• SSL Spoofing: il bug Microsoft rimane ancora senza patch

    security_lock.jpg

    A distanza di parecchio tempo dalla conferenza Black Hat 2009 tenuta a luglio da Moxie Marlinkspike, Microsoft non ha ancora rilasciato una soluzione per il problema legato allo spoofing dei certificati SSL.

    L’hacker è infatti riuscito a dimostrare come sia virtualmente possibile falsificare i certificati per qualsiasi sito Web su Internet.

    La vulnerabilità riguarda l’interfaccia CryptoAPI di Microsoft e di conseguenza interessa tutti i software (e sono molti) che ne fanno uso, a partire da Internet Explorer fino a Safari e Google Chrome.

    Marlinkspike ha affermato che tutti i programmi che su Windows utilizzano questa API sono vulnerabili a questo attacco SSL: basterebbe un solo certificato falso per mettere in pericolo la sicurezza degli utenti.

    Il bug fa si che i browser interessati come Internet Explorer, Safari e Google Chrome non mostrino alcun warning nell’accedere ad un sito fraudolento che usa il certificato falsificato.

    Mozilla Foundation ha corretto il bug in Firefox (che non usa CryptoAPI) pochi giorni dopo la presentazione alla conferenza Black Hat.

    Il bug di per sé risiede nella modalità con cui browser, client email e altri programmi SSL-enabled ignorano tutti i caratteri dopo il carattere speciale , che nei linguaggi come il C viene utilizzato come terminatore di stringa.

    Alcuni tra gli enti che rilasciano i certificati controllano che l’intero dominio contenga o meno il carattere null.

    Questo consentirebbe ad un attaccante di ottenere un certificato per un sito Web di cui è proprietario modificando il campo CN (Common Name).

    Marlinspike nel PDF della presentazione fa una serie di esempi utilizzando il proprio sito Web (thoughtcrime.org) come dominio legittimo e siti come Paypal o Bank of America come target.

    www.bankofamerica.comthoughtcrime.org

    Questo è un semplice esempio che prende di mira il sito della Bank of America.

    Per altri esempi e una spiegazione più dettagliata si rimanda al paper della presentazione.

    Sempre riguardo questo tipo di vulnerabilità un altro hacker Jacob Appelbaum ha pubblicato martedì 29 settembre un esempio di “certificato “wildcard”. Utilizzando le osservazioni di Marlinkspike ha creato un certificato in grado di ingannare le vecchie versioni della libreria Network Security Services consentendo l’autenticazione su qualsiasi sito Internet.

    Nonostante il bug sia già stato corretto in NSS, e quindi anche in Firefox, i due hacker mettono in guardia circa la possibilità che in circolazione ci siano ancora molti software che fanno affidamento su vecchie versioni della libreria e quindi completamente vulnerabili all’attacco.

    Non è ancora chiaro quanto il bug che riguarda la libreria Microsoft verrà patchato, certo è che una soluzione è necessaria il prima possibile vista la serietà del problema e i risvolti che potrebbe avere ad esempio in attacchi di phishing e similia.

    Se vuoi aggiornamenti su SSL Spoofing: il bug Microsoft rimane ancora senza patch inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Piero dice:

      >> Non è ancora chiaro quanto il bug che riguarda la libreria Microsoft verrà patchato…

      Questo è indice di molta poca professionalità. Ci si può prendere tutto il tempo che serve ma i tempi massimi di risoluzione dovrebbero essere prestabiliti, magari in base an un valore di criticità della vulnerabilità, e i clienti dovrebbero conoscere questi tempi.

    2. Probabilmente devono andare a toccare il core delle API e questo sicuramente può provocare ritardi nel tentare di riscrivere la parte di codice incriminato rischiando di non influire sul funzionamento dei programmi che ruotano attorno alle CryptoAPI.
      La mancanza di tempistiche sicuramente è segno di poca professionalità considerando che sono passati più di due mesi e ancora non si ha un’indicazione anche di massima di quando uscirà la patch.
      Da notare inoltre che a differenza di Microsoft, Mozilla ha rattoppato la libreria NSS in pochi giorni (primi di agosto) per problemi analoghi.
      Magari la “posizione” del bug non era la stessa ma di certo tutto questo influisce enormemente sulla sicurezza dell’utente finale.
      Oltre ai browser penso anche ai prodotti vpn potenzialmente vulnerabili.

    3. emmebì dice:

      Sbaglio oppure tutto ciò implica “semplicemente” che utilizzare IE, tra l’altro, per le operazioni di home banking è pericolosamente a rischio?

      Se così fosse, mi parrebbe sconsiderato il comportamento della vecchia signora m$.

    4. Anche con Chrome e Safari tecnicamente sono insicuri perchè usano CryptoAPI.
      Gli unici sicuri al momento dovrebbero essere Firefox (dopo la correzione a NSS) e anche Opera che dovrebbe utilizzare una proprio implementazione.

    5. Errata corrige: c’è un “con” in più nella prima frase e un “proprio” che è “propria” nell’ultima ;-)

    Commenta

    Your email address will not be published. Required fields are marked *