I nostri cari colleghi tedeschi di THC hanno, dopo il paper passato inosservato, prodotto un tool che permette di effettuare attacchi dDoS contro server (anche grossi) sfruttando la vulnerabilità della rinegoziazione delle chiavi SSL. Da tempo il famoso gruppo incita le grandi major a provvedere alla soluzione di questi pericolosi bugs che mettono in pericolo la privacy degli utenti.

Lo scopo principale delle diffusione del tool è quindi benefico, dopo aver ripetutamente molestato a parole chi dovrebbe provvedere alla sicurezza, senza ottenere risultati, il team di esperti informatici ha deciso un ultimo estremo gesto, sperano che con questo riescano ad ottenere l'attenzione di chi dovrebbe produrre dei bugfix a questi enormi buchi.

Il tutto (e i sorgenti) è nel loro website http://www.thc.org/thc-ssl-dos/ che vi consiglio caldamente di leggere.

Le countermeasures non esistono, alcuni citano quelle di disabilitare la rinegoziazione delle chiavi SSL, ma questo non è vero perchè non sufficiente (si legge in una nota sul sito). Dai loro test interni pensano di poter creare seri problemi semplicemente con un portatile e una connessione di tipo DSL. Speriamo che il loro appello venga accolto.