Aruba, come rendere Internet più affidabile: certificati SSL e HTTPS

I certificati SSL sono usati su milioni di siti web per garantire sicurezza e riservatezza delle transazioni online. Tuttavia, ci sono alcuni problemi che possono verificarsi con la loro distribuzione che causano la visualizzazione di messaggi di errore. Gli errori di connessione SSL si verificano quando si tenta la connessione a un sito web e il browser (client) non è in grado di stabilire una connessione sicura al server del sito. Sarà capitato a molti di notare, a partire da gennaio, un messaggio di avvertimento, che i browser Chrome e Firefox hanno iniziato a mostrare nella barra dell’indirizzo proprio accanto al dominio, che identifica i siti che non utilizzano il protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer): “connessione non sicura”.

Giubileo a prova di hacker: da ESET un decalogo per navigare sicuri

Il Giubileo della Misericordia è a prova di hacker con i consigli di ESET®. Il primo gennaio 2016 Papa Francesco ha aperto la Porta Santa della quarta e ultima basilica papale, Santa Maria Maggiore. L’8 dicembre 2015 è stata aperta quella di San Pietro, il 13 dicembre a San Giovanni e a San Paolo. Secondo il Censis*, saranno trentatrè milioni i visitatori che arriveranno a Roma nel corso dell’Anno Santo (erano stati 25 milioni per il Grande Giubileo del 2000). Si tratta di uno straordinario flusso di turisti e pellegrini provenienti da tutto il mondo, che faranno un ampio utilizzo dei propri computer e dispositivi mobili nei luoghi di pellegrinaggio, negli hotel e nei principali punti di interesse della città.

Heartbleed: siti Web a rischio validità, cambiare password non basta

Gli sforzi per risolvere il famigerato Heartbleed bug nel software di crittografia OpenSSL, minacciano di causare gravi perturbazioni su Internet nel corso delle prossime settimane, appena le aziende correranno a riparare i sistemi di crittografia su centinaia di migliaia di siti Web allo stesso tempo, dicono gli esperti di sicurezza. Le stime della gravità del danno del bug hanno montato quasi quotidianamente da quando i ricercatori hanno annunciato la scoperta di Heartbleed la scorsa settimana. Quello che inizialmente sembrava un problema scomodo di cambiare le password di protezione ora appare molto più grave.

Microsoft Patch Day di gennaio: sette aggiornamenti correggono 12 bug

In occasione del primo patch day dell'anno 2013, Microsoft ha distribuito 7 nuove correzioni di sicurezza: di queste, due sono indicate come "critiche" e cinque "importanti". Come pubblicato nella notifica preventiva di sicurezza, gli aggiornamenti di sicurezza sono destinati alla risoluzione di dodici bug presenti in Windows, nel .NET Framework, nel pacchetto Office, nelle applicazioni server del sistema operativo ed in alcuni strumenti per lo sviluppo. Cinque dei sette aggiornamenti riguardano il recente sistema operativo Windows 8.

Ricercatori trovano bug in algoritmo di crittografia per i servizi online

Un team di matematici e crittografi europei e americani hanno scoperto una debolezza inaspettata del sistema di cifratura ampiamente utilizzato in tutto il mondo per lo shopping online, banking, e-mail e altri servizi Internet destinati a rimanere privati e sicuri. Il difetto - che coinvolge un numero piccolo, ma misurabile di casi - ha a che fare con il modo in cui il sistema genera numeri casuali, che vengono utilizzati per rendere praticamente impossibile per un utente malintenzionato di decodificare i messaggi digitali. 

Mentre può influire sulle operazioni dei singoli utenti Internet, non c'è niente che un individuo può fare al riguardo. Gli operatori dei siti Web di grandi dimensioni dovranno necessariamente apportare modifiche per garantire la sicurezza dei loro sistemi, hanno detto i ricercatori. Il pericolo potenziale del difetto è che anche se il numero di utenti colpiti dalla falla può essere piccolo, la fiducia nella sicurezza delle transazioni Web è ridotto, hanno detto gli autori. Il sistema richiede che un utente prima debba creare e pubblicare il prodotto di due numeri primi grandi, in aggiunta ad un altro numero, per generare una "chiave" pubblica. 

I numeri originali sono mantenuti segreti. Per cifrare un messaggio, una seconda persona impiega una formula che contiene il numero pubblico. In pratica, solo qualcuno con la conoscenza dei numeri primi originali è in grado di decodificare il messaggio. Perchè il sistema possa fornire sicurezza, tuttavia, è essenziale che i numeri primi segreti siano generata in modo casuale. I ricercatori hanno scoperto che in un piccolo ma significativo numero di casi, il sistema di generazione di numeri casuali non è riuscito a funzionare correttamente.

L'importanza nel garantire che i sistemi di cifratura non abbiano difetti rilevati non può essere sopravvalutata. Il sistema di commercio online del mondo moderno si basa interamente sulla segretezza offerta dalle infrastrutture crittografiche a chiave pubblica. I ricercatori hanno descritto il loro lavoro in un documento che gli autori hanno preparato per la pubblicazione in una conferenza sulla crittografia che si terrà a Santa Barbara, in California, nel mese di agosto. Hanno reso pubbliche martedì le loro scoperte perché credono che il problema è di immediato interesse per gli operatori di Web server che si basano sul sistema di crittografia a chiave pubblica.

"Questa si presenta come un avvertimento sgradito che sottolinea la difficoltà di generazione delle chiavi nel mondo reale", ha affermato al New York Times James P. Hughes, indipendente crittanalista della Silicon Valley che ha lavorato con un gruppo di ricercatori guidato da Arjen K. Lenstra, un matematico olandese ampiamente rispettato, professore presso l'Ecole Polytechnique Fédérale de Lausanne (EPFL) in Svizzera. "Alcune persone potrebbero dire che il 99,8 per cento della sicurezza va bene", ha aggiunto. Ciò significa ancora che circa ben due su ogni mille chiavi non sarebbero sicure.

I ricercatori hanno esaminato banche dati pubbliche di 7,1 milioni di chiavi pubbliche usate per proteggere messaggi di posta elettronica, transazioni bancarie on-line e gli altri scambi di dati sicuri. I ricercatori hanno utilizzato l'algoritmo di Euclide, un modo efficace per trovare il massimo comune divisore (MCD) di due interi, per esaminare i numeri della chiave pubblica. Sono stati in grado di produrre la prova che una piccola percentuale di questi numeri non erano veramente casuale, rendendo possibile determinare i numeri sottostanti, o chiavi segrete, utilizzati per generare la chiave pubblica. 

Hanno detto che hanno "inciampato" quasi 27.000 chiavi diverse che non offrono alcuna protezione. "Le chiavi segrete sono accessibili a chiunque prenda la briga di rifare il nostro lavoro", hanno scritto. Per evitare questo, una delle organizzazioni che aveva raccolto le chiavi pubbliche ha rimosso le informazioni da Internet e adottato misure per proteggere dal furto. Per eseguire il loro studio, i ricercatori hanno usato diversi database di chiavi pubbliche, tra cui uno presso il Massachusetts Institute of Technology (MIT) e un altro creato dalla Eletronic Frontier Foundation, il gruppo per i diritti della privacy su Internet. 

I risultati del database della fondazione da un progetto, noto come Osservatorio SSL, originariamente destinato a studiare la sicurezza dei certificati digitali che vengono utilizzati per proteggere i dati criptati trasmessi tra gli utenti Internet e siti Web. "Siamo stati molto attenti: non abbiamo intercettato tutto il traffico, non abbiamo annusato tutte le reti", ha detto Hughes. "Siamo andati su banche dati che contengono informazioni pubbliche e scaricate le chiavi pubbliche". I ricercatori hanno detto che non erano in grado di determinarle perché i generatori di numeri casuali hanno prodotto risultati imperfetti, ma hanno notato che il problema è apparso in più di un lavoro di sviluppatori di software unico. 

Hanno anche dichiarato che se fossero stati in grado di scoprire la falla, sarebbe stato anche possibile ciò che era stato precedentemente scoperto, forse da organizzazioni o individui con intenti malevoli: "La mancanza di sofisticazione dei nostri metodi e dei risultati rendono difficile per noi dar credito a che quello che abbiamo presentato di nuovo, in particolare per le agenzie e i partiti che sono noti per la loro curiosità in queste cose", hanno scritto. Mentre hanno detto che la pubblicazione dei risultati che potenzialmente minacciano la sicurezza delle chiavi di crittografia era inadeguato a meno che le parti siano state informate prima, i ricercatori hanno notato che il modo in cui hanno scoperto il difetto di identificazione delle parti potenzialmente vulnerabili, è una sfida. 

"Il pantano di vulnerabilità nelle quali ci siam trovati rende praticamente impossibile informare adeguatamente tutti i soggetti coinvolti, anche se abbiamo fatto un miglior sforzo per informare le parti più grandi e contattato tutti gli indirizzi e-mail specificati nella raccomandata o certificati colpiti ancora validi", hanno scritto. "Il fatto che la maggior parte dei certificati non contengono adeguate informazioni di contatto hanno limitato le nostre opzioni. La nostra decisione di rendere pubblici i nostri risultati, nonostante la nostra incapacità di comunicare direttamente tutti i soggetti coinvolti, è stato un giudizio.

Ci sono stati precedenti fallimenti di generatori di numeri casuali che hanno minato la sicurezza su Internet. Per esempio, nel 1995, due ricercatori della University of California, Berkeley, hanno scoperto un difetto nel modo in cui il browser Netscape generava numeri casuali, rendendo possibile ad un intercettatore di decodificare le comunicazioni criptate. L'anno scorso un gruppo di hacker ha rivelato che la Sony aveva commesso un errore fondamentale, non utilizzando un numero casuale per l'algoritmo utilizzato dal sistema di sicurezza della PlayStation 3, rendendo possibile scoprire la chiave segreta che ha lo scopo di proteggere i contenuti digitali sul sistema .

I ricercatori hanno intitolato il loro documento "Ron Was Wrong, Whit Is Right" ("Ron era sbagliato, Whitfield è giusto"), un riferimento a due pionieri nella crittografia a chiave pubblica, Ron Rivest e Whitfield Diffie. Il signor Diffie era uno sviluppatore del primo metodo per due persone che non si erano in precedenza fisicamente incontrati per condividere un messaggio segreto in modo sicuro. Tuttavia, ciò che divenne noto come l'algoritmo RSA, creato da e dedicato ai tre matematici, Mr. Rivest, Adi Shamir e Leonard Adleman, poi è diventato lo standard dominante. (Più tardi ha contribuito a fondare la società di sicurezza RSA). Per il cosiddetto metodo Diffie-Hellman, sviluppato da Diffie, Martin Hellman e Ralph Merkle, è necessario solo un singolo numero segreto.

SSL: VeriSign ripetutamente violata nel 2010, ma la società minimizza

VeriSign, la società responsabile dell'integrità degli indirizzi web che terminano in. Com,. Net e .Gov e della consegna sicura dei certificati a più della metà dei siti web del mondo, ha finalmente rivelato violazioni della sicurezza risalenti al 2010. Secondo un report dell'agenzia di stampa Reuters, l'azienda è stata più volte violata da estranei, che avrebbero rubato "informazioni riservate". I suoi dirigenti hanno detto di "non credere che questi attacchi abbiano violato i server che supportano Domain Name System di Rete", ma la società non può escludere niente, ha aggiunto. Gli attacchi sono stati rivelati in una relazione trimestrale della Commisione US Securities and Exchange presentata ad ottobre, dopo l'introduzione delle nuove linee guida in materia di rendiconto delle violazioni della sicurezza per gli investitori, afferma il rapporto.

Comodohacker rivendica il furto dei certificati sicurezza di GlobalSign

Comodohacker, il presunto responsabile dell'attacco alla Certificate Authority DigiNotar che ha portato alla compromissione di oltre 500 certificati SSL, ha minacciato di diffondere in Rete informazioni relative ad altre due CA coinvolte nelle sue incursioni. In un comunicato diffuso Giovedi scorso, un individuo che si fa chiamare Comodohacker, ha ampliato le affermazioni precedenti sull'azione di pirateria informatica in Iran che potrebbe permettere agli hacker l'accesso alla corrispondenza Gmail.

I due nuovi gruppi coinvolti sarebbero la StartCom, CA con sede in Israele, e la GlobalSign, concorrente con sede in USA. "Ho tutte le email, backup del database, i dati dei clienti", scrive per StartCom e continua dicendo di aver avuto "accesso all'intero server, backup del database e la configurazione del sistema di GlobalSign". GlobalSign ha avviato un'indagine, ma nel frattempo ha già rilasciato dei certificati. GlobalSign è una delle Certificate Authority più importanti della Rete ed è proprio la violazione di quest'ultima ad impensierire.

La stessa GlobalSign conferma l'attacco hacker in un post sul sito, ma rassicura dicendo che "qualcuno ha bucato il server su cui era presente solo il sito web, mentre per i sistemi dei certificati non è stato individuato alcun segno di intrusione". Ciò significa che la violazione avrebbe coinvolto unicamente il suo sito, mentre i server Certificate Authority sarebbero rimasti al sicuro e non mostrerebbero segni di intrusione.

Comodohacker ha già confermato il suo coinvolgimento nell'hack dell'Authority Comodo, una delle cinque CA al mondo che rilasciano le chiavi crittografiche che garantiscono l’attendibilità dei certificati digitali SSL. Con le affermazioni di Giovedì, Comodohacker ha fornito la prova conclusiva sulle conoscenze interne della violazione della sicurezza della sede nei Paesi Bassi di DigiNotar, coniando oltre 500 certificati contraffatti per Google.com e decine di altri siti web, tra i quali Facebook, Skype, Mozilla, Microsoft, Yahoo, Android e Twitter, ma anche della Cia e del Mossad, per i quali non c'è piu' alcuna garanzia di autenticita' e quindi di sicurezza.

Lo sconosciuto individuo, afferma di essere un giovane di 21 anni, iraniano, che simpatizza per il governo del suo paese: "Sono un hacker singolo, con me non ho nessuno anche se molti complici all’esterno” dichiara in un messaggio su Pastebin. L'hacker ha postato un file che è stato firmato con la chiave privata del certificato fraudolento di Google, dimostrando di essere a stretto contatto con le persone che hanno perpetrato l'hack.

Nel post di Giovedi, ha continuato a fornire dettagli sulla breccia in DigiNotar, affermando che la sua HSM, o il modulo di protezione hardware, gira su sistema operativo OpenBSD ed ha aperto solo una porta che è protetta con RSA SecurID e sistemi di gestione SafeSign Token. Non è chiaro se questa descrizione corrisponde al sistema utilizzato da DigiNotar. Nel mese di giugno StartSSL ha subito una violazione della sicurezza , in cui gli aggressori hanno tentato di emettere certificati fraudolenti per diversi siti sensibili, ma alla fine sono stati infruttuosi.

E' almeno la quinta volta che un soggetto che emette certificati SSL, o Secure Sockets Layer, è stato preso di mira. In tutto, quattro dei rivenditori Comodo hanno subito violazioni della sicurezza negli ultimi sei mesi. Non c'è prova che ci sia Comodohacker dietro l'attacco di giugno a StartSSL, ma in un post pubblicato Martedì e un secondo post che ha fatto seguito il giorno dopo, ha affermato di essere riuscito a ottenere il controllo del modulo di sicurezza hardware che StartSSL usa per rilasciare i certificati, ma è stato sventato a all'ultimo minuto perché la società si è basata sulla verifica manuale.

Nello stesso post, Comodohacker ha contestato la bollettino di Microsoft dello scorso 4 settembre, sostenendo di aver emesso certificati fraudolenti per i domini tra cui  microsoft.com e windowsupdate.com, che potrebbero essere utilizzati per dirottare il sistema di aggiornamento di sicurezza di Microsoft. "Sono in grado di rilasciare Windows Update", ha scritto. "La dichiarazione di Microsoft su Windows Update che non posso rilasciare tale aggiornamento è totalmente falsa!". Microsoft ha rifiutato di commentare.

Via: The Register

Rete a rischio: certificati SSL fasulli, tra questi anche quelli di Facebook

Dopo aver violato la Certification Authority (CA) dell'olandese DigiNotar, hacker iraniani sono riusciti a emettere certificati contraffatti per i domini di CIA, Mossad e MI6. Se inizialmente si parlava di pochi certificati SSL adesso pare che il numero abbia raggiunto quota 531. Tra i certificati fasulli vi sono quelli dei domini di Facebook, Google, Microsoft, Yahoo, Tor, Skype, LogMeIn, Twitter, Mozilla, AOL e WordPress.

Gli utenti Hotmail possono segnalare gli account hackerati degli amici

Microsoft ha aggiunto una nuova funzione di sicurezza al suo servizio web gratuito di posta Windows Live Hotmail per aiutare gli utenti a riprendere il controllo degli account dirottati. I primi a sapere che il vostro account Hotmail è stato compromesso sono spesso le persone nella vostra lista dei contatti che ricevono spam da voi. Hotmail ha una nuova funzione che consente di segnalare l'account di qualcun altro che è stato violato. È anche possibile segnalare le persone che fanno uso di altri provider di posta elettronica e Hotmail invieranno tali informazioni alle persone giuste. Per consentire la protezione dell'account, si dovranno eseguire alcuni passaggi, inclusa la modifica della password.

Falso certificato SSL usato per attacco a utenti di Facebook HTTPS

Electronic Frontier Foundation, organizzazione internazionale non profit di avvocati e legali rivolta alla tutela dei diritti digitali e della libertà di parola nel contesto dell’odierna era digitale, segnala la presenza d'un falso certificato SSL di Facebook, utilizzato per colpire gli utenti che navigano in HTTPS sul social network. L'organizzazione Electronic Frontier Foundation (EFF) mette in guardia da un attacco in esecuzione di tipo man-in-the-middle (MITM), condotto contro gli utenti della versione sicura (HTTPS) di Facebook.

Rubati certificati SSL Comodo: a rischio e-mail, social network e Skype

L’authority Comodo è stata derubata dei certificati SSL. I browser Firefox, Chrome e Internet Explorer hanno già rilasciato le patch per gestire in sicurezza i certificati SSL. Il furto ha avuto origine il 15 marzo con un cyber-attacco ai danni di un partner di Comodo. Quindi sono stati richiesti nove fake di certificati SSL fasulli a siti come Google, Microsoft, Skype e Yahoo, prima che l’attacco venisse scoperto. La denuncia è stata fatta dal Progetto Tor. L’attacco sarebbe “iraniano“.

Trojan bancari dirottano connessioni SSL certificate dell'online banking

Un ricercatore di sicurezza Symantec avverte che un nuovo trojan bancario è in grado di dirottare delle connessioni SSL tra i browser e i siti di online banking in un modo che è difficile da individuare. Le varianti di questo malware, che Symantec rileva come Trojan.Tatanarg, sono in circolazione dallo scorso ottobre, ma il suo codice si pensa essere basato su una minaccia di superiore entità chiamata W32.Spamuzle. Il trojan ha un'architettura modulare, con componenti separati per la gestione di diversi compiti, e in più la funzionalità di malware bancario. Si può iniettare il codice canaglia HTML nelle pagine (attacchi di tipo man-in-the-browser), che disgregano il software antivirus, disinstallano il trojan bancario e consentono l'accesso remoto di Windows.