Avete mai sentito parlare di Blue Coat Systems? Si tratta di una compagnia privata che opera nel settore della sicurezza informatica. Il motivo per cui ne stiamo parlando e perché questa cosa riguarda tutti noi, ve lo spiegherò a breve, ma prima lasciate che vi dia qualche informazione riguardo la compagnia. Fondata nel 1996, con sede in California, la Blue Coat ha un portafogli di oltre 15.000 clienti in tutto il mondo, che spaziano dalle aziende private ai più disparati enti pubblici, fino ai governi. I servizi offerti vanno dal blocco di malware al controllo degli accessi informatici sui luoghi di lavoro, passando per la sorveglianza inforatica e il potenziamento delle performance di rete. Tuttavia, negli ultimi anni, si sono moltiplicate le controversie che hanno infangato il nome dell’azienda. Nel 2013, Reporters Without Borders ha nominato Blue Coat Systems come una delle cinque aziende nemiche di internet e facente parte dei mercenari dell’era digitale, per aver venduto a numerosi governi oppressori, tra cui quello siriano, tecnologie atte a compiere attacchi man-in-the-middle, utilizzati a loro volta per la violazione dei diritti umani e della libera informazione. La lista delle accuse, sempre smentite dalla compagnia, è lunga e, se interessati, potete trovare maggiori informazioni, con le relative fonti, sulla pagina Wikipedia dedicata. A prescindere dall’idea che vi siate fatti di questa società, sareste pronti a darle piena fiducia nella tutela delle vostre comunicazioni e dei vostri dati sensibili? In un certo senso, è quello che stiamo facendo tutti da settembre 2015.

freedom-press

Il caso è scoppiato verso la fine dello scorso maggio, grazie al giovane crittografo italiano Filippo Valsorda, il quale si è accorto che l’azienda Blue Coat ha ottenuto il ruolo di Certification Authority di livello intermedio (CA). Cerchiamo di fare maggiore chiarezza su questo punto. Una CA è un ente fidato, abilitato a rilasciare un certificato digitale che viene utilizzato nella crittografia a doppia chiave (asimmetrica), in cui una delle delle due chiavi, quella pubblica, si trova proprio all’interno del certificato. Le CA si fanno carico di garantire la corrispondenza fra chiave e proprietario, in modo da garantirci che la nostra macchina stia dialogando esattamente con chi vogliamo. L’esempio più comune è quando accediamo al sito della nostra banca, oppure quando effettuiamo un pagamento online; tutte le volte che sulla barra degli indirizzi del browser vediamo il prefisso verde https://, stiamo facendo uso del protocollo di crittografia asimmetrica e quindi di un certificato. Una Certification Authority root è un ente sottoposto a regolamentazione e supervisione da parte degli organi giuridici e dello stato, in cui viene riposta la massima fiducia, in quanto ha il potere di generare quei certificati che poi vengono utilizzati da banche, circuiti di pagamento, siti web, servizi cloud, eccetera, per tutelare la sicurezza dei nostri dati durante la navigazione sul web. Una CA root ha però anche il potere di nominare delle CA intermedie, che a loro volta possono generare dei certificati ritenuti fidati dal nostro computer, in quanto garantiti dall’autorità prima, la CA root.

Ecco dunque quello che è accaduto. Symantec, che è una CA root, ha nominato Blue Coat come CA intermedia dandole la facoltà di generare dei certificati che tutti i computer del mondo riterranno validi. Considerando che la suddetta azienda è ritenuta responsabile di aver venduto tecnologie per generare attacchi man-in-the-middle, e che la crittografia asimmetrica è sfruttata proprio per impedire che questi avvengano, credo non sia necessario sprecare altre parole per definire quanto la questione sia seria. Se i più gelosi della propria privacy sono già pronti a staccare la spina del router, niente panico, esiste una soluzione al problema. La procedura per utenti Mac che andrò a descrivere, come spiegata da Filippo Valsorda, ha lo scopo di sfiduciare il certificato di Blue Coat, anche se questa sarà in grado di generarne di nuovi fintanto che sarà garantita da Symantec.

Come bloccare i certificati di Blue Coat

Per prima cosa andate a scaricare il certificato di Blue Coat, da qui. Apritelo. Importatelo in Accesso portachiavi (a livello di sistema, se volete bloccare il certificato per tutti gli utenti). Inserite la password quando richiesto.

BlueCoat-Portachiavi-sf

A questo punto fate doppio click sul nome del certificato che avete importato e sfiduciatelo semplicemente selezionando l’opzione Non fidarti mai, da menù a tendina relativo alla voce Quando si usa questo certificato.

BlueCoat-untrust

Chiudete la finestra e immettete la password. Dovreste vedere una X rossa relativamente all’icona del certificato che avete sfiduciato. Se siete utenti Windows, invece, vi rimando a questa guida (in inglese). Non ho avuto modo di testare personalmente la procedura sul sistema di casa Microsoft, ma pare altrettanto semplice e veloce.