La compromissione dei server della “certificate authority” (CA) DigiNotar ? Un incidente dalle conseguenze peggiori di quelle worm Stuxnet , dicono gli analisti di sicurezza. I 500 e più certificati SSL compromessi gettano lo scompiglio in rete scatenando reazioni di governi e aziende coinvolti. E l’hacker responsabile della breccia? Si sarebbe autoidentificato come responsabile di un altro incidente di sicurezza di alto profilo avvenuto nel passato recente.
La situazione è seria, talmente pericolosa che il governo dei Paesi Bassi ha deciso di prendere sotto il suo controllo il “management operativo” di DigiNotar: i certificati SSL compromessi non dovrebbero contenere nessuno di quelli usati dalle autorità fiamminghe per autenticare siti web e servizi ai cittadini, nondimeno si è deciso di “statalizzare” la CA.
Le autorità locali si sono spinte fino a ipotizzare una possibile “negligenza criminale” di DigiNotar nella lentezza con cui ha affrontato la breccia nei suoi server e ne ha dato comunicazione al pubblico. Nel mentre Mozilla ha distribuito l’attesa nuova versione di Firefox (6.0.2) pensata per revocare in maniera permanente i certificati SSL emessi da DigiNotar.
Anche Microsoft si muove per aggiornare la piattaforma Windows, revocando i certificati compromessi su Windows 7 e Vista (dove la lista dei certificati radice viene aggiornata in automatico) ma anche su Windows XP attraverso una patch da applicare manualmente.
Non bastasse la perdita definitiva di fiducia nei confronti della CA fiamminga DigiNotar , l’hacker responsabile della breccia fa outing e si esercita in proclami ancora più allarmanti : il cyber-criminale, apparentemente lo stesso iraniano responsabile della compromissione dei certificati emessi da Comodo , dice di avere sotto il suo controllo altre quattro CA di alto profilo.
Una di queste CA compromesse sarebbe GlobalSign : la società dice di prendere la cosa molto sul serio e sospende l’emissione di nuovi certificati in attesa di concludere le indagini sulla veridicità delle affermazioni di “Comodohacker”.
Il rapporto “Black Tulip” commissionato dal governo fiammingo prova infine a fare luce su quello che è realmente accaduto sui server di DigiNotar e soprattutto perché è accaduto. L’hacker è riuscito a penetrare su un sistema accessibile tramite LAN anche all’esterno, dice il rapporto, usando strumenti software più o meno avanzati ( Cain&Abel ) e approfittando del fatto che le misure di sicurezza presenti sul server erano all’acqua di rose: password facili da “crackare”, software “bucati” e non aggiornati.