Compromessi alcuni server di produzione di Adobe

Compromessi alcuni server di produzione di Adobe

Nella giornata di ieri Adobe ha diffuso la notizia che alcuni pirati informatici sarebbero riusciti ad intrufolarsi in uno dei server di produzione e sarebbero stati in grado di firmare digitalmente alcuni software nocivi

di Alessandro Bordin pubblicata il , alle 12:33 nel canale Sicurezza
Adobe
 

Il problema della sicurezza dello storage dei certificati digitali è da sempre uno dei punti critici che minano alla base le infrastrutture PKI, rendendone potenzialmente nullo l'intero fattore sicurezza e rischiando un punto di rottura nella "catena della fiducia".

L'Adobe Secure Software Engineering Team (ASSET), il team di sicurezza di Adobe, ha reso noto nella giornata di ieri che uno dei server di produzione utilizzati da Adobe per lo sviluppo e la firma digitale dei propri prodotti è stato compromesso da pirati informatici ancora ignoti, i quali hanno utilizzato questa breccia per poter firmare digitalmente software nocivi con il certificato digitale legalmente valido di Adobe.

Adobe, nel comunicato ufficiale pubblicato nel blog della società, ha dichiarato di aver già isolato il server compromesso e di aver aperto un'inchiesta interna al fine di identificare le metodologie che hanno permesso ai pirati informatici di potervi accedere. La società ha comunque chiarito che i certificati digitali non erano in alcun modo salvati nel server compromesso, il quale tuttavia aveva permesso di accedere al protocollo di richiesta per firmare automaticamente i file.

La società ha già comunicato a Verisign, la certification authority che rilascia i certificati digitali ad Adobe, di revocare il certificato compromesso e ha iniziato una procedura manuale per rifirmare digitalmente tutti i file Adobe precedentemente firmati con il vecchio certificato. Verisign, dal canto suo, ha dichiarato che rilascerà la Certificate Revocation List (CRL) aggiornata il prossimo 4 ottobre.

"Il problema concettuale in un'infrastruttura PKI sta proprio nel doversi affidare quasi ciecamente a chi gestisce i certificati digitali, sperando che vengano trattati applicando delle linee guida che garantiscano il massimo della sicurezza. Il fatto che un software sia firmato digitalmente purtroppo non da una garanzia completa della bontà di tale software" ha dichiarato Marco Giuliani, direttore della società di sicurezza italiana ITSEC, intervistato da Hardware Upgrade sull'incidente.

Il problema principale, dichiara Giuliani, sta nel fatto che molti software di sicurezza verificano la presenza di una firma digitale valida mentre analizzano un software e, se viene identificata, il software in molti casi viene marcato immediatamente come sicuro. Un approccio, questo, errato perché non terrebbe conto di molti altri fattori.

"Quando si ha di fronte un software firmato digitalmente si ha la certezza che quel software, dal momento in cui è stato firmato, non è stato più alterato. Ma sarà molto più difficile poter verificare se il certificato digitale utilizzato per la firma di quel prodotto non sia stato in qualche modo abusato, né si può avere la certezza che l'eventuale programmatore o team di programmatori di tale software non abbia avuto i propri PC a loro volta contaminati" continua poi Giuliani, "in quel caso il software sarebbe infetto sin dalla sorgente, vanificando fondamentalmente il fattore di affidabilità".

Da qui l'importanza, secondo Giuliani, di applicare sempre una sicurezza a più livelli, di affidarsi cioè sì a software firmati digitalmente - i quali garantiscono comunque un maggiore livello di sicurezza - ma senza dimenticare i software antivirus.

"Un software antivirus controlla comunque il codice che sta per essere eseguito, indipendentemente dal fatto che sia firmato o meno, è un secondo occhio digitale che permette di guardare all'interno di un file che altrimenti non verrebbe controllato ma la cui bontà sarebbe data per scontata" ha commentato infine Giuliani.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

90 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
cerbert28 Settembre 2012, 14:18 #1
Ecco, magari io sono ipercritico ma...
Verisign, dal canto suo, ha dichiarato che rilascerà la Certificate Revocation List (CRL) aggiornata il prossimo 4 ottobre.


cioè, Verisign SUL SERIO intende aspettare UNA SETTIMANA prima di revocare certificati in possesso di un "big" come Adobe?
Hanno idea di quanti download di prodotti contraffatti potrebbero essere fatti in una settimana? Che concetto hanno questi di "certificazione" e "sicurezza"?
!fazz28 Settembre 2012, 14:23 #2
Originariamente inviato da: cerbert
Ecco, magari io sono ipercritico ma...


cioè, Verisign SUL SERIO intende aspettare UNA SETTIMANA prima di revocare certificati in possesso di un "big" come Adobe?
Hanno idea di quanti download di prodotti contraffatti potrebbero essere fatti in una settimana? Che concetto hanno questi di "certificazione" e "sicurezza"?


in effetti è abbastanza scandalosa come tempistica, per non parlare della figuraccia
LukeIlBello28 Settembre 2012, 20:36 #3
il discorso finalde degli antivirus è ridicolo..
cioè, l'uso dell'antivirus è esso stesso inutile ai fini della sicurezza, quindi
affidarsi ad esso è una soluzione molto lamer, comprensibile se espressa dall'ut0nto di turno, ridicola per l'appunto se espressa da adobe
Chukie29 Settembre 2012, 14:41 #4
Originariamente inviato da: LukeIlBello
il discorso finalde degli antivirus è ridicolo..
cioè, l'uso dell'antivirus è esso stesso inutile ai fini della sicurezza, quindi
affidarsi ad esso è una soluzione molto lamer, comprensibile se espressa dall'ut0nto di turno, ridicola per l'appunto se espressa da adobe


Riesci ad argomentare un po meglio questa tua affermazione risibile oppure è tutto qui il tuo pensiero e ti limiti semplicemente ad etichettare come ridicolo un pensiero che è invece decisamente importante?
LukeIlBello29 Settembre 2012, 16:25 #5
Originariamente inviato da: Chukie
Riesci ad argomentare un po meglio questa tua affermazione risibile oppure è tutto qui il tuo pensiero e ti limiti semplicemente ad etichettare come ridicolo un pensiero che è invece decisamente importante?


certo! un AV è inutile xchè se io firmo un documento digitale adobe con un trojan scritto da me, l'AV non lo sgamerà mai...
credo che possa bastare come esempio
eeetc29 Settembre 2012, 21:41 #6
Originariamente inviato da: LukeIlBello
certo! un AV è inutile xchè se io firmo un documento digitale adobe con un trojan scritto da me, l'AV non lo sgamerà mai...
credo che possa bastare come esempio

Scusa ma sei rimasto agli antivirus per DOS?
Un antivirus serio odierno analizza l'eseguibile alla ricerca dei pattern conosciuti di virus, nonché un'analisi euristica del suo comportamento.
Non si ferma certo a un certificato considerato affidabile.
LukeIlBello30 Settembre 2012, 03:18 #7
Originariamente inviato da: eeetc
Scusa ma sei rimasto agli antivirus per DOS?
Un antivirus serio odierno analizza l'eseguibile alla ricerca dei pattern conosciuti di virus, nonché un'analisi euristica del suo comportamento.
Non si ferma certo a un certificato considerato affidabile.


quindi un antivirus riconsce il mio server stealth ftp scritto in c++?
non credo proprio che scatti un alert, ma se vuoi facciamo la prova
Chukie30 Settembre 2012, 10:31 #8
Originariamente inviato da: LukeIlBello
certo! un AV è inutile xchè se io firmo un documento digitale adobe con un trojan scritto da me, l'AV non lo sgamerà mai...
credo che possa bastare come esempio



Credo che possa bastare come esempio? Quale esempio? Questo ti sembra un esempio?

Praticamente due parole dette da te senza uno straccio di prova o spiegazione tecnica sarebbe un esempio?

Continua a scrivere il server STEALTH ftp che è meglio va
eeetc30 Settembre 2012, 12:26 #9
Originariamente inviato da: LukeIlBello
quindi un antivirus riconsce il mio server stealth ftp scritto in c++?
non credo proprio che scatti un alert, ma se vuoi facciamo la prova

Un buon antivirus analizza il comportamento di qualunque eseguibile o servizio sulla macchina, e notifica azioni "strane" o li blocca.
Poi cosa cambia il linguaggio di programmazione ai fini del riconoscimento?
Potresti scriverlo anche in Visual Basic o in ASM...
LukeIlBello02 Ottobre 2012, 11:59 #10
ragazzi voi sopravvalutate gli antivirus.
non servono a na mazza, qualsiasi programma che si finge innocuo, di cui non si conosce la firma (xchè l'ho scritto io), agisce in maniera indiscriminata..

il mio server ftp, esempio banale ma molto calzante, aggira qualsiasi antivirus.

@Chukie: non ho capito cosa altro ti serve, un antivirus non riconosce un programma che agisce in modo banale come un server ftp, a meno che questo non sia gia stato inserito nel db delle firme, ed è questa la triste realtà; siete alla stregua della celerità di chi ha prodotto il vs. antivirus.
le misure "proattive" sono solo bei paroloni per prendervi in giro, non si spiega come mai TUTTI I MIEI CLIENTI hanno un antivirus e TUTTI I MIEI
CLIENTI sono infettati periodicamente...
vogliamo continuare? o magari volete un Proof of concept per denigrare il vs antivirus?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^