Non contento di aver gettato lo scompiglio nel mondo delle autorità responsabili dell’emissione certificati SSL (CA) e in tutta la rete con l’attacco a DigiNotar, il cyber-criminale iraniano noto come “Comodohacker” minaccia di estendere ulteriormente la portata delle sue malefatte rilasciando al pubblico un fiume di informazioni appartenenti ad altre due CA.
Comodohacker lo aveva già anticipato autoattribuendosi la responsabilità dell’hack DigiNotar: ho in mano informazioni preziose su altri due CA di alto profilo, aveva detto lo smanettone simpatizzante della dittatura iraniana. Quelle informazioni, riferisce ora, appartengono alla CA israeliana StartCom e alla statunitense GlobalSign – una delle CA in assoluto più importanti al mondo.
Di GlobalSign Comodohacker sostiene di possedere i dati completi del loro server inclusi i backup dei database, la configurazione di sistema e quant’altro. Tutte queste informazioni verranno presto messe a disposizione di tutti online , promette , sfruttando poi l’occasione per sbugiardare Microsoft (“posso distribuire aggiornamenti di Windows”, dice, al contrario di quanto sostiene Redmond) e fornire prova del fatto che tutto quello che dice da DigiNotar in giù corrisponde al vero.
Che Comodohacker sia davvero riuscito a penetrare i server di GlobalSign lo conferma la stessa CA americana, una conferma che serve anche a rassicurare sullo stato dell’infrastruttura di emissione dei certificati SSL: qualcuno ha bucato il server su cui era presente solo il sito web, dice GlobalSign, mentre per i sistemi dei certificati non è stato individuato alcun segno di “effrazione virtuale”.
E mentre GlobalSign, StartCom e le altre CA prese di mira da Comodohacker imbastiscono indagini riservate per ricostruire l’accaduto, le aziende colpite dalla breccia dell’infrastruttura dei certificati SSL rispondono con consigli sulla verifica degli account potenzialmente compromessi (Google), update per la rimozione dei certificati DigiNotar (Apple) e richieste di verifiche di sicurezza della “public key infrastructure” (PKI) con tanto di rapporto da consegnare nei prossimi giorni (Mozilla).
Alfonso Maruccia