Cerca nel blog

2010/03/26

La scatola che scavalca l’SSL

Il lucchetto nel browser? I governi lo scavalcano allegramente. Forse non solo loro


Questo articolo vi arriva grazie alle gentili donazioni di "srevai" e "sergio".

Da tempo immemorabile, uno dei consigli ricorrenti per gli internauti è di controllare che nella finestra del browser ci sia l'icona del lucchetto chiuso durante le transazioni via Internet che coinvolgono soldi o segreti: acquisti online, ordini per la propria banca, telefonate tramite Internet, scambio di e-mail di dissidenti in regimi non democratici, eccetera. Il lucchetto indica che la comunicazione è segreta e sicura grazie alla cifratura e ai certificati. O almeno così ci hanno detto. Ma non è vero: non sempre, perlomeno.

Infatti la scatoletta della Packet Forensics mostrata qui sopra, stando a un articolo di Wired, è in grado di vanificare l'uso della comunicazione cifrata SSL/TLS: quella che si nasconde dietro il lucchetto. In estrema sintesi, quando ci colleghiamo per esempio al sito della nostra banca, il sito deve dimostrarci di essere davvero quello che dice di essere. Per farlo manda un certificato digitale: un codice generato da un'autorità fidata. Il nostro browser controlla il certificato e, se è in ordine, ci segnala che tutto va bene chiudendo il lucchetto.

Ma le autorità fidate primarie (root certificate authorities) che generano questi certificati sono oltre un centinaio (un elenco ordinato per paese è disponibile presso Tractis.com), e per quanto siano severamente controllate, qualche pecora nera c'è sempre, come la Etisalat degli Emirati Arabi, che a luglio 2009 fu colta a infilare un programma-spia nei cellulari degli utenti, camuffato da aggiornamento. Inoltre un governo o una forza di polizia o di sicurezza nazionale può generare un proprio certificato per qualunque sito del mondo oppure obbligare una delle autorità di generazione di certificati a produrne uno fasullo. È interessante notare che nessuno dei principali browser si fida dei governi di Singapore, del Regno Unito e di Israele, per esempio, stando all'articolo Certified Lies: Detecting and Defeating Government Interception Attacks Against SSL di Christopher Soghoian e Sid Stamm.

È qui che entra in gioco la scatoletta della Packet Forensics: una società in cui persino il catalogo dei prodotti ha una sezione protetta da password. Adorabile.

A una recente fiera riservata agli specialisti di settore a Washington è stato infatti offerto un depliant che ha rivelato le potenzialità della scatoletta in questione (che somiglia molto a questa, denominata LI-5B): in particolare, "la capacità di importare una copia di qualunque chiave legittima ottenuta (eventualmente su ordine del tribunale) oppure possono generare chiavi 'sosia' progettate per dare al soggetto un falso senso di fiducia nella sua autenticità". In altre parole, installando questa scatoletta presso un provider, è possibile far credere all'utente di essere connesso in modo sicuro e segreto alla propria banca o al proprio account di posta mentre in realtà tutto quello che fa viene intercettato. Il lucchetto si chiude, ma l'orecchio del Grande Fratello si apre.

All'atto pratico ci sono modi più semplici per intercettare una comunicazione online, e la scatoletta scassa-SSL ha lo svantaggio che un utente esperto si accorge della sua presenza (inoltre Soghoian sta sviluppando un'estensione per Firefox che allerta automaticamente l'utente). Questa tecnica di intromissione, un classico man in the middle chiavi in mano, è un problema principalmente per chi viaggia all'estero.

Lo scenario che viene spontaneo immaginare è infatti l'uomo d'affari che si reca in un paese straniero e da lì si collega via Internet per leggere la posta aziendale con i dettagli di un progetto o di una transazione commerciale importante. Se il suo browser non lo avvisa che il certificato di un sito è stato emesso da un'autorità diversa da quella che ha emesso il certificato originale di quel sito, rischia di essere intercettato inconsapevolmente nonostante il lucchetto sia chiuso.

Per chi non viaggia per affari, invece, è importante conoscere l'esistenza di queste forme di intercettazione, per non pensare di essere invulnerabile e quindi non commettere idiozie in Rete credendo di farla franca.

Fonti aggiuntive: The Spy in the Middle, di Matt Blaze.

Nessun commento: