sabato 19 marzo 2011

Internet Explorer ha aiutato la cyberpolizia di Ben Ali

E' un problema da tempo noto presso la comunità open source: il sistema a verifica incrociata che sovrintende alla sicurezza della navigazione in Rete può, in determinate circostanze, entrare in corto circuito. E il corto circuito pare si sia verificato nella Tunisia di Ben Ali.

Innanzitutto: cosa succede quando nella barra del nostro browser digitiamo il nome del sito che intendiamo visitare? Gli estremi identificativi di un sito sono due: la sua URL (l'indirizzo alfabetico, del tipo www.google.com) e il suo IP (l'indirizzo numerico, del tipo 72.14.207.99, che del sito indica la posizione “fisica” , ovvero le “coordinate geografiche” del server su cui esso materialmente risiede). La corretta corrispondenza tra URL e IP viene tenuta da particolari registri, i server DNS: noi scriviamo www.google.com e il DNS, interrogato dal browser quando premiamo INVIO, traduce in 72.14.207.99, garantendoci l'accesso al sito autentico.

Questo in condizioni “normali”, ovvero quando i “registri” DNS e gli indirizzi URL siano “amministrati” da soggetti diversi, esterni l'uno all'altro. Laddove il soggetto sia il medesimo (ad esempio un regime illiberale alle prese con una insurrezione 2.0) le corrispondenze DNS possono venire “taroccate”: noi scriviamo www.google.com e il server traduce in un indirizzo IP farlocco, dirottandoci verso un sito che sembra Google ma che Google non è. Problema da poco se ci limitiamo ad interrogare il motore di ricerca: ma se volessimo accedere alla nostra casella di posta GMAIL? Inserendo nome utente e password, forniremmo le nostre credenziali di accesso al soggetto taroccatore, il quale potrebbe servirsene per prendere il controllo del nostro account. Si tratta del "phishing", la stessa tecnica adottata da chi, adducendo motivi di sicurezza o di manutenzione straordinaria, tenta di carpire le nostre coordinate bancarie inviandoci email che ci pregano di “loggarci” al sito -farlocco- della nostra banca.

Per arginare il rischio di phishing, laddove sia necessario lo scambio di “dati sensibili” entrano in gioco particolari protocolli: le connessioni protette HTTPS (HTTP+S, sicurezza). A spanne: tra le due “chiavi”, quella dell'utente e quella del sito, ne viene frapposta una terza, tramite lo scambio di certificati digitali. Noi scriviamo l'indirizzo di un sito, il browser chiede al sito di esibire il certificato e, se il certificato viene riconosciuto come valido e sicuro, il browser dà modo di procedere con la connessione. In caso contrario, il browser ci avverte del pericolo tramite messaggi simili a questo. Quando un certificato viene riconosciuto valido e sicuro? Quando l'autorità di certificazione che lo ha “firmato” compare tra quelle a loro volta riconosciute come attendibili dal nostro browser.

Cosa è successo in Tunisia.


Lo scorso giugno, il blogger Slim Amamou (attualmente membro del governo provvisorio tunisino) aveva denunciato un'attività di phishing messa in atto dagli stessi cyberpoliziotti di Ben Ali: agendo sui DNS, il traffico in uscita dalla Tunisia verso GMAIL veniva dirottato su un sito fraudolento - errori di programmazione in EasyPHP, la piattaforma utilizzata dai server malevoli, avevano fatto insospettire gli utenti più smaliziati.

Il governo stava letteralmente rubando gli account di accesso a a Google, ovvero ai servizi ad esso connessi: non solo posta elettronica, ma anche Youtube e Blogger. Nel giro di nemmeno 24 ore, Google, avvertita di quel che stava avvenendo, per tutelare gli internauti tunisini era corsa ai ripari, imponendo connessioni di tipo HTTPS all'intero traffico proveniente dalla Tunisia. Con l'avvertimento di non procedere con il login in caso di avviso di certificati non sicuri.

Problema aggirato? No. Nella vicenda si è infilato quello che gli Ubuntu user sono soliti definire “bug numero uno”: Microsoft detiene la maggioranza della quota di mercato. E la maggioranza degli utenti Microsoft, ahimè, per navigare usa Internet Explorer.

Che qualcosa, nonostante Google, sia andato storto, lo rivela ora l'online francese RUE89, in un pezzo scritto in collaborazione con la comunità open source tunisina e con la Federazione internazionale della lega dei diritti dell'Uomo.

Leggete questo annuncio:
"The National Digital Certification Agency has the great pleasure to announce the inclusion of her root certificate in Microsoft Internet Explorer browser in its last version launched in February 2007".
La National Digital Certification è l'agenzia tunisina incaricata di “firmare” i certificati digitali, ovvero le chiavi di sicurezza “terze” utilizzate dal protocollo HTTPS per validare le proprie connessioni. Con lampo di genio, le brillanti menti della Microsoft avevano cioè deciso di includere l'ente certificatore tunisino tra quelli riconosciuti dal browser Internet Explorer come seri, sicuri e affidabili. Ogni livello di sicurezza veniva insomma messo direttamente nelle mani della cyberpolizia di Ben Ali, la quale poteva ora non solo creare siti farlocchi e dirottarvi il traffico agendo sui DNS, ma pure aggirare lo scudo difensivo dispiegato da Google: l'utente scriveva l'indirizzo di GMAIL, il DNS manomesso lo dirottava sul falso-GMAIL e il browser richiedeva al sito l'esibizione di un certificato digitale che subito veniva riconosciuto, se il browser era Internet Explorer, come sicuro. Nome utente/password e Ben Ali prendeva il controllo dell'account.

Morale: se proprio non potete fare a meno di Windows, navigate con Firefox, o Chrome/Chromium, o Opera, ma tenetevi alla larga da Internet Explorer.

d.s.

6 COMMENTI:

maxifasso ha detto...

Domandina sciocca: Ma il problema potrebbe porsi usando un client di posta come Thunderbird ?

daniele sensi ha detto...

Non questo specifico problema (anche i client si servono dei certificati digitali). La sicurezza dei client dipende inoltre dalla loro configurazione, ma anche con una configurazione "standard" non dovrebbero porsi problemi (i dati viaggiano crittografati e Thunderbird dovrebbe lanciare un'allerta di possibile vulnerabilità ad attacchi di tipo "man in the middle" qualora il server finale non supportasse connessioni sicure).

idiotecabologna ha detto...

Complimenti per l'accessibilità del post all'utonto medio, io per spiegare lo stesso concetto (in fondo semplice) avrei fatto mille giri di parole. Grazie anche per aver riportato notizie dall'utile Rue89.
Che dire, dobbiamo avere altre prove che IE sia il Male?

valerio ha detto...

"ma tenetevi alla larga da Internet Explorer"
Ok. Però a me il sito della RAI funziona solo con l'IE.

daniele sensi ha detto...

@Valerio, permettimi, ma sicuramente sbagli qualcosa nel maneggiare il tuo pc: non esistono siti visualizzabili SOLO con Internet Explorer. Tutt'al più potrebbero riscontrarsi problemi coi video, che utilizzano il Silverlight di Microsoft, ma ciò dipende dal sistema operativo (Silverlight è disponibile per Windows e Mac OS, non per GNU/Linux) non dal browser (anche per Linux esiste tuttavia una soluzione: installare Moonlight).

Anonimo ha detto...

Scusate l'OT; ma a proposito del sito RAI su Linux, c'è una rticolo sull'ottimo sito dell'istituto Majorana gi Gela che parla dell'argomento (disclaimer: non le ho ancora provate).

http://www.istitutomajorana.it/index.php?option=com_content&task=view&id=1456&Itemid=1

Posta un commento

ARTICOLI CORRELATI
 
Twitter fan box