mercoledì 14 settembre 2011

Comodohacker rivendica il furto dei certificati sicurezza di GlobalSign


Comodohacker, il presunto responsabile dell'attacco alla Certificate Authority DigiNotar che ha portato alla compromissione di oltre 500 certificati SSL, ha minacciato di diffondere in Rete informazioni relative ad altre due CA coinvolte nelle sue incursioni. In un comunicato diffuso Giovedi scorso, un individuo che si fa chiamare Comodohacker, ha ampliato le affermazioni precedenti sull'azione di pirateria informatica in Iran che potrebbe permettere agli hacker l'accesso alla corrispondenza Gmail.

I due nuovi gruppi coinvolti sarebbero la StartCom, CA con sede in Israele, e la GlobalSign, concorrente con sede in USA. "Ho tutte le email, backup del database, i dati dei clienti", scrive per StartCom e continua dicendo di aver avuto "accesso all'intero server, backup del database e la configurazione del sistema di GlobalSign". GlobalSign ha avviato un'indagine, ma nel frattempo ha già rilasciato dei certificati. GlobalSign è una delle Certificate Authority più importanti della Rete ed è proprio la violazione di quest'ultima ad impensierire.

La stessa GlobalSign conferma l'attacco hacker in un post sul sito, ma rassicura dicendo che "qualcuno ha bucato il server su cui era presente solo il sito web, mentre per i sistemi dei certificati non è stato individuato alcun segno di intrusione". Ciò significa che la violazione avrebbe coinvolto unicamente il suo sito, mentre i server Certificate Authority sarebbero rimasti al sicuro e non mostrerebbero segni di intrusione.

Comodohacker ha già confermato il suo coinvolgimento nell'hack dell'Authority Comodo, una delle cinque CA al mondo che rilasciano le chiavi crittografiche che garantiscono l’attendibilità dei certificati digitali SSL. Con le affermazioni di Giovedì, Comodohacker ha fornito la prova conclusiva sulle conoscenze interne della violazione della sicurezza della sede nei Paesi Bassi di DigiNotar, coniando oltre 500 certificati contraffatti per Google.com e decine di altri siti web, tra i quali Facebook, Skype, Mozilla, Microsoft, Yahoo, Android e Twitter, ma anche della Cia e del Mossad, per i quali non c'è piu' alcuna garanzia di autenticita' e quindi di sicurezza.
Lo sconosciuto individuo, afferma di essere un giovane di 21 anni, iraniano, che simpatizza per il governo del suo paese: "Sono un hacker singolo, con me non ho nessuno anche se molti complici all’esterno” dichiara in un messaggio su Pastebin. L'hacker ha postato un file che è stato firmato con la chiave privata del certificato fraudolento di Google, dimostrando di essere a stretto contatto con le persone che hanno perpetrato l'hack.

Nel post di Giovedi, ha continuato a fornire dettagli sulla breccia in DigiNotar, affermando che la sua HSM, o il modulo di protezione hardware, gira su sistema operativo OpenBSD ed ha aperto solo una porta che è protetta con RSA SecurID e sistemi di gestione SafeSign Token. Non è chiaro se questa descrizione corrisponde al sistema utilizzato da DigiNotar. Nel mese di giugno StartSSL ha subito una violazione della sicurezza , in cui gli aggressori hanno tentato di emettere certificati fraudolenti per diversi siti sensibili, ma alla fine sono stati infruttuosi.

E' almeno la quinta volta che un soggetto che emette certificati SSL, o Secure Sockets Layer, è stato preso di mira. In tutto, quattro dei rivenditori Comodo hanno subito violazioni della sicurezza negli ultimi sei mesi. Non c'è prova che ci sia Comodohacker dietro l'attacco di giugno a StartSSL, ma in un post pubblicato Martedì e un secondo post che ha fatto seguito il giorno dopo, ha affermato di essere riuscito a ottenere il controllo del modulo di sicurezza hardware che StartSSL usa per rilasciare i certificati, ma è stato sventato a all'ultimo minuto perché la società si è basata sulla verifica manuale.

Nello stesso post, Comodohacker ha contestato la bollettino di Microsoft dello scorso 4 settembre, sostenendo di aver emesso certificati fraudolenti per i domini tra cui  microsoft.com e windowsupdate.com, che potrebbero essere utilizzati per dirottare il sistema di aggiornamento di sicurezza di Microsoft. "Sono in grado di rilasciare Windows Update", ha scritto. "La dichiarazione di Microsoft su Windows Update che non posso rilasciare tale aggiornamento è totalmente falsa!". Microsoft ha rifiutato di commentare.

Via: The Register

Nessun commento:

Posta un commento