Circa il 28% dei siti web mondiali utilizza una crittografia (quando ciò sia necessario o previsto) basata su SHA1 (Secure Hash Algorithm 1), un particolare algoritmo in grado di produrre un hash a 160 bit: una particolare tecnica che possiede svariati utilizzi, soprattutto in ambito internet in cui viene utilizzato per criptare (proteggere da occhi indiscreti) dati riservati come, ad esempio, le firme digitali o più semplicemente le password degli utenti (quelle di WordPress, ad esempio, sono criptate in MD5). In questo modo il test di verifica di un login può essere effettuato confrontando gli hash criptati in SHA1 – un algoritmo sviluppato a suo tempo da NSA – evitando di trasmettere in chiaro il dato, ma confrontando equivalentemente il suddetto hash.
I principali linguaggi di programmazione prevedono funzioni apposite per calcolarlo, già integrate nel sistema (esempio: in PHP): ad esempio l’hash SHA1 di trovalost.it corrisponde a 4f65cf892c557fbdc44f582ae3297affe9287a2f.
In particolare, già entro i prossimi tre mesi potrebbe essere svolto un attacco tale da rendere violabile, e quindi insicuro, l’algoritmo. SHA1 in effetti è stato già violato (in teoria), tanto che si era pianificato di dismetterlo entro l’inizio del 2017 (cosa che Google, Firefox e molti altri attori del web prevedono di fare). In questi casi ciò che conta è disporre dell’hardware abbastanza potente da effettuare un reverse engineering ed è ciò che hanno fatto: il gruppo di ricercatori di sicurezza informatica ha pubblicato un articolo (link) che tende a stringere i tempi di questa possibile violazione, utilizzando per il test (detti tecnicamente di collisione) una 64-GPU cluster con 16 nodi, anche (relativamente, s’intende) piuttosto economica.
Il punto è importante, perchè il gruppo ha anche stimato il costo della violazione: dai 75.000 ai 120.000 dollari utilizzando il cloud di Amazon, il tutto entro pochi mesi di calcolo. Un prezzo che potrebbe sembrare esorbitante ma che, di fatto, è alla portata di varie organizzazioni criminali potenzialmente interessate a violare SHA1. Il suggerimento di massima, in definitiva, sarà quello di migrare in massa le varie tecnologie che utilizzano SHA1 – tra cui HTTPS, almeno in parte – verso il più robusto ed evoluto SHA2.
(fonti: Arstechnica, TheShappening)
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟢 Registrazione domini con estensione: .bw
- 🔵 Che cos’è un file EPS?
- 🔴 Come elaborare file CSV e XML usando la sintassi SQL
