3 Commenti

Pivelli (multinazionali) certificati

SSL è un bene comune

di

thumbnail

16

dic

2015

La base di miliardi di comunicazioni e transazioni protette non è un tool personale di questa o quell’azienda.

C’è mai stato un anno peggiore per SSL del 2015? Per me no. La quantità di problemi, bug, casini, e scivoloni assurdi compiuti da grandi big del settore sull’argomento ha raggiunto dei livelli che definire imbarazzanti è poco.

Partiamo da alcuni bug (anche gravi) che hanno coinvolto la libreria di crittografia più utilizzata sul web, ovvero OpenSSL.

Il primo segnalato è CVE-2015-0204 per arrivare all’ultimo che è CVE-2015-3216. In totale il solo OpenSSL ha totalizzato un bel trenta (bug e non punti all’esame universitario).

In generale sono segnalati ben 95 CVE in totale che coinvolgono problematiche legate a SSL, dai problemi nella libreria di cui sopra a bug nella gestione dei certificati in apparati e interfacce web di vari software di vendor e progetti come Cisco, Apple, Siemens, Mozilla, Squid, Asterisk, BlueCoat, Komodia, IBM, Microsoft, EMC e qualche altro.

Ma si sa, il software è vulnerabile ai bug, anche quelli che nascono per proteggere o migliorare la sicurezza. Mi fa venire invece gli istinti omicidi chi quest’anno si è messo a giocare con SSL come se fosse un proprio tool personale e non un sistema di protezione globale.

In principio fu Lenovo

Il primo big player che ha adottato questo comportamento è stata Lenovo (ho già lanciato i miei anatemi su questa vicenda) che ha ben pensato di facilitare la vita ad un software di advertising compromettendo di fatto migliaia di computer di ignari utenti.

Ma non è finita qui. Poche settimane fa è stato il turno di Dell. Questi signori hanno installato un tool di controllo remoto all’interno dei loro PC (DSDTestProvider) con tanto di propria Certificate Authority farlocca non ufficiale. Peccato che in tutto questo bailamme si siano lasciati scappare nel package anche le chiavi private di autenticazione. In questo modo chiunque avrebbe potuto firmarsi un proprio falso certificato che, mandato a un computer Dell, sarebbe stato riconosciuto come corretto. In pratica un bel man-in-the-middle for dummies in salsa americana.

Certificati compromessi di Dell

Il sito Dell spiega come cancellare i certificati incriminati in soli ventotto passi.

Microsoft è corsa per prima ai ripari e ha prontamente mandato un update ai propri motori antimalware presenti su Windows 7/8/8.1/10, con il quale ha disabilitato i certificati in questione.

Il diavolo fa peraltro le pentole e non i coperchi. Difatti non si era ancora posata la polvere sollevata dal disastro di Dell che la stessa Microsoft, cito testualmente, ha inavvertitamente divulgato le chiavi private di un sito del tutto secondario, Xbox Live, esponendo quindi al possibile pubblico ludibrio milioni di giocatori con relative carte di credito. L’azienda è dovuta correre ai ripari con patch per tutti i suoi sistemi, XBox compresa.

Che dire? Many compliments. Avrà anche reagito velocemente e fatto sapere che nessun attacco noto ha sfruttato questo problema, ma la figura non è delle migliori per un big player. Ho sentito di gente a cui è scappato il cane, ma le chiavi private…

Non si gioca con il fuoco

Facile ironia a parte, sbagliare è umano, però sembra che il trattamento delle problematiche relative a SSL (e relativi chiavi e certificati) venga preso da troppi grandi nomi dell’informatica eccessivamente alla leggera.

Giocare con i certificati e le autorità di certificazione può essere specialmente molto pericoloso e aprire backdoor a malware, permettere furti di dati, compromissioni di codici di autenticazione, sottrazioni di denaro e chissà cos’altro. È inutile ribadire come SSL sia la base di tutte le comunicazioni economiche attuali, che fanno girare ogni giorno milioni di dollari, miliardi di messaggi privati e comunicazioni protette.

Mia nonna diceva sempre di non giocare con il fuoco. Ma si sa, i consigli degli anziani non li ascolta mai nessuno…




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 3.673 volte | Tag: , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

3 commenti

  1. Diaolin Giuliano Natali

    Bell’articolo però hai dimenticato di dire che nonostante tutte le richieste i grandi Big della rete non avevano mai dato un centesimo per sostenere il progetto OpenSSL anche se lo usano dappertutto.
    Difatti dopo Heartbleed sono usciti con un accordo trasversale per finanziare (100.000 $ all’anno per tre anni sarebbe finanziare un progetto di quella portata?) il progetto. Bell’articolo, ripeto, però il disastro se lo meritano e il fatto che facciano elemosina a chi di fatto fornisce loro codice fresco non li rende sicuramente migliori. Hai fatto benissimo a dire: Non si gioca con il fuoco! E io aggiungo: non si schiavizza il lavoro degli altri.
    Confido nel fatto che prima o poi i grandi Big prendano una rapolata da fiamme sulle loro backbone. Se la meritano tutta.

  2. Lucio Bragagnolo

    Innegabile che i big abbiano responsabilità proporzionate alla loro dimensione. Attenzione però a non pensare che l’open source sia una faccenda dove i responsabili sono altri. È di tutti e chi è piccolo ha responsabilità piccole, non zero. Sicuramente possiamo accusare una Cisco (nome a caso) di non avere fatto piovere un milione di dollari su OpenSSL. Ma io, che faccio home banking, ordino i regali di Natale su Amazon, cifro i messaggi di lavoro, mi collego in sicurezza al computer remoto dei nonni, acquisto musica online, noleggio film via Internet, ho mandato in tutta la mia vita un dollaro, o un centesimo di dollaro, a OpenSSL?

  3. 2015: chi perde | Apogeonline

    [...] fail con Certification Authority farlocche e giochini sottobanco con SSL. Sì, anche Microsoft ha fatto la sua imbecillata colossale facendosi scappare le chiavi private del [...]

Lascia il tuo commento