Olimpo Informatico

[Zeus News]

Commenti all'articolo Transazioni PayPal a rischio per vulnerabilità in Windows
Un hacker ha reso pubblico un certificato Ssl che permette di leggere in chiaro le transazioni PayPal. Problemi anche per Chrome e Safari.

[utonto_medio]

e opera come se la cava?

[OXO]

Scommettiamo che è immune al problema...?

[{paolo del bene}]

sono felicissimodi tutto ciò, è la dimostrazione di quanto ho scritto sino ad oggi a tutti coloro che pretendono pagamenti con paypal ! dicendo appunto è una modalità di paagamento che è software non libero, non se ne conosce il codice sorgente, non si sa dove finiscono i dati. come verrano gestiti e da chi, se ci saranno persone che spieranno le nostre modalità di pagamento anche se non stiamo usando paypal... pertanto mi sono sempre rifiutato di pagare con paypal, io uso il caro contrassegno od al massimo bonifico bancario, stupidi quelli di ebay.it che lo usano !

[Zeus]

la tua è solo la dimostrazione di quanto siano idioti certi estremismi

[fracama87]

io c'h sempre zero ero su paypal, quando faccio un acquisto, ricarico e mando il pagamento via paypal... così non hanno mai niente da rubare

[ArMyZ]

Il problema non risiede ovviamente in PayPal bensì nelle implementazioni del protocollo SSL.
A differenza di quanto asserito nell'articolo non è una caratteristica esclusiva delle API di windows ma è comune ad altri OS in quanto riguarda il meccanismo di validazione dei certificati (validation chain), la struttura dell'X.509 e chiaramente le API crittografiche che permettono un attacco del tipo man in the middle (MITM).

Spero di riuscire ad approfondire ulteriormente e condividere.

A.

[elisam]

scusate se abbasso il livello (software) della discussione.
Qualcuno potrebbe darmi quache info tecnica in più sulla causa della vulnerabilità, non capisco perchè abbiano importanza le interfacce di crittografia locali al client , qualsiasi si usi i dati saranno poi trasmessi al server in modo cifrato. Grazie

[Freestyler]

[digirun]

[elisam]

il discorso man-in-the-middle mi è abbastanza chiaro, quello che non lo è perchè se uso una interfaccia crittografica al posto di un'altra mi rendo passibile di attacco. A meno che non sia una questione di cifratura le informazioni ma sia invece relativo alla gestione on-line dei vari protocolli di sicurezza.
A questo punto mi chiedo perchè solo PayPal
E.M.

[{paolo del bene}]

il software non libero anche se è on-line, non porta alcun beneficio ed infatti ne hai la dimostrazione con paypal.

modalità di pagamento non sicura oltre ad essere software non libero e vorreste convincermi dell'opposto ?

non credo che si salvi nemmeno Opera da tale situazione e se si, si salverebbe solo in questa occasione, poi ci sono altri e tanti motivi per cui è preferibile un browser tipo Firefox, GNU/IceCat, IceWeasel.

punto 1 perchè i termini di licenza permettono la libera copia, modifica, distribuzione, tanto che è possibile fare un browser tipo firefox, ma è necessario cambiargli i loghi.

punto 2 pur beneficiando del codice sorgente secondo le varie licenze GPL, LGPL, MPL... si può ricompilare il codice e portarlo su altre architetture cosa che non è prevista per:
Internet Explorer, Opera, Safari, ad esempio la Nokia insiste a mettere il browser opera su tablet con GNU/linux Deb-Ian, ma la cosa buffa è che non viene distribuito ne in formato sorgente ne in formato binario Opera per cpu Arm, qualora fosse necessario aggiornarlo e ciò significa che a distanza di tempo i certificati SSL non possono garantire la sicurezza perchè il browser non è aggiornabile.

La Nokia ha la soluzione davanti agli occhi FireFox, GNU/IceCat, IceWeasel, ma non li usa, peggio per lei.

Allo stesso ed identico modo continua a mettere nella distribuzione GNU/linux Deb-Ian per cpu ARM Flash, ma che ce ne facciamo quando Adobe non lo da ne in formato sorgente ne in formato binario ?

dunque non aggiornabile, la colpa non è del cliente è delle multinazionali che pensano a fare quattrini a breve fregandosene della qualità del supporto.

proprio pochi giorni fa leggevo qualcosa in merito
alla superiorità di GNASH rispetto a Flash su zeusnews e la superiorità di Theora rispetto all'H264.

La nokia ha sempre maledetto i formati liberi come ogg, flac, oga, celt, speex.. definendoli proprietari e non affatto liberi, quando invece si possono ascoltare/vedere su mac os x, windows, GNU/linux e tutti gli altri sistemi operativi grazie a MPLAYER e VLC usabili anche da shell, inoltre ci sono altri come Kaffeine, Xine, Totem...
disponibili solo per i nostri sistemi operativi unix-like come GNU/linux, FreeBSD, NetBSD, OpenBSD....

inoltre la nokia ha esercitato il suo potere sul w3c
affinchè i formati non liberi non fossero integrabili nell'html 5.0

Direi che i comportamenti più assurdi provengono solo e dalle solite majors, dunque inutile dire che sono guerre di religione, ma guerre per liberarsi dal software non libero che in certi contesti come avete avuto modo di apprendere, non è aggiornabile perchè non viene messo a disposizione in nessun formato e per l'architettura di cui se ne ha bisogno.

se invece si usasse il software libero, certi problemi proprio non ci sarebbero.

[Zeus]

Grazie a dio non sono un fanatico dell'open source (al massimo un simpatizzante) e utilizzo tutto quanto ho a disposizione, senza pregiudizi. Peccato non si possa dire la stessa cosa di te ma nessuno è perfetto...

[ArMyZ]

@Elisa, infatti non è un problema di PayPal e basta.
Come ho scritto è un problema di API crittografiche che erano praticamente tutte vulnerabili al parsing di un dato campo del certificato.

Sto scrivendo un post di dettaglio in merito che condividerò a breve anche qui.

Diventa un problema di PayPal solo nel momento in cui da qualche giorno è disponibile, grazie a quella vulnerabilità, il suo certificato e la sua chiave privata. E' grave per questo.

Analogamente poteva essere di qualsiasi sito dotato di certificato a bordo (spero di essere stato chiaro )

[elisam]

grazie ArZyMi che mi hai chiarito che con interfacce crittografiche si intende anche ciò che gestisce i protocolli fra client e server e non solo la cifratura dei dati.
Mi chiedo a questo punto perchè solo PayPal sia vulnerabile e non qualsiasi altra transazione on-line
E.M.

[spacexplorer]

Ciao a tutti,
@ArMyZ
Il problema stando a quanto pubblicato riguarda la Windows Crypto API
non ogni api esistente; hai letto qui dove è pubblicato il certificato (ci sono
anche link a pdf che dettagliano l'attacco)?

[elisam]

... scusa ma ero fuori sincronismo con le risposte

[spacexplorer]

Ciao elisam,
ho impiegato troppo a scrivere

PayPal è vulnerabile perché è stato reso pubblico un certificato ready-to-use;
ogni altro sito che usa SSL (si anche la tua banca, quale essa sia) può esserlo
se qualcuno riesce a scrivere un certificato valido...

In attesa del post di ArMyZ non mi pronuncio tuttavia a quanto ne so, come
scritto sopra, la vulnerabilità riguarda solo gli utenti microsoft che
utilizzano IE, Chrome o Safari (FF e Opera usano una loro api SSL)

PayPal ad ogni modo non ha gradito congelando l'account dell'autore del
certificato (e di un po' di tool di (pen)test SSL)...

[ArMyZ]

@spacexplorer al momento sembra riguardare solo windows e alcune piattaforme mobili.
Il problema è che fino al 1 Agosto la stragrande maggioranza delle implementazioni erano vulnerabili. Mozilla è corsa subito ai ripari. Al momento non mi risulta che MS abbia fatto lo stesso.
In linea di principio la vulnerabilità è dovuta a come all'interno dell'OS viene effettuato il parser dei campi chiave del certificato e nella catena della fiducia difatto aggirata.

Da sottolineare che non riguarda solo browser ma qualsiasi client usi lo strato SSL (vpn ssl, client di posta, ad esempio).

Ho scritto qualcosa qui.

[Freestyler]