Adobe: trafugato un certificato digitale. Quali i rischi?

È Adobe stessa a lanciare l’allarme: dei pirati informatici sono riusciti a guadagnare l’accesso ad uno dei server della società. Tale macchina, a sua volta, aveva accesso ai certificati digitali utilizzati dalla società per firmare i suoi prodotti software. I rischi? Elevatissimi a questo punto. Qualche aggressore potrebbe infatti sfruttare i certificati di Adobe per firmare digitalmente dei componenti malware con l’intento di farli apparire come delle applicazioni assolutamente legittime. Gli utenti, così come il sistema operativo, solitamente “abbassano la guardia” quando hanno a che fare con programmi che portano la firma digitale di un’azienda famosa e riconosciuta.

“Abbiamo ricevuto due utilità malevoli che appaiono firmate digitalmente utilizzando un certificato valido di Adobe“, si fa presente dalla società con una nota. “(…) Stiamo procedendo con la revoca del certificato e con la pubblicazione di alcuni aggiornamenti destinati ai software Adobe che fanno uso di tale certificato“. Stando a quanto dichiarato dai tecnici dell’azienda di Shantanu Narayen, la revoca del certificato dovrebbe divenire operativa a partire dal prossimo 4 ottobre. L’indicazione della revoca sarà inserita nella CRL (“Certificate Revocation List“) mantenuta da VeriSign e Microsoft dovrebbe a stretto giro attingervi in modo da aggiornare l’elenco dei certificati automaticamente bloccati da parte di Windows (così facendo, un’applicazione che utilizzasse il certificato di Adobe sarà immeditamente riconosciuta come fraudolenta).

Il tema legato all’utilizzo dei certificati digitali resta quindi di grande attualità (vedere l’articolo Certificati digitali: come vuole gestirli Google. I problemi).
“L’utilizzo degli algoritmi basati su PKI ha da sempre come punto critico la bontà della fonte“, ha osservato Marco Giuliani, direttore della società di sicurezza italiana ITSEC. Riferendosi alla cosiddetta “infrastruttura a chiave pubblica” (PKI; vedere questa pagina), Giuliani ricorda come alcuni software di sicurezza si basino sulla presenza di una firma digitale valida per accertare la bontà di un eventuale software scaricato da Internet “non prendendo tuttavia in considerazione il fatto che la stessa firma digitale possa essere stata illegalmente trafugata oppure che il computer degli sviluppatori del prodotto possa essere stato attaccato e compromesso. Ecco perché la firma digitale è sì un fattore che aumenta il livello di sicurezza ma non fornisce nessuna garanzia definitiva sulla eventuale genuinità di un prodotto. Il controllo da parte delle società dei propri certificati digitali dovrebbe essere rigoroso, cosa che invece purtroppo spesso non è. I certificati digitali sono per una software house quasi l’attestato di affidabilità a livello mondiale nei confronti del mondo digitale. Prendere sotto gamba questo fattore rischia di minare alla base il concetto dell’intera infrastruttura PKI“.

La presenza della firma digitale offre certamente un buon punto di partenza per verificare la legittimità di un software ma, in definitiva, non è possibile prescindere dall’utilizzo di una buona soluzione per la sicurezza che effettui autonomamente un controllo approfondito sul contenuto del file preso in esame e sul suo comportamento una volta eseguito.