Dopo solo qualche giorno dalla diabolica perseveranza nell'inserire bug di sicurezza nel sito del partito democratico, documentato anche da Roberto, ecco un altro penoso esempio di assenza di attenzione sulla sicurezza applicativa.
Il 28 e 29 Novembre 2007 ho mandato due email in cui avvertivo Sogei, gestore del sito delle dogane, sull'uso totalmente errato dei certificati digitali.
Si, è vero, avevo detto che ormai non mandavo più email di avvertimento perché non venivano mai considerate. Io ho fatto un'eccezione, ma puntualmente si è avverato quello che dico sempre: le email non hanno minimamente prodotto alcun effetto. Tutto puntualmente ignorato nel massimo rispetto della saccenza di chi li riceve. Come se non bastasse, l'agenzia delle dogane (numero verde) e Sogei hanno giocato al gioco dello scaricabarile rimbalzandomi dall'uno all'altro... cavoli dico, di solito per queste cose mi pagano le consulenze, mentre qui gli faccio consulenza gratuita e mi sbattono la porta in faccia... eccezionale!
Veniamo ai punti salienti.
Il sito protetto si trova all'indirizzo: https://telematico.agenziadogane.it/
Contrariamente a quello che avviene in tutto il resto della rete, nella parte http del sito viene chiesto all'utente di configurare il browser, scaricando ed installando una specifica certificate authority:
http://www.agenziadogane.gov.it/wps/wcm/connect/ed/Servizi/Servizio+Telematico+Doganale+-+E.D.I./Servizio+Telematico+Doganale+-+Accesso
Da ciò le prime considerazioni
- Voglio conoscere l'utente finale che è capace di fare tutto al primo colpo senza sbagliare la procedura
- Poverini, non hanno a disposizione 15$ per comprare un certificato trustato da una Certificate Authority già nota ai più diffusi browser ed evitare così questo scempio agli utenti
Andiamo avanti, il prossimo passo è quello di scaricare il certificato (punto 2 del precedente link) ... clicco e ..
Il link per il download è in https (https://telematico.agenziadogane.it/ca/ca.der) ma è protetta usando il certificato che ancora non è stato scaricato!!!!
Perché questo è male? Perché l'hacker può fare spoofing della richiesta https e sparare la propria Certificate Authority agli utenti di quel sito.
Che cosa ottiene l'hacker installando una CA in un computer? Significa che qualsiasi certificato (web, di codice, etc.) emesso da quella CA risulterà sempre affidabile da quel computer. Perciò l'hacker combinando un attacco di tipo dns poisoning con la falsa CA, può far credere che qualsiasi sito dell'hacker è affidabile. Per esempio l'hacker può far navigare l'utente su un sito clone di una banca e fargli credere di essere collegato ad una vera banca mentre in realtà si tratta di un falso. In questo modo è in grado di rubare le credenziali di accesso. Liberate la fantasia e qualsiasi altro attacco simile è possibile.
L'unica difesa è che l'utente apra il pdf delle istruzioni e confronti (vedi pagina 5) l'hash SHA1 con quello del certificato che sta installando, confrontando i 40 byte esadecimali (bello facile da leggere).
Si perché l'hash MD5 che c'è nella riga inferiore è BUCABILE, in quanto esistono già su tutte le reti peer le tabelle di rainbow per craccare gli hash MD5. In pratica l'hacker è potenzialmente in grado di produrre un certificato che abbia lo stesso hash MD5.
Ma io avevo avvertito Sogei per email e la risposta è stata: "Abbiamo consultato i nostri colleghi sistemisti i quali assicurano che non esiste alcun buco di sicurezza; in ogni caso se lei ci fornisce il suo recapito telefonico verrà contattato direttamente."
Il numero di cellulare gliel'ho mandato e la telefonata ovviamente non è mai arrivata.
La lezione è: denunciare sui blog sempre e subito perché avvisare non serve a niente!