[ Flynets-Lab ] Superare SSL

Delete this message

Reply to this message
Autore: Flynets HACKtivist Newsletter
Data:  
To: Lab Flynets
Oggetto: [ Flynets-Lab ] Superare SSL
Superare SSL

Forse qualcuno è stato attento e ha notato che ultimamente sono diventate di
dominio pubblico
alcune<https://www.eff.org/deeplinks/2011/03/iranian-hackers-obtain-fraudulent-https>
notizie<https://www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-google>che
hanno definitivamente svelato le pecche del protocollo usato dal
vostro
web browser per crittare la comunicazione con i server dei siti che
visitate: SSL.

La responsabilità degli attacchi è stata addossata ad un famigerato “hacker
iraniano”. La cortina di fumo mediatica non deve distrarre, la questione
importante qui è la presa di coscienza di quanto sia incontrollata la
struttura di verifica dei certificati SSL: l’impalcatura delle Certification
Authority commerciali. Sono più di 600 le organizzazioni di cui si fida il
vostro browser, come l’ottima analisi quantitativa dell’EFF SSL
Observatory<https://www.eff.org/observatory>ha evidenziato già da
tempo. Oltre ai loschi soggetti noti di questa
industria quali Verisign e compari, possiamo contare in questo insieme anche
organizzazioni sconosciute non soggette a nessuna revisione e addirittura
enti governativi americani. Il fatto che ciascuna di queste organizzazioni
sia autorizzata a firmare certificati a nome di chiunque è forse il segno
più chiaro che il protocollo SSL, nato in quattro e quattr’otto per vendere
Internet ai banchieri, ha raggiunto il limite della sua utilità storica.

Le corporation si dichiarano terrorizzate dalla possibilità che dei
“criminali” si impossessino delle credenziali necessarie a creare
certificati SSL fasulli, ma non è difficile immaginarsi che gli Stati e le
loro forze repressive nutrano delle stessa
possibilità<https://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl>.
Le agenzie di sicurezza americane sanno da
tempo<http://paranoia.dubfire.net/2011/09/forces-that-led-to-diginotar-hack.html>come
sfruttare i difetti del meccanismo di verifica delle Certification
Authority: già nel 1998 un ricercatore della National Security Agency
descrisse in un articolo
accademico<http://www.ise.gmu.edu/%7Eduminda/classes/spring08/isa562/Slides/00725710.pdf>un
metodo per sfruttare la debolezza di tale meccanismo per intercettare
il
traffico tra browser e server. Pare che oggi il governo iraniano, dopo aver
dovuto rubare con destrezza i certificati ad alcune Certification Authority,
usi gli stessi meccanismi per intercettare su scala nazionale il traffico
internet crittato, al fine di rintracciare oppositori e dissidenti. Nel
mondo occidentale, dove non sta bene dedicarsi a simili vistosi hijacking di
massa, simili tecniche vengono molto probabilmente usate in contesti più
specifici e individuali<http://english.hani.co.kr/arti/english_edition/e_national/496473.html>.
Ci inquieta il confronto con il 2004 quando la Polizia italiana,
evidentemente ancora povera di amicizie, si è dovuta impadronire fisicamente
dei certificati SSL di autistici.org<http://www.autistici.org/ai/crackdown/>.
Oggi probabilmente questo non rappresenterebbe più un problema.

Appare ormai evidente che attualmente il protocollo SSL non è più adatto a
stabilire l’identità della controparte in una comunicazione sul web. Quali
sono le alternative possibili? Una soluzione immediata e ovvia può essere la
creazione di diversi profili nel proprio browser: ogni profilo viene
dedicato alla navigazione di un particolare sito ed è quindi possibile
rimuovere da ciascun profilo tutte le Certification Authority che non siano
rilevanti al sito in questione. A parte l’incredibile scomodità, non tutti i
browser permettono di gestire il database delle Certification Authority
indipendentemente per i diversi profili.

La ricerca e l’utilizzo di alternative si scontrano con un ulteriore
problema: in tutti i maggiori browser la gestione del protocollo SSL è parte
integrante del resto del browser stesso ed è quindi difficile da sostituire
con un’altra “cosa”, qualsiasi essa sia. Un palliativo è l’utilizzo di
estensioni, che al momento sono però disponibili solo per Firefox:

- convergence <http://convergence.io/>, un sistema di verifica dei
certificati SSL che valida i dati presso terze parti (per usare convergence
con autistici.org non c’è da fare niente di speciale, A/I ha installato
un proprio notary per contribuire alla rete, ma non verrà necessariamente
usato); c’è un ottimo video che ne spiega i
dettagli<http://www.youtube.com/watch?v=Z7Wl2FW2TcA>
.


- monkeysphere <http://web.monkeysphere.info/>, un sistema che invece si
aggancia al *network of trust* di PGP (in questo caso vi servirà la
chiave PGP per monkeysphere@???, ID 62BBEB9D, reperibile sui
keyserver pubblici).

Queste estensioni offrono meccanismi di verifica dei certificati SSL che
possono sostituire o affiancare l’attuale infrastruttura delle Certification
Authority, ma sono entrambi progetti nuovi e ancora in fase di sviluppo.
Speriamo che si evolvano e raggiungano la massa critica necessaria a
spodestare il potere delle Certification Authority.



Il certificato SSL della Certification Authority di Autistici/Inventati è
come sempre disponibile su http://ca.autistici.org/.

--
A Presto
Flynets - Linux user #414818