Il Gruppo Comodo, una delle prime società di sicurezza Internet, è stato attaccato il mese scorso da un motivato gruppo di patriottici hacker iraniani, che si sono infiltrati nel suo sistema di sicurezza sfruttando alcune società clienti, per così minacciare la sicurezza di grandi aziende del Web. Ma la falla di sicurezza riguarda tutte le società che rilasciano certificati SSL.
Il problema non è limitato appunto alla sola Comodo, il cui guaio sembrava commissionato dal Governo iraniano. Si è invece messo in luce che il problema è strutturale e globale e minaccia il commercio sul Web.
La crittografia utilizzata da molti siti Web, per prevenire intercettazioni delle loro transazioni con gli utenti che fanno acquisti, non è quindi così sicura come si credeva fino al mese passato.
Questa “tecnologia sicura” è attivata quando gli indirizzi web iniziano con “https” (in cui “s” sta per sicuro) e l’icona di un lucchetto chiuso appare sul browser. Questi siti web sicuri utilizzano “garanzie” di società terze, come la Comodo, che fornisce i “certificati” di autenticità ai browser stessi.
Il problema è nato con la numerosa proliferazione di società autorizzate al rilascio di certificati di autenticità. E come se non bastasse gli stessi browser di Microsoft, Mozilla, Google ed Apple hanno permesso questa proliferazione senza nessun controllo accettando facilmente questi certificati.
Si è creata negli anni una sorta di “catena di fiducia” tra Enti pubblici, società private e società che rilasciano i certificati SSL, con pochi controlli. Catene che diventano anche molto lunghe, e che arrivano al certificato finale senza sapere chi era e qual era il richiedente iniziale. Il danno è fatto. Ovvero nel Web circolano molti certificati che i browser riconoscono come autentici, e quindi affidabili, e l’utente si sente così sicuro per la presenza del “lucchetto di fiducia”, proseguendo ignaro nella potenziale trappola.
La Electronic Frontier Foundation, un gruppo impegnato per le libertà civili, ha esplorato questo sistema di certificazione alla ricerca di gruppi in grado di emettere certificati SSL. E ha scoperto, a dicembre, che le società in grado di lasciare certificati e firme elettroniche erano 676 ! Ma per molti esperti questo numero è ben sotto quello davvero operante nella rete globale.
Se gli hacker riescono ad infiltrarsi nei sistemi di sicurezza di Governi che controllano società autorizzate al rilascio di certificati di autenticità, possono creare certificati “tarocchi” validissimi.
Per gli esperti è quindi giunto il momento di rivedere tutto il sistema, anche se il settore tecnologico interessato non sembra capace di accordarsi sul procedere.
“Non è stato percepito come un problema abbastanza grave che ha bisogno di essere risolto velocemente. Questo è un campanello d’allarme importante“, ha detto Stephen Schultze, direttore associato del Center for Information Technology Policy della Princeton.
Nel caso di Comodo, gli hacker si sono infiltrati nel sistema informatico di un suo cliente italiano e ha usato queste credenziali per accedere al sistema di Comodo, creando così certificati validi ed autentici per i siti Web gestiti da Google, Yahoo, Microsoft, Skype e Mozilla. Comodo è così dovuta intervenire revocando le firme di questo rivenditore italiano e anche di uno europeo (senza specificare altro).
A questo punto è chiaro che gli hacker disponendo di certificati validi riescono a camuffarsi e a farsi riconoscere da server di posta, sistemi bancari, ecc.
Con spavalderia l’hacker che ha colpito Comodo ha inviato messaggi email a tutti, rivendicando il suo operato in risposta al virus worm Stuxnet creato dagli occidentali per danneggiare gli impianti nucleari iraniani. Per la cronaca l’hacker dice di aver agito da solo e di essere uno studente di ingegneria esperto di crittografia. Inoltre dichiara, nei suoi messaggi di rivendicazione, che utilizzerà questi certificati per spiare gli oppositori del regime degli ayatollah.
Il sistema certificazione è stato creato agli albori del commercio elettronico nei primi anni ’90, prima che la sicurezza informatica fosse una questione davvero importante.
Gli esperti di sicurezza ritengono che il sistema oggi non sia all’altezza delle richieste e che era stato progettato sostanzialmente per le transazioni bancarie e non per autenticare siti Web.
Lo strumento di difesa a disposizione delle società, come la Comodo e dei produttori di browser, è per ora la revoca del certificato, che però sarebbe poco efficace.
Microsoft, Google e Mozilla si sono affrettate a far “pulizia” nei propri database, ma questa operazione potrebbe addirittura bloccare la navigazione stessa, perché ogni singolo browser non riconoscerebbe e certificherebbe quindi le liste altrui e gli utenti non saprebbero più riconoscere avvisi di siti Web autentici o tarocchi.
Nemmeno escludere di colpo la validità dei 95100 certificati autenticati e rilasciati dalla Comodo sarebbe la soluzione, perché di colpo quasi 100 mila siti Web verrebbero classificati come insicuri.
La soluzione preferita dagli esperti sarebbe quella di rivedere l’intero sistema, lasciando anche ai siti Web un controllo parziale nella creazione del certificato di sicurezza, con sistema di crittografia rivisto e potenziato, e un nuovo sistema di rilascio dei nomi dei domini con funzione di autorità centrale di certificazione.
Fonte: NYT