c.m.g
14-07-2014, 08:17
venerdì 11 luglio 2014
Un nuovo caso relativo al protocollo SSL spinge le tre aziende a intervenire di concerto. Impegnata soprattutto Microsoft, che deve rivedere la gerarchia dei certificati attendibili su Windows
Roma - In questi giorni Internet ha attraversato un periodo difficile a causa di una serie di certificati fasulli emessi dal National Informatics Centre (NIC) indiano, certificate authority (CA) di primaria importanza presente nel Trusted Root Certification Authorities Store e ritenuta fidata anche sulle piattaforme software di Microsoft.
I certificati - emessi erroneamente, a quanto pare - sono stati identificati da Google, che ha subito provveduto ad avvisare Microsoft del problema. Redmond si è mossa celermente pubblicando un apposito bollettino di sicurezza (https://technet.microsoft.com/en-us/library/security/2982792.aspx), evocando la possibilità di attacchi man-in-the-middle con eventuali malintenzionati "camuffati" dietro le identità di Google e Yahoo per spiare il traffico SSL dei browser Web degli utenti.
Microsoft ha quindi provveduto ad aggiornare la Certificate Trust List (http://www.theregister.co.uk/2014/07/10/microsoft_issues_security_update_to_block_dodgy_indian_ssl_certificates/) (CTL) invalidando i certificati incriminati su sistemi operativi per computer (da Windows Vista in poi), smartphone (Windows Phone 8) e Server. Su PC l'aggiornamento interessa il software progettato per girare su OS Windows, inclusi i browser Internet Explorer e Google Chrome, mentre Firefox basa i propri giudizi di affidabilità dei certificati su un'infrastruttura diversa. Anche Google (http://www.theregister.co.uk/2014/07/09/google_warns_of_dodgy_digital_certificates_coming_from_indian_authorities/) e Yahoo hanno provveduto a revocare i certificati fasulli (http://arstechnica.com/security/2014/07/crypto-certificates-impersonating-google-and-yahoo-pose-threat-to-windows-users/) prima che qualche cyber-guastatore potesse sfruttare la situazione a proprio vantaggio, e dunque la crisi dovrebbe essere definitivamente rientrata. Resta il rischio, perenne, di una infrastruttura dei CA sempre più traballante e pericolosa per l'intera Rete.
In questi giorni Microsoft ha infine dato il proprio contributo per concludere un'altra crisi di, vale a dire il caso riguardante il sequestro dei sottodomini di No-IP in seguito alla scoperta di un malware progettato per abusare del popolare servizio di DNS dinamico: gli utenti di No-IP avevano già potuto tornare a usare il servizio (http://punto-informatico.it/4085853/PI/Brevi/ritorno-no-ip.aspx) dopo il "dissequestro" da parte di Redmond, e ora la questione sembra essere definitivamente chiusa con la disabilitazione (http://www.pcworld.com/article/2452460/microsoft-settles-with-noip-in-botnet-hunt-after-seizing-its-domains.html#tk.rss_all) - apparentemente volontaria - dei sottodomini abusati dai malware scovati da Microsoft.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4094649/PI/News/microsoft-google-yahoo-contro-certificati-fasulli.aspx)
Un nuovo caso relativo al protocollo SSL spinge le tre aziende a intervenire di concerto. Impegnata soprattutto Microsoft, che deve rivedere la gerarchia dei certificati attendibili su Windows
Roma - In questi giorni Internet ha attraversato un periodo difficile a causa di una serie di certificati fasulli emessi dal National Informatics Centre (NIC) indiano, certificate authority (CA) di primaria importanza presente nel Trusted Root Certification Authorities Store e ritenuta fidata anche sulle piattaforme software di Microsoft.
I certificati - emessi erroneamente, a quanto pare - sono stati identificati da Google, che ha subito provveduto ad avvisare Microsoft del problema. Redmond si è mossa celermente pubblicando un apposito bollettino di sicurezza (https://technet.microsoft.com/en-us/library/security/2982792.aspx), evocando la possibilità di attacchi man-in-the-middle con eventuali malintenzionati "camuffati" dietro le identità di Google e Yahoo per spiare il traffico SSL dei browser Web degli utenti.
Microsoft ha quindi provveduto ad aggiornare la Certificate Trust List (http://www.theregister.co.uk/2014/07/10/microsoft_issues_security_update_to_block_dodgy_indian_ssl_certificates/) (CTL) invalidando i certificati incriminati su sistemi operativi per computer (da Windows Vista in poi), smartphone (Windows Phone 8) e Server. Su PC l'aggiornamento interessa il software progettato per girare su OS Windows, inclusi i browser Internet Explorer e Google Chrome, mentre Firefox basa i propri giudizi di affidabilità dei certificati su un'infrastruttura diversa. Anche Google (http://www.theregister.co.uk/2014/07/09/google_warns_of_dodgy_digital_certificates_coming_from_indian_authorities/) e Yahoo hanno provveduto a revocare i certificati fasulli (http://arstechnica.com/security/2014/07/crypto-certificates-impersonating-google-and-yahoo-pose-threat-to-windows-users/) prima che qualche cyber-guastatore potesse sfruttare la situazione a proprio vantaggio, e dunque la crisi dovrebbe essere definitivamente rientrata. Resta il rischio, perenne, di una infrastruttura dei CA sempre più traballante e pericolosa per l'intera Rete.
In questi giorni Microsoft ha infine dato il proprio contributo per concludere un'altra crisi di, vale a dire il caso riguardante il sequestro dei sottodomini di No-IP in seguito alla scoperta di un malware progettato per abusare del popolare servizio di DNS dinamico: gli utenti di No-IP avevano già potuto tornare a usare il servizio (http://punto-informatico.it/4085853/PI/Brevi/ritorno-no-ip.aspx) dopo il "dissequestro" da parte di Redmond, e ora la questione sembra essere definitivamente chiusa con la disabilitazione (http://www.pcworld.com/article/2452460/microsoft-settles-with-noip-in-botnet-hunt-after-seizing-its-domains.html#tk.rss_all) - apparentemente volontaria - dei sottodomini abusati dai malware scovati da Microsoft.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4094649/PI/News/microsoft-google-yahoo-contro-certificati-fasulli.aspx)