posts - 644, comments - 2671, trackbacks - 146

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links

Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

Verisign ha sul proprio sito il Graal degli Hacker: il download dei certificati root delle più importanti Certificate Authority.

Quale Black-Hat non vorrebbe installare il proprio certificato root sulle macchine degli utenti da attaccare? Avere sulla macchina della vittima un certificato root significa poter generare certificati validi emessi per ebay, paypal, banca di qui, banca di là, etc. etc. Poi hostare un clone di quel sito sul proprio pc, corredato del certificato "autentico" e infine dirottare con un "dns poisoning" l'utente sul proprio pc.

Cosa può accadere se l'hacker possiede una root Certificate Authority che è installata sul nostro PC?
Può accadere che utente navighi sulla propria banca, ma grazie ad un dns poisoning viene dirottato sul sito dell'hacker. Quello che vede è un perfetto clone del sito della banca con tanto di certificato valido e una connessione https assolutamente impeccabile. Non è un attacco "delizioso"?

Torniamo all'inizio. Il punto di partenza è che l'utente deve in qualche modo essere convinto a scaricarsi le root aggiornate di Verisign e l'hacker deve intercettare il download. Come e quando importa poco, si va da un banale attacco di social-engineering ad una reale esigenza di aggiornare i certificati.

Dove sbaglia Verisign? La pagina di download delle root è in http .... fantastico tenendo conto che a Verisign i certificati non costano neppure 1 cent smile_omg.

image

L'utente accorto vedrà subito che il post è verso un sito https ma qui casca l'asino:

  1. L'hacker esegue l'attacco sulla pagina http e sostituisce il post da https ad http, quindi questo link non sarà mai in https
  2. Se si usa SSLStrip, quell'https per "magia" torna ad essere http, come ho fatto vedere ai recenti TechDays/WPC.

image

L'attacco Man in The Middle consiste nell'usare un tool come Ettercap (ma ce ne sono molti altri) per intercettare l'attività tra i client e i server. Per cui anche se non si è fisicamente in mezzo, è possibile intercettare il traffico di rete tra due pc. È comunque necessario essere su una tratta di rete che permetta di porre l'attacco. Non so se la grande lan di Fastweb sia soggetta all'arp poisoning che ho mostrato nella mia sessione, ma certamente sono più le reti che possono accusare il colpo di quelle protette da questo tipo di attacchi.

Una volta intercettato il download l'utente riceve uno zip in cui uno o più certificati sono stati creati dalla Certificate Authority dell'hacker.

Lo zip contiene ben 41 certificati Root!

image

Installare una root sul pc della vittima significa che quel pc validerà in modo positivo qualsiasi certificato emesso da quella root. I risultati sono devastanti.

Una raccomandazione finale. Come dico sempre, fate le prove attaccando delle macchine ma solo in reti di test o in azienda solo dopo aver avvisato amministratori e utenti. Non ci sono deroghe a queste regole.

Print | posted on martedì 22 dicembre 2009 14.34 |

Feedback

Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

Quanti spunti di riflessione in questo tuo post... :-/
22/12/2009 15.10 | Mario Duzioni
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

Grazieeeee!!! Se non ci foosi tu a far notare queste cose......
Questo post mi ricorda un certo ragazzino inglese che minacciò alcune note carte di credito di pubblicare i dati di circa 2 milioni di loro clienti. VISA e compagni non gli credettero, del resto loro avevano controllato, non avevano subito alcun attacco. Beh, il teenager pubblicò i dati e fu beccato. Quando gli chiesero come avesse fatto, rispose semplicemente che i maggiori siti di e-shopping avevano dei bellissimi db con i dati dei clienti e dei loro acquisti......Era la fine degli anni 90 se non ricordo male. Il caso da te segnalato è molto peggio!!! Soprattutto perchè la Verisign in questo caso non è il sito di e-commerce, ma è la VISA (o American Express o MasterCard, tanto per non sparare sempre sulla stessa incolpevole).

My two pences, Daniele
23/12/2009 7.04 | Daniele Scrivano
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

Grazie ragazzi. Voglio ricordare che Verisign non è nuova a queste cose.
Tempo fa avevo pubblicato che avevano pubblicato uno dei loro domini con il certificato sbagliato. Purtroppo qui non si vedono gli screenshot ma il concetto è scritto:
blogs.ugidotnet.org/.../39970.aspx
Ma purtroppo le cattive abitudini sono diffuse quindi il mio non è affatto un attacco contro di loro.
23/12/2009 8.48 | Raffaele Rialdi
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

E cosa dire di MozRoots ditribuito con Mono? Per default scarica i root certificates da
lxr.mozilla.org/.../certdata.txt


MozRoots info: manpages.ubuntu.com/.../mozroots.1.html


fabrizio
23/12/2009 13.56 | fabrizio
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

OMG. Questo è pure peggio e ne ho anche trovati altri.

A quanto pare il mio post ha fatto rumore (probabilmente perché appare su msdn.microsoft.com/.../security-community.aspx) ed è rimbalzato su Twitter arrivando fino a Verisign che sta valutando di forzare https:
http://twitter.com/AllenKelly/status/6968918420
23/12/2009 21.58 | Raffaele Rialdi
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

Pardon my Italian as I am using Google's translator.

This issue should be fixed next week and the "https" will be forced on the page.

Thanks again for bringing this to our attention.
24/12/2009 23.45 | Allen Kelly
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

Perdono il mio italiano come io sto usando il traduttore di Google.

Questo problema dovrebbe essere fissata la prossima settimana e il "https" sarà costretto sulla pagina.

Grazie ancora per aver portato questo alla nostra attenzione.
24/12/2009 23.47 | Allen Kelly
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

@Allen. Thank you very much for your comment. I really appreciate your and Verisign commitment in fixing this problem.
25/12/2009 20.09 | Raffaele Rialdi
Gravatar

# re: Certificati Root e Verisign. Giocare con il fuoco è nulla in confronto

Beh l'importante è vedere che quando i problemi sono segnalati, poi chi di dovere si attiva per risolverli. Lo ho letto in ritardo, ma come sempre Raf, un post veramente interessante.

Alk.
02/01/2010 12.36 | Gian Maria

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 6 and 7 and type the answer here:

Powered by: