C’è mai stato un anno peggiore per SSL del 2015? Per me no. La quantità di problemi, bug, casini, e scivoloni assurdi compiuti da grandi big del settore sull’argomento ha raggiunto dei livelli che definire imbarazzanti è poco.
Partiamo da alcuni bug (anche gravi) che hanno coinvolto la libreria di crittografia più utilizzata sul web, ovvero OpenSSL.
Il primo segnalato è CVE-2015-0204 per arrivare all’ultimo che è CVE-2015-3216. In totale il solo OpenSSL ha totalizzato un bel trenta (bug e non punti all’esame universitario).
In generale sono segnalati ben 95 CVE in totale che coinvolgono problematiche legate a SSL, dai problemi nella libreria di cui sopra a bug nella gestione dei certificati in apparati e interfacce web di vari software di vendor e progetti come Cisco, Apple, Siemens, Mozilla, Squid, Asterisk, BlueCoat, Komodia, IBM, Microsoft, EMC e qualche altro.
Ma si sa, il software è vulnerabile ai bug, anche quelli che nascono per proteggere o migliorare la sicurezza. Mi fa venire invece gli istinti omicidi chi quest’anno si è messo a giocare con SSL come se fosse un proprio tool personale e non un sistema di protezione globale.
In principio fu Lenovo
Il primo big player che ha adottato questo comportamento è stata Lenovo (ho già lanciato i miei anatemi su questa vicenda) che ha ben pensato di facilitare la vita ad un software di advertising compromettendo di fatto migliaia di computer di ignari utenti.
Ma non è finita qui. Poche settimane fa è stato il turno di Dell. Questi signori hanno installato un tool di controllo remoto all’interno dei loro PC (DSDTestProvider) con tanto di propria Certificate Authority farlocca non ufficiale. Peccato che in tutto questo bailamme si siano lasciati scappare nel package anche le chiavi private di autenticazione. In questo modo chiunque avrebbe potuto firmarsi un proprio falso certificato che, mandato a un computer Dell, sarebbe stato riconosciuto come corretto. In pratica un bel man-in-the-middle for dummies in salsa americana.
Microsoft è corsa per prima ai ripari e ha prontamente mandato un update ai propri motori antimalware presenti su Windows 7/8/8.1/10, con il quale ha disabilitato i certificati in questione.
Il diavolo fa peraltro le pentole e non i coperchi. Difatti non si era ancora posata la polvere sollevata dal disastro di Dell che la stessa Microsoft, cito testualmente, ha inavvertitamente divulgato le chiavi private di un sito del tutto secondario, Xbox Live, esponendo quindi al possibile pubblico ludibrio milioni di giocatori con relative carte di credito. L’azienda è dovuta correre ai ripari con patch per tutti i suoi sistemi, XBox compresa.
Che dire? Many compliments. Avrà anche reagito velocemente e fatto sapere che nessun attacco noto ha sfruttato questo problema, ma la figura non è delle migliori per un big player. Ho sentito di gente a cui è scappato il cane, ma le chiavi private…
Non si gioca con il fuoco
Facile ironia a parte, sbagliare è umano, però sembra che il trattamento delle problematiche relative a SSL (e relativi chiavi e certificati) venga preso da troppi grandi nomi dell’informatica eccessivamente alla leggera.
Giocare con i certificati e le autorità di certificazione può essere specialmente molto pericoloso e aprire backdoor a malware, permettere furti di dati, compromissioni di codici di autenticazione, sottrazioni di denaro e chissà cos’altro. È inutile ribadire come SSL sia la base di tutte le comunicazioni economiche attuali, che fanno girare ogni giorno milioni di dollari, miliardi di messaggi privati e comunicazioni protette.
Mia nonna diceva sempre di non giocare con il fuoco. Ma si sa, i consigli degli anziani non li ascolta mai nessuno…