Certificati SSL, un pasticcio DigiNotar?

L'autorità responsabile dell'emissione del certificato contraffatto dice di essere stata vittima di un hack a inizio luglio. Quello in questione, per Google, era sfuggito al repulisti. F-Secure semina zizzania sulla reputazione della società

Roma – La vicenda del certificato SSL trafugato dalla CA (“certificate authority) fiamminga DigiNotar si tinge di giallo: Vasco Data Security , la società USA proprietaria di DigiNotar, conferma che la società con base nei Paesi Bassi è stata vittima di un hack e che “almeno” un certificato SSL è finito online, ma assicura che ora è tutto sistemato.

Vasco sostiene che DigiNotar ha individuato l’hack lo scorso 19 luglio, riuscendo a bloccare l’emissione di quasi tutti i certificati SSL compromessi. Purtroppo quello “fuoriuscito” faceva riferimento ai servizi offerti da Google, anche se ora è esso stesso revocato e non più sfruttabile per condurre attacchi alle comunicazione protette degli ignari utenti di Internet.

Che il certificato “malevolo” sia stato revocato meno, a ogni modo, l’allerta in rete continua a essere alta : Google mette in guarda da possibili attacchi di tipo “man-in-the-middle”, in cui malintenzionati potrebbero sfruttare il certificato per camuffare operazioni di ingegneria sociale dietro l’apparente sicurezza delle connessioni protette sui suoi domini.

Anche i browser web vengono aggiornati per revocare in maniera permanente i certificati SSL di DigiNotar: Mozilla ha distribuito nuove versioni per Firefox (3.6.21 e 6.0.1) e Thunderbird (6.0.1), mentre Google stessa ha rilasciato il nuovo Chrome 13.0.782.218.

Vasco ha assicurato la revocazione completa dei certificati fedifraghi da parte di DigiNotar, ma stando a quanto sostiene F-Secure sulle rassicurazioni di Vasco c’è ben poco da stare tranquilli: la società di sicurezza finlandese dice che DigiNotar era stata attaccata e compromessa già un paio di anni fa , un curriculum non proprio all’altezza di una società che dovrebbe garantire la sicurezza delle comunicazioni cifrate fra client e server sul web.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Andreabont scrive:
    Non realizzabile.
    Moltissimi siti web abilitano il protocollo https appena possono, per non parlare della messaggistica... Solo msn e' in chiaro, tutti gli altri cifrano le comunicazioni. Vietare le comunicazioni cifrate vuol dire bloccare il 70% di internet.
  • ZLoneW scrive:
    Primi esperimenti?
    Non riesco a togliermi dalla mente il sospetto che gli USA stiano mandando avanti il Pakistan per vedere se si riesce a dichiarare illegale il traffico criptato su Internet...
    • anony scrive:
      Re: Primi esperimenti?
      il problema è che non è così facile... le VPN si usano spesso anche per lavoro, a livello aziendale/professionale. non soltanto a casetta tua.inoltre, dichiarare illegale "tout court" ogni traffico cifrato, avrebbe come logica conseguenza quella di "rendere illegale" anche le transazioni bancarie, ecc.nah... a livello occidentale, il massimo che può succedere è che creino/impongano un'autorità alla quale ti devi rivolgere ogni volta che hai bisogno di cifrare qualcosa. (ma siamo ancora ben lontani da questo...)e anche ammesso (e non conXXXXX), che vietino la "crittografia personale" in toto, questo non significa certo che essa scomparirà completamente da un giorno all'altro.anche il download/upload di opere protette da copyright è severamente vietato dalla legge nella maggior parte dei paesi occidentali, ma non mi pare che questo impedisca alla gente di andarsi a scaricare l'ultimo "blockbuster"...
      • krane scrive:
        Re: Primi esperimenti?
        - Scritto da: anony
        il problema è che non è così facile... le VPN si
        usano spesso anche per lavoro, a livello
        aziendale/professionale. non soltanto a casetta
        tua.
        inoltre, dichiarare illegale "tout court" ogni
        traffico cifrato, avrebbe come logica conseguenza
        quella di "rendere illegale" anche le transazioni
        bancarie, ecc.Senza contare che sono anni che l'europa, dopo il rapporto europeo su Echelon, invita a criptare le comunicazioni per sicurezza nazionale e per evitare lo spionaggio industriale.
        • ninjaverde scrive:
          Re: Primi esperimenti?

          Senza contare che sono anni che l'europa, dopo il
          rapporto europeo su Echelon, invita a criptare le
          comunicazioni per sicurezza nazionale e per
          evitare lo spionaggio
          industriale.Con l'ignoranza che c'è in giro non so quanti ascoltino o sappiano di certi "inviti".Con la corrispondenza che ho, anche se non invio nessun segreto industriale, solo con due persone uso GPG. Uno è un sistemista, l'altro è un amico che "smanetta" un pò. Ho proposto a tutta la lista di contatti l'uso del PGP o GPG ma nessuno ha colto l'invito. Una mia amica mi ha pure detto che sono paranoico, un'altra è convinta di essere molto libera poichè può scrivere le sue stupidaggini su FB...e non ha niente da nascondere... :Quindi siamo mal messi comunque. :(
          • Sgabbio scrive:
            Re: Primi esperimenti?
            già "che me frega del firewll! Tanto gli hacker non verrano mai nel mio pc".Commenti come questi poi fanno nascere le grandi botnet.
      • infame scrive:
        Re: Primi esperimenti?
        - Scritto da: anony
        nah... a livello occidentale, il massimo che può
        succedere è che creino/impongano un'autorità alla
        quale ti devi rivolgere ogni volta che hai
        bisogno di cifrare qualcosa. (ma siamo ancora ben
        lontani da
        questo...)
        mica tanto, sai.in Gran Bretagna, già da diversi anni, rischi fino a 5 anni di carcere se rifiuti di consegnare alle autorità di polizia (alle autorità di polizia, bada bene, non ad un magistrato) la password dei tuoi dati cifrati, qualora te la dovessero richiedere.se rifiuti di fornire la passwortd, ti incarcerano ed esci quando la consegni, o dopo 5 anni se non la consegni; il tutto in nome dell'antiterrorismo, naturalmente!vedi tu...
        • anony scrive:
          Re: Primi esperimenti?
          - Scritto da: infame
          mica tanto, sai.

          in Gran Bretagna, già da diversi anni, rischi
          fino a 5 anni di carcere se <b
          rifiuti </b
          di consegnare
          alle autorità di polizia (alle autorità di
          polizia, bada bene, non ad un magistrato) la
          password dei tuoi dati cifrati, qualora te la
          dovessero richiedere.se rifiuti, appunto.il "rifiuto" per definizione implica una conoscenza a priori di quello che si ha intenzione di rifiutare. non puoi rifiutare di consegnare qualcosa che "non hai" o di cui "non sei a conoscenza".se trovano un dispositivo con dati cifrati che loro sospettano essere mio, devono riuscire a dimostrare - oltre ogni ragionevole dubbio:1. che sia stato proprio *io* a cifrarlo (e non qualcun altro);2. che nel frattempo la password di acXXXXX o i dati non siano stati modificati (ie: che nessun altro abbia avuto acXXXXX al dispositivo oltre a me);3. che io sia ancora al corrente di suddetta password (potrebbe essere un dispositivo vecchio di anni, che ormai non uso più. per cui è ragionevole supporre che non sia più in possesso della chiave) AKA: me la sono dimenticata. e in ogni caso, non sono tenuto a ricordarmela.4. ecc. ecc.hai voglia a dimostrare tutte queste cose "oltre ogni ragionevole dubbio".e anche ammesso che ci riescano, immagino che i 5 anni a cui hai accennato sopra siano il massimo della pena, no?bene, ecco, è molto raro che venga comminato il massimo della pena (se non in circostanze straordinarie).male che vada, ti daranno un annetto o 2, molto probabilmente con la condizionale o altro. neanche ci finisci in carcere...e potrei continuare così all'infinito, ma non era questo il "succo" della discussione (e del mio post qui sopra).che io sappia, al momento, in Gran Bretagna: la crittografia personale, le VPN, ecc. sono permesse e perfettamente legali. non c'è nessun organo/autorità a cui devi chiedere il permesso di criptare i tuoi dati. questo era quello che intendevo dire.la legge a cui fai riferimento, è molto specifica e riguarda solo casi di "sospetto pericolo alla sicurezza nazionale".è vero che spesso tale frase viene erroneamente abusata dalle autorità, ma le probabilità che vengano a pescare proprio te (e che riescano a dimostrare inequivocabilmente quanto detto sopra) sono quante quelle che hai di vincere la lotteria domani mattina.praticamente <i
          impossibile </i
          !hai più probabilità di essere colpito da un fulmine che finire nelle "grinfie" di codesti signori.
          • p4bl0 scrive:
            Re: Primi esperimenti?
            - Scritto da: anony
            - Scritto da: infame


            mica tanto, sai.



            in Gran Bretagna, già da diversi anni, rischi

            fino a 5 anni di carcere se <b

            rifiuti </b
            di
            consegnare

            alle autorità di polizia (alle autorità di

            polizia, bada bene, non ad un magistrato) la

            password dei tuoi dati cifrati, qualora te la

            dovessero richiedere.

            se rifiuti, appunto.
            il "rifiuto" per definizione implica una
            conoscenza a priori di quello che si ha
            intenzione di rifiutare. non puoi rifiutare di
            consegnare qualcosa che "non hai" o di cui "non
            sei a
            conoscenza".

            se trovano un dispositivo con dati cifrati che
            loro sospettano essere mio, devono riuscire a
            dimostrare - oltre ogni ragionevole
            dubbio:

            1. che sia stato proprio *io* a cifrarlo (e non
            qualcun
            altro);

            2. che nel frattempo la password di acXXXXX o i
            dati non siano stati modificati (ie: che nessun
            altro abbia avuto acXXXXX al dispositivo oltre a
            me);

            3. che io sia ancora al corrente di suddetta
            password (potrebbe essere un dispositivo vecchio
            di anni, che ormai non uso più. per cui è
            ragionevole supporre che non sia più in possesso
            della chiave) AKA: me la sono dimenticata. e in
            ogni caso, non sono tenuto a
            ricordarmela.

            4. ecc. ecc.

            hai voglia a dimostrare tutte queste cose "oltre
            ogni ragionevole
            dubbio".ma dove credi di essere? in uno stato di diritto?
  • unaDuraLezione scrive:
    Frase dell'articolo tecnicamente errata
    contenuto non disponibile
    • giri di parole scrive:
      Re: Frase dell'articolo tecnicamente errata
      Se leggi il testo originale in inglese, l'articolo non dice esattamente queste cose. Qui e' stato fatto il solito riassunto/traduzioe pastrocchiate. Se vuoi essere sicuro di cosa leggi, vai alla fonte.
      • infame scrive:
        Re: Frase dell'articolo tecnicamente errata
        - Scritto da: giri di parole
        Se vuoi essere sicuro di cosa
        leggi, vai alla
        fonte.tranne quando la fonte è italiota, naturalmente...;-)
  • Sgabbio scrive:
    l'italia copierà la cosa!
    Già immagino che in italia copieranno la cosa, usando perl la scusa della mafia e della pedofilia.
    • Quaraquaqua scrive:
      Re: l'italia copierà la cosa!
      - Scritto da: Sgabbio
      Già immagino che in italia copieranno la cosa,
      usando perl la scusa della mafia e della
      pedofilia. I italia volevano rimettere il nucleare...credi forse che sappiano dell'esistenza delle VPN?
      • Sgabbio scrive:
        Re: l'italia copierà la cosa!
        Lo stato italiano voleva imporre a skype di dare una porta di servizio nel suo sistema crittocrafico per spiare le conversazioni....Magari partiranno una campagna contro le VPN dicendo che sono "roba pedofilia".
        • c64 scrive:
          Re: l'italia copierà la cosa!
          mica solo l'Italia
        • ninjaverde scrive:
          Re: l'italia copierà la cosa!
          E per proteggere i diritti degli Editori.
        • infame scrive:
          Re: l'italia copierà la cosa!
          - Scritto da: Sgabbio
          Lo stato italiano voleva imporre a skype di dare
          una porta di servizio nel suo sistema
          crittocrafico per spiare le
          conversazioni....
          nella sede lussemburghese di Skype stanno ancora ridendo adesso e l'eco delle pernacchie risuona ancora nelle itaoiche valli......anche se Skype, comunque, quando vuole (quando si tratta di "signori nessuno", in genere), consente eccome di intercettare e senza nemmeno una rogatoria internazionale!
Chiudi i commenti