Sembra che ogni giorno che passa il cosiddetto affaire DigiNotar si complichi.

Tutto è cominciato lo scorso luglio, quando qualcuno ha violato le difese dei sistemi di DigiNotar, Certification Authority olandese di proprietà dell'americana Vasco Security.

Una Certification Authority è un'organizzazione che rilascia i certificati digitali utilizzati dai siti per abilitare una connessione protetta con SSL (quella identificata dal protocollo https) di cui l'utente dovrebbe potersi fidare a occhi chiusi.

I problemi nascono quando, come nel caso di DigiNotar, una CA viene violata da un hacker che riesce quindi a emettere dei falsi certificati o, meglio, dei certificati tecnicamente validi (in quanto firmati dalla CA), intitolati a siti realmente esistenti e che normalmente fanno uso di detti certificati (per esempio quelli delle banche) ma creati dall'hacker stesso per i propri fini.

Un po' come se qualcuno entrasse all'anagrafe nottetempo e preparasse delle false carte d'identità con i materiali (timbri, carta e via di seguito) del Comune con i dati dei cittadini e le usasse poi per spacciarsi per loro.

Nel caso dei certificati digitali, quando un browser viene visita un sito dotato del certificato creato dall'hacker con gli strumenti della CA e intitolato a un soggetto legittimo, si fida e comunica al proprio utente di rilassarsi, poiché ha avviato una connessione protetta con qualcuno che possiede un certificato digitale valido, e può quindi affidare al sito stesso tutti i propri più reconditi segreti in assoluta tranquillità.

Così è teoricamente possibile credere di collegarsi al sito della propria banca, che testimonia la propria identità anche tramite il certificato, e finire invece nelle mani di un criminale.

All'inizio - quando l'intera vicenda è stata scoperta - si diceva che «almeno un certificato» fasullo era stato emesso. Poi sono diventati 200. Ora sono 531, stando a quanto rivelato dal Progetto TOR, che è tra i soggetti vittime della contraffazione.

I pericoli maggiori, però, li corrono gli utenti iraniani. Trend Micro ha fatto sapere che gli utenti Internet di oltre 40 differenti reti di ISP e università iraniane hanno avuto a che fare con falsi certificati SSL emessi da DigiNotar.

Peggio ancora, ci sono le prove di come alcuni utenti iraniani che si avvalevano di software progettati per aggirare la censura e le intercettazioni del traffico online, non fossero in realtà protetti da questo massiccio attacco di tipo man-in-the-middle (MITM).

«Il dominio validation.diginotar.nl» - spiega Trend Micro - «viene usato dai browser Internet per controllare l'autenticità dei certificati SSL emessi dalla Diginotar. Poiché la Diginotar è una piccola CA olandese con clienti principalmente locali, ci saremmo aspettati che il suo dominio fosse richiesto per la maggior parte da utenti olandesi, o da pochi altri nel mondo - certamente non da una grande quantità di utenti iraniani».

Invece l'azienda ha scoperto che «una parte significativa degli utenti Internet che hanno caricato l'URL per la verifica dei certificati SSL della Diginotar il 28 agosto 2011 era iraniana»

Le statistiche hanno mostrato chiaramente che gli utenti Internet iraniani sono stati esposti a un attacco MITM di grandi dimensioni che ha permesso a qualcuno di decifrare il traffico SSL crittografato. Per esempio, qualcuno è stato probabilmente in grado di leggere tutte le comunicazioni scambiate da un utente iraniano attraverso il suo account Gmail.

Peggio ancora, è praticamente certo che i cittadini iraniani che usavano un particolare software anti-censura sviluppato in California siano stati vittime dello stesso attacco, poiché il software che avrebbe dovuto proteggerli si affidava a un certificato di DigiNotar, e dunque ha permesso che le loro comunicazioni venissero intercettate.

Per far rientrare l'allarme tutti i maggiori produttori di browser hanno rapidamente rilasciato versioni aggiornate dei propri software che non riconoscono più come validi i certificati emessi da DigiNotar.

Tutti gli utenti faranno quindi bene a controllare che la versione del browser che stanno usando sia davvero l'ultima rilasciata.