Falso certificato Google per scovare dati

wintricks.staff · 31-08-2011, 09.42.11

È stato accertato che, lo scorso 10 luglio, la società di sicurezza olandese DigiNotar, in seguito ad un attacco, ha rilasciato un certificato di sicurezza ad ignoti. Questo certificato potrebbe aver consentito di registrare falsi account Google e collezionare dati di accesso ai servizi di Big G, inclusi i login di Gmail.

Come i pirati siano entrati in possesso del certificato di sicurezza non è ancora chiaro. Le prime notizie della truffa sono state riportate da un utente iraniano che ha postato le informazioni sul Google help forum, ventilando l'ipotesi che il governo iraniano fosse coinvolto nell'attacco.

In passato la stessa situazione si è verificata per la società di sicurezza Comodo, la quale scoprì di essere vittima di un hack che aveva portato alla diffusione di certificati di sicurezza fasulli a proprio nome e con obiettivi diverse aziende. In quel caso le indagini appurarono che l'attacco era partito da territorio iraniano.

Queste situazioni, purtroppo, sono il prodotto di una debolezza intrinseca del sistema di certificazione SSL, come spiega la Electronic Frontier Foundation (EFF). Infatti, il sistema è stato creato decenni fa, quando la preoccupazione più grande verso la navigazione online era quella di proteggere i pin delle carte di credito, mentre oggi gli utenti utilizzano questi certificati per proteggere la loro privacy in ogni aspetto e per evitare la diffusione di dati contro investigazioni di enti governativi.

Secondo la EFF il sistema di certificazione SSL non è in grado di soddisfare quest'ultimo compito, dunque andrebbe completamente rivisto in un mondo in cui la condivisione online è sempre più imperante.

provola74 · 01-09-2011, 20.24.53

Io sottolineerei la debolezza indotta dal sistema legislativo americano che obbliga la presenza di "backdoors" (se cosi' possiamo chiamarle) ai custodi di informazioni sensibili. Se vuoi fare "affari" con "Noi" ci devi poter far vedere quello che custodisci ai fini della sicurezza nazionale.
Prego qualcuno di poter chiarire o smentire quello che ho scritto.

31-08-2011, 09.42.11	#1
wintricks.staff Hero Member Registrato: 04-04-2000 Loc.: TriVeneto, Italia Messaggi: 605	Falso certificato Google per scovare dati È stato accertato che, lo scorso 10 luglio, la società di sicurezza olandese DigiNotar, in seguito ad un attacco, ha rilasciato un certificato di sicurezza ad ignoti. Questo certificato potrebbe aver consentito di registrare falsi account Google e collezionare dati di accesso ai servizi di Big G, inclusi i login di Gmail. Come i pirati siano entrati in possesso del certificato di sicurezza non è ancora chiaro. Le prime notizie della truffa sono state riportate da un utente iraniano che ha postato le informazioni sul Google help forum, ventilando l'ipotesi che il governo iraniano fosse coinvolto nell'attacco. In passato la stessa situazione si è verificata per la società di sicurezza Comodo, la quale scoprì di essere vittima di un hack che aveva portato alla diffusione di certificati di sicurezza fasulli a proprio nome e con obiettivi diverse aziende. In quel caso le indagini appurarono che l'attacco era partito da territorio iraniano. Queste situazioni, purtroppo, sono il prodotto di una debolezza intrinseca del sistema di certificazione SSL, come spiega la Electronic Frontier Foundation (EFF). Infatti, il sistema è stato creato decenni fa, quando la preoccupazione più grande verso la navigazione online era quella di proteggere i pin delle carte di credito, mentre oggi gli utenti utilizzano questi certificati per proteggere la loro privacy in ogni aspetto e per evitare la diffusione di dati contro investigazioni di enti governativi. Secondo la EFF il sistema di certificazione SSL non è in grado di soddisfare quest'ultimo compito, dunque andrebbe completamente rivisto in un mondo in cui la condivisione online è sempre più imperante.

01-09-2011, 20.24.53	#2
provola74 Newbie Registrato: 31-08-2011 Messaggi: 6	Io sottolineerei la debolezza indotta dal sistema legislativo americano che obbliga la presenza di "backdoors" (se cosi' possiamo chiamarle) ai custodi di informazioni sensibili. Se vuoi fare "affari" con "Noi" ci devi poter far vedere quello che custodisci ai fini della sicurezza nazionale. Prego qualcuno di poter chiarire o smentire quello che ho scritto.

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail