E’ notizia recente che un cracker, chiamato ComodoHacker (un ragazzo di 21 anni), sia riuscito a compromettere alcuni certificati emessi dalla DigiNotar, famosa Certification Authority (C.A.). Tale notizia ha suscitato non poche preoccupazioni tra le aziende che avevano comprato certificati dalla stessa per eseguire connessioni sicure tra computer connessi ad Internet (si pensi alle transazioni bancarie online).
Ma a peggiorare le cose ci pensa lo stesso cracker, comunicando di essere riuscito a compromettere pure i certificati di altre 3 C.A., tra cui la GlobalSign, una delle più grandi al mondo. Se questa affermazione dovesse rivelarsi veritiera, sarebbe giustificata la paura che impervia sul web: questo ragazzo possiede una sorta di “Passe-Partout” per tutte le banche e non solo.
Ma come funziona un certificato? Di solito l’utente è tenuto all’oscuro di cosa realmente fa un computer quando navighiamo, ma in realtà il funzionamento di un certificato è molto semplice.
Avete mai visto, navigando su un sito (ad es. quello della nostra banca, delle poste, etc…), un lucchetto sulla barra degli indirizzi o sulla barra di stato? Oppure la scritta “Https” e non il solito “http” davanti al nostro indirizzo www? Ebbene, quel lucchetto ci avvisa che la connessione è sicura. Ma cosa significa sicura? In realtà l’autenticazione avviene sul nostro PC e viene effettuata attraverso internet. Il processo è molto semplice: io mi collego al sito della banca, il server della banca mi invia un certificato chiedendo “fiducia” al mio computer, quest’ultimo analizza il certificato e, se è rilasciato da una C.A. di fiducia (GlobalSign, VeriSign, etc…), ha ragione di credere che ci si possa fidare di questo server . Se il certificato (quasi impossibile da copiare) è originale, il mio computer si “fida” di lui e inizia la transazione cifrata attraverso quel certificato. Ma… se invece mi fido della “persona” sbagliata? Questo è quello che può accadere adesso che ComodoHacker dice di possedere molti certificati rubati (copiati) dalle C.A..
Per limitare gli eventuali danni intanto la GlobalSign ha sospeso l’utilizzo dei certificati, scusandosi con tutti i clienti.
Se fino ad ora non siete ancora abbastanza preoccupati per quanto accaduto (magari non comprate nulla su internet, vi ritenete al sicuro…) sappiate che nessun utente con S.O. Windows può dormire sonni tranquilli: il celebre cracker afferma inoltre di essere in possesso dei certificati di WindowsUpdate, il servizio di aggiornamento automatico del sistema operativo. A voi il pensiero delle possibili conseguenze…
