Home
SSL è un bene comune

16 Dicembre 2015

SSL è un bene comune

di

La base di miliardi di comunicazioni e transazioni protette non è un tool personale di questa o quell'azienda.

C’è mai stato un anno peggiore per SSL del 2015? Per me no. La quantità di problemi, bug, casini, e scivoloni assurdi compiuti da grandi big del settore sull’argomento ha raggiunto dei livelli che definire imbarazzanti è poco.

Partiamo da alcuni bug (anche gravi) che hanno coinvolto la libreria di crittografia più utilizzata sul web, ovvero OpenSSL.

Il primo segnalato è CVE-2015-0204 per arrivare all’ultimo che è CVE-2015-3216. In totale il solo OpenSSL ha totalizzato un bel trenta (bug e non punti all’esame universitario).

In generale sono segnalati ben 95 CVE in totale che coinvolgono problematiche legate a SSL, dai problemi nella libreria di cui sopra a bug nella gestione dei certificati in apparati e interfacce web di vari software di vendor e progetti come Cisco, Apple, Siemens, Mozilla, Squid, Asterisk, BlueCoat, Komodia, IBM, Microsoft, EMC e qualche altro.
Ma si sa, il software è vulnerabile ai bug, anche quelli che nascono per proteggere o migliorare la sicurezza. Mi fa venire invece gli istinti omicidi chi quest’anno si è messo a giocare con SSL come se fosse un proprio tool personale e non un sistema di protezione globale.

In principio fu Lenovo

Il primo big player che ha adottato questo comportamento è stata Lenovo (ho già lanciato i miei anatemi su questa vicenda) che ha ben pensato di facilitare la vita ad un software di advertising compromettendo di fatto migliaia di computer di ignari utenti.
Ma non è finita qui. Poche settimane fa è stato il turno di Dell. Questi signori hanno installato un tool di controllo remoto all’interno dei loro PC (DSDTestProvider) con tanto di propria Certificate Authority farlocca non ufficiale. Peccato che in tutto questo bailamme si siano lasciati scappare nel package anche le chiavi private di autenticazione. In questo modo chiunque avrebbe potuto firmarsi un proprio falso certificato che, mandato a un computer Dell, sarebbe stato riconosciuto come corretto. In pratica un bel man-in-the-middle for dummies in salsa americana.

Certificati compromessi di Dell

Il sito Dell spiega come cancellare i certificati incriminati in soli ventotto passi.


Microsoft è corsa per prima ai ripari e ha prontamente mandato un update ai propri motori antimalware presenti su Windows 7/8/8.1/10, con il quale ha disabilitato i certificati in questione.

Il diavolo fa peraltro le pentole e non i coperchi. Difatti non si era ancora posata la polvere sollevata dal disastro di Dell che la stessa Microsoft, cito testualmente, ha inavvertitamente divulgato le chiavi private di un sito del tutto secondario, Xbox Live, esponendo quindi al possibile pubblico ludibrio milioni di giocatori con relative carte di credito. L’azienda è dovuta correre ai ripari con patch per tutti i suoi sistemi, XBox compresa.

Che dire? Many compliments. Avrà anche reagito velocemente e fatto sapere che nessun attacco noto ha sfruttato questo problema, ma la figura non è delle migliori per un big player. Ho sentito di gente a cui è scappato il cane, ma le chiavi private…

Non si gioca con il fuoco

Facile ironia a parte, sbagliare è umano, però sembra che il trattamento delle problematiche relative a SSL (e relativi chiavi e certificati) venga preso da troppi grandi nomi dell’informatica eccessivamente alla leggera.

Giocare con i certificati e le autorità di certificazione può essere specialmente molto pericoloso e aprire backdoor a malware, permettere furti di dati, compromissioni di codici di autenticazione, sottrazioni di denaro e chissà cos’altro. È inutile ribadire come SSL sia la base di tutte le comunicazioni economiche attuali, che fanno girare ogni giorno milioni di dollari, miliardi di messaggi privati e comunicazioni protette.

Mia nonna diceva sempre di non giocare con il fuoco. Ma si sa, i consigli degli anziani non li ascolta mai nessuno…

L'autore

  • Andrea Ghirardini
    Andrea Ghirardini è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma (con una netta preferenza per Unix), vanta una robusta esperienza in materia di sicurezza informatica ed è specializzato nella progettazione di sistemi informativi di classe enterprise. È CTO in BE.iT SA, una società svizzera del gruppo BIG focalizzata sulla gestione discreta e sicura di sistemi informativi aziendali.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.