978 The Tailor and the Two Zen Masters, Multi-subtitles
Sommario:
Come consumatori, ci è stato insegnato a fidarsi dell'icona del lucchetto che appare sulla barra degli indirizzi dei nostri browser. Ci è stato detto che è un segno che la nostra comunicazione con un sito Web è sicura. Ma un incidente di questa settimana che coinvolge Google e una società di sicurezza turca smentisce questa idea.
La società, TurkTrust, ha rivelato questa settimana che nell'agosto 2011 ha accidentalmente emesso due chiavi principali a due "entità". Le chiavi master, che sono chiamate certificati intermedi, consentono alle entità di creare certificati digitali per qualsiasi dominio su Internet.
I certificati digitali sono in realtà chiavi di crittografia utilizzate per verificare che un sito Web sia quello che dice di essere. Il certificato per la tua banca, ad esempio, verifica che il tuo browser stia effettivamente parlando con la tua banca quando effettui operazioni bancarie online.
[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]I certificati sono utilizzati per crittografare anche le informazioni tra te e un sito web. Questo è ciò che significa il lucchetto verde nella barra degli indirizzi del browser. Il browser sta comunicando con il sito web utilizzando Secure Sockets Layer, dopo averne verificato l'autenticità.
Un malintenzionato di Internet con un certificato fittizio che può intercettare le comunicazioni tra te e un sito Web affidabile può ingannare il tuo browser facendogli credere che stia comunicando con il sito attendibile e dirottare la tua comunicazione. Si chiama "l'uomo nell'attacco centrale" perché il ladro si trova tra te e il sito attendibile.
Errore risolto, il problema continua
L'errore di TurkTust è stato scoperto da Google alla vigilia di Natale da una funzionalità che ha nel browser Chrome piattaforma che solleva una bandiera rossa su Google quando qualcuno tenta di utilizzare la piattaforma con un certificato non autorizzato.
Dopo aver scoperto il problema del certificato, Google ha informato TurkTrust della situazione, oltre a Microsoft e Mozilla, che hanno modificato tutte le piattaforme del browser per bloccare i rogue certificates creati con l'autorità di certificazione intermedia.
Questo snafu certificato è solo l'ultimo segno che il sistema esistente di emissione di certificati digitali ha bisogno di essere riparato. Nel marzo 2011, ad esempio, una società affiliata all'autorità emittente dei certificati Comodo è stata violata e nove certificati fasulli emessi.
Più avanti nell'anno, gli hacker hanno violato un'autorità di certificazione olandese, DigiNotar, e rilasciato dozzine di certificati falsi, tra cui uno per Google. La ricaduta di quell'incidente mise la società fuori dal mercato.
Ricercato: sicurezza di nuova generazione
Sono state presentate diverse proposte per affrontare i problemi di sicurezza relativi ai certificati.
C'è la convergenza. Consente a un browser di ottenere una seconda opinione su un certificato da una fonte scelta da un utente. "È un'idea geniale, ma non appena entri in una rete aziendale e sei dietro un proxy o dietro un traduttore di rete, può rompersi", ha detto in un'intervista Chet Wisniewski, un consulente di sicurezza di Sophos.
C'è DNSSEC. Utilizza il sistema di risoluzione dei nomi di dominio, il sistema che trasforma i nomi comuni dei siti Web in numeri, per creare un collegamento affidabile tra l'utente e il sito web. Non solo il sistema non è facile da capire, ma l'implementazione potrebbe richiedere anni.
"Il problema con DNSSEC è l'implementazione di una nuova tecnologia e un aggiornamento coordinato dell'infrastruttura prima di poterne trarre vantaggio", ha affermato Wisniewski. "Con i tassi di adozione che abbiamo visto finora significa che non avremo una soluzione per dieci o 15 anni. Non è abbastanza buono."
Sono anche proposte due tecniche di "pinning": Public Key Pinning Estensione per HTTP e Trusted Assertions per Certificate Keys (TACK), che sono simili.
Consentono a un sito Web di modificare un'intestazione HTTP per identificare le autorità di certificazione di cui si fida. Un browser memorizza tali informazioni e stabilisce solo una connessione a un sito Web se riceve un certificato firmato da un'autorità di certificazione attendibile dal sito Web.
Secondo Wisniewski, le proposte di pinning sono le più probabilmente adottate per risolvere il problema del certificato. "Potrebbero essere adottati in breve tempo", ha detto. "Consentono alle persone che vogliono approfittare della sicurezza avanzata di farlo subito, ma non infrange alcun browser esistente che non viene aggiornato."
Qualunque sia lo schema che i produttori di browser adottano per affrontare il problema del certificato, devono fallo presto Altrimenti, snafus continuerà a proliferare e la fiducia su Internet potrebbe essere irreparabilmente danneggiata.
Avvisi sui certificati di sicurezza Non funzionano, i ricercatori dicono
I ricercatori di Carnegie Mellon sostengono che gli utenti ignorano in gran parte le avvertenze "certificato non valido" che i browser a volte vengono visualizzati.
I difetti delle app di iPhone Citi sollevano questioni di sicurezza mobile
I problemi di sicurezza con l'applicazione bancaria Citigroup per iPhone illustrano la crescente necessità di amministratori IT più vigile su app difettose e potenziali rischi con dispositivi mobili come smartphone e tablet.
RCC o certificato root controlla i certificati radice di Windows per voci non autorizzate e non autorizzate. Questo scanner esegue la scansione dell`archivio certificati root di Microsoft e Firefox.
I certificati radice sono il livello principale di certificazioni che indicano a un browser che la comunicazione è autentica. Se c`è un problema nell`identificare l`autorità che rilascia il certificato o se la chiave pubblica è scaduta o corrotta, verrà visualizzato un messaggio che dice