Alfonso Maruccia

Google e i certificati francesi spioni

Mountain View coglie le autorità francesi a servirsi di certificati falsi per monitorare i dipendenti. I certificati sono stati revocati ma resta il problema dell'affidabilità di un sistema fallato, denuncia Google

Roma - Google fa sapere di aver migliorato la propria sicurezza revocando alcuni certificati digitali non autorizzati, utili a impersonare l'identità del colosso di Mountain View ma utilizzati dalle istituzioni francesi per spiare. Parte il rimpallo delle responsabilità, ma il problema dei certificati insicuri (per Google o per chiunque altro) resta.

I certificati fasulli erano stati autorizzati da una certificate authority (CA) intermedia, riconducibile però alla CA francese ANSSI e quindi sfruttabili per camuffare la vera identità dell'utilizzatore. Google ha subito modificato le impostazioni di configurazione di Chrome per bloccare la CA intermedia incriminato, avvertendo poi ANSSI dell'esistenza del problema.

A sua volta ANSSI si è giustificata parlando di un "errore umano" durante "un processo pensato per rafforzare la sicurezza IT generale del Ministero delle Finanze francese", un processo che secondo le informazioni fornite da Google era stato in definitiva utile per spiare il traffico cifrato di un network privato.
I certificati fasulli venivano in sostanza impiegati per spiare i dipendenti del Ministero delle Finanze, una pratica che evidentemente in pubblico non può che essere giustificata come "errore umano" e che risulta utile almeno finché Google non se ne accorge, come è successo in questo caso.

Il sistema dei certificati e delle CA intermedie, "root" e compagnia, è di quelli strutturali, denuncia Mountain View, che non a caso gioca un ruolo di primaria importanza nello scandalo del Datagate e negli strumenti a disposizione della NSA per monitorare il traffico di rete criptato: urge una riforma.

Alfonso Maruccia
50 Commenti alla Notizia Google e i certificati francesi spioni
Ordina
  • Stavolta l'hanno proprio fatta grossa! Deluso
    non+autenticato
  • Se lo facessi io in italia con i miei dipendenti rischierei almeno 25 anni di gabbio come minimo

    accesso abusivo aggravato, sostituzione di persona, intercettazione...
    non+autenticato
  • Quante discussioni inutili!
    non+autenticato
  • Fino a 20 o 30 anni fa quando succedevano queste cose era colpa del Computer, oggi è un errore umano.
    Rimane un a costante: mai che sia un qualcosa di voluto
  • Che bello vederli.

    Fanno tenerezza.
    maxsix
    9374
  • - Scritto da: maxsix
    > Che bello vederli.
    >
    > Fanno tenerezza.
    hihi, povero macaco.
    Guarda che Safari ha gli stessi "problemi" con CA, CRL e OCSP che hanno tutti gli altri.
    Il macacobrowser, pensa un po', ha CA francesi pure lui.
    Prendi per es Certplus .. la piu' potente Ca francese... piglia Faurois.. un ex-militare, dirigente in certplus, idem in Keynectis (una sub-CA di certplus) ...
    poi se ravani scopri cose come https://weirdca.wordpress.com/2013/02/06/4/

    La realta' e' che chi piu ricerca e testa pubblicamente le rogne delle CA sono proprio mozilla, google e la eff. I francesi invece hanno vupenSorride
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: maxsix
    > > Che bello vederli.
    > >
    > > Fanno tenerezza.
    > hihi, povero macaco.
    > Guarda che Safari ha gli stessi "problemi" con
    > CA, CRL e OCSP che hanno tutti gli
    > altri.
    > Il macacobrowser, pensa un po', ha CA francesi
    > pure lui.
    >
    > Prendi per es Certplus .. la piu' potente Ca
    > francese... piglia Faurois.. un ex-militare,
    > dirigente in certplus, idem in Keynectis (una
    > sub-CA di certplus) ...
    >
    > poi se ravani scopri cose come
    > https://weirdca.wordpress.com/2013/02/06/4/
    >
    > La realta' e' che chi piu ricerca e testa
    > pubblicamente le rogne delle CA sono proprio
    > mozilla, google e la eff. I francesi invece hanno
    > vupen
    >Sorride
    Ma togliere dalla lista le CA di cui non si ha fiducia?
    Troppo difficile?
    Deve venire qualcuno a farlo per te?
    non+autenticato
  • Con tutti i macachi che ci sono in giro....
    non+autenticato
  • - Scritto da: tucumcari
    > Con tutti i macachi che ci sono in giro....
    Ci sono anche i macachi savi o no?
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: bubba
    > > - Scritto da: maxsix
    > > > Che bello vederli.
    > > >
    > > > Fanno tenerezza.
    > > hihi, povero macaco.
    > > Guarda che Safari ha gli stessi "problemi"
    > con
    > > CA, CRL e OCSP che hanno tutti gli
    > > altri.
    > > Il macacobrowser, pensa un po', ha CA
    > francesi
    > > pure lui.
    > >
    > > Prendi per es Certplus .. la piu' potente Ca
    > > francese... piglia Faurois.. un ex-militare,
    > > dirigente in certplus, idem in Keynectis (una
    > > sub-CA di certplus) ...
    > >
    > > poi se ravani scopri cose come
    > > https://weirdca.wordpress.com/2013/02/06/4/
    > >
    > > La realta' e' che chi piu ricerca e testa
    > > pubblicamente le rogne delle CA sono proprio
    > > mozilla, google e la eff. I francesi invece
    > hanno
    > > vupen
    > >Sorride
    > Ma togliere dalla lista le CA di cui non si ha
    > fiducia?
    > Troppo difficile?
    > Deve venire qualcuno a farlo per te?
    "non si ha" "per te" .. con chi parli? il mio post era un po' diverso.

    Io personalmente lascio anche i .mil come CASorrideSorride
    se dovessi lasciare i soli cert di cui mi fido al 100%, ci sarebbe solo il mio autogenerato.
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: tucumcari
    > > - Scritto da: bubba
    > > > - Scritto da: maxsix
    > > > > Che bello vederli.
    > > > >
    > > > > Fanno tenerezza.
    > > > hihi, povero macaco.
    > > > Guarda che Safari ha gli stessi
    > "problemi"
    > > con
    > > > CA, CRL e OCSP che hanno tutti gli
    > > > altri.
    > > > Il macacobrowser, pensa un po', ha CA
    > > francesi
    > > > pure lui.
    > > >
    > > > Prendi per es Certplus .. la piu'
    > potente
    > Ca
    > > > francese... piglia Faurois.. un
    > ex-militare,
    > > > dirigente in certplus, idem in
    > Keynectis
    > (una
    > > > sub-CA di certplus) ...
    > > >
    > > > poi se ravani scopri cose come
    > > >
    > https://weirdca.wordpress.com/2013/02/06/4/
    > > >
    > > > La realta' e' che chi piu ricerca e
    > testa
    > > > pubblicamente le rogne delle CA sono
    > proprio
    > > > mozilla, google e la eff. I francesi
    > invece
    > > hanno
    > > > vupen
    > > >Sorride
    > > Ma togliere dalla lista le CA di cui non si
    > ha
    > > fiducia?
    > > Troppo difficile?
    > > Deve venire qualcuno a farlo per te?
    > "non si ha" "per te" .. con chi parli? il mio
    > post era un po'
    > diverso.
    >
    > Io personalmente lascio anche i .mil come CASorride
    >Sorride
    >
    > se dovessi lasciare i soli cert di cui mi fido al
    > 100%, ci sarebbe solo il mio
    > autogenerato.
    E non dovresti. Lasciare agire certificati di dubbia provenienza è come leggere l'oroscopo tutti i giorni "perché male non fa". Bisogna togliere l'acqua al pesce.
    non+autenticato
  • - Scritto da: tucumcari

    > > Io personalmente lascio anche i .mil come CA
    >Sorride
    > >Sorride
    > >
    > > se dovessi lasciare i soli cert di cui mi
    > fido
    > al
    > > 100%, ci sarebbe solo il mio
    > > autogenerato.
    > E non dovresti. Lasciare agire certificati di
    > dubbia provenienza è come leggere l'oroscopo
    > tutti i giorni "perché male non fa". Bisogna
    > togliere l'acqua al
    > pesce.
    in che senso 'dubbia provenienza'? tu conosci il dr.postecom (x citare un italiano), mr.Thawte o il sig.Verisign ? eppure li usi ogni giorno.
    Per quello, con un paio di smiley, ho risposto cosi'Sorride
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: tucumcari
    > > - Scritto da: bubba
    > > > - Scritto da: maxsix
    > > > > Che bello vederli.
    > > > >
    > > > > Fanno tenerezza.
    > > > hihi, povero macaco.
    > > > Guarda che Safari ha gli stessi
    > "problemi"
    > > con
    > > > CA, CRL e OCSP che hanno tutti gli
    > > > altri.
    > > > Il macacobrowser, pensa un po', ha CA
    > > francesi
    > > > pure lui.
    > > >
    > > > Prendi per es Certplus .. la piu'
    > potente
    > Ca
    > > > francese... piglia Faurois.. un
    > ex-militare,
    > > > dirigente in certplus, idem in
    > Keynectis
    > (una
    > > > sub-CA di certplus) ...
    > > >
    > > > poi se ravani scopri cose come
    > > >
    > https://weirdca.wordpress.com/2013/02/06/4/
    > > >
    > > > La realta' e' che chi piu ricerca e
    > testa
    > > > pubblicamente le rogne delle CA sono
    > proprio
    > > > mozilla, google e la eff. I francesi
    > invece
    > > hanno
    > > > vupen
    > > >Sorride
    > > Ma togliere dalla lista le CA di cui non si
    > ha
    > > fiducia?
    > > Troppo difficile?
    > > Deve venire qualcuno a farlo per te?
    > "non si ha" "per te" .. con chi parli? il mio
    > post era un po'
    > diverso.
    >
    > Io personalmente lascio anche i .mil come CASorride
    >Sorride
    >
    > se dovessi lasciare i soli cert di cui mi fido al
    > 100%, ci sarebbe solo il mio
    > autogenerato.
    Ammesso che così sia non vedo cosa ci sarebbe di male.
    Chi te lo vieta?
    non+autenticato
  • - Scritto da: Sgabbievole Leguleio

    > > se dovessi lasciare i soli cert di cui mi
    > fido
    > al
    > > 100%, ci sarebbe solo il mio
    > > autogenerato.
    > Ammesso che così sia non vedo cosa ci sarebbe di
    > male.
    > Chi te lo vieta?
    la negoziazione SSL su tutti i siti non tuoi ?Sorride
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)