Certificati SSL fasulli mettono a rischio la sicurezza in Rete

La violazione di DigiNotar mette in pericolo le connessioni "sicure", comprese quelle a Gmail, Facebook ma anche ai siti di CIA e Mossad.



[ZEUS News - www.zeusnews.it - 06-09-2011]

Diginotar certificati SSl fasulli 531 iran

Sembra che ogni giorno che passa il cosiddetto affaire DigiNotar si complichi.

Tutto è cominciato lo scorso luglio, quando qualcuno ha violato le difese dei sistemi di DigiNotar, Certification Authority olandese di proprietà dell'americana Vasco Security.

Una Certification Authority è un'organizzazione che rilascia i certificati digitali utilizzati dai siti per abilitare una connessione protetta con SSL (quella identificata dal protocollo https) di cui l'utente dovrebbe potersi fidare a occhi chiusi.

I problemi nascono quando, come nel caso di DigiNotar, una CA viene violata da un hacker che riesce quindi a emettere dei falsi certificati o, meglio, dei certificati tecnicamente validi (in quanto firmati dalla CA), intitolati a siti realmente esistenti e che normalmente fanno uso di detti certificati (per esempio quelli delle banche) ma creati dall'hacker stesso per i propri fini.

Un po' come se qualcuno entrasse all'anagrafe nottetempo e preparasse delle false carte d'identità con i materiali (timbri, carta e via di seguito) del Comune con i dati dei cittadini e le usasse poi per spacciarsi per loro.

Nel caso dei certificati digitali, quando un browser viene visita un sito dotato del certificato creato dall'hacker con gli strumenti della CA e intitolato a un soggetto legittimo, si fida e comunica al proprio utente di rilassarsi, poiché ha avviato una connessione protetta con qualcuno che possiede un certificato digitale valido, e può quindi affidare al sito stesso tutti i propri più reconditi segreti in assoluta tranquillità.

Così è teoricamente possibile credere di collegarsi al sito della propria banca, che testimonia la propria identità anche tramite il certificato, e finire invece nelle mani di un criminale.

All'inizio - quando l'intera vicenda è stata scoperta - si diceva che «almeno un certificato» fasullo era stato emesso. Poi sono diventati 200. Ora sono 531, stando a quanto rivelato dal Progetto TOR, che è tra i soggetti vittime della contraffazione.

Non c'è solo TOR: vi sono anche Microsoft, Yahoo, Windows Update, Twitter, Facebook, Skype, Gmail e perfino CIA, MI6 e Mossad.

I pericoli maggiori, però, li corrono gli utenti iraniani. Trend Micro ha fatto sapere che gli utenti Internet di oltre 40 differenti reti di ISP e università iraniane hanno avuto a che fare con falsi certificati SSL emessi da DigiNotar.

Peggio ancora, ci sono le prove di come alcuni utenti iraniani che si avvalevano di software progettati per aggirare la censura e le intercettazioni del traffico online, non fossero in realtà protetti da questo massiccio attacco di tipo man-in-the-middle (MITM).

«Il dominio validation.diginotar.nl» - spiega Trend Micro - «viene usato dai browser Internet per controllare l'autenticità dei certificati SSL emessi dalla Diginotar. Poiché la Diginotar è una piccola CA olandese con clienti principalmente locali, ci saremmo aspettati che il suo dominio fosse richiesto per la maggior parte da utenti olandesi, o da pochi altri nel mondo - certamente non da una grande quantità di utenti iraniani».

Invece l'azienda ha scoperto che «una parte significativa degli utenti Internet che hanno caricato l'URL per la verifica dei certificati SSL della Diginotar il 28 agosto 2011 era iraniana»

Le statistiche hanno mostrato chiaramente che gli utenti Internet iraniani sono stati esposti a un attacco MITM di grandi dimensioni che ha permesso a qualcuno di decifrare il traffico SSL crittografato. Per esempio, qualcuno è stato probabilmente in grado di leggere tutte le comunicazioni scambiate da un utente iraniano attraverso il suo account Gmail.

Peggio ancora, è praticamente certo che i cittadini iraniani che usavano un particolare software anti-censura sviluppato in California siano stati vittime dello stesso attacco, poiché il software che avrebbe dovuto proteggerli si affidava a un certificato di DigiNotar, e dunque ha permesso che le loro comunicazioni venissero intercettate.

Per far rientrare l'allarme tutti i maggiori produttori di browser hanno rapidamente rilasciato versioni aggiornate dei propri software che non riconoscono più come validi i certificati emessi da DigiNotar.

Tutti gli utenti faranno quindi bene a controllare che la versione del browser che stanno usando sia davvero l'ultima rilasciata.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Milioni di Android ancora vulnerabili a Heartbleed

Commenti all'articolo (ultimi 5 di 6)

Folcloristico ma, purtroppo, inutile... :lol: :lol: :lol: Leggi tutto
10-9-2011 16:12

Bestemmio in filippino!!! :lol: :lol: :lol: Ciao Leggi tutto
10-9-2011 16:06

In un mondo in cui le spese continuano a contrarsi per massimizzare i profitti con la politica del mordi e fuggi spendere nella sicurezza, per molti, diventa sempre più fantascienza. :incupito: Leggi tutto
10-9-2011 15:14

Capito, in effetti è una vergogna che si comportino così penso che ormai giustamente la fiducia sia stata mangiata irrimediabilmente e diginotar spero sia finita visto che in un altro articolo si cita di come fosse incurante della sua rete :roll: se voglio sicurezza e spendo mi auguro che quantomeno la Ca che scelgo abbia delle... Leggi tutto
8-9-2011 06:19

Un certificato può essere usato per una autenticazione diretta (io posseggo il certificato dunque fammi entrare) o una comunicazione crittografia o semplice identificativo di controllo. Qualsiasi altro parametro può essere "manomesso" come IP, url, imac o altro. Si possono usare più certificati ma ogni certificato COSTA (e... Leggi tutto
7-9-2011 22:44

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A Milano l'Ecopass si è trasformato in congestion charge: si paga per accedere al centro anche se si ha un'auto poco inquinante. Sei d'accordo?
Sono favorevole a questo modello, per le grandi città: bisogna usare meno l'auto.
Sono contrario in generale: non serve, è solo una tassa per spillare quattrini ai cittadini.
Era meglio il vecchio modello, in cui le auto meno inquinanti non pagavano (o pagavano di meno).
Il problema non mi tocca: non vivo e non vado mai né a Milano né in altre grandi città.

Mostra i risultati (2311 voti)
Agosto 2020
Falla nei chip Qualcomm, a rischio centinaia di milioni di smartphone
Che cosa succede dentro a uno pneumatico quando si viaggia?
Chrome permetterà di modificare le password salvate
Red Hat: Non installate quella patch
Il dispositivo che assorda gli Amazon Echo
Luglio 2020
La vecchia raccolta di Cd e Dvd potrebbe essere in pericolo
5G: come eliminare il 90% delle emissioni
Bloatbox ripulisce Windows 10 dalle app indesiderate
Non coprite quella webcam
Falla nei caricabatterie: telefoni e tablet a rischio incendio
Windows 10, come aggirare il bug che segnala la mancanza di connessione
Windows 10 e l'aggiornamento che risolve tutti i bug
Razzismo: via i termini blacklist, master e slave dal kernel Linux
WindowsFX, la distribuzione Linux per chi vuole lasciare Windows 10
Come disinstallare il nuovo Edge da Windows 10
Tutti gli Arretrati


web metrics