Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
Ricarica la Pagina [NEWS] Certificati, l'anello debole nella catena

Sony INZONE H6 Air: il primo headset open-back di Sony per giocatori
Sony INZONE H6 Air: il primo headset open-back di Sony per giocatori
Il primo headset open-back della linea INZONE arriva a 200 euro con driver derivati dalle cuffie da studio MDR-MV1 e un peso record di soli 199 grammi
Nutanix cambia pelle: dall’iperconvergenza alla piattaforma full stack per cloud ibrido e IA
Nutanix cambia pelle: dall’iperconvergenza alla piattaforma full stack per cloud ibrido e IA
Al .NEXT 2026 di Chicago, Nutanix ha mostrato quanto sia cambiata: una piattaforma software che gestisce VM, container e carichi di lavoro IA ovunque, dall’on-premise al cloud pubblico. Con un’esecuzione rapidissima sulle partnership e sulla migrazione da VMware
Recensione Xiaomi Pad 8 Pro: potenza bruta e HyperOS 3 per sfidare la fascia alta
Recensione Xiaomi Pad 8 Pro: potenza bruta e HyperOS 3 per sfidare la fascia alta
Xiaomi Pad 8 Pro adotta il potente Snapdragon 8 Elite all'interno di un corpo con spessore di soli 5,75 mm e pannello LCD a 144Hz flicker-free, per un tablet che può essere utilizzato con accessori dedicati di altissima qualità. Fra le caratteristiche esclusive, soprattutto per chi intende usarlo con la tastiera ufficiale, c'è la modalità Workstation di HyperOS 3, che trasforma Android in un sistema operativo con interfaccia a finestre
L'IA ha fatto incetta anche di processori, a rischio shortage anche le CPU
Affidabilità delle GPU NVIDIA crollata a picco: decuplicata la spesa per le riparazioni in assistenza
Maxi incendio in un parcheggio BYD: fiamme tra auto elettriche e prototipi a Shenzhen
Apple potrebbe diventare il terzo produttore al mondo di smartphone pieghevoli con il nuovo Fold
L'IA aiuta i computer quantistici con i modelli NVIDIA Ising
Nutanix Database Platform è ora integrato con MongoDB
iliad lancia il 5G Standalone in Italia: debutto ufficiale al Fuorisalone 2026
Alexa+ da oggi disponibile anche in Italia
SpaceX Starship: Ship 39 ha eseguito il suo primo static fire completo, lancio non prima di maggio
Auto usate: Peugeot 3008 tra le peggiori mentre BMW e Volvo dominano per affidabilità
YMTC, il produttore di memorie 100% cinesi, costruirà altri due impianti: numeri vicini a Micron ed SK hynix
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 17-04-2012, 07:10   #1
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22121
[NEWS] Certificati, l'anello debole nella catena
lunedì 16 aprile 2012

Spoiler:
Quote:
di C. Giustozzi - Le vere infrastrutture critiche non sono quelle da cui dipende il funzionamento della Rete. Il vero punto debole sono i servizi da cui dipende la Rete stessa. Il caso delle Certificate Authorities



Roma - È di solo poche settimane fa la notizia di quella che probabilmente è la prima truffa perpetrata in Italia mediante l'uso (o l'abuso) della firma digitale: alcuni truffatori, utilizzando abusivamente la firma digitale di un imprenditore, si sono a sua insaputa intestati le quote dell'azienda di cui egli era titolare, di fatto "scippandogliela". Molti giornali hanno rilanciato la storia con grande enfasi ma ben poca dovizia di particolari, limitandosi soprattutto a ripubblicare gli scarni comunicati d'agenzia, e qualcuno si è perfino lanciato in commenti personali tanto azzardati quanto poco azzeccati, parlando ad esempio di "copia della firma digitale". Il risultato è stato l'ennessimo guazzabuglio tecno-mediatico, nel quale nessuno (in primis gli stessi giornalisti) ci ha capito nulla, ma che in tutti ha lasciato l'amara impressione che la firma digitale non sia affatto sicura.

L'episodio in effetti è rilevante, e occorre approfondito per capire come sia avvenuto. La buona notizia è che la tecnologia della firma digitale in sé non è affatto vulnerabile, al contrario di come taluni hanno pensato: quella cattiva è che, come del resto già si sapeva ma troppo spesso si dimentica, è invece dannatamente vulnerabile tutto il corollario di processi amministrativi che la circondano, specie quelli presidiati da operatori umani. L'occasione è quindi utile per ampliare la riflessione ad un aspetto spesso trascurato ma fondamentale del funzionamento della Rete, quello del trust: ossia di quella "catena di fiducia" grazie alla quale possiamo stabilire con certezza l'identità dei soggetti, umani o automatici, coi quali interagiamo nel cyberspazio.

L'integrità della catena di fiducia è condizione irrinunciabile affinché si possano effettuare in Rete quelle attività fondamentali della società umana, quali ad esempio la compravendita di beni e servizi, potendo contare su un livello di garanzia almeno uguale se non superiore a quello che ci aspettiamo nelle tradizionali interazioni in presenza. Come noto la gestione della catena di trust è affidata, per norme e consuetudini internazionali, alle cosiddette "Autorità di certificazione" o "Certification Authorities": ossia particolari entità super partes che, essendo considerate affidabili per definizione, garantiscono con assiomatica certezza l'identità dei soggetti cui rilasciano quelle speciali e non falsificabili credenziali elettroniche che vanno sotto il nome di certificati digitali. Pertanto il sistema delle Autorità di certificazione svolge un servizo vitale per il funzionamento della Rete stessa, e una sua eventuale compromissione potrebbe portare alla sovversione totale di ogni rapporto di fiducia da essa mediato con conseguenze facilmente immaginabili.L'episodio balzato agli onori della cronaca verso la fine dello scorso marzo, in effetti, non ha fatto altro che evidenziare una falla nel processo di trust sfruttando la quale, con la complicità più o meno volontaria e consapevole di alcuni intermediari umani, un gruppo di malintenzionati è riuscito a farsi rilasciare una smart card di firma digitale inestata alla vittima; da qui ad usarla per autorizzare a sua insaputa il trasferimento a loro favore delle quote di un'azienda di sua proprietà il passo è stato breve. Quello che è successo è in realtà desolantemente semplice: i truffatori si sono rivolti ad una Certification Authority accreditata, tramite una Registration Authority pubblica (la Camera di Commercio), chiedendo l'emissione di una smart card di firma intestata all'imprenditore; la domanda era accompagnata dalla fotocopia dei documenti di quest'ultimo, e da una falsa delega che li autorizzava al ritiro del dispositivo per conto del legittimo intestatario a causa della sua assenza dall'Italia. L'impiegato della Registration Authority, evidentemente poco scrupoloso nello svolgimento del suo mestiere, ha accettato pacificamente la richiesta ed ha provveduto a far emettere alla Certification Authority il certificato richiesto, senza effettuare i necessari accertamenti sulla validità della richiesta e soprattutto senza accertarsi della reale identità del richiedente. A causa di questo comportamento improprio i truffatori sono potuti entrare in possesso di un dispositivo di firma digitale valido ed intestato all'ignaro imprenditore: e così, grazie anche alla complicità di un commercialista poco scrupoloso, hanno facilmente potuto autorizzare il trasferimento a sé stessi delle quote societarie dell'azienda di proprietà della vittima.

Una truffa banale, dunque? Un mero incidente di percorso, dovuto ad incuria umana, che non incrina minimamente la validità dei meccanismi tecnici della firma digitale? Insomma, mica tanto. Tanto per cominciare non si è trattato solo di una semplice leggerezza da parte della Registration Authority ma di un vero e proprio reato: la legge prevede infatti che colui che richiede un dispositivo sicuro di firma digitale debba essere "identificato con certezza" da colui che dovrà rilasciarglielo, e ciò proprio per evitare possibili casi di truffe o furti di identità. Cosa che nel caso di specie non è evidentemente avvenuta. Così, se da un lato restiamo rincuorati sul fatto che la firma digitale continua ad essere tecnicamente sicura, dall'altro dovremmo iniziare ad interrogarci di più sulla insospettata vulnerabilità di quei meccanismi non tecnici che dovrebbero fornirci proprio quelle garanzie irrinunciabili sull'affidabilità dell'intero processo di trust sul quale si basa la validità della firma digitale. In altre parole: tutto il sistema di fiducia si fonda sul fatto che le Certification Authority siano affidabili, ma come facciamo ad essere sicuri che lo siano davvero?

La realtà è che le Autorità di certificazione sono davvero il tallone d'Achille di tutto il meccanismo di attribuzione della fiducia sul quale si basano i processi ed i sistemi di e-commerce, e-governement e via dicendo. E ci sono oramai le prove che tale meccanismo stia iniziando a scricchiolare sotto i colpi di chi ha interesse a sovvertirne il funzionamento. Negli ultimi due anni, ad esempio, sono già almeno tre i casi eclatanti in cui certificati digitali validi ma "rubati", oppure estorti fraudolentemente a CA appositamente compromesse, sono stati utilizzati per consentire lo svolgimento di azioni malevole su larga o larghissima scala. Si tratta di un segnale davvero inquietante, perché mette chiaramente in luce come tutta la catena di fiducia della rete si poggi su fondamenta assai più deboli del previsto.








Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

Sony INZONE H6 Air: il primo headset open-back di Sony per giocatori Sony INZONE H6 Air: il primo headset open-back d...
Nutanix cambia pelle: dall’iperconvergenza alla piattaforma full stack per cloud ibrido e IA Nutanix cambia pelle: dall’iperconvergenza alla ...
Recensione Xiaomi Pad 8 Pro: potenza bruta e HyperOS 3 per sfidare la fascia alta Recensione Xiaomi Pad 8 Pro: potenza bruta e Hyp...
NZXT H9 Flow RGB+, Kraken Elite 420 e F140X: abbiamo provato il tris d'assi di NZXT NZXT H9 Flow RGB+, Kraken Elite 420 e F140X: abb...
ASUS ROG Swift OLED PG34WCDN recensione: il primo QD-OLED RGB da 360 Hz ASUS ROG Swift OLED PG34WCDN recensione: il prim...
L'IA ha fatto incetta anche di processor...
Affidabilità delle GPU NVIDIA cro...
Maxi incendio in un parcheggio BYD: fiam...
Apple potrebbe diventare il terzo produt...
L'IA aiuta i computer quantistici con i ...
Nutanix Database Platform è ora i...
iliad lancia il 5G Standalone in Italia:...
Alexa+ da oggi disponibile anche in Ital...
SpaceX Starship: Ship 39 ha eseguito il ...
Auto usate: Peugeot 3008 tra le peggiori...
YMTC, il produttore di memorie 100% cine...
I gamer rinunciano alla RAM ma non agli ...
Oltre 100 estensioni Chrome malevole rub...
Multi Frame Generation 5x e 6x anche su ...
Kraken sotto ricatto dopo due accessi in...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 03:48.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v