A distanza di parecchio tempo dalla conferenza Black Hat 2009 tenuta a luglio da Moxie Marlinkspike, Microsoft non ha ancora rilasciato una soluzione per il problema legato allo spoofing dei certificati SSL.
L’hacker è infatti riuscito a dimostrare come sia virtualmente possibile falsificare i certificati per qualsiasi sito Web su Internet.
La vulnerabilità riguarda l’interfaccia CryptoAPI di Microsoft e di conseguenza interessa tutti i software (e sono molti) che ne fanno uso, a partire da Internet Explorer fino a Safari e Google Chrome.
Marlinkspike ha affermato che tutti i programmi che su Windows utilizzano questa API sono vulnerabili a questo attacco SSL: basterebbe un solo certificato falso per mettere in pericolo la sicurezza degli utenti.
Il bug fa si che i browser interessati come Internet Explorer, Safari e Google Chrome non mostrino alcun warning nell’accedere ad un sito fraudolento che usa il certificato falsificato.
Mozilla Foundation ha corretto il bug in Firefox (che non usa CryptoAPI) pochi giorni dopo la presentazione alla conferenza Black Hat.
Il bug di per sé risiede nella modalità con cui browser, client email e altri programmi SSL-enabled ignorano tutti i caratteri dopo il carattere speciale , che nei linguaggi come il C viene utilizzato come terminatore di stringa.
Alcuni tra gli enti che rilasciano i certificati controllano che l’intero dominio contenga o meno il carattere null.
Questo consentirebbe ad un attaccante di ottenere un certificato per un sito Web di cui è proprietario modificando il campo CN (Common Name).
Marlinspike nel PDF della presentazione fa una serie di esempi utilizzando il proprio sito Web (thoughtcrime.org) come dominio legittimo e siti come Paypal o Bank of America come target.
www.bankofamerica.comthoughtcrime.org
Questo è un semplice esempio che prende di mira il sito della Bank of America.
Per altri esempi e una spiegazione più dettagliata si rimanda al paper della presentazione.
Sempre riguardo questo tipo di vulnerabilità un altro hacker Jacob Appelbaum ha pubblicato martedì 29 settembre un esempio di “certificato “wildcard”. Utilizzando le osservazioni di Marlinkspike ha creato un certificato in grado di ingannare le vecchie versioni della libreria Network Security Services consentendo l’autenticazione su qualsiasi sito Internet.
Nonostante il bug sia già stato corretto in NSS, e quindi anche in Firefox, i due hacker mettono in guardia circa la possibilità che in circolazione ci siano ancora molti software che fanno affidamento su vecchie versioni della libreria e quindi completamente vulnerabili all’attacco.
Non è ancora chiaro quanto il bug che riguarda la libreria Microsoft verrà patchato, certo è che una soluzione è necessaria il prima possibile vista la serietà del problema e i risvolti che potrebbe avere ad esempio in attacchi di phishing e similia.
