Microsoft torna sulla questione dei certificati digitali fasulli

Un hacker iraniano ha deciso di far sentire nuovamente la sua voce. Con un post pubblicato sul servizio pastebin, l’aggressore ha rivendicato l’attacco sferrato a luglio nei confronti della “certification authority” (CA) olandese DigiNotar. “Chiedete ragguagli, agli amministratori di DigiNotar, circa la seguente combinazione di nome utente e password“, ha scritto l’hacker spiegando di essere già in grado di accedere ad ulteriori quattro CA “di alto profilo” e di possedere quindi gli strumenti per emettere nuovi certificati digitali fraudolenti. Mikko Hypponen, chief research officer presso la finlandese F-Secure, ritiene che il messaggio apparso su pastebin sia veritiero.

Secondo il resoconto pubblicato dalla società di consulenza Fox-IT, trasmesso alle autorità olandesi, la rete e le procedure adottate da DigiNotar non erano considerabili come “sufficientemente sicure” e, quindi, inadeguate alla prevenzione di eventuali attacchi informatici. “Il software installato sui server web pubblici era obsoleto e non patchato. Sui server oggetto d’investigazione non era nemmeno presente una soluzione antivirus“, sostengono gli esperti di Fox-IT.

Da parte sua, Microsoft ha dichiarato che i certificati digitali generati dall’aggressore non potranno comunque essere sfruttati per veicolare malware agli utenti che ricorrono al servizio Windows Update (alcuni dei documenti fasulli che sono stati emessi riguardano proprio i domini windowsupdate.com, update.microsoft.com e *.microsoft.com). “Gli aggressori non possono essere in grado di impostare un certificato Windows Update fraudolente che possa essere sfruttato per installare malware attraverso i server di Windows Update“, ha dichiarato Jonathan Ness, uno degli ingegneri del Microsoft Security Response Center (MSRC). “Il client di Windows Update installa solamente i file binari che sono firmati con il reale certificato root di Microsoft: esso viene emesso solo dalla nostra azienda“, ha spiegato.

Non è solamente Microsoft a firmare i suoi aggiornamenti con un certificato digitale separato: anche Apple, ad esempio, ha seguito la medesima strada.

I certificati digitali prodotti illecitamente dall’aggressore possono essere utilizzati da parte dei criminali informatici per condurre attacchi del tipo “man-in-the-middle” (MITM). Persuadendo l’utente di visitare un sito web legittimo, il malintenzionato – grazie all’impiego del certificato fraudolento – avrà la possibilità di “spiare” il traffico di rete estrapolando informazioni personali e dati sensibili in transito sulla connessione cifrata.
Si tratta di un attacco estremamente subdolo dal momento che quelli che noi stessi chiamiamo “certificati fasulli” sono, putroppo, tecnicamente autentici perché emessi da una CA riconosciuta. Ad oggi, infatti, tutti i browser web – nell’attuale modello di fiducia – considerano validi i certificati rilasciati da parte di qualunque nota autorità.

Microsoft ha aggiunto la sua voce al coro di critiche nei confronti di DigiNotar evidenziando la serietà della situazione e, muovendosi nella medesima direzione di Google e Mozilla, ha annunciato il blocco di tutti i certificati digitali della CA olandese, compresi quelli impiegati dal governo dell’Aia.

Secondo l’indagine di Fox-IT, tra il 27 luglio ed il 29 agosto scorsi, circa 300.000 indirizzi IP avrebbero visitato siti web che veicolavano falsi certificati digitali *.google.com. Risultato? Gli aggressori sarebbero stati in grado di monitorare le informazioni contenute negli account Gmail di migliaia e migliaia di cittadini iraniani. “Utilizzando il cookie di autenticazione di Gmail“, hanno dichiarato i tecnici di Fox-IT, “il malintenzionato diventa così in grado di effettuare un login diretto alla casella di posta elettronica dell’utente e leggere tutte le e-mail in essa conservate“. Il medesimo approccio può essere sfruttato per guadagnare l’accesso a servizi quali Google Docs o Google Latitude.
In questo video, Fox-IT mostra come la maggior parte delle richieste del certificato fraudolento *.google.com abbiano avuto origine dall’Iran.

Altre informazioni sull'”affaire” DigiNotar sono disponibili in queste pagine.