Primo attacco alla firma digitale: riuscito

peppoweb

Utente Attivo
Il Dipartimento di Informatica della Statale di Milano ha violato un'applicazione di firma distribuita da un certificatore dell'AIPA

La firma digitale potrebbe non essere così sicura come si crede. Il gruppo di ricerca guidato da Danilo Bruschi, del Dipartimento di Informatica e Comunicazione dell'Università degli Studi di Milano, è riuscito a realizzare un attacco a un'applicazione di firma digitale distribuita da un certificatore iscritto all'albo dell'AIPA.

L'attacco consentirebbe a un intruso di ottenere documenti firmati digitalmente all'insaputa del legittimo titolare della firma. Il funzionamento è il seguente: un virus viene inviato come allegato di posta elettronica, e all'apertura dell'allegato si installa un codice 'malicious' che prende il controllo dei dispositivi di firma, cioè lettore e smart card. Da quel momento in poi, ogni volta che l'utente legittimo firma digitalmente un documento, il virus è in grado di firmare anche altri documenti il cui contenuto sia stato preventivamente deciso da chi ha realizzato il virus.

"L'attacco - ci ha detto Bruschi - è stato realizzato sfruttando alcune note debolezze dell'ambiente Java quando eseguito su sistemi operativi senza opportune protezioni, come accade per esempio con l'installazione di default di una Java Virtual Machine". Sono state sfruttate anche alcune debolezze dell'applicazione utilizzata, sulla quale non si hanno ulteriori informazioni. Il gruppo di ricerca ha scelto di realizzare l'attacco con un virus, in realtà un trojan, "ma si potrebbe pensare ad altri metodi. Il nostro obiettivo era mostrare che i sistemi di firma digitale sono vulnerabili". Questi sistemi, infatti, sono utilizzati a livello di client, dove l'hardening del sistema non viene quasi mai eseguito.

Non è chiaro se un sistema che ha disabilitato l'anteprima degli allegati e l'esecuzione di codice HTML interno alle e-mail risulti comunque vulnerabile. "Abbiamo provato con i client di posta più diffusi in configurazione normale", ha precisato Bruschi. Ciò che è certo è che non è stata violata la protezione intrinseca della smart card.

Questa proof-of-concept apre un discorso importante a livello normativo. "Abbiamo dimostrato che è possibile compromettere la firma digitale. Ora sarebbe importante pensare a un modo più agile per ripudiarla, dato che la normativa attuale richiede che si proceda con una denuncia di falso. Il meccanismo di firma resta valido, ma è importante che tutti si rendano conto anche delle limitazioni di questo mezzo nella situazione attuale".
 
Discussioni simili
Autore Titolo Forum Risposte Data
M Esportazione in CSV, salta il primo record PHP 4
felino [JQuery] Append dopo ultimo ul li del primo livello jQuery 2
R Primo script in PHP / CSS PHP 4
E [Offro] Realizzazione di siti web e ottimizzazione SEO per raggiungere il primo posto su Google Offerte e Richieste di Lavoro e/o Collaborazione 0
MarkRed Come indicare, in una maschera, il primo controllo d'input, tipo "SetFocus" jQuery 9
C [ Vendo ] Dominio di primo livello Compravendita siti e domini 0
N [Photoshop] Tavoletta Grafica XP-Pen O Wacom : Consigli per il primo Acquisto Photoshop 0
I [HTML/CSS] Consigli sul mio primo sito HTML e CSS 9
Cloud Register.it Partner Prova i VPS Register.it : Il primo mese sconti fino al 50% su tutte le configurazioni Server Dedicati e VPS 0
A Primo lavoro realizzazione sito Leggi, Normative e Fisco 0
W [PHP] Un aiuto per il mio primo "Multithread" PHP 0
A [PHP] COMBO LOAD PRIMO CAMPO VUOTO PHP 2
A [Javascript] La larghezza del video player, diminuisce nel passaggio dal primo video ai successivi Javascript 0
ecosito Mailchimp: copiare l'email inserita nel form html nel primo campo del form di Mailchimp HTML e CSS 4
P Includere file php in altro file php, evitando l'html del primo... PHP 0
L Div in primo piano e resto opaco Javascript 1
Gabriele Visioli Hosting 1&1 a 1 € per il primo anno Hosting 2
D Problemi di stampa primo record ciclo WHILE PHP 2
L Inserisco 2 menù e vedo sempre il primo PHP 0
StarFish Ubuntu ONE chiude il primo Giugno 2014 Linux e Software 0
ypsilon86 Il mio primo sito! Presenta il tuo Sito 4
M Il mio primo sito. Aiuto Webdesign e Grafica 3
L codifica utf-8 e primo sito web aiuto PHP 0
P Primo approccio con mysqli PHP 6
P Mancata estensione background-repeat sul resto della pagina oltre il primo div e/o prima tabella HTML e CSS 2
M Cosa ne pensate del mio primo file PHP (verifica disponibilità stanze)? PHP 0
A Sitopiupiu.it: Primo Censimento delle Directories Italiane Offerte e Richieste di scambio links 0
C [RISOLTO] Problema somma td, prende solo il primo valore jQuery 7
F Problemi con il mio primo sito, galleria fai da te non visualizzata correttamente HTML e CSS 1
montim Primo post Presentati al Forum 1
M codice js che non funziona al primo clik Javascript 3
C Ordinare alfabeticamente un array e ordinare un secondo array in funzione del primo. Javascript 12
N Primo accesso area riservata PHP 1
Eruyomon Il mio primo sito Presenta il tuo Sito 25
P come inserire in un database un dato e farlo andare come primo dato messo PHP 23
R Qualche consiglio per il mio primo sito in PHP? Presenta il tuo Sito 5
I Il nostro primo sito: cosa ne pensate? Presenta il tuo Sito 6
C mio primo sito HTML e CSS 3
V Giudicate il mio primo lavoro Presenta il tuo Sito 2
max_400 Un pò di storia?....Il primo mouse Discussioni Varie 2
M costruzione primo forum PHP 3
C Codice html per ottenere finestre in primo piano fisse e a scatta sovrapposte HTML e CSS 35
M Primo approccio VB.NET + SQL ASP.NET 1
S Novello in PHP - primo problema PHP 4
N Flattr - Il primo Micro Social Payment Guadagnare col Sito 0
K Primo sito online per kentatonika!!!! Presenta il tuo Sito 4
M Come far lavorare uno script solo al primo accesso... Javascript 3
L Il mio primo sito in joomla Presenta il tuo Sito 2
puffobiondo Chiedeo consigli per il mio primo sito Discussioni Varie 6
danlupo Primo Layout Elastico HTML e CSS 2

Discussioni simili