DigiNotar ha perso 531 certificati SSL, altro che 200

Il caso dei certificati digitali trafugati dalla compagnia olandese DigiNotar diventa sempre più preoccupante. Se inizialmente si parlava di pochi certificati SSL (secure socket layer) adesso pare che il numero abbia raggiunto quota 531. Gervase Markham, uno degli sviluppatori Mozilla che si sta occupando di aggiornare Firefox per far fronte al problema, ha confermato che si tratta di certificati correlati non solo a Microsoft, Yahoo, Skype, Facebook, Twitter e Windows Update ma anche alla CIA, MI6 e Mossad. 

"Adesso che qualcuno (presumibilmente in Iran) ha ottenuto un certificato HTTPS legittimo per CIA.gov, mi domando se il governo statunitense presterà attenzione a questo pasticcio", ha dichiarato l'analista Christopher Soghoian.

Certificati SSL a rischio

In queste ultime settimane non a caso Trend Micro ha scoperto che il dominio validation.diginotar.nl, che viene usato dai browser Internet per controllare l'autenticità dei certificati SSL emessi dalla Diginotar, è stato oggetto di un volume di traffico iraniano quanto mai anomalo. 

"Queste statistiche aggregate, estratte dallo Smart Protection System di Trend Micro, indicano chiaramente come gli utenti Internet iraniani siano stati esposti a un attacco MITM di grandi dimensioni che ha permesso a qualcuno di decifrare il traffico SSL crittografato. Per esempio, qualcuno è stato probabilmente in grado di leggere tutte le comunicazioni scambiate da un utente iraniano attraverso il suo account Gmail", sostiene Trend Micro nel suo comunicato ufficiale.

"Un'analisi più approfondita dei dati rivela una situazione ancora più allarmante: abbiamo notato come i proxy di uscita di un software anti-censura sviluppato in California inviassero richieste relative a validation.diginotar.nl ai cloud server di Trend Micro. Molto probabilmente i cittadini iraniani che utilizzavano quel particolare software anti-censura sono stati vittime dello stesso attacco MITM. Il software avrebbe dovuto proteggerli, ma in realtà le loro comunicazioni cifrate sono state probabilmente intercettate da qualcun altro".

DigiNotar ha già confermato di aver revocato tutti i certificati fraudolenti, ma sembra non essere abbastanza perché l'allarme mondiale non è ancora rientrato. Il pericolo di attacchi "man-in-the-middle" è ancora alto: nello specifico si parla del rischio di accedere a siti rilevati come legittimi dai browser e in verità trappole per l'intercettazione di dati.

Google e Mozilla hanno reagito prontamente bloccando subito i certificati SSL trafugati, ma dei 200 della settimana scorsa adesso se ne sono materializzati altri 331. E la situazione in Olanda è talmente delicata che il Ministro degli Interni ha dichiarato che il Governo al momento non può garantire la sicurezza dei propri siti per quanto avvenuto. 

Stando a quanto riporta Johnathan Nightingale, responsabile di Firefox engineering, DigiNotar ha commesso una serie di errori e leggerezze senza precedenti. Non ha coinvolto subito gli sviluppatori di browser, non ha individuato esattamente i certificati fraudolenti e sopratutto ha tentato sempre di minimizzare.

Non si esclude però che la società olandese sia stata colpita da ben due attacchi che hanno avuto effetto in momenti diversi: il primo a luglio, il secondo successivamente – ecco quindi una potenziale spiegazione per l'incremento di certificati fraudolenti.

La nota di colore è che DigiNotar è praticamente data per spacciata come azienda. Secondo WhiteHat Security tutto quel che sta succedendo è a tutti gli effetti "una sentenza di morte per le sue attività". E senza neanche tirare in ballo la compromissione del suo sistema di sicurezza avvenuta nel maggio 2009, scovata in questi giorni da F-Secure.