Gli esperti della sicurezza di Google hanno rilevato e bloccato certificati digitali non autorizzati per alcuni dei suoi domini emessi dal NIC in India.

Google ha annunciato di aver bloccato dei certificati digitali non autorizzati emessi dal National Informatics Centre indiano per diversi suoi domini. L’autorità NIC India detiene alcuni certificati di CA intermedie sotto la responsabilità (trusted) del Controller of Certifying Autorithies indiano (India CCA).

La settimana scorsa il  team di sicurezza di Google ha individuato alcuni certificati digitali privi di autorizzazione per alcuni dei domini Google ed ha immediatamente fatto scattare l’allarme:  i certificati digitali non autorizzati potrebbero essere utilizzati per spionaggio informatico; i cyber crimanali li userebbero per accedere al traffico su una connessione ritenuta sicura dall’utente inconsapevole.

L’utilizzo di un ceritificato digitale SSL permette la creazione di un canale crittografato tra due parti , gli utenti vedendo l’icona del lucchetto SSL nel proprio browser credono di navigare tramite un collegamento sicuro (criptato) al sito che mostrando l’icona di cui sopra attesta di essere valido e sicuro.

Certificati digitaliPer tale ragione un cyber criminale potrebbere avere l’interesse  a rubare un certificato digitale o a violare in qualche modo un’ infrastruttura PKI. Un certificato SSL  emesso da un’Autorità di Certificazione attendibile è di norma utilizzato per la costruzione di un canale di comunicazione protetto tra due entità e per i processi di mutua autenticazione tra client e server eroganti il servizio. I certificati della CCA in India sono inclusi nella Root Store di Microsoft e sono quindi considerati attendibili dalla stragrande maggioranza dei programmi in esecuzioni sui sistemi operativo Windows. L’aspetto preoccupante dell’allarme lanciato da Google è che la maggioranza delle aziende occidentali utilizza regolarmente certificati intermediari emessi dalla CCA indiana.

Dando un’occhiata ai più popolari browser è possibile verificare che Google Chrome e Internet Explorer utilizzano il Root Store di Microsoft mentre Firefox utilizza il proprio store ed è per questo non vulnerabile ad attacchi di questo tipo.

“We are not aware of any other root stores that include the India CCA certificates, thus Chrome on other operating systems, Chrome OS, Android, iOS and OS X are not affected. Additionally, Chrome on Windows would not have accepted the certificates for Google sites because of public-key pinning, although misissued certificates for other sites may exist. We promptly alerted NIC, India CCA and Microsoft about the incident, and we blocked the misissued certificates in Chrome with a CRLSet push.” reported Adam Langley, Security Engineer at Google

Al momento Google non è a conoscenza di altri root store che includono questi certificati digitali e, mentre per i dispositivi mobili grazie al processo noto come il public-key pinning implementato da Chrome non ha riscontrato problemi. Google ha quindi  bloccato i certificati non autorizzati attraverso il meccanismo di CRLSet push, funzionalità implementata per gestire situazioni d’emergenza come quella in oggetto.Microsoft e NIC  sono stati prontamente informati sull’utilizzo di certificati digitali non autorizzati, nel frattempo l’autorità CCA India ha avviato un’indagine sull’incidente.

 “Due to security reasons NICCA is not issuing certificates as of now. All operations have been stopped for some time and are not expected to resume soon. DSC application forms will not be accepted till operations are resumed and further instructions will be issued thereafter. Inconvenience caused is regretted.” NIC reported on its website.

Tramite il sito uffiiciale, il NIC ha dato comunicazione d’aver sospeso temporaneamente l’emissione di certificati digitali, ogni attività è stata interrotta e non è previsto un ripristino a breve.

Secondo le notizie ufficiali di Google non sarebbe avvenuto un abuso diffuso dei certificati digitali di cui sopra, fortunatamente non vi sono indicazioni circa abusi su larga scale operati da parte di coloro che hanno utilizzato i certificati individuati come ribadito da Langley.

 “We have no indication of widespread abuse and we are not suggesting that people changepasswords.”Langley said.

L’azienda Google è da sempre molto attenta alla prevenzione di attività illecite inerenti certifcati digitali (e.g. furto, utilizzo di certificati digitali non autorizzati), lo scorso Febbraio in occasione della conferenza TrustyCon ha presentato il Certificate Transparency project, un progetto per la definizione ed adozione di una sorta di registro pubblico dei certificati digitali emessi.

Specifically, Certificate Transparency makes it possible to detect SSL certificates that have been mistakenly issued by a certificate authority or maliciously acquired from an otherwise unimpeachable certificate authority. It also makes it possible to identify certificate authorities that have gone rogue and are maliciously issuing certificates.” states the official page of the project.

Purtroppo ad oggi molte delle autorità di certificazione non ha ancora condiviso i dati relativi ai certificati emessi come richiesto da Google per il suo progetto.

 


Pierluigi PaganiniAutore: Pierluigi Paganini

Membro del Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Affari Esteri e della Cooperazione Internazionale
Membro Gruppo Threat Landscape Stakeholder Group ENISA (European Union Agency for Network and Information Security)
Collaboratore SIPAF –  Prevenzione dell’ utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze

Security Affairs –  (Certificati digitali, Google)