EDIT 19:15: L’articolo originale non illustrava nel dettaglio quanto accaduto. Modificati quarto, quinto e sesto paragrafo, aggiunto il settimo. Aggiunte le dichiarazioni di Comodo rilasciate a Punto Informatico.
Roma – Browser, email, chat e Voice over IP fanno affidamento sulle sue capacità, ma il protocollo Secure Socket Layer ha dimostrato in più di un’occasione di non riuscire a proporre una cifratura sicura al cento per cento, per quanto riguarda il traffico http(s) che transita tra client e server. In questo caso però, non si parla di vulnerabilità ma di certificazioni SSL “originali” letteralmente rubate.
All’inizio della settimana un comunicato Microsoft ha segnalato un allarmante aumento di SSL falsificati, che potevano essere sfruttati per compiere attacchi di tipo MITM (man in the middle). Come noto, aggirando la protezione del certificato, un malintenzionato potrebbe anche realizzare una finta pagina web, con connessione apparentemente protetta, e far cadere l’utente in una trappola phishing.
Il report Microsoft segnala 9 SSL fasulli per una serie di indirizzi piuttosto “importanti”, URL come login.live.com, mail.google.com, login.yahoo.com, addons.mozilla.org, login.skype.com e www.google.com. I certificati non originali erano comunque siglati da Comodo , colosso della sicurezza informatica che garantisce l’attendibilità del tutto. A quanto pare si è trattato di un vero e proprio furto di autenticazioni, effettuato con le chiavi d’accesso di un cliente.
Secondo i guru di Comodo, dietro questa operazione c’è sicuramente un abile cracker anche se non particolarmente avveduto: “I certificati richiesti – spiega Massimo Penco, vicepresidente EMEA di Comodo, a Punto Informatico – facendo capo a domini noti sarebbero stati utilizzabili solo con quegli indirizzi, non certo sfruttabili da chi ne faceva richiesta”. Al primo posto nella lista dei sospetti finisce l’Iran, paese che sta dirottando da tempo email, siti e blog, per intercettare o bloccare le comunicazioni. Indagando sul furto degli SSL originali, sembra che l’azienda si sia infatti imbattuta proprio in un indirizzo IP iraniano, e in altri indizi che corroborerebbero questa ipotesi.
Al momento l’allarme è comunque rientrato e i certificati ingannevoli sono stati revocati entro pochi minuti dall’attacco: i sistemi di allerta hanno funzionato, ed è stato possibile intervenire prima che fosse probabile l’utilizzo fraudolento degli stessi. “Il tutto è accaduto attorno alle 19 dello scorso 15 marzo – spiega ancora Penco – Dopo pochi minuti era già stata avvertita la sede di New York di quanto stava accadendo, entro un paio d’ore tutta la procedura di revoca era stata completata. Quanto accaduto si potrebbe paragonare al furto di una carta di credito, qualcosa che accade ogni giorno: con la differenza che, in questo caso, dalla carta non è stato sottratto neppure un euro, è stata bloccata prima”. Da quel momento, in ogni caso, l’azienda si è impegnata anche a diffondere la notizia alle aziende interessate.
Alcuni tra i maggiori browser, come Internet Explorer, Firefox e Chrome, hanno già incluso una patch mirata nei loro aggiornamenti recenti, per aumentare la protezione SSL: i certificati sono stati revocati, ma per ogni buon conto sono anche stati aggiunti a una sorta di black list che include credenziali fasulle note.
Per il CEO di Comodo la “guerra” non è affatto finita. Questa volta è l’intero Internet ad essere sotto attacco e forse è arrivata l’ora di cambiare strategia difensiva, proponendo un standard tutto nuovo. Preoccupazioni in parte condivise anche da Penco: “Si è trattato senz’altro di un attacco ben fatto, anche se non ha creato reali problemi: probabilmente – spiega a Punto Informatico – si è trattato di un tentativo per provare a scardinare la cassaforte e giudicare i tempi e i modi delle nostre reazioni. Non è escluso che qualcuno potrebbe riprovarci, magari con altri nomi del settore”. La questione si sta spostando insomma su un piano politico più che tecnico: “Potrebbe trattarsi delle prove generali di un attacco annunciato decine di volte, anche ai danni di un governo: ottenere certificati SSL – conclude Penco – può anche consentire in certi casi di avere accesso a sistemi di armamento controllati a distanza o altre infrastrutture critiche”.
Roberto Pulito