Compromessi alcuni server di produzione di Adobe

Nella giornata di ieri Adobe ha diffuso la notizia che alcuni pirati informatici sarebbero riusciti ad intrufolarsi in uno dei server di produzione e sarebbero stati in grado di firmare digitalmente alcuni software nocivi
di Alessandro Bordin pubblicata il 28 Settembre 2012, alle 12:33 nel canale SicurezzaAdobe
Il problema della sicurezza dello storage dei certificati digitali è da sempre uno dei punti critici che minano alla base le infrastrutture PKI, rendendone potenzialmente nullo l'intero fattore sicurezza e rischiando un punto di rottura nella "catena della fiducia".
L'Adobe Secure Software Engineering Team (ASSET), il team di sicurezza
di Adobe, ha reso noto nella giornata di ieri che uno dei server di produzione
utilizzati da Adobe per lo sviluppo e la firma digitale dei propri prodotti è
stato compromesso da pirati informatici ancora ignoti, i quali hanno utilizzato
questa breccia per poter firmare digitalmente software nocivi con il certificato
digitale legalmente valido di Adobe.
Adobe, nel comunicato ufficiale
pubblicato nel blog della società, ha dichiarato di aver già isolato il
server compromesso e di aver aperto un'inchiesta interna al fine di identificare
le metodologie che hanno permesso ai pirati informatici di potervi accedere. La
società ha comunque chiarito che i certificati digitali non erano in alcun modo
salvati nel server compromesso, il quale tuttavia aveva permesso di accedere al
protocollo di richiesta per firmare automaticamente i file.
La società ha già comunicato a Verisign, la certification authority che
rilascia i certificati digitali ad Adobe, di revocare il certificato compromesso
e ha iniziato una procedura manuale per rifirmare digitalmente tutti i file
Adobe precedentemente firmati con il vecchio certificato. Verisign, dal canto
suo, ha dichiarato che rilascerà la Certificate Revocation List (CRL) aggiornata
il prossimo 4 ottobre.
"Il problema concettuale in un'infrastruttura PKI sta proprio nel doversi
affidare quasi ciecamente a chi gestisce i certificati digitali, sperando che
vengano trattati applicando delle linee guida che garantiscano il massimo della
sicurezza. Il fatto che un software sia firmato digitalmente purtroppo non da
una garanzia completa della bontà di tale software" ha dichiarato Marco
Giuliani, direttore della società di sicurezza italiana
ITSEC, intervistato da Hardware Upgrade sull'incidente.
Il problema principale, dichiara Giuliani, sta nel fatto che molti software di
sicurezza verificano la presenza di una firma digitale valida mentre analizzano
un software e, se viene identificata, il software in molti casi viene marcato
immediatamente come sicuro. Un approccio, questo, errato perché non terrebbe
conto di molti altri fattori.
"Quando si ha di fronte un software firmato digitalmente si ha la certezza
che quel software, dal momento in cui è stato firmato, non è stato più alterato.
Ma sarà molto più difficile poter verificare se il certificato digitale
utilizzato per la firma di quel prodotto non sia stato in qualche modo abusato,
né si può avere la certezza che l'eventuale programmatore o team di
programmatori di tale software non abbia avuto i propri PC a loro volta
contaminati" continua poi Giuliani, "in quel caso il software sarebbe
infetto sin dalla sorgente, vanificando fondamentalmente il fattore di
affidabilità".
Da qui l'importanza, secondo Giuliani, di applicare sempre una sicurezza a più
livelli, di affidarsi cioè sì a software firmati digitalmente - i quali
garantiscono comunque un maggiore livello di sicurezza - ma senza dimenticare i
software antivirus.
"Un software antivirus controlla comunque il codice che sta per essere
eseguito, indipendentemente dal fatto che sia firmato o meno, è un secondo
occhio digitale che permette di guardare all'interno di un file che altrimenti
non verrebbe controllato ma la cui bontà sarebbe data per scontata" ha
commentato infine Giuliani.
90 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infocioè, Verisign SUL SERIO intende aspettare UNA SETTIMANA prima di revocare certificati in possesso di un "big" come Adobe?
Hanno idea di quanti download di prodotti contraffatti potrebbero essere fatti in una settimana? Che concetto hanno questi di "certificazione" e "sicurezza"?
cioè, Verisign SUL SERIO intende aspettare UNA SETTIMANA prima di revocare certificati in possesso di un "big" come Adobe?
Hanno idea di quanti download di prodotti contraffatti potrebbero essere fatti in una settimana? Che concetto hanno questi di "certificazione" e "sicurezza"?
in effetti è abbastanza scandalosa come tempistica, per non parlare della figuraccia
cioè, l'uso dell'antivirus è esso stesso inutile ai fini della sicurezza, quindi
affidarsi ad esso è una soluzione molto lamer, comprensibile se espressa dall'ut0nto di turno, ridicola per l'appunto se espressa da adobe
cioè, l'uso dell'antivirus è esso stesso inutile ai fini della sicurezza, quindi
affidarsi ad esso è una soluzione molto lamer, comprensibile se espressa dall'ut0nto di turno, ridicola per l'appunto se espressa da adobe
Riesci ad argomentare un po meglio questa tua affermazione risibile oppure è tutto qui il tuo pensiero e ti limiti semplicemente ad etichettare come ridicolo un pensiero che è invece decisamente importante?
certo! un AV è inutile xchè se io firmo un documento digitale adobe con un trojan scritto da me, l'AV non lo sgamerà mai...
credo che possa bastare come esempio
credo che possa bastare come esempio
Scusa ma sei rimasto agli antivirus per DOS?
Un antivirus serio odierno analizza l'eseguibile alla ricerca dei pattern conosciuti di virus, nonché un'analisi euristica del suo comportamento.
Non si ferma certo a un certificato considerato affidabile.
Un antivirus serio odierno analizza l'eseguibile alla ricerca dei pattern conosciuti di virus, nonché un'analisi euristica del suo comportamento.
Non si ferma certo a un certificato considerato affidabile.
quindi un antivirus riconsce il mio server stealth ftp scritto in c++?
non credo proprio che scatti un alert, ma se vuoi facciamo la prova
credo che possa bastare come esempio
Credo che possa bastare come esempio? Quale esempio? Questo ti sembra un esempio?
Praticamente due parole dette da te senza uno straccio di prova o spiegazione tecnica sarebbe un esempio?
Continua a scrivere il server STEALTH ftp che è meglio va
non credo proprio che scatti un alert, ma se vuoi facciamo la prova
Un buon antivirus analizza il comportamento di qualunque eseguibile o servizio sulla macchina, e notifica azioni "strane" o li blocca.
Poi cosa cambia il linguaggio di programmazione ai fini del riconoscimento?
Potresti scriverlo anche in Visual Basic o in ASM...
non servono a na mazza, qualsiasi programma che si finge innocuo, di cui non si conosce la firma (xchè l'ho scritto io), agisce in maniera indiscriminata..
il mio server ftp, esempio banale ma molto calzante, aggira qualsiasi antivirus.
@Chukie: non ho capito cosa altro ti serve, un antivirus non riconosce un programma che agisce in modo banale come un server ftp, a meno che questo non sia gia stato inserito nel db delle firme, ed è questa la triste realtà; siete alla stregua della celerità di chi ha prodotto il vs. antivirus.
le misure "proattive" sono solo bei paroloni per prendervi in giro, non si spiega come mai TUTTI I MIEI CLIENTI hanno un antivirus e TUTTI I MIEI
CLIENTI sono infettati periodicamente...
vogliamo continuare? o magari volete un Proof of concept per denigrare il vs antivirus?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".