/https://www.html.it/app/uploads/2023/12/terrapin.png "Terrapin: un attacco contro l'handshake di SSH")
Cosa succede se un protocollo per la sicurezza delle comunicazioni è a sua volta esposto a rischi per via di debolezze e vulnerabilità? Per capirlo è possibile fare e riferimento a Terrapin (tartaruga), un attacco che utenti malintenzionati potrebbero portare avanti sfruttando le modalità con cui SSH (Secure Shell) veicola i data package. Ma andiamo con ordine e cerchiamo di capire quali sono i pericoli reali di questa minaccia.
Cosa è SSH
SSH è un protocollo di rete crittografato che supporta la comunicazione sicura su reti non sicure. Per questo motivo viene comunemente utilizzato per l'accesso remoto a server e dispositivi di rete attraverso una connessione crittografata. Basti pensare ai milioni di device IoT presenti in aziende e abitazioni. SSH crittografa i dati durante la comunicazione tra il client e il server, utilizza un sistema di autenticazione basato su chiavi crittografiche, consente di accedere ad un sistema da remoto, permette di eseguire istruzioni da linea di comando a distanza e supporta la creazione di tunnel crittografati con cui inoltrare traffico tramite una connessioni sicure.
Terrapin: il rischio è nell'handshake
Per quanto riguarda il trasporto dei pacchetti di dati, Terrapin si basa sulla manipolazione delle sequenze numeriche relative al processo di handshake. Quest'ultimo si riferisce alla negoziazione dei parametri crittografici tra il client e il server che si verifica quando viene inizializzata una connessione. Esso è stato pensato per garantire che le parti stabiliscano una connessione sicura e concordino sui parametri crittografici impiegati prima di avviare una comunicazione.
🚨Alert🚨CVE-2023-48795
SSH Flaw Lets Hackers Strip Secrets From Your Connection
🔗Hunter:https://t.co/EokeRLEKqlDorks 👇👇👇
FOFA protocol="ssh"📰Refer to https://t.co/2WKnWjVqeh#infosec #Infosys #Vulnerability #bugbountytip #OSINT pic.twitter.com/KODNR0E03R
— Hunter (@HunterMapping) December 19, 2023
Terrapin sfrutta il fatto che a ciascun messaggio viene associato un numero che ne indica l'ordine e la posizione nella sequenza di comunicazioni. In questo modo eventuali alterazioni su un messaggio possono essere rilevate proprio verificandone il numero. Stando a quando riportato dai ricercatori della berlinese Ruhr University, sarebbe però possibile agire proprio su tali numeri per alterare i messaggi senza lasciare traccia visibile a client e server. Ma quali potrebbero essere le conseguenze di un attacco di questo genere?
In determinate condizioni un attaccante potrebbe effettuare un downgrade dell'algoritmo utilizzato per la cifratura dei dati di autenticazione, rendendo molto più semplici i tentativi di accesso non autorizzati e il successivo accesso ai dati protetti. In linea teorica questo tipo di problemi potrebbero essere evitati bloccando la packet injection a danno dell'handshake. Sia a livello client che server. Si tratta però di una soluzione che deve essere implementata manualmente da entrambi i soggetti coinvolti in una comunicazione e questo non è né pratico né sempre possibile.
/https://www.html.it/app/uploads/2024/11/hacker-cinesi-vpn.jpg)
/https://www.html.it/app/uploads/2024/11/truffe-qr-code-.jpg)
/https://www.html.it/app/uploads/2024/11/IPTV_______.jpg)
/https://www.html.it/app/uploads/2024/11/t-mobile-.jpg)