Problema di sicurezza certificati: LEGGETE!

[patanfrana]

Lo scrivo in un thread a parte perchè lo ritengo abbastanza importante e poco pubblicizzato dalle fonti di informazione.

In pratica (riassumo con termini terra terra, per semplificare) un paio di settimane fa è stato violato il sistema di una delle aziende (DigiNotar) che certifica l'attendibilità dei siti internet più importanti, rilasciando i cosiddetti certificati di sicurezza.

Chi ha avuto accesso a questo sistema, ha potuto generare almeno 500 certificati fasulli, che in pratica possono far credere al vostro browser di essere collegati al sito X (sicuro), mentre siete collegati a quello Y (non sicuro).

I siti compromessi sono tra i più importanti: Google, Yahoo, Microsoft, Skype... ma si parla anche di CIA, MI6 ed altri.

Alcuni browser (Firefox e Chrome mi pare) si sono già aggiornati per eliminare tali certificazioni da quelle sicure, ma ancora non basta.

Il metodo migliore per ogni sistema MacOsX è quello di eliminare definitivamente Diginotar dalle fonti di certificazioni sicure, ed ora vi spiego come.

Quote:

1. Aprite la cartella Applicazioni
2. Aprite la cartella Utility in essa contenuta
3. Aprite il programma che si chiama Accesso Portachiavi.app
4. Nella colonna di sinistra selezionate la voce Root di sistema
   
   
   
5. Nello spazio di ricerca in alto a destra digitate Diginotar
6. Dovreste trovare una o due voci chiamate "DiniNotar Root CA"
   
   
   
7. Cliccatevi sopra col il tasto destro (o Ctrl-Click) e dal menù a tendina selezionate Elimina "DigiNotar Root CA"
   
   
   
8. Vi chiederà conferma e poi la password di amministratore. Inseritela e la cosa sarà conclusa.

Nelle guide fatte inizialmente si spiegava semplicemente di rendere DigiNotar come "non attendibile", ma pare che in alcuni casi (specie su Lion) questo non risolva nulla, quindi è meglio rimuovere definitivamente il certificato.

Ritengo questa procedura molto importante, quindi chiedo ai mod se almeno per qualche settimana possono mettere questo post in rilievo.

[Mondoedox]

Grazie mille, patanfrana! Però, io non riesco ad eliminare il certificato su Lion! Già il portachiavi fa le bizze quando gli chiedo di sbloccarsi [cliccando sul lucchetto chiuso in alto a sinistra]; poi, quelle rare volte che mi appare l'opzione per eliminare il certificato, non viene eliminato comunque...

Succede solo a me?!

[patanfrana]

Decisamente strano... prova a chiedere nel thread di Lion se qualcuno ha lo stesso problema

[cloaca]

Grazie, eliminato su lion senza problemi

[Lor1981]

...arola
grazie per l'info! appena torno a casa elimino il certificato

[Mondoedox]

Quote:

Originariamente inviato da patanfrana

Decisamente strano... prova a chiedere nel thread di Lion se qualcuno ha lo stesso problema

Ci ho riprovato, ed è filato tutto liscio. Maledetto Portachiavi...

[pgp]

Fatto! Grazie, patanfrana, sei un vero punto di riferimento in questa sezione


pgp

[AlexSwitch]

Eliminato il certificato Diginotar..... Se ci sono problemi provare ad eseguire l'operazione a Safari chiuso.

Un grazie enorme a patanfrana per il thread

[juniorjak]

Grazie per l'informazione! Eliminato al volo

[Lawilet]

io mi sono fatto un backup del certificato, non si sa mai

[VICIUS]

Cancellare il certificato no vorrei creasse problemi. Io per ora l'ho messo su Never Trust. Cache svuotate e riavvio.

Per provare se tutto quanto è andato a buon fine provate a visitare questo link: https://telewerken.tennet.org/

Usa i vecchi certificati di DigiNotar quindi il browser dovrebbe darvi un errore.

[AlexSwitch]

Un problema, dopo la rimozione del certificato, sul mio iMac l'ho riscontrato: crash di di Safari ( 5.1 ).....

[patanfrana]

Quote:

Originariamente inviato da AlexSwitch

Un problema, dopo la rimozione del certificato, sul mio iMac l'ho riscontrato: crash di di Safari ( 5.1 ).....

Svuotata la cache e corretti i permessi?

[Pakos6600]

Cancellato il certificato (ne ho fatto un backup nei documenti), cancellata la cache di Safari, ora sto facendo una riparata permessi.
Grazie per la segnalazione

[AlexSwitch]

Provata la riparazione permessi e il flush della cache di Safari.... nulla!!
Ecco il report:

Exception Type: EXC_BAD_ACCESS (SIGSEGV)
Exception Codes: KERN_INVALID_ADDRESS at 0x0000000000000019
Crashed Thread: 0 Dispatch queue: com.apple.main-thread

Thread 0 Crashed: Dispatch queue: com.apple.main-thread
0 libstdc++.6.dylib 0x00007fff802f3798 __dynamic_cast + 36
1 com.apple.security 0x00007fff8787e18d Security::KeychainCore::Identity::required(OpaqueSecIdentityRef*) + 43
2 com.apple.security 0x00007fff8787e07e SecIdentityCopyCertificate + 54
3 com.apple.Safari.framework 0x00007fff88c6d9b0 SecIdentityCopySSLClientAuthenticationChain + 70
4 com.apple.Safari.framework 0x00007fff88ab0553 Safari::useIdentityForChallenge(OpaqueSecIdentityRef*, Safari::WK::AuthenticationChallenge const&) + 32
5 com.apple.Safari.framework 0x00007fff88ab1280 Safari::BrowserContentViewController::useClientCertificatesForAuthenticationChallenge(Safari::WK::AuthenticationChallenge const&) + 354
6 com.apple.Safari.framework 0x00007fff88aa55e2 Safari::BrowserContentViewController::didReceiveAuthenticationChallenge(Safari::WK::AuthenticationChallenge const&) + 78
7 com.apple.Safari.framework 0x00007fff88c2306a Safari::WK::didReceiveAuthenticationChallengeInFrame(OpaqueWKPage const*, OpaqueWKFrame const*, OpaqueWKAuthenticationChallenge const*, void const*) + 99
8 com.apple.WebKit2 0x00007fff871b82f9 WebKit::WebPageProxy::didReceiveAuthenticationChallenge(unsigned long long, WebCore::AuthenticationChallenge const&, unsigned long long) + 133
9 com.apple.WebKit2 0x00007fff871b7c49 void CoreIPC::handleMessage<Messages::WebPageProxy:idReceiveAuthenticationChallenge, WebKit::WebPageProxy, void (WebKit::WebPageProxy::*)(unsigned long long, WebCore::AuthenticationChallenge const&, unsigned long long)>(CoreIPC::ArgumentDecoder*, WebKit::WebPageProxy*, void (WebKit::WebPageProxy::*)(unsigned long long, WebCore::AuthenticationChallenge const&, unsigned long long)) + 172
10 com.apple.WebKit2 0x00007fff8716feb0 WebKit::WebProcessProxy::didReceiveMessage(CoreIPC::Connection*, CoreIPC::MessageID, CoreIPC::ArgumentDecoder*) + 162
11 com.apple.WebKit2 0x00007fff8716fd9c CoreIPC::Connection::dispatchMessage(CoreIPC::Connection::Message<CoreIPC::ArgumentDecoder>&) + 138

Come si può leggere la validazione dei certificati avviene in una zona protetta della memoria usata dal Kernel; la mancata presenza del certificato innesca un loop che porta allo stallo del thread e al crash dell'applicazione.

Come fare per ottenere nuovamente questo certificato?

[patanfrana]

Il problema avviene subito, dopo tempo, accedendo ad un certo sito...?

Lo puoi chiedere a qualcuno che non l'ha eliminato, visto che si possono esportare: VICIUS per esempio l'ha solo bloccato

Mi spiace per questo problema: prima di segnalare la cosa mi sono fatto un bel po' di ricerche e non era mai capitato a nessuno. Ho consigliato l'eliminazione proprio perchè funzionava con tutti, contrariamente al blocco "semplice", che a molti non cambia nulla...

Cmq fammi sapere: se serve ho un Mac che non accendo da un po' che ha ancora il certificato

[AlexSwitch]

L'inconveniente si verifica, almeno per il momento, solamente se tento di accedere al sito postato da Vicius.
Safari va in bomba subito e si chiude; nessun avviso o richiesta di certificato: pagina bianca, 3 secondi di palla colorata e poi chiusura.
L'errore riportato è sempre il solito come da report.....

[patanfrana]

Mmm... allora ok, è prevedibile (per come sono pensati i certificati nel portachiavi...).

Se vuoi puoi farti ripassare il certificato e bloccarlo, ma se non hai problemi con gli altri siti...

[charliegordon]

Apple ha rilasciato l'aggiornamento di sicurezza 2011-005 per risolvere il problema dei certificati.
È caldamente consigliato un bel click su Software Update

[patanfrana]

Finalmente aggiungerei...

Ora vediamo se si svegliano anche per iOs, visto che è altrettanto vulnerabile (idem Android).