DigiNotar e i ritardi di Apple, arriva alla fine l'aggiornamento di sicurezza 2011.5

[faxus]

Erano un po' di giorni che seguivo la vicenda DigiNotar, di cui ho avuto la prima notizia da Mondo Informatico qualche giorno fa.

Per chi non ne avesse avuto notizia do alcuni cenni.

In navigazione web, per evitare frodi e phishing, l'accesso e la corrispondenza su alcuni siti vengono verificati da società che forniscono il certificato SSL.
È lo strumento di cui il browser si avvale per garantire l’identità del sito nel quale si sta navigando e il relativo processo di cifratura.

Questo in modo che lo scambio delle informazioni tra il browser e il sito con cui si interagisce non sia intercettabile né visionabile da nessuno oltre chi ha fatto l'accesso con diritto.

Ci sono autorità consortili che emettono i certificati e sono garanti del sistema.
La società olandese DigiNotar è stata pochi giorni fa oggetto di un attacco informatico che ha trafugato, stando alle notizie diffuse progressivamente, oltre 500 certificati.

DigiNotar - Wikipedia, the free encyclopedia
PI: DigiNotar: si salvi chi può
DigiNotar ha perso 531 certificati SSL, altro che 200 - Tom's Hardware

Me ne ero preoccupato, dato che avevo un certificato DigiNotar in Accesso Portachiavi tale DigiNotar root CA, l'avevo declassato a Non Fidarti Mai, aspettando notizie selettive in merito.

Ma mi stavo chiedendo come mai Apple non avesse provveduto ad un aggiornamento di Safari.
Non sono stato il solo ed infatti oggi pomeriggio avevo già letto dei primi strepiti, visto anche che gli altri intanto qualcosa la facevano
Deleting the DigiNotar CA certificate | Troubleshooting | Firefox Help

Da MacWord la bordata più pesante
Apple slammed for not blocking stolen SSL certificates - Digital Lifestyle - Macworld UK
"... persino Windows ha aggiornato..."
OS X a rischio finché Apple non aggiornerà Safari sui certificati rubati

Beh, alle 19:05 leggo il feed dal supporto Apple su Security Update 2011-005
About Security Update 2011-005

Peccato che ancora Aggiornamento Software non me lo proponeva neanche a blandirlo.

È arrivato solo poco fa, ore 01:15.

Raccomandato a chiunque non abbia, come me, disabilitato a mano i certificati DigiNotar

[faxus]

L'aggiornamento di sicurezza consiste solo nell'aver eliminato la certificabilità da parte di DigiNotar.

Ho aperto Accesso Portachiavi per vedere cosa avesse impostato e semplicemente è stato cancellato DigiNotar root CA.
Questo significa che tutto l'aggiornamento, che in effetti pesava una manciata di kb, era solo uno script praticamente di una riga con l'ordine di cancellare un file.

Certo che Apple, a notizia ufficiale della trafugazione dei certificati, si è dimostrata veramente lenta, l'ultima a mettere una patch di sicurezza pure piuttosto facile da realizzare.
Tecnicamente credo che l'avrebbe potuta mettere a punto anche l'ultimo stagista a Cupertino, in pochi minuti.

Magari poteva metterlo negli RSS o dare la semplice indicazione di cancellare il file, in attesa di pubblicare...
Insomma hanno investito risorse enormi per creare SandBox, uno dei più straordinari sistemi di sicurezza per OS mai visto, e poi lasciano un varco mostruoso in navigazione.

Si sa per certo che almeno 250 certificati DigiNotar sono stati rivenduti e sono in corso di utilizzazione da parte di organizzazioni cybercriminali e stanno carpendo come minimo dati vari e password in e-commerce, home banking, comunicazioni di sicurezza ecc.
Io pur non sapendo un tubo di sicurezza, certificazioni, cifrature & Co avevo declassato la certificazione DigiNotar, pensando di ottenere almeno una finestra di avvertimento, la manovra migliore sarebbe stata di eliminare del tutto quella certificazione.

Apple, in questo caso non è stata all'altezza di quel che mi sarei aspettato, e gli utenti, salvo che non abbiano subito danni, non credo si siano sentiti tutelati.
Penso che abbiano capito tutti che si sono mossi, e in ritardo, solo dopo pubbliche proteste.

Una gran bella figura di ...

[faxus]

Per l'appunto...

[faxus]

DigiNotar è fallita.
PI: DigiNotar, bancarotta per insicurezza

Si chiedono il motivo del fallimento... ma se ti rubano tutto quello che possiedi e nessuno ti darà mai più un euro di commessa che altra prospettiva volevi avere?
Già poco che non ti abbiano legato nel corso principale della città e lasciato agli sputi dei passanti.
"... server non sicuri, password deboli e assoluta mancanza di software antivirale sulle macchine interne all'infrastruttura informatica della società... "

Nessuno mi parli più male degli italiani, mai più.
Tutto il modo è cialtrone quanto e più di noi.

Apple inclusa, e ormai non è più una rarità