VeriSign: attacco alla sicurezza della rete?

Duro colpo alla sicurezza della rete. In una relazione presentata lo scorso ottobre alla Securities and Exchange Commission VeriSign, società che si occupa di security e certificazione, ha dichiarato di aver subito una serie di attacchi hacker (o per meglio dire cracker) che hanno portato alla sottrazione di un quantitativo al momento indefinito di dati e informazioni. Secondo quanto affermato dall’agenzia stampa Reuters, l’attacco è avvenuto nel corso del 2010 sebbene solo ora sia stata diffusa la notizia. Non vi sono dettagli sul tipo di informazioni trafugate ma la preoccupazione di privati, aziende e anche Stati, è elevatissima.

Gli executive di VeriSign hanno affermato che questi attacchi, avvenuti presso la sede di Reston, in Virginia, non dovrebbero aver compromesso i server a supporto del sistema DNS, ovvero il servizio che traduce indirizzi Web alfanumerici in codici IP affinché i browser possano raggiungere risorse online. Se così non fosse, la compromissione del DNS di VeriSign, che processa circa 50 miliardi di richieste al giorno e che si occupa dell’integrità dei principali domini del web .gov, .net e .com., avrebbe permesso ai criminali di dirottare milioni di utenti su siti web malevoli o contraffatti. Il tutto ad insaputa degli investitori, oggi sul piede di guerra, ma anche dei capi della stessa VeriSign.

Pare, infatti, che nè gli attacchi nè la potenziale entità dei danni occorsi siano mai stati comunicati ai vertici dell’azienda, come conferma Ken Silva, Chief Technology Officer di VeriSign fino a novembre 2010, che ha appreso dell’infrazione dopo essere stato contattato da Reuters. Silva sottolinea poi la difficoltà per la società di fare una valutazione accurata del danno, col rischio che non se ne venga mai a scoprire la vera portata.
Ulteriore preoccupazione arriva dal fronte della possibile violazione del sistema di certificazione SSL, tramite il quale i browser web garantiscono che le comunicazioni stiano effettivamente avvenendo su un canale sicuro. Nel caso i cui certificati SSL fossero stati compromessi, chiunque disponesse di queste informazioni avrebbe avuto la possibilità di creare certificati falsi per siti con scopi illeciti. Su ques’ultimo punto la Symantec, cui VeriSign proprio nel 2010 ha ceduto alcune delle sue attività, dichiara che non sembrano esserci indicazioni a conferma di violazioni certe nel sistema di certificazione.
 

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here