Certificati SSL fasulli mettono a rischio la sicurezza in Rete

La violazione di DigiNotar mette in pericolo le connessioni "sicure", comprese quelle a Gmail, Facebook ma anche ai siti di CIA e Mossad.



[ZEUS News - www.zeusnews.it - 06-09-2011]

Diginotar certificati SSl fasulli 531 iran

Sembra che ogni giorno che passa il cosiddetto affaire DigiNotar si complichi.

Tutto è cominciato lo scorso luglio, quando qualcuno ha violato le difese dei sistemi di DigiNotar, Certification Authority olandese di proprietà dell'americana Vasco Security.

Una Certification Authority è un'organizzazione che rilascia i certificati digitali utilizzati dai siti per abilitare una connessione protetta con SSL (quella identificata dal protocollo https) di cui l'utente dovrebbe potersi fidare a occhi chiusi.

I problemi nascono quando, come nel caso di DigiNotar, una CA viene violata da un hacker che riesce quindi a emettere dei falsi certificati o, meglio, dei certificati tecnicamente validi (in quanto firmati dalla CA), intitolati a siti realmente esistenti e che normalmente fanno uso di detti certificati (per esempio quelli delle banche) ma creati dall'hacker stesso per i propri fini.

Un po' come se qualcuno entrasse all'anagrafe nottetempo e preparasse delle false carte d'identità con i materiali (timbri, carta e via di seguito) del Comune con i dati dei cittadini e le usasse poi per spacciarsi per loro.

Nel caso dei certificati digitali, quando un browser viene visita un sito dotato del certificato creato dall'hacker con gli strumenti della CA e intitolato a un soggetto legittimo, si fida e comunica al proprio utente di rilassarsi, poiché ha avviato una connessione protetta con qualcuno che possiede un certificato digitale valido, e può quindi affidare al sito stesso tutti i propri più reconditi segreti in assoluta tranquillità.

Così è teoricamente possibile credere di collegarsi al sito della propria banca, che testimonia la propria identità anche tramite il certificato, e finire invece nelle mani di un criminale.

All'inizio - quando l'intera vicenda è stata scoperta - si diceva che «almeno un certificato» fasullo era stato emesso. Poi sono diventati 200. Ora sono 531, stando a quanto rivelato dal Progetto TOR, che è tra i soggetti vittime della contraffazione.

Non c'è solo TOR: vi sono anche Microsoft, Yahoo, Windows Update, Twitter, Facebook, Skype, Gmail e perfino CIA, MI6 e Mossad.

I pericoli maggiori, però, li corrono gli utenti iraniani. Trend Micro ha fatto sapere che gli utenti Internet di oltre 40 differenti reti di ISP e università iraniane hanno avuto a che fare con falsi certificati SSL emessi da DigiNotar.

Peggio ancora, ci sono le prove di come alcuni utenti iraniani che si avvalevano di software progettati per aggirare la censura e le intercettazioni del traffico online, non fossero in realtà protetti da questo massiccio attacco di tipo man-in-the-middle (MITM).

«Il dominio validation.diginotar.nl» - spiega Trend Micro - «viene usato dai browser Internet per controllare l'autenticità dei certificati SSL emessi dalla Diginotar. Poiché la Diginotar è una piccola CA olandese con clienti principalmente locali, ci saremmo aspettati che il suo dominio fosse richiesto per la maggior parte da utenti olandesi, o da pochi altri nel mondo - certamente non da una grande quantità di utenti iraniani».

Invece l'azienda ha scoperto che «una parte significativa degli utenti Internet che hanno caricato l'URL per la verifica dei certificati SSL della Diginotar il 28 agosto 2011 era iraniana»

Le statistiche hanno mostrato chiaramente che gli utenti Internet iraniani sono stati esposti a un attacco MITM di grandi dimensioni che ha permesso a qualcuno di decifrare il traffico SSL crittografato. Per esempio, qualcuno è stato probabilmente in grado di leggere tutte le comunicazioni scambiate da un utente iraniano attraverso il suo account Gmail.

Peggio ancora, è praticamente certo che i cittadini iraniani che usavano un particolare software anti-censura sviluppato in California siano stati vittime dello stesso attacco, poiché il software che avrebbe dovuto proteggerli si affidava a un certificato di DigiNotar, e dunque ha permesso che le loro comunicazioni venissero intercettate.

Per far rientrare l'allarme tutti i maggiori produttori di browser hanno rapidamente rilasciato versioni aggiornate dei propri software che non riconoscono più come validi i certificati emessi da DigiNotar.

Tutti gli utenti faranno quindi bene a controllare che la versione del browser che stanno usando sia davvero l'ultima rilasciata.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Milioni di Android ancora vulnerabili a Heartbleed

Commenti all'articolo (ultimi 5 di 6)

Folcloristico ma, purtroppo, inutile... :lol: :lol: :lol: Leggi tutto
10-9-2011 16:12

Bestemmio in filippino!!! :lol: :lol: :lol: Ciao Leggi tutto
10-9-2011 16:06

In un mondo in cui le spese continuano a contrarsi per massimizzare i profitti con la politica del mordi e fuggi spendere nella sicurezza, per molti, diventa sempre più fantascienza. :incupito: Leggi tutto
10-9-2011 15:14

Capito, in effetti è una vergogna che si comportino così penso che ormai giustamente la fiducia sia stata mangiata irrimediabilmente e diginotar spero sia finita visto che in un altro articolo si cita di come fosse incurante della sua rete :roll: se voglio sicurezza e spendo mi auguro che quantomeno la Ca che scelgo abbia delle... Leggi tutto
8-9-2011 06:19

Un certificato può essere usato per una autenticazione diretta (io posseggo il certificato dunque fammi entrare) o una comunicazione crittografia o semplice identificativo di controllo. Qualsiasi altro parametro può essere "manomesso" come IP, url, imac o altro. Si possono usare più certificati ma ogni certificato COSTA (e... Leggi tutto
7-9-2011 22:44

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quale di questi dispositivi degni di un film di fantascienza ma già esistenti vorresti avere?
Erascan: un cancellino per lavagne bianche in grado di effettuare una scansione con OCR di tutto ciò che cancella.
Tamaggo Ibi: una videocamera con lente circolare in grado di scattare foto a 360 gradi.
No More Woof: legge le onde cerebrali dei cani e traduce i pensieri in linguaggio umano.
Il drone per le consegne Amazon Prime Air: consegnerà i pacchi volando, rendendo obsoleti i corrieri.
WAT: la lampada alimentata ad acqua.
Transparent TV: grazie alla tecnologia TOLED (LED Organici Trasparenti) è dotato di uno schermo praticamente invisibile.
Electrolux Wirio, la cucina trasportabile composta da quattro diversi elementi, per cucinare e tenere in caldo i cibi.
Touch Hear, per toccare con un dito una parola stampata e ascoltare la pronuncia e il significato.
Immersed Senses, una maschera per sub che estrae ossigeno dall'acqua ed è dotata di schermo per mostrare informazioni utili.
La maniglia che si sterilizza da sola grazie a una lampada integrata a raggi ultravioletti.
Heart Rate Monitor Earphone, gli auricolari che rilevano il battito cardiaco e il consumo di ossigeno.
Voyce, il collare per cani che misura il battito cardiaco e il ritrmo respiratorio, conta le calorie e indica se l'animale non fa abbastanza esercizio.
Makerbot Z18, una stampante 3D che funge da replicatore per oggetti voluminosi.

Mostra i risultati (1641 voti)
Dicembre 2019
Plex sfida Netflix con migliaia di film e serie TV gratis per tutti
Aggiornare gratis a Windows 10 si può ancora, ecco come
Scovare il Product Key di Windows usando solo il sistema operativo
Novembre 2019
WhatsApp, arrivano i messaggi che si autodistruggono
Skimmer virtuali sempre più diffusi, a rischio i dati delle carte di credito
Il pickup elettrico di Tesla debutta con una figuraccia
Falla nell'app fotocamera di Android, milioni di smartphone a rischio
Windows 10, iniziano gli aggiornamenti forzati
Facebook attiva di nascosto la fotocamera dell'iPhone
Apple, deciso in una riunione segreta il dispositivo che sostituirà l'iPhone
Bug in Firefox, truffatori già all'opera
Quattordicenne risolve il problema dei punti ciechi nelle auto
Ottobre 2019
Il grande database della cacca cerca volontari
Google, i domini .new diventano scorciatoie
Wind Tre, con l'anno nuovo aumentano le bollette
Tutti gli Arretrati


web metrics