La violazione della fiducia dell’autorità di certificazione espone la vulnerabilità nelle gerarchie di fiducia di Internet

[ware_item id=33][/ware_item]

La violazione della fiducia dell'autorità di certificazione espone la vulnerabilità nelle gerarchie di fiducia di Internet


Alla fine di marzo 2015, si è verificata una grave violazione della sicurezza che ha coinvolto certificati digitali non autorizzati che impersonavano Google. Questo incidente ha implicazioni di vasta portata sul modo in cui le persone comuni decidono su chi fidarsi di Internet.

In questo post, proveremo a spiegare perché questo è importante per gli utenti finali come te.

Cosa è successo, in poche parole

Google ha rilevato falsi di alta qualità dei certificati SSL per i domini Google. I falsi erano così buoni che potevano ingannare la maggior parte dei browser, lasciando che un aggressore impersonasse Google e altri domini, potenzialmente inducendo persino gli utenti a rivelare le loro password. Per fortuna, i falsi esistevano solo in un ambiente di test chiuso.

Il rilascio di tali certificati digitali falsi, anche in un ambiente di prova, dovrebbe essere quasi impossibile, grazie ai rigorosi processi in atto per verificare le identità dei titolari del certificato. Il fatto che ciò sia accaduto è quindi un grosso problema, e significa che può succedere di nuovo, e che probabilmente è già successo prima per altre organizzazioni ma è passato inosservato.

Google risponde aggiornando il proprio browser Google Chrome per non fidarsi più dell'autorità di certificazione specifica coinvolta (chiamata CNNIC); sta rimuovendo i certificati di root della CNNIC dai suoi prodotti. Mozilla (creatore di Firefox) non si fiderà di tutti i nuovi certificati CNNIC fino alla successiva riapplicazione del CNNIC per l'inclusione nel suo archivio principale.

Aggiornamento: ecco cosa succede quando visiti un sito con un certificato SSL valido

Aiuterà ad avere una comprensione di alto livello di ciò che accade quando andiamo su un sito Web usando https e il nostro browser ci mostra un segno di spunta verde o un lucchetto che dice che questo sito è sicuro.

  1. Digiti https://www.google.com nel tuo browser web.
  2. Il tuo browser web accede a una directory pubblica chiamata DNS per cercare quale indirizzo IP dovrebbe usare per contattare google.com.
  3. Il browser Web contatta il server all'indirizzo IP ricevuto dal DNS.
  4. Il server risponde con un certificato SSL.
  5. Il tuo browser web utilizza questo certificato SSL per ottenere due cose molto importanti:
    1. Conferma l'identità del server. In questo caso, conferma che il server è realmente gestito da Google; e
    2. Imposta un canale di comunicazione crittografato, in modo che i dati inviati tra il browser e il server siano crittografati. Chiunque ascolta sulla rete può vedere che stai comunicando con Google, ma non può guardare all'interno dei contenuti della tua comunicazione.

Se il certificato SSL è valido, il tuo browser mostrerà il familiare segno di spunta verde o bloccherà la barra degli indirizzi.

Ah, il lucchetto verde.Ah, il lucchetto verde.

Tuttavia, se un utente malintenzionato è riuscito a indurre il mio browser a contattare un server falso, il browser noterà che il certificato SSL è non valido, e ti mostrerà un avviso di sicurezza.

Ecco cosa succede quando il certificato SSL è un falso di alta qualità (suggerimento: il tuo browser non lo noterà)

Ecco perché l'annuncio di Google è così importante: MCI Holdings è riuscita a creare falsi certificati SSL per Google che erano così realistici da indurre la maggior parte dei browser a pensare che un sito Web su un server falso fosse in realtà Google. Idealmente, ciò non dovrebbe mai accadere. Ma quando lo fa, questo è come sarebbe:

  1. Digiti https://www.google.com nel tuo browser.
  2. Un utente malintenzionato inganna il tuo server DNS per fornirti l'indirizzo IP errato per google.com. Potrebbero farlo sfruttando i bug nel router di casa, altri router nella rete, i bug nel server DNS stesso (in genere eseguito dal proprio ISP) o in altri modi.
  3. Il tuo browser contatta il server falso.
  4. Il server falso risponde con un certificato SSL falso. Tuttavia, il certificato è un falso di così alta qualità che il tuo browser ritiene che sia valido.
  5. Il tuo browser mostrerà il segno di spunta verde o il blocco nella barra degli indirizzi.
    1. Quando il certificato SSL è un falso di alta qualità, non rilevabile, tu e il tuo browser penserete che sia effettivamente GMail ...Quando il certificato SSL è un falso di alta qualità, non rilevabile, tu e il tuo browser penserete che sia effettivamente GMail ...
  6. Digiti il ​​nome utente e la password di Google in un clone di alta qualità di GMail, inviandolo quindi all'attaccante, che ora ottiene il controllo su tutti i tuoi dati di Google, inclusi e-mail, documenti, foto, contatti e qualsiasi altra cosa legata al tuo account Google.

In che modo i browser Web decidono comunque se un certificato SSL è valido??

Ogni sistema operativo, smartphone e browser Web è preinstallato con un elenco di alcune decine di aziende o governi di cui si fiderà automaticamente le firme digitali, se non diversamente configurato (ne parleremo più avanti). Queste società fidate sono denominate autorità di certificazione o autorità di certificazione e devono soddisfare criteri dettagliati per far parte di tale elenco.

Radici del sistema di accesso portachiaviPuoi accedervi andando su Spotlight > Accesso al portachiavi > Radici di sistema.

Se un sito Web presenta un certificato firmato da una qualsiasi di queste autorità di certificazione attendibili, i browser Web lo interpreteranno come "Vedo la firma di questa autorità di certificazione che sono preconfigurata per la fiducia. Ha firmato il certificato di questo server. Ciò significa che ha verificato le persone dietro quel server e ha confermato che sono veramente chi dichiarano di essere. Pertanto, mi fiderò anche di questo certificato e mostrerò il segno di spunta verde o il lucchetto al mio utente ".

Aiuta a considerare le autorità di certificazione analoghe agli organismi di fiducia centrali che rilasciano documenti di identità come passaporti. Quando richiedi un passaporto, devi presentare documenti giustificativi come il certificato di nascita, la patente di guida e una fotografia, e probabilmente dovrai farlo di persona in modo che possano verificare che sei la persona nella tua foto. Quando viaggi, usi il passaporto come documento di identità. Governi, hotel e compagnie aeree confidano che tu sia la persona che il tuo passaporto ti conferma.

Puoi considerare un'autorità di certificazione analoga a un ufficio che rilascia il passaporto e puoi considerare un certificato digitale come una specie di passaporto o documento di identità per un sito Web. I passaporti sono (idealmente) difficili da falsificare e hanno date di scadenza. Allo stesso modo, i certificati digitali dovrebbero (idealmente) essere difficili da falsificare e hanno anche date di scadenza. Passate le date di scadenza, i passaporti e i certificati digitali non sono più validi.

Non possiamo dare per scontato che i nostri browser e computer si fidino

Potresti avere familiarità con alcune delle autorità di certificazione di cui il tuo computer è automaticamente preconfigurato, come Symantec e GoDaddy. Ma sapevi che il tuo sistema operativo o browser probabilmente include certificati di root per organizzazioni remote come l'ufficio postale di Hong Kong, un'organizzazione olandese chiamata Staat der Nederlanden Root CA e vari governi in tutto il mondo? (Se sei curioso, ecco l'elenco delle organizzazioni ritenute affidabili da Firefox).

Il rischio è ciò che accade quando una di quelle autorità di certificazione firma a forgiato certificato da un imitatore per negligenza (che è ciò che sembra essere accaduto con CNNIC / MCS Holdings / debacle di Google), o potenzialmente anche per malizia.

È tempo di riconsiderare la fiducia su Internet?

La fiducia in Internet scorre in modo transitorio. Confidiamo negli sviluppatori dei nostri sistemi operativi e dei nostri browser Web; ci fidiamo di aziende come Google che gestiscono i nostri dati su Internet; e ci affidiamo a diverse autorità di certificazione per verificare attentamente l'identità di vari siti Web e rilasciare certificati SSL solo ai legittimi proprietari.

Il caso dei certificati Google falsi evidenzia l'importanza di rivedere quali autorità di certificazione abbiamo davvero bisogno dei nostri browser di cui fidarci. A seconda di quali siti Web si visitano in genere, il set di autorità di certificazione su cui si fa effettivamente affidamento potrebbe essere molto più piccolo del set pre-attendibile sul computer.

Ecco cosa puoi fare al riguardo:

  1. Prendi in considerazione la possibilità di disabilitare alcuni dei certificati radice preconfigurati sul tuo computer. Ad esempio, se in genere non navighi in siti Web nei Paesi Bassi, è probabilmente consigliabile disabilitare l'autorità denominata "Governo dei Paesi Bassi, PKIoverheid" di cui il tuo browser è attualmente fidato. Suggeriamo inoltre di disabilitare il certificato radice per CNNIC.
  2. Prendi in considerazione la possibilità di impostare Chrome come browser predefinito, poiché Google ha una comprovata esperienza di vigilanza e di pronta risposta alle violazioni.
  3. Segui progetti come il Progetto per la trasparenza dei certificati di Google, che sta creando una soluzione tecnica per notare i certificati falsi più velocemente. Nei prossimi mesi e anni, tali progetti creeranno plugin e miglioramenti ai browser e ai sistemi operativi per risolvere alcuni di questi problemi, ma quelle soluzioni non sono completamente disponibili oggi.
  4. Nel frattempo, ricorda di utilizzare una VPN. Ti protegge da alcuni dei possibili modi in cui un utente malintenzionato potrebbe provare a utilizzare un certificato SSL contraffatto su di te. Ad esempio, la VPN rende molto più difficile per un utente malintenzionato manomettere i risultati DNS.

Ulteriori letture:

Cosa sono le autorità di certificazione & Fidati delle gerarchie? | GlobalSign
Progetto per la trasparenza dei certificati di Google

La violazione della fiducia dell'autorità di certificazione espone la vulnerabilità nelle gerarchie di fiducia di Internet
admin Author
Sorry! The Author has not filled his profile.