domenica 8 maggio 2011

Falso certificato SSL usato per attacco a utenti di Facebook HTTPS


Electronic Frontier Foundation, organizzazione internazionale non profit di avvocati e legali rivolta alla tutela dei diritti digitali e della libertà di parola nel contesto dell’odierna era digitale, segnala la presenza d'un falso certificato SSL di Facebook, utilizzato per colpire gli utenti che navigano in HTTPS sul social network. L'organizzazione Electronic Frontier Foundation (EFF) mette in guardia da un attacco in esecuzione di tipo man-in-the-middle (MITM), condotto contro gli utenti della versione sicura (HTTPS) di Facebook. 

L'attacco semi-professionale contro la versione HTTPS del sito di Facebook - rilevato per il momento nei confronti di più fornitori di servizi Internet (ISP) siriani - si basa su un "certificato digitale firmato da qualsiasi autorità di certificazione con probabile re-instradamento del traffico da parte del ministero delle telecomunicazioni siriano Telecom", ha detto EFF in un comunicato. L'EFF non nomina i responsabili dell'attacco, ma lo stratagemma porta le caratteristiche di un'operazione da parte del governo siriano, che è coinvolto nella repressione della rivolta popolare contro il governo autocratico della dinastia al-Assad. 


Questo imbroglio è stato realizzato per leggere i post degli utenti di Facebook e gli aggiornamenti di status. L'attacco non è estremamente sofisticato: l'uso di un certificato non firmato, come parte dell'attacco significa che il certificato non è considerato valido da parte dei browser moderni, generando un avviso di protezione agli utenti. Il web client SSL autentica un server mediante l'emissione di un modello basato sul certificato presentato. 

Ad esempio, quando a Internet Explorer di Microsoft si presenta un certificato fasullo all'utente verrà presentato un messaggio pop-up del tipo: "il certificato di protezione non è considerato attendibile, scaduto o non è ancora valido. Vuoi proseguire? [Sì], [No]". Se l'utente non è a conoscenza del problema può cliccare per accettare anche se la prova crittografica non è completa. A questo punto il server dell'attaccante fa una connessione verso il server vero agendo da proxy e intercettando le comunicazioni. 

Questo è un attacco spoofing di tipo man in the middle, dove viene dirottato il traffico generato durante la comunicazione tra Facebook e l'utente, verso il terzo attaccante apparentemente legittimo. Purtroppo molti utenti ignorano tali avvisi, che possono essere generati per una varietà di ragioni, come ad esempio il tentativo di visitare un sito sicuro tramite una connessione hotspot Wi-Fi che richiede un primo log-in.


EFF è molto interessata a raccogliere certificati SSL/TLS. L'utente quindi riceve un certificato che a prima vista è valido e solo un'analisi approfondita rivela la sua falsità. Il progetto dell'Osservatorio SSL di EFF ha raccolto milioni di questi certificati attraverso la scansione della rete pubblica Internet. Grazie alla collaborazione di un cittadino siriano di nome Mohammad, EFF può anche fornire una copia del certificato falso di Facebook siriano (http://sy-sy.facebook.com/). I lettori interessati possono trovare una copia in formato leggibile e in forma codificata PEM (certificato digitale standard codificato con Base64). 

Ai navigatori in Siria si consiglia di utilizzare un proxy o il software di navigazione Tor per poter accedere su Facebook al di fuori del paese. Certificati falsi di società ve ne sono molti in giro, ma è la prima volta che vengono rilevati certificati SSL falsi di Facebook da quando il social network ha introdotto la navigazione protetta HTTPS. Anche se l'attacco è rivolto per il momento solo agli utenti siriani, Protezione Account si aspetta il diffondersi di questo metodo di attacco. A fine Marzo la società fornitrice di certificati di sicurezza Comodo era stata derubata dei certificati SSL, ed i browser Firefox, Chrome ed Internet Explore avevano rilasciato prontamente delle patch.

2 commenti: