dati casuali è in realtà piuttosto prevedibile ed il team è stato appunto capace di prevedere la successione dei numeri casuali che sarebbero stati prodotti.
Conoscendo i random number in pratica si conoscono le chiavi di cifratura e si è in grado , appunto , di decifrare i dati in transito sulle connessioni SSL.
Il problema è stato verificato sulla Piattaforma Windows 2000.
Tratto da : http://eprint.iacr.org/2007/419
Nessun commento:
Posta un commento