La segnalazione sulla lista "sikurezza.org"
24.02.03
.....
From: "Hotmail" <buubby<at>hotmail.com>
Subject: Sconfinati CAMPI di CAVOLI AMARI 2- LA VENDETTA
Date: Thu, 20 Feb 2003 17:25:52 +0100
Prego anzitutto Stefano Zanero di scusarmi se uso il suo stesso
"stile", con
riferimento al suo messaggio di settembre 2002 circa il problema della
modificabilitą dei doc. informatici firmati. Si tratta di analizzare un
problema simile che questa volta interessa la verifica dei documenti.
- - ---- SINOSSI ----
E' possibile far verificare a qualcuno un documento di word firmato da un
soggetto il cui certificato NON č stato emesso da uno dei certificatori
iscritti nell'Elenco Pubblico (soffre di questo "BUG" il software
"FirmaeCifra" del certificatore POSTECOM,anche se non ho fatto la
prova con
altre applicazioni). L'applicazione considera il file firmato come un
documento informatico munito di firma digitale, mentre non lo č.
- - ---- SPIEGAZIONE ----
Si tratta, a mio parere, di una errata implementazione del processo di
gestione dei certificati. Infatti, la maggior parte dei software di firma
digitale presenta la caratteristica di "importare", in un registro
locale, i
certificati digitali contenuti nei file firmati, dopo averli verificati,
indipendentemente dall'esito della verifica.
In altre parole, il certificato viene automaticamente "aggiunto" alla
lista
locale dei certificati, di modo che č possibile visualizzarne lo stato
(validitą temporale, presenza in liste di revoca, ecc.)
Se si tratta di un certificato NON rilasciato da uno dei certificatori,
dovrebbe comparire un "alert" che fornisce indicazioni in tal senso.
E' invece possibile costruire una "busta PKCS#7" formata in modo da
contenere, oltre al certificato del firmante, anche il certificato della CA
corrispondente.
Quando l'applicazione verifica il file firmato, nella fase di
"importazione"
automatica del certificato, viene "caricato" sul registro locale il
certificato di CA estratto dalla busta, che viene quindi considerato come
"trusted" (in quanto č "autoreferente")
A questo punto l'applicazione "importa" nel registro locale, un
millisecondo
dopo, il certificato del firmante che risulta quindi anch'esso "trusted"
in
quanto rilasciato da una CA autorizzata presente nell'archivio locale
(quella appena "importata").
Come č facile capire "il gioco č fatto". Da ora in poi qualsiasi
file
firmato con la nostra CA risulta un documento informatico legalmente valido,
se verificato con la stessa applicazione .
Il bello č che tutto avviene senza che l'utilizzatore si accorga del trucco
e, sopratutto, senza modificare di una virgola il software.
- - ---- VENDOR STATUS ----
Non mi č noto se POSTECOM sia a conoscenza della problematica.
- - ---- RACCOMANDAZIONE ----
Immagino che sia opportuno tutelarsi da queste problematiche intervenendo a
livello nazionale. Credo che uno dei modi possibili sia rendere
normativamente obbligatorio,
per coloro che distribuiscono software critico (ad esempio software di
sicurezza, ecc...) registrare il prodotto presso una Registration Authority
italiana (con competenze analoghe a quelle dei CERT) ed impegnarsi almeno a
:
1) rendere disponibili le "patch" di sicurezza in tempi prestabiliti,
2) comunicare agli utilizzatori il problema
ogni volta che siano note le vulnerabilitą che possono creare danno per gli
utenti
Confido che questa raccomandazione possa essere accolta, o almeno condivisa
come linea di principio, dalla costituita task force ministeriale che si
occupa di problematiche di sicurezza informatica.
------------------------------------------------------
Cordiali saluti a tutta la lista
Uno dei vostri "lettori"
----- End forwarded message -----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
|