Marco Calamari

Lampi di Cassandra/ I falsi certificati di Tor

di M. Calamari - Il sistema dei certificati SSL largamente utilizzati in Rete ha debolezze intrinseche, lo dimostra l'attacco portato alla rete Tor tramite la violazione della certificate authority DigiNotar

Roma - La notizia di questa violazione informatica subita dall'autorità di certificazione DigiNotar emersa e molto commentata la scorsa settimana ha avuto una certa risonanza perché alcuni dei certificati compromessi riguardavano server di Google. Molti abitanti della Rete hanno probabilmente solo gettato un'occhiata distratta alla notizia, e quelli che l'hanno letta non vi hanno probabilmente trovato specifici motivi per un approfondimento.

Madornale errore!
╚ invece importante sotto diversi punti di vista, anche come esempio didattico per capire luci ed ombre del modello di fiducia dei certificati SSL. Partiamo innanzitutto da questo aspetto.

Nel modello di autenticazione e fiducia ormai standard, basato su autorità di certificazione completamente indipendenti tra loro, è sufficiente la violazione di una sola di esse per compromettere, almeno fino alla scoperta del fatto, tutto il modello. La catena di fiducia è resistente solo quanto l'anello più debole, e la compromissione di un'unica autorità di certificazione permette di portare attacchi mirati di tipo MITM (Man In The Middle - uomo nel mezzo) come quello potenzialmente subito dalla rete Tor e riassunto in questo lungo e dettagliato messaggio di Roger Dingledine.
Ma cosa è successo in termini pratici? Chi ha violato la (piccola) autorità di certificazione DigiNotar, ha usato le informazioni (chiavi) rubate per creare certificati a nome di diverse organizzazioni. Oltre a Google sono stati anche creati dei certificati per il dominio *.torproject.org.

Questi certificati non sono tecnicamente falsi, sono tecnicamente autentici, e tutti i browser del mondo li riconosceranno come appartenenti a torproject.org, perché tutti i browser del mondo, nell'attuale modello di fiducia, contengono i certificati di tutte le autorità di certificazione commerciali, e quindi considerano validi i certificati da esse emessi.

In pratica esistono i certificati autentici di torproject.org, certificati da un'altra autorità di certificazione, e quelli "falsificati".
Poiché i certificati di tutte le autorità di certificazione si trovano già memorizzati in tutti i browser (incluso ovviamente quello di DigiNotar), ambedue i certificati di torproject.org, quello autentico e quello di DigiNotar, vengono accettati senza segnalazioni all'utente.

Questo ha reso possibile reindirizzare gli utenti che volevano collegarsi a torproject.org verso falsi siti dotati del certificato falsificato che sarebbe stato riconosciuto come autentico. ╚ quindi teoricamente possibile che siano stati ad esempio scaricate copie di Tor, di bundle Tor di altre applicazioni distribuite per mezzo del sito torproject.org.

╚ appena il caso di notare che l'aggressore ha realizzato anche altri certificati per portare attacchi informatici, come quelli, impossibili ma superpotenti, per *.com e *.org; maggiori particolari in questo ulteriore post.

Ed adesso le buone notizie.
Non esistono ad oggi evidenze che attacchi di questo tipo siano stati effettivamente condotti contro Tor.
Tramite il certificato contraffatto non sono possibili attacchi che minino il funzionamento della rete Tor nel suo complesso, ma "solo" singoli utenti.
Coloro che ritenessero di poter essere stati vittime di un tale attacco avendo scaricato software da torproject.org, possono semplicemente scaricarne e reinstallarne una nuova copia, dopo aver controllato che il certificato del sito a cui sono connessi sia stato emesso da DigiCert Inc., e non da DigiNotar.
Per maggiore sicurezza è possibile disabilitare o cancellare il certificato root di DigiNotar dal browser: potrà comunque essere riabilitato per utilizzare un sito che dotato di un certificato autentico di DigiNotar.

Infine c'è una piccola possibilità che questo clamoroso evento possa contribuire ad un ripensamento del modello di fiducia che la Rete ha con troppa superficialità adottato.

Per finire suggerisco un semplice e sempre utile esercizio di paranoia: "Perché gli ignoti autori dell'intrusione hanno creato un certificato fasullo di torproject.org, e non piuttosto quelli di tutte le principali banche europee?"
Lo svolgimento dell'esercizio viene però lasciato alla diligenza del lettore.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari

Tutte le release di Cassandra Crossing sono disponibili a questo indirizzo
16 Commenti alla Notizia Lampi di Cassandra/ I falsi certificati di Tor
Ordina
  • Abilitare di default la funzione "Quando non è possibile stabilire una connessione con il server OCSP, considera il certificato come non valido", al ché il browser sarebbe obbligato a verificare in tempo reale la validità del certificato emesso per ogni sito, problema risolto!

    Il lato oscuro della faccenda è che ogni certificato self-signed emesso per piccoli siti cessa di funzionare (leggasi Opera) facendo infuriare tutti coloro che non conoscono o non vogliono utilizzare veri certificati (gratuiti) emessi da CA accreditare (leggasi StartCom).
    non+autenticato
  • - Scritto da: Flavio Bosio
    > Abilitare di default la funzione "Quando non è
    > possibile stabilire una connessione con il server
    > OCSP, considera il certificato come non valido",


    ....

    > al ché il browser sarebbe obbligato a verificare
    > in tempo reale la validità del certificato emesso
    > per ogni sito, problema
    > risolto!


    risolto un bel niente.
    come la verifichi la validità se il CA è compromesso?


    > Il lato oscuro della faccenda è che ogni
    > certificato self-signed emesso per piccoli siti
    > cessa di funzionare

    non funzionerebbe comunque in ogni caso.
    Visto che è self signed verrà in ogni caso richiesta l'approvazione dell'utente visto che si tratta di certificato non sicuro.



    > (leggasi Opera) facendo
    > infuriare tutti coloro che non conoscono o non
    > vogliono utilizzare veri certificati (gratuiti)
    > emessi da CA accreditare (leggasi
    > StartCom).


    "CA accreditate" ?

    ti riferisci alle 'Certification Authorities' immagino...
    quindi tutte le CA sono accreditate, dato che CA è appunto l'abbreviazione di 'Certification Authority'.

    Quindi dove vuoi andare a parare??!?

    > infuriare tutti coloro che non conoscono o non
    > vogliono utilizzare _veri certificati_ (gratuiti)
    > emessi da _CA accreditare_

    LOL
  • > "Perché gli ignoti autori dell'intrusione hanno creato
    > un certificato fasullo di torproject.org,
    > e non piuttosto quelli di tutte le principali banche europee?"

    Posso dirti per esperienza diretta, sebbene non posso entrare nei dettagli, che per il lavoro che facevo un tempo ti garantisco che intere squadre e/o cellule dei servizi di intelligence di molti paesi, e non parlo solo di paesi del terzo mondo, usano REGOLARMENTE Tor per le comunicazioni tra i vari gruppi e/o operativi sul campo. E questo di per se stesso basterebbe a cercare un 'punto di accesso' da cui leggere cosa passa per la 'cipolla'

    JC
    -----------------------------------------------------------
    Modificato dall' autore il 06 settembre 2011 11.09
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 06 settembre 2011 11.09
    -----------------------------------------------------------
  • - Scritto da: IgaRyu
    > > "Perché gli ignoti autori dell'intrusione
    > hanno
    > creato
    > > un certificato fasullo di torproject.org,
    > > e non piuttosto quelli di tutte le
    > principali banche
    > europee?"
    >
    > Posso dirti per esperienza diretta, sebbene non
    > posso entrare nei dettagli, che per il lavoro che
    > facevo un tempo ti garantisco che intere squadre
    > e/o cellule dei servizi di intelligence di molti
    > paesi, e non parlo solo di paesi del terzo mondo,
    > usano REGOLARMENTE Tor per le comunicazioni tra i
    > vari gruppi e/o operativi sul campo. E questo di
    > per se stesso basterebbe a cercare un 'punto di
    > accesso' da cui leggere cosa passa per la
    > 'cipolla'
    >
    > JC
    > --------------------------------------------------
    > Modificato dall' autore il 06 settembre 2011 11.09
    > --------------------------------------------------
    > --------------------------------------------------
    > Modificato dall' autore il 06 settembre 2011 11.09
    > --------------------------------------------------


    sbagliato
    semmai serve a impedire che una persona usi Tor.
    ad esempio dirottandolo su una 'finta rete Tor', manipolando così tutto il traffico di quell'utente.
    In poche parole annullando la sicurezza che deriverebbe dall'uso della criptografia.

    riguardo l'intercettazione di traffico Tor in maniera 'random' (come tu ipotizzavi) non serve tutto sto sforzo di compromettere CA ecc.

    ti basta creare un tuo Tor exit node.
  • Per finire suggerisco un semplice e sempre utile esercizio di paranoia: "Perché gli ignoti autori dell'intrusione hanno creato un certificato fasullo di torproject.org, e non piuttosto quelli di tutte le principali banche europee?"
    Lo svolgimento dell'esercizio viene però lasciato alla diligenza del lettore.


    Non ho capito se si tratta di una domanda rettorica o se veramente si cerca una risposta.

    Se ci atteniamo alla seconda parte della domanda, quella sulle banche, diciamo che le banche hanno un sistema di sicurezza molto differente dal semplice SSL, primo non è facile fare un man in the middle alla Deutsche Bank e poi se lo fai nel giro di un paio di minuti ti trovi i bombardieri della Luftwaffe armati di missili a ricerca di imbecille (brevetto tedesco) sopra casa.

    Su Google il discorso è diverso, anche se nemmeno lì è così facile piazzare un man in the middle, visto il livello di utilizzo e la vastità della rete google.

    La prima parte della domanda è invece interessante. Perché dei tizi che sono entranti in modo fraudolento in una CA sono andati a crearsi un certificato "tecnicamente valido" di Tor ?

    Su Tor non passano informazioni appetibili economicamente quanto gli account di Google o i dati finanziari delle aziende, Passano altri generi di informazioni, senza censure e molto spesso scomode per qualcuno.

    Questo fa pensare che chi ha rubato quelle chiavi o è un ragazzino idiota che non sa cosa sta facendo e vuol far finta di essere il padrone del mondo o è esattamente il contrario.
    non+autenticato
  • - Scritto da: Cracker Salato

    > Se ci atteniamo alla seconda parte della domanda,
    > quella sulle banche, diciamo che le banche hanno
    > un sistema di sicurezza molto differente dal
    > semplice SSL, primo non è facile fare un man in
    > the middle alla Deutsche Bank e poi se lo fai nel
    > giro di un paio di minuti ti trovi i bombardieri
    > della Luftwaffe armati di missili a ricerca di
    > imbecille (brevetto tedesco) sopra
    > casa.

    Anche perché riuscire a fare questo significherebbe minare la credibilità non solo di internet ma dell'intera rete informatica mondiale.
    In un mondo in cui l'intera economia mondiale si basa sulla affidabilità dei conti correnti bancari una cosa del genere scatenerebbe la terza guerra mondiale il giorno dopo.
    non+autenticato
  • - Scritto da: Osvaldo
    > In un mondo in cui l'intera economia mondiale si
    > basa sulla affidabilità dei conti correnti
    > bancari una cosa del genere scatenerebbe la terza
    > guerra mondiale il giorno
    > dopo.

    A questo mi riferivo quando ho scritto "Poi il giorno in cui qualcuno trova una algoritmo polinomiale per invertire RSA o ECC credimi... i certificati SSL sono l'ultimo dei problemi"...

    Ciao,

    A.
  • - Scritto da: Cracker Salato
    > Per finire suggerisco un semplice e
    > sempre utile esercizio di paranoia: "Perché gli
    > ignoti autori dell'intrusione hanno creato un
    > certificato fasullo di torproject.org, e non
    > piuttosto quelli di tutte le principali banche
    > europee?"
    > Lo svolgimento dell'esercizio viene però lasciato
    > alla diligenza del lettore.


    semplice, controllare la rete tor.
    non+autenticato
  • è molto più semplice in realtà perchè con le banche rischi parecchio, mentre tor viene usato per scaricare o ricercare informazioni scomode, ergo rende l'individuo ricattabile, e una persona sotto ricatto non va di certo a correre dalla polizia.
    non+autenticato
  • E ora andiamo ad aggiungere questo :

    http://punto-informatico.it/3261726/PI/News/dns-ma...

    Sommiamo certificati validi su server contraffatti e hack dei DNS ... e abbiamo proprio una bella situazione pericolosa.
    non+autenticato
  • e forse faccio male, visto quello che e' successo a quelli che si sono fidati dei certificati fassulli, pero' ti chiedo: e adesso? Il problema e' noto, ma esiste una soluzione? Cambiare modello? se si, come?
    non+autenticato
  • Il problema non e' solo e tanto che basta bucare una CA e si possono fare certificati falsi, secondo me e' piu' radicato in due cose: il modello "top down" e l'assenza di regole certe per la gestione delle CA.

    Sull'assenza di regole basta ricordare quel che accadde con InstantSSL.it (per chi ha la memoria corta: http://punto-informatico.it/b.aspx?i=3119586&m=312... ) e il fatto che i responsabili sono ancora tutti li con cariche da direttori di qualcosa in GlobalTrust (uno continua a autodefinisrsi "forse uno dei maggiori esperti del mondo in telecomunicazioni, Internet e sicurezza informatica"... ROTFLMAO).

    Perche' se una CA viene bucata non paga ?

    L'altro problema, forse il piu' grave, e' il modello top-down: chi decide chi sono le CA valide ?

    Forse un modello di mutual trust additivo (in cui un certificato non deve essere firmato da "Una CA" per essere valido, ma da almeno N CA diverse... che cosi' aggiungono validita' a quel certificato).

    Lo so, si tratta di andare verso un modello piu' simile all'originale di PGP che a SSL... ma forse una via di mezzo...

    A
  • sul pagare sono d'accordo ma sul modello di mutual trust non penso che risolverebbe il problema

    alla fin fine come oggi è stata bucata Diginotar, domani potrebbe capitare a una qualunque delle altre

    in sostanza il soggetto a cui tu dia fiducia potrebbe "fregarti", per il semplice motivo che non è lui esplicitamente truffaldino ma viene trasformato involontariamente in un soggetto poco raccomandabile

    un esempio che potrà essere banale è quello delle carte d'identità

    se compare una carta falsificata, molto probabilmente ci sarà qualche impiegato del Comune che è un farabutto e in questo caso un sistema di mutual trust potrebbe funzionare

    ma nel caso in cui qualcuno riuscisse a falsificare carta, timbro, firma sulla carta d'identità, in quel caso c'è ben poco da fare

    certamente il Comune sarebbe colpevole di essersi fatto clonare tutto e nel mondo reale potreggersi è abbastanza facile, ma online proteggersi sta diventando sempre più una chimera, tra software ipersofisticato e bug che spuntano da ogni angolo
    non+autenticato
  • Beh il modello almeno otterebbe di dluire il rischio.

    Immagina anche solo:
    a) Un certificato e' valido solo se "firmato" da almeno tre CA diverse che dichiarano di non avere alcun rapporto gestionale/operativo tra loro.
    b) Se 15 CA indipendenti mettono una data CA in "Blacklist" le sue firme sono automaticamente nulle

    Io come "sito" pagherei volentieri anche il quintuplo per farmi firmare il certificato da cinque CA diverse (poi in realta' i volumi abbasserebbero i costi), sarei molto tranquillo che se una va a rotoli il mio certificato resta valido, e gli utenti sarebbero confidenti che e' improbabile che qualcuno abbia bucato tre CA diverse e nessuno abbia gridato..

    Non pensi ?

    A.
  • Scusa,

    rileggendo mi son reso conto di non aver risposto al tuo post.

    Quello che dici e' vero: il modello di trust non ha effetti sulla "falsificazione tecnica".

    Il punto pero' e' che dove il sistema finora ha fallito non e' stato per una falsificazione tecnica ma per una debolezza procedurale.

    Non e' mai stata "craccata" la master key di una CA... semplicemente... gliela hanno sottratta (pare questo caso) o hanno aggirato le procedure convincendoli a firmare i certificati (come nel precedente di InstantSSL.it).

    In entrambi i casi e' stato "fregato" il modello di funzionamento della CA, per raccordarmi al tuo esempio e' come se avessero sottratto carta e timbri del comune per fare le carte di identita' false (DigiNotar) o avessero ipnotizzato l'impiegato del comune (InstantSSL.it).

    Per questi problemi il fatto di fare "firmare" un certificato da 5 diverse authority e richiedere che almeno tre "firme" siano valide potrebbe essere una soluzione piu' che ragionevole...

    Poi il giorno in cui qualcuno trova una algoritmo polinomiale per invertire RSA o ECC credimi... i certificati SSL sono l'ultimo dei problemi Sorride

    A.
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)