Girano certificati Microsoft pericolosi

Li ha rilasciati VeriSign per errore e potrebbero consentire la diffusione di virus o peggio. Un errore che sarebbe dovuto alla leggerezza di un operatore VeriSign, messo nel sacco da qualche cracker

Redmond (USA) - "Certificati sbagliati rilasciati da VeriSign pongono un rischio spoofing": questo il titolo del bollettino sulla sicurezza rilasciato da Microsoft per avvertire di un errore compiuto da VeriSign che mette potenzialmente a rischio tutti gli utenti di sistemi Windows.

A quanto pare qualcuno, spacciandosi per addetto Microsoft, ha indotto un operatore VeriSign a rilasciare due certificati Microsoft alla fine di gennaio, certificati che potrebbero dunque essere utilizzati per "spacciare" in rete software aggressivo, persino virus o trojan, facendolo passare per software riconosciuto da Microsoft.

Come noto, i certificati vengono utilizzati dalle aziende convenzionate per diffondere "in sicurezza" i propri software, patch o aggiornamenti a programmi, applicazioni che con la certificazione "dichiarano" di provenire da quel determinato produttore. Una "garanzia" che per i certificati Microsoft-VeriSign rilasciati il 29 e 30 gennaio Ŕ ora sinonimo di pericolo.
Stando a Microsoft, i certificati potrebbero essere utilizzati per certificare controlli ActiveX, macro di Word e altri contenuti eseguibili. I controlli ActiveX e le macro di Word potrebbero essere diffuse anche con pagine Web o email HTML. Per evitare che l'esecuzione avvenga in automatico, l'utente dovrebbe attivare l'Office Document Open Confirmation Tool, funzione che, in pratica, "chiede una conferma" per avviare un'applicazione all'interno del browser.

Microsoft, che sta progettando una soluzione software al problema, ha specificato che della questione si sta occupando l'FBI e che, per il momento, chiunque dovesse imbattersi in un certificato datato 29 o 30 gennaio farebbe bene a comunicarlo a Microsoft a questa email. Nessun certificato con quella data, infatti, Ŕ da considerarsi legittimo. Se ci si dovesse imbattere in questi, dunque, si Ŕ sicuramente di fronte ad un utilizzo fraudolento dei certificati stessi e, come tale, potenzialmente pericoloso.
62 Commenti alla Notizia Girano certificati Microsoft pericolosi
Ordina
  • WWWWWWWWWW LA FICAAAAAAAAA
    a fanculo microsuck, bill gate e tutti i cojoni che ci girano sopra...
    solo una parola FICA FICA FICA FICA FICA
    anzi tre!
    FICA, LINUZ e Rock n' Roll!!!!!!!!
    non+autenticato
  • Qui c'e' chi continua a strillare contro Microsoft per un errore di Verisign, e non si guarda intorno: molto probabilmente i suoi server leenuz sono stati attaccati dal worm "LION", che sfruttando una falla di sicurezza del sistema operativo giocattolo nota e ancora non corretta, sta facendo fare una ben magra figura a tutti i linuzisti incalliti...

    non+autenticato


  • - Scritto da: SayNOtoLinuz
    > Qui c'e' chi continua a strillare contro
    > Microsoft per un errore di Verisign, e non
    > si guarda intorno: molto probabilmente i
    > suoi server leenuz sono stati attaccati dal
    > worm "LION", che sfruttando una falla di
    > sicurezza del

    del bind, che e' di serie solo sui dns non ancora patchati di qualsiasi unix.

    > sistema operativo giocattolo nota e ancora
    > non corretta, sta facendo fare
    > una ben magra figura a tutti i linuzisti
    > incalliti...

    chiunque non abbia patchato bind e si fa bucare, se lo merita.
    Ad ogni modo, lamentati con quelli del team bind che, se non lo sai, sono sul 99% dei dns server di internet, linux e non.
    non+autenticato


  • - Scritto da: munehiro
    ...
    > Ad ogni modo, lamentati con quelli del team
    > bind che, se non lo sai, sono sul 99% dei
    > dns server di internet, linux e non.



    Si, peccato che stavolta chi ha montato Windows2000 al posto di leenooz non ha avuto problemi. Ma come, 'sto leenooz non doveva essere La macchina democratica, il sistema anti-Windows, il software sicuro, la panacea di tutti i mali di Bill Gates, il vendicatore delle minoranze telematiche ??

    A dimostrazione (semmai ce ne fosse bisogno) che chi e' scevro da colpe scagli la prima pietra. Il sistema operativo perfetto *NON* esiste, con buona pace di alien (?), del "quasi laureato" munehiro e di tutti i leenoozisti.

    SayNOtoLeenooz
    non+autenticato
  • Tralascio i flames.
    Il SO perfetto non esiste e questo è assodato.

    Il problema è: cosa sarebbe successo se Win2000 avesse sofferto dello stesso buco? Quanti mesi dovevamo aspettare prima di avere una patch, hot fix o quel che è?
    Con Linux quanto hai aspettato ad avere la patch?

    Con un *qualunque* sistema proprietario (non solo M$) sei nelle mani del produttore.. con Linux (e i sistemi free) sei nelle *tue* mani.

    Riflettici un po...
    Byez

    - Scritto da: SayNOtoLeenooz
    > Si, peccato che stavolta chi ha montato
    > Windows2000 al posto di leenooz non ha avuto
    > problemi. Ma come, 'sto leenooz non doveva
    > essere La macchina democratica, il sistema
    > anti-Windows, il software sicuro, la panacea
    > di tutti i mali di Bill Gates, il
    > vendicatore delle minoranze telematiche ??
    >
    > A dimostrazione (semmai ce ne fosse bisogno)
    > che chi e' scevro da colpe scagli la prima
    > pietra. Il sistema operativo perfetto *NON*
    > esiste, con buona pace di alien (?), del
    > "quasi laureato" munehiro e di tutti i
    > leenoozisti.
    >
    > SayNOtoLeenooz
    non+autenticato


  • - Scritto da: SayNOtoLinuz
    > Qui c'e' chi continua a strillare contro
    > Microsoft per un errore di Verisign, e non
    > si guarda intorno: molto probabilmente i
    > suoi server leenuz sono stati attaccati dal
    > worm "LION", che sfruttando una falla di
    > sicurezza del sistema operativo giocattolo
    > nota e ancora non corretta, sta facendo fare
    > una ben magra figura a tutti i linuzisti
    > incalliti...
    Balle di un MATRIX, solo Cortine Fumogene.
    Vatti a informare in 1 qualsiasi sito LINX prima di ciarlare.
    http://linuxtoday.cpm/ (ad esempio)

    I problemi sono ben altri x voi.
    non+autenticato
  • Se e' per questo, pensa QUANTO TU ce le fai girare a tutti noi...



    - Scritto da: Alien
    > .........che me le fa girare.
    non+autenticato


  • - Scritto da: SayNOtoLinuz
    > Se e' per questo, pensa QUANTO TU ce le fai
    > girare a tutti noi...

    Io le faccio girare solo ai MATRIX ed a quelli con la CODA DI PAGLIA come te.
    non+autenticato
  • Chi dice che in questo caso M$ non abbia torto, ha ragione si e no.
    Si perchè in effetti stavolta non è di M$ la colpa di quello che è successo.
    No perchè in questo caso si è dimostrata tutta l'inaffidabilità del sistema di sicurezza M$.
    Parlo di sicurezza in senso generale, perchè è necessario analizzare tutta la cosa in modo globale.
    Anche se i prodotti M$ fossero perfettamente esenti da bachi, i firewall firewallassero (licenza poetica) tutto perfettamente, il meccanismo messo in piedi da M$ con i controlli ActiveX franano a causa di uno sbaglio di un dipendente.
    Cioè, un SO che dovrebbe essere il migliore di tutti, di un'azienda più grossa di tutte, cade per una semplice telefonata.
    Cioè, tutto si basa sul meccanismo di certificazione. Cade quello, puoi fare quello che vuoi, apri tutte la backdoor del mondo.
    Non è Verisign che ha imposto i meccanismi di certificazione, tra l'altro veramente utili.
    E' M$ che li ha usati per pezzare i problemi di sicurezza delle ActivX, semplicemente impedendo l'esecuzione di codice non certificato.
    Quindi: Brutto colpo per Verisign che ha dimpostrato come un'azienda che basa il proprio businness sulla sicurezza della rete, e poi si fà fregare da una telefonata.
    Ma anche brutto colpo della M$, che non ha controllato adeguatamente i meccanismi di sicurezza per i propri prodotti, informatici e non.
    Se una banca vuole mettere al sicuro i soldi, deve controllare la cassaforte che usa. Se ne mette una facile da scassinare, non può dare la colpa al produttore di casseforti, ma doveva pensare che oltre alla cassaforte avrebbe dovuto inserire un allarme, ed altre protezioni, o , nel caso di M$, evitare di scopiazzare java, come nel caso degli ActiveX, a scapito della sicurezza degli utenti.
    non+autenticato
  • In ultima istanza ci deve essere un'entità di cui ci si fida. Se Verisign si pone come Certification Authority tutto ciò che emette deve essere assolutamente irreprensibile. Analogamente se il tuo comune rilascia la carta d'identità col tuo nome a uno che si presenta e dice: io sono il signor tizio caio, e questo qualcuno va in giro a commettere reati con la tua identità la colpa è tua o del comune?

    E se Microsoft avesse usato un altro meccanismo, magari proprietario, apriti o cielo. Non voglio nemmeno immaginare cosa avreste detto. Avete un problema esistenziale voialtri: se MS dice bianco, sbaglia. Se dice nero, sbaglia. Se fa una cosa sbaglia, se non la fa sbaglia. Puoi dirmi UNA cosa per la quale secondo te/voi Microsoft è ammirevole e copre un ruolo indispensabile?

    - Scritto da: l <MCfc>
    > Chi dice che in questo caso M$ non abbia
    > torto, ha ragione si e no.
    > Si perchè in effetti stavolta non è di M$
    > la colpa di quello che è successo.
    > No perchè in questo caso si è dimostrata
    > tutta l'inaffidabilità del sistema di
    > sicurezza M$.
    > Parlo di sicurezza in senso generale, perchè
    > è necessario analizzare tutta la cosa in
    > modo globale.
    > Anche se i prodotti M$ fossero perfettamente
    > esenti da bachi, i firewall firewallassero
    > (licenza poetica) tutto perfettamente, il
    > meccanismo messo in piedi da M$ con i
    > controlli ActiveX franano a causa di uno
    > sbaglio di un dipendente.
    > Cioè, un SO che dovrebbe essere il migliore
    > di tutti, di un'azienda più grossa di tutte,
    > cade per una semplice telefonata.
    > Cioè, tutto si basa sul meccanismo di
    > certificazione. Cade quello, puoi fare
    > quello che vuoi, apri tutte la backdoor del
    > mondo.
    > Non è Verisign che ha imposto i meccanismi
    > di certificazione, tra l'altro veramente
    > utili.
    > E' M$ che li ha usati per pezzare i problemi
    > di sicurezza delle ActivX, semplicemente
    > impedendo l'esecuzione di codice non
    > certificato.
    > Quindi: Brutto colpo per Verisign che ha
    > dimpostrato come un'azienda che basa il
    > proprio businness sulla sicurezza della
    > rete, e poi si fà fregare da una telefonata.
    > Ma anche brutto colpo della M$, che non ha
    > controllato adeguatamente i meccanismi di
    > sicurezza per i propri prodotti, informatici
    > e non.
    > Se una banca vuole mettere al sicuro i
    > soldi, deve controllare la cassaforte che
    > usa. Se ne mette una facile da scassinare,
    > non può dare la colpa al produttore di
    > casseforti, ma doveva pensare che oltre alla
    > cassaforte avrebbe dovuto inserire un
    > allarme, ed altre protezioni, o , nel caso
    > di M$, evitare di scopiazzare java, come nel
    > caso degli ActiveX, a scapito della
    > sicurezza degli utenti.
    non+autenticato
  • SI. te lo dico io.
    di buono ha portato il pc nelle case: grazie a win molti imbranati riescono ad usare il pc.
    il desktop è buono per l'utente, alla fin fine, e vari windows manager di x lo hanno scopiazzato, adesso qualcuno dira' che ms ha copiato da mac.
    fatto sta che comunque non ci si puo' fidare di consegnare la propria id digitale nelle mani di chi non ne capisce un cazzo di sicurezza ( M$ ).
    ovvero, come diceva l'altro lettore si deve scegliere la cassaforte giusta, ma se sta cosa prendesse piede? ci troveremmo "obbligati" a sottoscriverla, pena il non effettuare acquisti on line in futuro.
    e tornando alle banche, ci ho lavorato diversi anni come consulente in edp, e lavoro in una ditta che scrive software bancario.
    E ti ricordo carissimo utente sapientone, che in banca usano OS/390.
    NON M$.
    desso basta che sono stufo di postare.
    non+autenticato


  • - Scritto da: davex

    > ci troveremmo
    > "obbligati" a sottoscriverla, pena il non
    > effettuare acquisti on line in futuro.

    Non ti sembra che le aziende che si mettono a vendere on-line abbiano il diritto di scegliere quello che vogliono. Così come scelgono se accettare Amex, Visa, tutte e due o nessuna delle due.

    > e tornando alle banche, ci ho lavorato
    > diversi anni come consulente in edp, e
    > lavoro in una ditta che scrive software
    > bancario.
    > E ti ricordo carissimo utente sapientone,
    > che in banca usano OS/390.

    Sbagliato sapientino. In centro usano host perché hanno svariati secoli uomo di sw sopra. In filiale il terminale 3270 (vale a dire l'utilizzo diretto di host) non esiste più da anni. E cosa usano? Mac? Linux? Sco? AIX? Solaris?

    No. Windows. Un paio di banche usano OS/2 ma lo stanno abbandonando. E anche LU2 si sta abbandonando a favore di altre scelte di middleware spesso su piattaforma Windows.

    Quindi se Windows non funziona, la banca ha il canale filiali fermo.

    non+autenticato
  • > E' M$ che li ha usati per pezzare i problemi
    > di sicurezza delle ActivX, semplicemente
    > impedendo l'esecuzione di codice non
    > certificato.

    purtroppo, ti do ragione.
    gli ActiveX sono sbagliati concettualmente.

    > Quindi: Brutto colpo per Verisign che ha
    > dimpostrato come un'azienda che basa il
    > proprio businness sulla sicurezza della
    > rete, e poi si fà fregare da una telefonata.

    vero.

    > Ma anche brutto colpo della M$, che non ha
    > controllato adeguatamente i meccanismi di
    > sicurezza per i propri prodotti, informatici
    > e non.

    non e' che forse non li abbia controllati.
    li ha proprio SBAGLIATI concettualmente.
    e' peggio ancora!
    non+autenticato
  • > purtroppo, ti do ragione.
    > gli ActiveX sono sbagliati concettualmente.
    [...] > > Quindi: Brutto colpo per Verisign che ha
    > > dimpostrato come un'azienda che basa il
    > > proprio businness sulla sicurezza della
    > > rete, e poi si fà fregare da una
    > telefonata.
    >
    > vero.
    [...] > non e' che forse non li abbia controllati.
    > li ha proprio SBAGLIATI concettualmente.
    > e' peggio ancora!
    Mi trovo essenzialmente d'accordo con i vostri punti di vista (tranne che con la firma dell'ultimo intervenuto ;o) ). Aggiungo semplicemente che il 'meccanismo' di certificazione degli ActiveX è stato inventato da Microsoft. VeriSign basa interamente la propria esistenza su questo ponendosi di fatto nel grande insieme di aziende (medie e grandi) che gravitano intorno a M$. VeriSign, tuttavia, è oltremodo dipendente da M$ stessa ponendosi, di conseguenza, in un'orbita estremamente bassa (insistendo con l'immagine gravitazionale) tant'è che in molti, me compreso, è nato il fondato sospetto che VeriSign sia di fatto controllata in toto da M$. La certificazione dei programmi, per finire NON è una buona idea. Bisognerebbe non averne affatto bisogno in quanto componenti potenzialmente pericolosi quali ActiveX, mailreader alla maniera di Outlook, Skin che anzichè basarsi su semplici JPEG sono in realtà programmi veri e propri non dovrebbero neppure esistere! Quando si sviluppa un programma è normale pensare alle sue funzionalità tralasciando i problemi di sicurezza, tuttavia, ad un certo punto dello sviluppo dei programmi stessi, dovrebbe nascere il problema della sicurezza e bisognerebbe lavorare in questa direzione. Chiaramente questo è impossibile quando il programma stesso viola le norme basilari di sicurezza! ╚ inutile decantare tanto l'elevata utilità di strumenti quali gli ActiveX o del Groupware (Exchange + Outlook) nella realtà aziendale. Ormai quasi tutti i computer da ufficio hanno direttamente od indirettamente una porta aperta con l'esterno e dall'esterno ci si deve difendere! Non esistono e non sono mai esistiti paradisi utopici in Rete. Esiste ed esisterà sempre (in fondo questo è il bello!) una giungla anarchica incontrollabile.
    non+autenticato
  • > Aggiungo semplicemente che il 'meccanismo'
    > di certificazione degli ActiveX è stato
    > inventato da Microsoft. VeriSign basa
    > interamente la propria esistenza su questo
    > ponendosi di fatto nel grande insieme di
    > aziende (medie e grandi) che gravitano
    > intorno a M$.

    A me risulta che oltre che emetere certificati per 'firmare' ActiveX, VeriSign emetta certificati per i siti web crittografati, sia come veriSign che come Thawte. Ora, si può agevolmente supporre che quantitativamente i siti SSL siano un bel po' di più degli sviluppatori che firmano le proprie applicazioni con certificati VeriSign, e in questo MS non ha niente a che vedere (non è obbligatorio avere server NT per mettere su un sito SSL), quindi non si può dire che VeriSign dipenda da MS in maniera così pesante.

    Non solo, VeriSign al momento controlla Network Solutions, che per chi non lo sapesse è una delle aziende che gestice la registrazione dei domini .com/net/org, assieme a parecchi altri. E' vero, tempo fa Network Solutions operava in regime di monopolio, mentre ora deve dividersi il mercato con innumerevoli altri, ma comunque gestisce ancora una quota enorme di dominii. E tutto questo, di nuovo, non ha nulla a che vedere con Microsoft.

    > VeriSign, tuttavia, è
    > oltremodo dipendente da M$ stessa ponendosi,
    > di conseguenza, in un'orbita estremamente
    > bassa (insistendo con l'immagine
    > gravitazionale) tant'è che in molti, me
    > compreso, è nato il fondato sospetto che
    > VeriSign sia di fatto controllata in toto da
    > M$.

    Visto che le sue funzioni vanno ben oltre la certificazione degli ActiveX, non vedo tutta questa dipendenza. Ovviamente sarebbe preoccupante sapere che VeriSign è controllata da MS, ma non ne vedo il motivo.

    > La certificazione dei programmi, per
    > finire NON è una buona idea. Bisognerebbe
    > non averne affatto bisogno in quanto
    > componenti potenzialmente pericolosi quali
    > ActiveX, mailreader alla maniera di Outlook,
    > Skin che anzichè basarsi su semplici JPEG
    > sono in realtà programmi veri e propri non
    > dovrebbero neppure esistere!

    Non confondiamo mele con patate. Outlook con questo discorso non c'entra nulla, o meglio, potrebbe esistere o non esistere, essere sicuro o insicurissimo, e il discorso non si sposterebbe di un centimetro. Il problema vedo e proprio sono gli ActiveX, almeno in questo caso: MS ha scelto, quando li ha tirati fuori, di dare agli ActiveX potere 'assoluto' sulla macchina, come un qualsiasi altro programma. In questo ha seguito una strada diametralmente opposta rispetto al concorrente Java, ove invece gli applet vengono eseguiti da una macchina virtuale che ne limita molto la portata e 'in linea di principio' impedisce che possano eseguire operazioni pericolose. I due approcci hanno vantaggi e svantaggi: personalmente preferisco (e molto) l'approccio Java, che ha il non trascurabile vantaggio di essere potenzialmente molto più portatile di ActiveX (Proprio quello a cui MS, almeno 4 anni fa, non era interessata), però non si può ignorare il fatto che l'ActiveX è molto più flessibile e (teoricamente, con MS non si sa mai) molto più efficiente.

    > Quando si
    > sviluppa un programma è normale pensare alle
    > sue funzionalità tralasciando i problemi di
    > sicurezza, tuttavia, ad un certo punto dello
    > sviluppo dei programmi stessi, dovrebbe
    > nascere il problema della sicurezza e
    > bisognerebbe lavorare in questa direzione.

    Per gli ActiveX MS ci ha pensato: volendo dare ai programmatori libertà piena, non avrebbe potuto scegliere strada diversa. Questo discorso ovviamente si applica solo ed esclusivamente ad ActiveX. I buchi di sicurezza di Outlook, o le 'mirabolanti feature' non hanno bisogno di ActiveX per fare danniCon la lingua fuoriPP.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 15 discussioni)