Sconfinati CAMPI di CAVOLI AMARI 2- LA VENDETTA

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2003 ml@sikurezza.org
Soggetto: Sconfinati CAMPI di CAVOLI AMARI 2- LA VENDETTA
Mittente: Igor Falcomata'
Data: 21 Feb 2003 13:12:47 -0000

Leggendo la sezione 'vendor status' non mi e' chiaro se questo advisor e'
stato in qualche maniera comunicato allo stesso. Se no, sarebbe opportuno,
visto anche le considerazioni finali, che tu lo faccia :)

In generale, pur essendo questa mailing list pienamente 'full disclosure',
gradirei che i vendor venissero sempre contattati preventivamente riguardo a
problematiche qui segnalate & co, secondo i principi di quella che potremmo
chiamare 'responsable disclosure':

http://www.infosec.it/download/ICT_Security_dsi2002.pdf, pag. >= 9
http://www.wiretrip.net/rfp/policy.html
etc.

bye
Koba (moderatore)

--- Enclosed, please find the posted message.
From: "Hotmail" <buubby<at>hotmail.com>
Subject: Sconfinati CAMPI di CAVOLI AMARI 2- LA VENDETTA
Date: Thu, 20 Feb 2003 17:25:52 +0100

Prego anzitutto Stefano Zanero di scusarmi se uso il suo stesso "stile", con
riferimento al suo messaggio di settembre 2002 circa il problema della
modificabilit? dei doc. informatici firmati. Si tratta di analizzare un
problema simile che questa volta interessa la verifica dei documenti.

- - ---- SINOSSI ----

E' possibile far verificare a qualcuno un documento di word firmato da un
soggetto il cui certificato NON ? stato emesso da uno dei certificatori
iscritti nell'Elenco Pubblico (soffre di questo "BUG" il software
"FirmaeCifra" del certificatore POSTECOM,anche se non ho fatto la prova con
altre applicazioni). L'applicazione considera il file firmato come un
documento informatico munito di firma digitale, mentre non lo ?.

- - ---- SPIEGAZIONE ----

Si tratta, a mio parere, di una errata implementazione del processo di
gestione dei certificati. Infatti, la maggior parte dei software di firma
digitale presenta la caratteristica di "importare", in un registro locale, i
certificati digitali contenuti nei file firmati, dopo averli verificati,
indipendentemente dall'esito della verifica.
In altre parole, il certificato viene automaticamente "aggiunto" alla lista
locale dei certificati, di modo che ? possibile visualizzarne lo stato
(validit? temporale, presenza in liste di revoca, ecc.)

Se si tratta di un certificato NON rilasciato da uno dei certificatori,
dovrebbe comparire un "alert" che fornisce indicazioni in tal senso.

E' invece possibile costruire una "busta PKCS#7" formata in modo da
contenere, oltre al certificato del firmante, anche il certificato della CA
corrispondente.

Quando l'applicazione verifica il file firmato, nella fase di "importazione"
automatica del certificato, viene "caricato" sul registro locale il
certificato di CA estratto dalla busta, che viene quindi considerato come
"trusted" (in quanto ? "autoreferente")

A questo punto l'applicazione "importa" nel registro locale, un millisecondo
dopo, il certificato del firmante che risulta quindi anch'esso "trusted" in
quanto rilasciato da una CA autorizzata presente nell'archivio locale
(quella appena "importata").

Come ? facile capire "il gioco ? fatto". Da ora in poi qualsiasi file
firmato con la nostra CA risulta un documento informatico legalmente valido,
se verificato con la stessa applicazione .

Il bello ? che tutto avviene senza che l'utilizzatore si accorga del trucco
e, sopratutto, senza modificare di una virgola il software.


- - ---- VENDOR STATUS ----

Non mi ? noto se POSTECOM sia a conoscenza della problematica.

- - ---- RACCOMANDAZIONE ----

Immagino che sia opportuno tutelarsi da queste problematiche intervenendo a
livello nazionale.  Credo che uno dei modi possibili sia rendere
normativamente obbligatorio,
per coloro che distribuiscono  software critico (ad esempio software di
sicurezza, ecc...) registrare il prodotto presso una Registration Authority
italiana (con competenze analoghe a quelle dei CERT) ed impegnarsi almeno a
:

1) rendere disponibili le "patch" di sicurezza in tempi prestabiliti,
2) comunicare agli utilizzatori il problema

ogni volta che siano note le vulnerabilit? che possono creare danno per gli
utenti

Confido che questa raccomandazione possa essere accolta, o almeno condivisa
come linea di principio, dalla costituita task force ministeriale che si
occupa di problematiche di sicurezza informatica.

------------------------------------------------------

Cordiali saluti a tutta la lista

Uno dei vostri "lettori"

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Considerazioni riviste secuirty e non..., Igor Falcomata'
- successivo: Re: SecurITy@uniROMA1, Igor Falcomata'
- indice

Argomento:
- precedente: R: Considerazioni riviste secuirty e non..., AcidCrash
- successivo: Analisi rete, Vincenzo Agosto
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005