Il recente problema occorso a Verisign riporta alla luce le responsabilità delle Certification Authority.
VeriSign, tra le più famose ed importanti Certification Authority del mondo, ha annunciato di aver rilasciato erroneamente due certificati digitali a un individuo che ha dichiarato di appartenere a Microsoft. Il tipo di certificati emessi consente il cosiddetto “code signing”, cioè l’attestazione che un determinato software appartiene effettivamente a chi lo ha “firmato”. Il problema è, adesso, che a causa delle caratteristiche morfologiche dei due certificati digitali, anche se gli stessi sono stati prontamente revocati, ci sono dei problemi di verifica delle Crl (Certificate Revocation List). Di fatto, insomma, adesso i problemi sono molti.
Microsoft ha dovuto rilasciare un aggiornamento software per tutte le release di Wndows datate prima del 1995 e, contemporaneamente, avvisare tutta la propria clientela , anche tramite il Cert (Computer Emergency Response Team). Dal punto di vista degli effetti, il problema più importante risiederà, comunque, nell’iniziare una fase di investigazione relativa a tutto il software firmato da Microsoft, a prescindere da quanto contenuto negli advisor ufficiali. Questo comporterà una certa perdita di tempo, risorse umane e, consequenzialmente, di denaro. Per questo alcuni hanno ipotizzato una catena di richieste di risarcimento danni non tanto contro Microsoft quanto contro Verisign.
Dal punto di vista della causa del problema, questa è da individuare in un errore umano, non tanto nella fallibilità del modello Pki (Public Key Infrastructure). Ancora una volta si è avuto l’esempio di come attacchi quali il social engineering, di cui abbiamo più volte parlato su questa rivista, siano maggiormente fruttuosi rispetto a tante altre violazioni basate sulle tecnologie in senso stretto.
Dal punto di vista dell’utenza, tuttavia, questo può costituire un rallentamento degli acquisti o, quantomeno, della dose di fiducia verso questo sistema.
Noi non ci presteremo a riportare le dichiarazioni dei competitor di Verisign, che affermano di avere la procedura di verifica pre emissione migliore del mondo. Riteniamo comunque che, a certi livelli, quando un certificato si fa pagare al cliente molto profumatamente, non dovrebbero verificarsi certi errori dal lato fornitore di servizio.
La cosa che comunque ha impressionato di più è la dichiarazione di un analista che lavora presso una Certification Authority americana, il quale ha detto che non tutte le Ca effettuano un tracking dei rispettivi impiegati che effettuano le operazioni di registrazione ed emissione dei certificati. Questo non rende possibile neanche le operazioni di accertamento delle responsabilità.
Sia VeriSign sia Microsoft hanno dato indicazioni e pianificato dei workaround. Microsoft, in particolare, ha rilasciato uno strumento che opera scaricando la Crl di Verisign sul desktop utente, e che vi si interfaccia direttamente per verificare i certificati dei software publisher certificates. Inoltre lo stesso strumento opera una scansione sulla macchina per verificare lo stato dei certificati di tipo code signing.
Un workaround alternativo può essere costituito dalla verifica delle informazioni presenti sul cosiddetto “warning dialog” cioè sulla popup relativa alla segnalazione di firma su codice in atto di downloading. Inoltre molti hanno rilasciato strumenti per la verifica dei certificati digitali di questo genere.
