06 set 2011

Diginotar ecc.

Adesso l'hanno tolto veramente. "Microsoft revokes DigiNotar certificates from Windows, Mac users still vulnerable". Un passo indietro: vulnerabili a che che tipo di attacco? E' spiegato qui. In breve, sono stati emessi dei certificati digitali fasulli a nome di Google: in questo modo, e' possibile non solo creare un sito falso identico a quello, ad esempio, di Gmail, ma anche fare in modo che la sessione HTTPS sia del tutto valida, aumentando ulteriormente la probabilita' di riuscire a ingannare l'utente, per poi rubargli la password e quant'altro possibile.


In effetti adesso Microsoft ha reso disponibile l'aggiornamento:


Ma cosa fa questo aggiornamento? Come spiega la descrizione, inserisce i certificati di Diginotar (la Certificate Authority che ha firmato i certificati falsi) nel Microsoft Untrusted Certificate Store, cioe' nella lista -inclusa in Internet Explorer- di certificati di cui non fidarsi. Da notare, ancora, come la stragrande maggioranza degli utenti non utilizzi lo strumento (le CRL) appositamente pensato per gestire questi casi, ma dipenda dalle tempistiche di aggiornamento dei vari vendor.




Chrome dovrebbe essere a posto, in quanto usa gli stessi certificati di IE.


Come fa notare Sophos, gli utenti Mac sono ancora vulnerabili, visto che Apple non ha rilasciato un aggiornamento contenente il certificato revocato.


La cosa piu' triste di tutto cio' e' che gli utenti Mac non possono farci niente. Per due ragioni: la prima, perche' -almeno sul mio Mac- le impostazioni disponibili per il controllo delle CRL (sotto Keychain Access -> Preferences -> Certificates) sono solo "Off" (il default :-( )e "Best Attempt" (non mi spiego come mai "Require if Cert Indicates" e "Require for All Certs" non siano selezionabili); la seconda, perche' entrambe le CRL (1 e 2) menzionate nei certificati Diginotar sono, fondamentalmente, vuote.





1 commento:

Ljsilver ha detto...

Entra in keychain, cerca diginotar, doppiocliccalo e segnalalo come never trust. Riavvia Safari e fine. Dalla prossima volta che entri su un sito dove ci sono certificati diginotar ti verrà segnalato che è untrusted. Ok è un workaround ma nell'attesa della patch funziona.