La NSA ha recentemente rilasciato un avviso riguardo un tipo specifico di attacco, nota come tecnica ALPACA. Poco detto, l'Agenzia avverte gli amministratori di rete del rischio di utilizzare “Protezione del livello di trasporto con caratteri jolly scarsamente scoperti (TLS) certificati.”
La guida della NSA contiene anche dettagli sul cosiddetto attacco ALPACA, o Protocolli a livello di applicazione che consentono attacchi tra protocolli. Questa tecnica consente ai criminali informatici di accedere a informazioni sensibili.
Prima di tutto, cos'è un certificato con caratteri jolly?? È un certificato a chiave pubblica che può essere utilizzato con più sottodomini di un dominio. Applicato principalmente per siti Web di sicurezza con HTTPS, questo tipo di certificato può essere utilizzato in molti altri campi, anche.
“I certificati con caratteri jolly vengono utilizzati per autenticare più server e semplificare la gestione delle credenziali, risparmiando tempo e denaro. Tuttavia, se un server che ospita un certificato con caratteri jolly è compromesso, tutti gli altri server che possono essere rappresentati dal certificato jolly sono messi a rischio. Un cyber attore malintenzionato con la chiave privata di un certificato con caratteri jolly può impersonare uno qualsiasi dei siti nell'ambito del certificato e ottenere l'accesso alle credenziali dell'utente e alle informazioni protette,” NSA ha detto.
L'attacco dell'ALPACA: Mitigazioni
Per quanto riguarda la tecnica ALPACA, sfrutta app Web rafforzate tramite servizi non HTTP protetti con un certificato TLS con ambiti corrispondenti all'applicazione Web. La tecnica aumenta il rischio già esistente di utilizzare certificati con caratteri jolly con ambito limitato, l'Agenzia ha aggiunto.
Per mitigare questo rischio, La NSA raccomanda le seguenti azioni:
- Comprendere l'ambito di ciascun certificato jolly utilizzato nella tua organizzazione
- Utilizzo di un gateway applicazione o di un firewall per applicazioni Web davanti ai server, inclusi i server non HTTP
- Utilizzo del DNS crittografato e convalida delle estensioni di sicurezza DNS per impedire il reindirizzamento DNS
- Abilitazione della negoziazione del protocollo a livello di applicazione (APLN), un'estensione TLS che consente al server/applicazione di specificare i protocolli consentiti ove possibile
- Mantenimento dei browser Web all'ultima versione con gli aggiornamenti correnti