martedì 6 settembre 2011

Rete a rischio: certificati SSL fasulli, tra questi anche quelli di Facebook


Dopo aver violato la Certification Authority (CA) dell'olandese DigiNotar, hacker iraniani sono riusciti a emettere certificati contraffatti per i domini di CIA, Mossad e MI6. Se inizialmente si parlava di pochi certificati SSL adesso pare che il numero abbia raggiunto quota 531. Tra i certificati fasulli vi sono quelli dei domini di Facebook, Google, Microsoft, Yahoo, Tor, Skype, LogMeIn, Twitter, Mozilla, AOL e WordPress. 

Il numero dei certificati fraudolenti è, insomma, impressionante e già gli esperti consoderano quest'incidente come il più grave mai accaduto nella storia delle "certification authorities". La vicenda era stata un sottovalutata all'inizio, anche per il silenzio di DigiNotar e il furto, verificatosi a luglio, era emerso solo a fine agosto, svelato da Google. 

Microsoft ha risposto alle richieste di chiarimenti da parte di Google: "La nostra priorità principale è difendere la privacy e la sicurezza dei nostri utenti. Sulla base dei risultati e la decisione del governo olandese, così come le consultazioni con gli altri produttori di browser, abbiamo deciso di respingere tutte le Autorità di certificazione gestite da DigiNotar. Incoraggiamo DigiNotar di fornire un'analisi completa della situazione". 

I certificati SSL vengono utilizzati per sessioni web sicure come quelle dei servizi di Internet banking o Google Gmail. Le cosiddette Certification Authority (CA) sono aziende od organizzazioni che emettono certificati SSL e ne controllano l'autenticità. In sostanza gli hacker hanno ottenuto certificati HTTPS di questi domini ed avrebbero potuto reindirizzare l’utente su alcuni indirizzi web, rubando codici di carte di credito e password.

"Questa situazione è fonte di gravi pericoli, dal momento che i certificati SSL fasulli possono essere utilizzati per attacchi “man-in-the-middle” (MITM) nei quali il traffico sicuro e crittografato può essere letto da terze parti", spiega Trend Micro sul suo blog. Il 29 agosto 2011 è stato scoperto il falso certificato SSL emesso dalla DigiNotar per il dominio google.com, certificato che consente di intercettare il traffico Gmail all'interno di attacchi MITM. 

Trend Micro ha le prove concrete di come questi attacchi MITM siano avvenuti su vasta scala in Iran. Le prove di Trend Micro si basano sui dati raccolti nei giorni scorsi dalla Trend Micro “Smart Protection Network (SPN)”. Analizzando i dati raccolti dalla SPN, Trend Micro ha visto come una parte significativa degli utenti Internet che hanno caricato l'URL per la verifica dei certificati SSL della Diginotar il 28 agosto 2011, fosse iraniana. 

Al momento i nomi degli autori dell'aggressione non sono noti e non è possibile conoscere quanti certificati siano stati impiegati per monitorare le attività svolte in Rete da parte degli utenti. Secondo gli amministratori del progetto "Tor" in uno dei certificati fasulli vi sarebbe comunque un possibile indizio circa l'autore del furto messo in atto ai danni di DigiNotar. 

Google, Mozilla e Microsoft hanno rilasciato intanto degli aggiornamenti dei loro browser Chrome, Firefox, e Ie, per bloccare l'utilizzo di qualsiasi certificato emesso da DigiNotar. Tutti gli utenti faranno quindi bene a controllare che la versione del browser che stanno usando sia davvero l'ultima rilasciata. Fate inoltre attenzione quando navigate, assicuratevi che i siti visitati siano sicuri.

Nessun commento:

Posta un commento