Dall'Iran un attacco ai certificati SSL di Comodo

Dall'Iran un attacco ai certificati SSL di Comodo

Neanche a farlo apposta, proprio ieri parlavamo dell'importanza di HTTPS per la sicurezza sul Web. Se possiamo più o meno continuare a sostenere quanto dicevamo nel post precedente, cosa succede se invece a essere preso di mira non è più il canale di comunicazione, ma chi invece si occupa di rilasciare i certificati di sicurezza SSL sui quali poi si basano le connessioni sicure? Gran parte delle nostre certezze ovviamente crollano, soprattutto se ci troviamo in una nazione particolarmente attenta nel controllare i propri cittadini.

Ma partiamo dall'inizio: Comodo, una delle società che per l'appunto fornisce certificati digitali, ha ammesso di aver subito lo scorso 15 marzo un attacco verso una delle sue affiliate europee, grazie al quale i malintenzionati sono riusciti a rilasciare nove certificati SSL fraudolenti. Per chi non sapesse di cosa si parla, i certificati SSL sono quelli che vengono scambiati all'inizio della connessione sicura, per permettere al browser di "fidarsi" del sito web visitato. I certificati rubati, nel frattempo anche revocati, appartenevano a sette domini: Firefox Addons (addons.mozilla.org), Global Trustee, Gmail (mail.google.com), Google (www.google.com), Skype (login.skype.com), Windows Live e Hotmail (login.live.com), più Yahoo! (login.yahoo.com) con ben 3 certificati.

Come conseguenza dell'accaduto, Microsoft ha pubblicato un update di sicurezza per le varie versioni dei suoi sistemi operativi Windows, bloccando così la possibilità per i certificati rubati di essere usati per "spoofing, attacchi di phishing o attacchi MITM verso tutti i browser, incluso Internet Explorer", oppure addirittura per scopi di intelligence con la possibilità di rubare credenziali di accesso con le quali accedere agli account dei vari servizi. Uno scopo quest'ultimo che strizza l'occhio a eventuali attività governative piuttosto che cybercriminali, ed è qui che come si suol dire casca l'asino: dietro l'attacco ci sarebbe infatti l'Iran.

Lo dice eloquentemente il report di Comodo sull'accaduto, all'interno del quale la società ha incluso varie prove (compreso un IP proveniente da Tehran, raccolto insieme ad altri indirizzi dai quali è partito l'attacco) con le quali è arrivata alle seguenti conclusioni:

"Le prove circostanziali suggeriscono che l'attacco è partito dall'Iran.
Chi ha attaccato si è concentrato sull'infrastruttura comunicativa (non su quella finanziaria come un tipoco cybercriminale farebbe).
Chi ha attaccato può usare i certificati solo se ha il controllo dell'infrastruttura DNS.
Chi ha attaccato lo ha fatto con accuratezza clinica.
Il Governo iraniano ha recentemente attaccato altri metodi di connessione criptata.
Tutto ciò ci porta a una conclusione: che si sia trattato verosimilmente un attacco condotto dallo Stato."

Via | Informationweek.com

  • shares
  • +1
  • Mail
1 commenti Aggiorna
Ordina: