{"id":16218,"date":"2018-08-28T14:33:49","date_gmt":"2018-08-28T12:33:49","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16218"},"modified":"2019-11-22T11:00:36","modified_gmt":"2019-11-22T09:00:36","slug":"residual-certificates-mitm-dos","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/residual-certificates-mitm-dos\/16218\/","title":{"rendered":"Attacchi DoS e MitM ai domini mediante certificati ancora attivi"},"content":{"rendered":"

I certificati HTTPS rappresentano uno dei pilastri della sicurezza su Internet. Ma non sempre \u00e8 tutto rose e fiori; sappiamo, infatti, che i meccanismi esistenti spesso non riescono a garantire la totale sicurezza degli utenti<\/a>.<\/p>\n

<\/h3>\n

Due certificati validi per lo stesso dominio<\/strong><\/h3>\n

La registrazione del domino e il certificato HTTPS sono spesso controllati da diverse organizzazioni e la loro validit\u00e0 pu\u00f2 non corrispondere. Ci\u00f2 porta a situazioni in cui i precedenti proprietari e quelli attuali posseggano contemporaneamente certificati validi per lo stesso dominio.<\/p>\n

Cosa pu\u00f2 andare storto e quanto \u00e8 diffuso questo problema? In occasione della DEF CON 26<\/a>, i ricercatori Ian Foster e Dylan Ayrey hanno presentato uno studio<\/a> che analizza la situazione e, secondo loro, le complicazioni che ne derivano sono maggiori di quello che si pensa e si tratta di una situazione piuttosto comune.<\/p>\n

Il problema pi\u00f9 ovvio \u00e8 piuttosto evidente, se consideriamo uno scenario in cui qualcun altro possiede un certificato valido per il vostro dominio: \u00e8 possibile che venga perpetrato un attacco Man-in-the-Middle<\/a> ai danni degli utenti del vostro sito.<\/p>\n

Foster e Ayrey si sono avvalsi del database di certificati del progetto Certificate Transparency<\/a> e hanno individuato 1,5 milioni di certificati affetti da questo problema, corrispondente allo 0,5% di tutti i siti Internet disponibili. In un quarto dei casi, il vecchio certificato resta valido, lasciando 375 mila domini vulnerabili a attacchi Man-in-the-Middle.<\/p>\n

\"\"<\/p>\n

E non \u00e8 tutto. \u00c8 pratica comune creare un certificato per diversi domini, a volte di decine o centinaia. Ad esempio, Foster e Ayrey hanno trovato un certificato che copriva 700 domini contemporaneamente e nell\u2019elenco erano presenti anche domini piuttosto popolari.<\/p>\n

Ovviamente di questi 700 domini alcuni potevano essere presi tranquillamente, ottenendo il certificato HTTPS. A questo punto ci domandiamo: il nuovo proprietario del dominio ha il diritto di revocare il certificato precedentemente emesso per proteggere il proprio sito da attacchi Man-in-the-Middle?<\/p>\n

Come revocare il certificato?<\/h3>\n

Effettivamente i certificati possono essere revocati. La procedura ammessa dai centri di certificazione<\/a> offre la revoca solo se \u201cle informazioni presenti nel Certificato non sono accurate o portano a fraintendimenti\u201d e la revoca ha effetto 24 ore dopo aver ricevuto la notifica di conferma.<\/p>\n

Foster e Ayrey hanno dato un\u2019occhiata a cosa avviene nella vita reale e si sono resi conto che la procedura varia molto a seconda del centro. Let\u2019s Encrypt, ad esempio, impiega tool automatizzati che snelliscono molto la procedura, che avviene quasi in tempo reale. Per quanto riguarda altri centri, invece, bisogna mettersi in contatto con l\u2019altra parte, il che rallenta il tutto. A volte, per ottenere la revoca bisogna armarsi di molta perseveranza e i tempi di attesa vanno ben oltre le 24 ore che sarebbero in teoria necessarie. Nel peggiore dei casi, non si arriva ad ottenere il risultato sperato: ad esempio, la conversazione tra i ricercatori e Comodo si conclude con il suggerimento di dimenticarsi dell\u2019SSL in questione e di richiedere un nuovo certificato.<\/p>\n

\"\"<\/p>\n

\u00a0<\/p>\n

In un modo nell\u2019altro, comunque si dovrebbe arrivare alla revoca del certificato ancora attivo e la notizia \u00e8 buona e cattiva allo stesso tempo. Da un lato, il nuovo proprietario del dominio nella maggior parte dei casi riuscir\u00e0 a proteggersi da attacchi Man-in-the-Middle, che potrebbero sfruttare la vulnerabilit\u00e0 di questo certificato. Dall\u2019altro, per\u00f2, vuol dire che qualcun altro potrebbe acquistare un dominio libero tra quelli coperti dal certificato \u201ccondiviso\u201d e farselo revocare, minando considerevolmente l\u2019utilizzo dei siti associati.<\/p>\n

Qual \u00e8 l\u2019effettiva diffusione di questa situazione? Ancora pi\u00f9 del primo caso: 7 milioni di domini (oltre il 2% di Internet!) condividono i propri certificati con domini il cui registro \u00e8 gi\u00e0 scaduto. Il 41% dei certificati anteriori sono ancora validi e quindi ci sono vari milioni di domini esposti ad attacchi DoS<\/a> che sfruttano la vulnerabilit\u00e0 della revoca dei certificati.<\/p>\n

\"\"<\/p>\n

\u00a0<\/p>\n

Ritorniamo per un momento al certificato dai 700 domini. Per dimostrare l\u2019urgenza del problema, i ricercatori hanno acquistato uno dei domini disponibili coperti da questo certificato e cos\u00ec, in teoria, potrebbero avere la possibilit\u00e0 di lanciare un attacco DoS a centinaia di siti attivi.<\/p>\n

Come difendersi\u00a0<\/strong><\/h3>\n

Un totale di 375 mila domini \u00e8 vulnerabile ad attacchi MitM e milioni di domini ad attacchi DoS mediante i certificati ancora attivi, e anche i vostri domini potrebbero essere nella lista. Grazie al report presentato alla conferenza di hacking pi\u00f9 grande a livello mondiale, ora sapete che qualcuno \u00e8 gi\u00e0 alla ricerca di domini vulnerabili, probabilmente proprio in questo momento mentre state leggendo questo articolo. Cosa possono fare i proprietari dei siti per proteggersi? Foster e Ayrey suggeriscono quanto segue:<\/p>\n