Anzitutto desidero salutare tutta la lista e complimentarmi con gli "sghizabotoni" appassionati che ho incontrato nelle interessanti serate del corso sysadmin.
Scrivo perché questa storia che chi possiede la chiave privata anche di una sola delle numerose CA contenute in un browser può intercettare una connessione SSL senza che l'utente si possa accorgere di nulla ritengo sia un problema non da poco e trovo strano che se ne parli poco anche sui giornali, come se il lucchetto SSL fosse sinonimo di sicurezza.
Gli strumenti per intercettare in modo trasparente le connessioni SSL infatti sembra ci siano:
http://www.wired.com/threatlevel/2010/03/packet-forensics/"At a recent wiretapping convention, however, security researcher Chris Soghoian discovered that a small company was marketing internet spying boxes to the feds. The boxes were designed to intercept those communications — without breaking the encryption — by using forged security certificates, instead of the real ones that websites use to verify secure connections. To use the appliance, the government would need to acquire a forged certificate from any one of more than 100 trusted Certificate Authorities."
Tra i commenti all'articolo si trovano riferimenti a questi plugin per firefox:
http://patrol.psyced.org/ http://certwatch.simos.info/che anche se possono presentare falsi positivi comunque vanno nella direzione che suggeriva Flavio del client ssh che segnala se una chiave pubblica è cambiata e segnalano se il certificato del server web a cui ci si è connessi è cambiato rispetto all'ultimo accesso.
Ho installato Patrol su firefox e quando mi connetto ad un nuovo servizio SSL si apre una finestra che mi avverte e memorizza il certificato. Se il certificato dovesse cambiare dovrebbe mostrarmi qualcosa del tipo riportato qui:
http://bitsandchaos.wordpress.com/2010/03/29/certificate-patrol-can-really-save-your-pocket/Forse anche solo il fatto che una minoranza attenta di utenti utilizzino questi strumenti potrebbe rappresentare un deterrente nell'utilizzo delle apparecchiature di intercettazione.
Ciao Marco -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
