BEAST è un acronimo che sta per Browser Exploit Against SSL-TLS, ed è la più recente e probabilmente più pericolosa metodologia di attacco attualmente in circolazione. L’attacco consiste nel far eseguire al browser un codice Javascript che si interfaccia con uno sniffer costruito in modo appropriato per spiare le comunicazioni della vittima, semplificando, è una sorta di trojan crittografico che consente di rubare un informazioni di autenticazione, come quelle utilizzati nei pagamente elettronici. I ricercatori hanno affermato che per l’attacco sono necessari 10 minuti anche se in una dimostrazione ce ne hanno messi 2.
I ricercatori per portare a termine l’attacco hanno dovuto forzare uno dei meccanismi di sicurezza del web noto come SOP policy -same-origin policy- che proibisce che un dominio possa leggere o modificare i dati nati in un dominio di origine differente, e per fare ciò hanno utilizzato un’apposita applet Java.
Gli sviluppatori Mozilla stanno prendendo seriamente in considerazione l’ipotesi di un aggiornamento che disabiliti il funzionamento di Java in Firefox. La soluzione è netta e non è stata esente da critiche, l’esperienza utente e le funzionalità ne risentirebbero pesantemente come indicato da Johnathan Nightingale – Firefox Director of Engineering – e molte applicazioni enterprise inoltre, fanno un uso pesante di tecnologie Java. Johnathan Nightingale ha anche ricordato di come la funzionalità di soft-blocking possa essere un ragionevole palliativo in quanto consente una disabilitazione dei plugin con dei pop-up che ne permetterebbero una rapida attivazione su rischiesta. A questo punto tutti si attendono un intervento da parte di Oracle.
Via | The Register
Via | Mozilla.org Bugzilla
Mozilla contro BEAST, occorre disabilitare il plugin Java é stato pubblicato su Ossblog.it alle 15:00 di giovedì 29 settembre 2011.