domenica 27 marzo 2011

Rubati certificati SSL Comodo: a rischio e-mail, social network e Skype


L’authority Comodo è stata derubata dei certificati SSL. I browser Firefox, Chrome e Internet Explorer hanno già rilasciato le patch per gestire in sicurezza i certificati SSL. Il furto ha avuto origine il 15 marzo con un cyber-attacco ai danni di un partner di Comodo. Quindi sono stati richiesti nove fake di certificati SSL fasulli a siti come Google, Microsoft, Skype e Yahoo, prima che l’attacco venisse scoperto. La denuncia è stata fatta dal Progetto Tor. L’attacco sarebbe “iraniano“.

E’ stato bloccato e “non è ripetibile” il cyber-attacco con il quale degli hacker hanno violato il sito della Comodo, una delle cinque Certification Authority al mondo che rilasciano le chiavi crittografiche che garantiscono l’attendibilità dei certificati digitali SSL. Lo ha detto all’ANSA il vicepresidente della Comodo per Europa, Medio Oriente e Africa, Massimo Penco. 

L’attacco risale al 15 marzo scorso, quando una delle authority che a livello locale esegue i controlli che permettono di assegnare un certificato (Registration Authority) ha ricevuto una e-mail dalla Comodo che avvertiva che si stava per mettere un certificato per Google.com. L’attacco, a quanto si apprende, sarebbe passato per l’Italia e sono stati rubati certificati 9 digitali per 6 domini: mail.google.com, google.com, login.yahoo.com (3 certificati), login.skype.com, addons.mozilla.org e login.live.com. “Un hacker era penetrato nel sistema della Comodo ed era riuscito a far emettere i certificati”, ha spiegato Penco. 

“Ci siamo accorti dell’intrusione e l’abbiamo bloccata nell’arco di 15 minuti, entro un’ora abbiamo revocato i certificati”. Le prime indagini hanno permesso di risalire a un indirizzo Ip dell’Iran, una provenienza che, secondo Penco, “al momento attuale risulta assolutamente plausibile”. Inoltre “in questo momento abbiamo alert in continuo”, ha aggiunto citando l’intrusione subita sempre a metà marzo alla Certification Authority americana Rsa, recenti minacce a siti web italiani e il ruolo che Internet ha giocato nelle rivolte nel Nord Africa.


Sono almeno tre le possibili ipotesi, secondo l’esperto. La prima prevede che chi si impossessa di un certificato internet può utilizzarlo per impossessarsi di dati sensibili, come numeri di carte di credito: si apre, per esempio, un sito “credibile” nel quale si vendono prodotti online, segnalando gli estremi della carta di credito. Una seconda possibilità è che si agisca a scopo politico, ad esempio attaccando i browser che hanno permesso la circolazione delle e-mail durante la rivolta in Nord-Africa. 

Legata a questa è la terza ipotesi, secondo la quale il furto dei certificati potrebbe essere stato un tentativo di dirottare e-mail e conversazioni telefoniche su un computer sotto il controllo dell’hacker. "Abbiamo di fronte uno scenario da incubo - afferma Mikko Hypponen, che lavora presso la F-Secure, una società di Helsinki che si occupa di sicurezza informatica - è essenziale potersi fidare delle compagnie che vendono i certificati di autenticità, altrimenti si diventa del tutto vulnerabili sulla rete. 

Qui non si tratta di qualche hacker, dietro c’è una pianificazione precisa di uno Stato. È una minaccia reale per il futuro di internet". Nel mondo esistono tre certification authority, ossia le organizzazioni che si impegnano a generare, consegnare ed eventualmente revocare i certificati destinati al dialogo cifrato tra un browser e il rispettivo sito visitato: sono VeriSign, GoDaddy e Comodo. I certificati ottenuti sono già stati revocati e le principali aziende, a partire da Microsoft che ha rilasciato in fretta e furia l’aggiornamento per i certificati principali, rilasceranno a brevissimo tutti gli aggiornamenti a tutela.

1 commento: