Negli articoli precedenti abbiamo visto come ActiveX e Microsoft possano causare gravi problemi di sicurezza al nostro sistema. Questa settimana tratteremo, invece, una falla nel prodotto di punta della “rivale” Netscape.
Molto velocemente, la falla riguarda il protocollo sicuro SSL e le rispettive navigazioni/transazioni sicure sul web. Il problema è stato risolto rilasciando documentazione sull’argomento e un aggiornamento per tutti i possessori di Navigator/Communicator 4.* (quelli testati sono il 4.72, 4.61 e 4.07, ma quasi certamente vale anche per le altre versioni).
Tutti i link utili potrete trovare nell’ultima parte dell’articolo.
Per chi non conoscesse cos’è il protocollo sicuro SSL (Secure Socket Layer), basti sapere che questo si incarica di creare una sorta di “tunnel ” fra l’utente ed il sito a cui è collegato: tutto ciò che transita all’interno di questo tunnel viene crittografato in modo da renderlo abbastanza sicuro da occhi indiscreti (leggi hacker).
In pratica, quando voi vi connettete ad un server sicuro, il server “presenta” al vostro browser il proprio certificato contenente la propria chiave pubblica, a questo punto il browser esegue tre verifiche:
– il certificato deve essere stato rilasciato (e quindi contrassegnato) dalle società autorizzate come Verisign, Thawte, eccetera;
– il certificato non deve essere scaduto (la data di scadenza deve essere più vecchia della data del sistema operativo dove il browser è installato);
Il certificato deve essere “marchiato” solo per il server a cui vi state connettendo (ad esempio: voi siete connessi a www.punto-informatico.it e il certificato deve essere contrassegnato solo ed esclusivamente per www.punto-informatico.it).
Se queste condizioni sono vere, il browser accetta il certificato e accede alla pagine su protocollo sicuro, altrimenti visualizza un avvertimento all’utente lasciando a lui la scelta se operare ugualmente oppure annullare l’operazione.
Netscape funziona correttamente quando verifica le condizioni sopracitate, ma la falla è che, mentre la connessione SSL è ancora attiva, tutte le connessioni HTTPS a quell’indirizzo IP del server sono considerate parte della sessione attiva e non vengono, quindi, più controllate.
Invece che comparare i nomi degli host nella sessione attiva, Netscape controlla gli indirizzi IP. Poichè più di un host può rientrare sotto lo stesso IP questo risulta pericoloso.
Poniamo il caso che ci sia una libreria on-line chiamata www.bookstore.com il cui indirizzo IP sia 100.100.100.100. L’utente arriverà a questo sito attraverso una connessione HTTP normale, esplorerà il sito web e nel caso metterà nel carrello ciò che sta acquistando, dopodichè andrà al checkout e accederà ad una connessione sicura per effettuare la transazione.
Ora poniamo il caso che un “attacker” (chi cioè vuole effettuare il danno), configuri il proprio sito web, che avrà l’IP 99.99.99.99, con un certificato autentico rilasciato da Verisign e come gateway verso www.bookstore.com: in questo modo, virtualmente funzionerà tale e quale al vero www.bookstore.com e tutte le informazioni richieste verranno inoltrate direttamente al bookstore.
L’unica differenza sarà che nella pagina precedente il modulo d’ordine (e quindi l’inizio del collegamento SSL), verrà inserita una immagine di 1×1 pixel (quindi invisibile) proveniente dall’IP 99.99.99.99 in connessione sicura via HTTPS.
A questo punto, l’immagine inserita dal nostro “assalitore” farà un uso massiccio del server DNS cosi che verrà restituito l’IP 99.99.99.99 per le richieste riguardanti www.bookstore.com (normalmente ritornerebbe l’indirizzo 100.100.100.100).
Cosa succede allora?
Tutti gli utenti che proveranno a collegarsi (via HTTP normale) al sito www.bookstore.com, verranno connessi all’IP 99.99.99.99 anzichè l’IP reale, questo senza che il browser segnali alcun errore, poichè risulta tutto come dovrebbe.
Potranno così navigare tranquillamente all’interno del sito, acquistare libri e andare al checkout per effettuare l’acquisto e compilare così il modulo in linea con i dati (compresa la carta di credito).
Ma, se ricordate, la pagina precedente il modulo d’ordine contiene l’immagine “invisibile” collegata all’IP fasullo, Netscape scaricherà tranquillamente l’immagine nella pagina e attiverà una connessione con il sito del nostro “assalitore”. La sessione rimarrà aperta. Quando si accederà alla pagina con il modulo, Netscape tenterà di connettersi con un’altra connessione sicura, questa volta al www.bookstore.com. Poichè il server DNS che richiede la connessione avrà lo stesso indirizzo IP dell’assalitore (99.99.99.99), Netscape utilizzerà la sessione SSL esistente con 99.99.99.99 senza verificare il certificato.
Il risultato è molto semplice: Netscape visualizzerà un modulo con connessione sicura illudendosi di essere creato dal sito originale mentre sarà realmente collegato con il sito fasullo. Nessun avviso di certificato non valido sarà inviato all’utente.
Quando l’utente invierà i suoi dati, verranno inviati attraverso il sito fasullo, dove sarà facile registrare ed archiviare gli stessi dati per un uso futuro. L’unica soluzione per l’utente di capire se la connessione è realmente su bookstore.com è quella di cliccare sul “lucchetto” di Netscape e verificare l’effettivo utilizzo del certificato di bookstore.com.
Netscape ha rilasciato un add-on chiamato “Personal Security Manager”, recuperabile liberamente su:
Netscape Communicator 4.73 include la risoluzione del problema e può essere scaricato da:
http://home.netscape.com/download/
Nel caso foste collegati o foste in procinto di collegarvi ad un server sicuro, una buona prevenzione è quella (come accennato) di cliccare sull’icona del lucchetto di Netscape (in basso a sinistra) e verificare che il certificato proposto sia quello effettivamente corrispondente al sito in cui si è collegati.
Vi ricordiamo che il problema si pone per tutti coloro acquistano via web, chi gestisce siti di e-commerce e e-banking, e tutto ciò è legato a connessioni su protocollo sicuro SSL.
Come riferimenti, Netscape ha pubblicato una “Security Note” riguardo questa vulnerabilità del browser chiamata “The Acros-Suencksen SSL Vulnerability” e reperibile su:
http://home.netscape.com/security/notes/index.html
Per tutti gli amministratori di sistema, leggete questa nota informativa all’indirizzo:
http://www.cert.org/advisories/CA-2000-03.html
Ci sorge un dubbio… che sia la volta di Netscape? Verranno presi di mira loro ora?
Crediamo di no, ma come si dice… “mai dire mai”!