Alfonso Maruccia

Google vittima di un falso certificato SSL

Mountain View viene ancora una volta presa di mira da ignoti con la compromissione di un certificato SSL regolarmente rilasciato e validato online. Teoricamente a rischio le comunicazioni via Gmail

Roma - Si torna a parlare di certificati SSL compromessi, e ora come in passato a rischio ci sono le comunicazioni telematiche della terza webmail più usata dagli utenti di Internet. Un ignoto cyber-criminale (o gruppo di cyber-criminali) è riuscito a trafugare un certificato SSL rilasciato da DigiNotar, valido per autenticare tutte le comunicazioni cifrate SSL/TSL su tutti i sottodomini appartenenti al dominio "google.com".

DigiNotar è una "certificate authority" (CA) regolarmente registrata, di base nei Paesi Bassi e proprietà del produttore di "token" di sicurezza VASCO Data Security. In maniera simile a quanto già successo nel caso di Comodo, il furto del certificato SSL permette teoricamente ai cyber-criminali di "camuffare" attacchi telematici e pagine di phishing usando uno dei suddetti sottodomini riconducibili a Google. Unica contromisura è "ritirare" ogni emissione fraudolenta e segnalare l'accaduto, come fatto in passato.

Gli eventuali effetti collaterali del nuovo attacco alla sicurezza delle comunicazioni HTTP cifrate non sono sin qui noti, ma pare ancora una volta che tra gli obiettivi ci siano gli utenti iraniani: i primi ad accorgersi che qualcosa non andasse grazie alle funzionalità di sicurezza del browser Google Chrome.
L'ennesimo furto di un certificato SSL apre ancora una volta la polemica sulla "vulnerabilità" intrinseca del modello di comunicazione basato su questa tecnologia crittografica, un sistema in cui l'eccessiva dipendenza dalle CA sparse per il mondo continua a rappresentare l'anello debole di una catena di sicurezza che si vorrebbe affidabile e al passo coi tempi.

Alfonso Maruccia
Notizie collegate
3 Commenti alla Notizia Google vittima di un falso certificato SSL
Ordina
  • Nel bloccare manualmente l'autority ho visto che in browser diversi le autority non sono le stesse, in particolare Opera (che ha un controllo dei certificati che gli utenti degli altri browser se lo sognano..)
    non da trust a Diginotar. Immagino che google o chi usi autority diverse dalle universali (verisign equifax, aime' comodo.. etc) testi il browser prima di decidere che certificato usare..
    non+autenticato
  • Non è propriamente un "furto di certificato", ma una "emissione fraudolenta". E' come se avessero emesso una carta di identità a vostro nome, ma con la foto di un'altra persona: la carta di identità è perfettamente valida (non è contraffatta ed esiste veramente nei database), però la foto è quella di un'altra persona che così vi può impersonare.

    Il problema che sta diventando sempre più evidente è che la sicurezza e l'affidabilità del sistema SSL sta tutta nell'integrità delle "certificate authority" che emettono i certificati. Fortunatamente Firefox e Chrome accedono anche a blacklist parallele che tengono traccia di certificati non più affidabili o revocati e lo stesso dovrebbe fare MS a livello di sistema operativo.
    non+autenticato
  • - Scritto da: Paolo

    > Il problema che sta diventando sempre più
    > evidente è che la sicurezza e l'affidabilità del
    > sistema SSL sta tutta nell'integrità delle
    > "certificate authority" che emettono i
    > certificati.

    Mi vengono i brividi se penso a cosa potrebbe succedere ai servizi di home banking.
    Se dal phishing si dovesse passare ad attacchi di questo genere stiamo freschi, minare le SSL significa minare le stesse fondamenta su cui oggi si basa la credibilità della rete Internet.
    non+autenticato