Cloudbleed e SHAttered

Questa settimana è stata molto critica per il mondo della sicurezza, infatti sono successe 2 cose molto importanti.

Cloudbleed

Il 17 Febbraio 2017 è stato scoperto un bug di sicurezza nel reverse proxy di Cloudflare che causava la fuoriuscita di dati residenti in memoria come cookies HTTP, tokens, data in POST, ecc…
La scoperta è stata fatta da Tavis Ormandy facendo immediatamente il giro del mondo, il tutto è degenerato quando si è scoperto che questi dati sono stati salvati nelle cache dei vari motori di ricerca (Cloudflare ha collaborato con Google per mitigare questo effetto collaterale).
Attualmente navigando tra la cache di Bing e Yahoo si può ancora incorrere in qualche frammento di memoria sparso tra il contenuto in quanto è difficile riconoscerlo sistematicamente (e quindi eliminarlo).

SHAttered

Il 23 Febbraio 2017 Google ha annunciato la prima collisione in SHA-1, che cosa vuol dire? Quando 2 file diversi hanno lo stesso hash siamo davanti ad una collisione e Google infatti è riuscita a creare 2 PDF diversi con lo stesso SHA-1.
SHA-1 (come altri sistemi di hashing) viene usato per dimostrare che un determinato file non è stato modificato oppure che è stato scaricato correttamente, le implicazioni di sicurezza sono ovvie.
Divertente come WebKit abbia messo in crisi la propria repo SVN committando un test riguardante proprio le collisione SHA-1.
Git è meno sensibile alle collisioni SHA-1 in quanto i 2 file dovrebbero avere anche le stesse dimensioni (rendendo la sfida molto più difficile).

Most recent

Most voted

Leave a Reply

Your email address will not be published. Required fields are marked *