Rilevamento delle vulnerabilità TLS tramite monitoraggio della rete e strumenti per il controllo della conformità = Detecting TLS vulnerabilities through network monitoring and tools for compliance check

Transport Layer Security (TLS) è un protocollo crittografico usato in informatica per creare comunicazioni sicure su reti TCP/IP. Ha lo scopo di garantire confidenzialità, autenticazione e integrità dei dati. Nelle applicazioni di uso comune, come browser e e-mail, esso è generalmente implementato da una libreria, ovvero un insieme di codice che esegue le operazioni necessarie alla creazione di una connessione cifrata. Il codice presenta talvolta difetti o mancanze, che rischiano di compromettere la sicurezza dei dispositivi. In conseguenza di ciò, sono stati creati degli strumenti come TLS-Anvil: esso verifica la conformità delle librerie al protocollo e si assicura che vengano rispettate le specifiche TLS definite dai documenti Request for Comments (RFC), pubblicati dalla IETF. Per compiere questa valutazione, TLS-Anvil esegue centinaia di test con un client/server che utilizza una determinata libreria e in seguito emette un resoconto che riporta il numero di test andati a buon fine. La tesi studia in modo dettagliato alcuni di questi test, relativi alle versioni 1.2 e 1.3 di TLS. In primis si esamina il codice Java della Testsuite, per comprendere quali siano le variazioni effettuate rispetto al normale processo di handshake e di scambio di dati e quale sia la reazione o risposta che lo strumento si aspetta per considerare superato il test. TLS-Anvil genera anche dei file di cattura di formato .pcap, che riportano tutti i messaggi scambiati durante il controllo di sicurezza. Si usano perciò Wireshark o software equivalenti per esaminare i messaggi e determinare la loro struttura, byte per byte. In seguito si creano delle regole Suricata, ovvero delle istruzioni fornite a un motore di monitoraggio della rete, che permettono di rilevare delle irregolarità simili a quelle presenti nei test. Queste regole possono quindi essere aggiunte a un Intrusion Detection System, con lo scopo di segnalare in tempo reale eventuali anomalie e difetti che potrebbero violare le specifiche degli RFC. Infine viene effettuata un'analisi delle prestazioni di Suricata su una macchina virtuale, generando del traffico che attivi le regole create. L'analisi si ripete al variare di alcuni parametri, come la quantità di messaggi che attivano le regole.