Web – Un advisory ufficiale è arrivato nelle scorse ore dagli uomini del CERT , l’organismo dedicato alla sicurezza della Carnegie Mellon University già consulente per il governo degli Stati Uniti: tutte le versioni del browser Netscape soffrono di un grave bug di sicurezza.
Secondo il CERT, il bug consiste nell’errata gestione delle certificazioni con cui possono essere avviate con Netscape procedure “sicure” su server SSL, procedure spesso utilizzate per le transazioni economiche online e per una serie di altre situazioni. Secondo Kevin FU, scienziato del MIT e scopritore del bug “se si è vittima di questo attacco, senza saperlo ci si può trovare a fornire dati personali, carte di credito, password per servizi finanziari online a qualcuno che finge di essere un server SSL sicuro”.
In sintesi, dunque, dicono al CERT, il bug può consentire ad un sito “ben fatto” di “ingannare” l’utente e di farsi inviare da questi dati riservati facendosi passare come “sito sicuro”. In pratica, se un utente visita un sito nel quale il nome del certificato non è quello del sito e procede comunque alla connessione nonostante l’avvertimento di Netscape, qualsiasi successiva connessione a qualsiasi sito con lo stesso certificato impedirà al browser di avvertire l’utente. La procedura di avvertimento (“warning”) viene disattivata.
Il “bug”, spiegano al CERT, non riguarda quindi l’SSL, ambiente considerato affidabile, quanto invece le difficoltà del browser a verificare l’effettiva locazione dell’utente a causa della “natura fondamentalmente poco sicura del sistema DNS”, sistema che, in estrema sintesi, consente la navigazione tra i siti web.
Per cautelarsi, dicono gli esperti, l’utente dovrebbe far autenticare i certificati digitali prima di procedere a qualsiasi consistente transazione.