Attacco cracker a VeriSign, ma lo si scopre dopo due anni

Attacco cracker a VeriSign, ma lo si scopre dopo due anni

Nel corso del 2010 la compagnia ha subito un attacco che ha portato alla sottrazione di informazioni, ma la comunicazione arriva a quasi due anni di distanza in una relazione alla SEC

di pubblicata il , alle 10:50 nel canale Sicurezza
 

VeriSign, la nota società americana che gestisce due dei tredici root nameserver di Internet, il registro per i domini di primo livello .com, .net e .name, nonché una vasta serie di servizi di sicurezza è stata vittima di un attacco che ha portato alla sottrazione di dati ed informazioni: secondo quanto affermato dall'agenzia stampa Reuters, l'attacco è avvenuto nel corso del 2010, ma non vi sono dettagli sul tipo di informazioni trafugate.

Gli attacchi subiti da VeriSign emergono da una serie di documenti presentati lo scorso ottobre alla Securities and Exchange Commission. Gli executive di VeriSign hanno affermato che questi attacchi, avvenuti presso la sede di Reston, in Virginia, non dovrebbero aver compromesso i server a supporto del sistema DNS. Il DNS di VeriSign processa circa 50 miliardi di richieste al giorno ed una sua compromissione potrebbe consentire ai criminali di dirottare gli utenti della rete verso siti web contraffatti.

Ken Silva, CTO di VeriSign per tre anni fino a novembre 2010 ha affermato di non essere a conoscenza dell'intrusione fino a quando è stato contattato da Reuters per approfondimenti. Secondo Silva non è possibile tratteggiare un accurato quadro della situazione per via del tempo trascorso dall'attacco e dai termini vaghi con cui questo viene descritto nella documentazione presentata alla SEC. Secondo quanto afferma Reuters non è stato possibile raggiungere VeriSign per alcun commento, mentre diversi dipendenti hanno dichiarato di non aver ricevuto ulteriori dettagli rispetto a quelli presenti nella documentazione in mano alla SEC.

Anche nel caso in cui la sicurezza del DNS fosse stata preservata, la compagnia offre una vasta serie di servizi dove la sicurezza rappresenta una priorità fondamentale. Ad esempio è la stessa VeriSign che, fino ad agosto del 2010, rappresentava uno dei maggiori fornitori di certificati Secure Socket Layer, tramite i quali i browser web garantiscono le comunicazioni su un canale sicuro. Nel caso i cui i processi di produzione dei certificati SSL fossero stati compromessi, chiunque disponesse di queste informazioni avrebbe la possibilità di creare certificati fasulli per siti web con scopi tutt'altro che leciti.

Nel corso del 2010 VeriSign ha ceduto a Symantec la divisione demandata alla gestione e all'emissione dei certificati e Symantec ha continuato a mantenere il brand VeriSign per questo tipo di attività. Un portavoce di Symantec ha però dichiarato che non vi è alcuna indicazione che l'attacco portato a VeriSign sia stato correlato ai sistemi di produzione SSL.

Attualmente si attende ancora una posizione ufficiale da parte di VeriSign, che crediamo possa essere diramata nel giro di breve tempo ora che la vicenda è di pubblico dominio.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium03 Febbraio 2012, 11:31 #1
[...]ha ceduto a Symantec la divisione demandata alla gestione e all'emissione dei certificati[...]

ecco la falla Mai avere a che fare con Symantec
gxxx03 Febbraio 2012, 11:34 #2
Originariamente inviato da: Opteranium
[...]ha ceduto a Symantec la divisione demandata alla gestione e all'emissione dei certificati[...]

ecco la falla Mai avere a che fare con Symantec


tutti i problemi di symantec stanno venendo a galla nello stesso momento
BigEyes8903 Febbraio 2012, 13:07 #3
hanno fatto davvero un bel casino..

per quanto ne so avrebbero potuto benissimo modificare i certificati di paypal (che dovrebbero essere "verisign trust" se ricordo bene)..
bluv04 Febbraio 2012, 18:10 #4
poste, banche ... Verisign dappertutto
è una continua rincorsa tra guardie e ladri

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^