lunedì 5 settembre 2011

Diginotar: un nuovo passo verso la cyberwar

Un po' forte come titolo ma vediamo quali sono le ragioni che mi portano a questa riflessione.

Prima di tutto il punto della situazione.

Nei giorni scorsi si è scoperto che una certification authority olandese, Diginotar, era stata "bucata" e che era stato prodotto almeno un  certificato falso intestato a Google.com. Poi, pian piano, sono emersi altri particolari e si è capito che i certifcati erano senz'altro più di uno. Microsoft ha rilasciato un bolletino speciale e ha ritirato Diginotar dalla lista dei certificatori presenti in IE. Stessa cosa hanno fatto Google con Chrome e Mozilla con Firefox (aggiungendo che  Diginotar era bandita per sempre dai loro browser) ma non ancora, incredibilmente, Apple con Safari.

Ieri si è avuta la lista completa dei certificati falsi generati con l'utilizzo di della CA Diginotar. Leggendola vengono i brividi... una lista di oltre 530 certificati falsi che comprende di tutto: Facebook, Google, Microsoft, Yahoo!, Tor, Skype, Mossad, CIA, MI6, LogMeIn, Twitter, Mozilla, AOL e WordPress, solo per citarne alcuni dei più importanti.

Un disastro. Tanto che si è mosso addirittura il ministro olandese degli interni con una conferenza stampa in cui ha annunciato la revoca ufficiale della fiducia verso Diginotar come CA governativa.
Infatti, una delle due linee di servizi di Diginotar ("PKIoverheid") era focalizzata sui servizi di e-gov e le evidenze hanno mostrato che non si poteva più ritenere ancora affidabile questa CA.

Ieri sera quindi un interessantissimo post di Securelist metteva in evidenza questo episodio come più importante e grave di quanto non sia stato Stuxnet.

Ma perchè tutto questo clamore? Fondamentalmente perchè con questi certificati si possono effettuare attacchi del tipo "man in the middle" e ingannare gli utenti facendoli collegare a finti siti o intercettandone le comunicazioni senza che ne abbiano alcun sentore. Data la lista dei certificati falsi, che includono social network, software house e varie agenzie di intelligence la cosa diventa oltremodo preoccupante.

Oggi, dopo una serie di speculazioni, è arrivata una presa di posizione ufficiale di Trend Micro che, tramite l'analisi della propria rete di sensori, è arrivata a stabilire che il fine di questo attacco sia il monitoraggio delle attività Internet dei cittadini iraniani aggirando i sistemi anticensura che permettono ai dissidenti di collegarsi all'estero con relativa sicurezza.

Tenendo presente che i certificati falsi, oltre a consentire di ingannare i browser, potevano anche consentire di installare software malevolo con firme digitali apparentemente validate, il livello di attenzione per questo attacco è veramente altissimo.

Ecco perchè, dopo Stuxnet e la dimostrazione patente che con un codice informatico si poteva mettere fuori uso una infrastruttura critica altrimenti difficilmente attaccabile, questo nuovo attacco dimostra come sia possibile compromettere la sicurezza delle comunicazioni e degli approcci di e-gov basati sui certificati digitali.

Speriamo che questa rapida scalata verso le dimostrazioni di fattibilità degli attacchi militari nel cyber spazio abbia una pausa che permetta a chi di dovere di studiare il modo di gestire queste situazioni senza sfociare in un vero e proprio conflitto armato.

4 commenti:

Andrea Zapparoli Manzoni ha detto...

Ciao Matteo, concordo con te pienamente.

L'attacco a DigiNotar rappresenta una importante escalation verso una situazione di vero e proprio far-west, ed io lo considero un "last call" per governi, imprese e addetti ai lavori.

Se venisse meno il trust nel sistema delle CA e nel concetto stesso di PKI, (il che manderebbe in fumo un discreto numero di business, qualche punto di GDP mondiale), non potendo più fidarsi di nessuno diventerebbe impossibile separare i "buoni" dai "cattivi", il che provocherebbe un "terremoto" planetario con conseguenze ad oggi difficili da immaginare.

La cosa che mi inquieta di più è che non esiste un piano "B". Abbiamo messo tutte le nostre uova in un solo cestino...

Matteo Cavallini ha detto...

Ciao Andrea è un piacere ricevere un tuo commento!

Eh già la situazione è proprio questa, oltretutto come emerge chiaramente dal report preliminare di Fox-IT (che ha effettuato un'analisi dell'attacco e della gestione dello stesso da parte di Diginotar) la situazione è sconsolante. Pensare che il trust su Internet è affidato a società come queste è davvero un pensiero sgradevole. Se poi pensiamo che, al mondo, esistono circa 600 CA come Diginotar, vengono seri dubbi sulla possibilità di evitare gravi incidenti di sicurezza.

Insomma proprio un bel pasticcio...

CsOneRT ha detto...

Buongiorno, concordo con entrambi che il "pasticcio" è molteplice e diffuso, inoltre vorrei portare l'attenzione su un altro dettaglio che ho letto in giro "The Dutch government has taken control of DigiNotar".
Non ho trovato molti dettagli in più, ma detta così sembrerebbe che il governo olandese abbia preso in mano la situazione (e l'azienda) per la sicurezza nazionale.
Un po come, guidi in stato di ebrezza a 250kmh e ti ritiro la patente e ti sequestro/confisco la vettura.

Avete ricordo in passato di governi che hanno preso decisioni similari?

Matteo Cavallini ha detto...

Ciao Riccardo, benvenuto anche a te!

Facendo un po' "ricerchine" ho trovato che:
"On 3 September, the Dutch government has taken over operational management of the DigiNotar systems that are used for certificates. The systems will be closely monitored to prevent any subsequent abuse. This monitoring will be done during the period of transition and is to be gradually reduced."

Questa frase è estratta da un documento che esprime la posizione ufficiale del govcert.nl.

Effettivamente mi sembra una posizione molto forte ed autorevole, non so quanto replicabile in altri contesti... nel nostro, in particolare, mi sembra del tutto improponibile.

Ciao e grazie per l'"input"

Posta un commento

http://www.wikio.it