Alfonso Maruccia

Certificati SSL, il buco s'allarga

Le conseguenze della breccia nei server della societÓ fiamminga DigiNotar si fanno sempre pi¨ serie: cresce il numero dei certificati compromessi

Roma - Da semplice incidente circoscritto nel tempo e nelle conseguenze, il furto di certificati SSL dai server della CA ("certificate authority") fiamminga DigiNotar si ingrossa fino a raggiungere dimensioni da "affare di stato" e minaccia alla sicurezza del controspionaggio USA. Il numero di certificati compromessi appare molto più alto di quello inizialmente rivelato, e le organizzazioni colpite contano ora nomi e aziende di primaria importanza.

Le prime notizie riferite da Vasco - società USA proprietaria di DigiNotar - parlavano di "almeno un certificato" compromesso valido per i sottodomini del dominio google.com, ma ora si è arrivati alla bellezza di 500 diversi certificati trafugati durante la breccia avvenuta verso la metà dello scorso luglio.

Oltre a Google, si scopre ora, l'incidente riguarda colossi dell'IT come Facebook, Microsoft (i server di Windows Update), Skype, e addirittura istituzioni come MI6 e CIA. L'affaire DigiNotar assume sempre più i contorni di un affare di stato, e il governo dei Paesi Bassi ha ammesso di non poter più garantire la sicurezza dei suoi siti e servizi online.
E mentre i principali player del mercato mettono al bando - un bando sostanzialmente permanente - i certificati DigiNotar con versioni aggiornate dei rispettivi browser web, il portavoce del Ministro degli Interni fiammingo Vincent van Stee annuncia comunicazioni al parlamento entro la prossima settimana.

Le indagini delle autorità dovranno verificare la portata e soprattutto l'origine dell'attacco, confermando o meno l'idea messa in campo dagli analisti secondo cui dietro la breccia che ha affossato DigiNotar dovrebbero esserci ignoti hacker iraniani.

Alfonso Maruccia
Notizie collegate
  • SicurezzaCertificati SSL, un pasticcio DigiNotar?L'autoritÓ responsabile dell'emissione del certificato contraffatto dice di essere stata vittima di un hack a inizio luglio. Quello in questione, per Google, era sfuggito al repulisti. F-Secure semina zizzania sulla reputazione della societÓ
7 Commenti alla Notizia Certificati SSL, il buco s'allarga
Ordina
  • Diciamocelo, una CA esiste se esiste la fiducia, la fiducia non e' solo nell'azienda ma anche nelle persone.

    Quando una CA si fa bucare in modo tecnicamente vergognoso (vedi InstantSSL.it) o gestisce l'essere stata bucata in modo altrettanto vergognoso (vedi ora DigiNotar) io credo che il lavoro di voi giornalisti sarebbe anche far sapere al mondo (si, leggasi proprio sputtanare) i nomi delle persone che avevano una qualsiasi responsabilita' in quelle realta'.

    Tocca sapere perche' non basta che DigiNotar chiuda, serve anche che la genet sappia l'anno prossimo di NON comprare un certificato (o non riconoscere come autoritativa) una CA dove lavora sta gente.

    Occorre che cambino mestiere, abbiamo bisogno di raccoglitori di pomodori non di gente che si autodefinisce (cito il sito web personale del VP di InstantSSL.it) "forse uno dei maggiori esperti del mondo in telecomunicazioni, Internet e sicurezza informatica" e ha come credenziali di autenticazione per una root authority login/pass = gtadmin/globaltrust.

    A.
  • - Scritto da: Pinco Pallino
    >
    >
    > Occorre che cambino mestiere, abbiamo bisogno di
    > raccoglitori di pomodori non di gente che si
    > autodefinisce (cito il sito web personale del VP
    > di InstantSSL.it) "forse uno dei maggiori esperti
    > del mondo in telecomunicazioni, Internet e
    > sicurezza informatica" e ha come credenziali di
    > autenticazione per una root authority login/pass
    > =
    > gtadmin/globaltrust.
    >
    > A.

    Ehhh ma cosa pretendi, ringrazia la linucs iccspiriens!!!
    La convinzione della superiorità nella sicurezza di quel sistema operativo tarocco ha deviato molte menti, lasciando loro credere che nemmeno le strong password siano necessario quando "sotto c'è linucs".

    Che pirloni!
    non+autenticato
  • Scusa ma il tuo commento e' totalmente offtopic.

    Per completezza di informaziome le credenziali di cui trattasi erano usate da un server Windows per collegarsi, tramite una apposita DLL, ai server della CA.

    Ciao,

    A.
  • - Scritto da: Pinco Pallino
    > autodefinisce (cito il sito web personale del VP
    > di InstantSSL.it) "forse uno dei maggiori esperti
    > del mondo in telecomunicazioni, Internet e
    > sicurezza informatica" e ha come credenziali di
    > autenticazione per una root authority login/pass
    > =
    > gtadmin/globaltrust.

    Riguardo al "massimo esperto", stai parlando del sig. M.P.?Occhiolino Ho notato anche io che tende molto all'autoreferenzialità.
  • Quello quello...
  • Con GT ho il certificato S/MIME free, che fa tanto scena, quindi sembra che stia sputando sulla mano che mi dà da mangiare (molto, ma molto, ma molto figurativamente), tuttavia i miei enormi dubbi all'inizio nel fornire i miei dati personali per ottenere il mio certificato, derivavano proprio dall'aver letto il sito personale del signor P, che mi sembrava scritto con estrema baldanzosità, al punto da autosmontarsi in quanto all'essere credibile... "sò bravo, sò bello, sò fotomodello, se lo dico io vordì che è vero, quindi fidateve" Rotola dal ridere
  • - Scritto da: Pinco Pallino
    > Diciamocelo, una CA esiste se esiste la fiducia,
    > la fiducia non e' solo nell'azienda ma anche
    > nelle
    > persone.
    >
    > Quando una CA si fa bucare in modo tecnicamente
    > vergognoso (vedi InstantSSL.it) o gestisce
    > l'essere stata bucata in modo altrettanto
    > vergognoso (vedi ora DigiNotar) io credo che il
    > lavoro di voi giornalisti sarebbe anche far
    > sapere al mondo (si, leggasi proprio sputtanare)
    > i nomi delle persone che avevano una qualsiasi
    > responsabilita' in quelle
    > realta'.
    >
    > Tocca sapere perche' non basta che DigiNotar
    > chiuda, serve anche che la genet sappia l'anno
    > prossimo di NON comprare un certificato (o non
    > riconoscere come autoritativa) una CA dove lavora
    > sta gente.
    >
    >
    > Occorre che cambino mestiere, abbiamo bisogno di
    > raccoglitori di pomodori non di gente che si
    > autodefinisce (cito il sito web personale del VP
    > di InstantSSL.it) "forse uno dei maggiori esperti
    > del mondo in telecomunicazioni, Internet e
    > sicurezza informatica" e ha come credenziali di
    > autenticazione per una root authority login/pass
    > =
    > gtadmin/globaltrust.

    Quoto tutto! Arrabbiato
    non+autenticato