I risultati di uno studio denominato Operation Black Tulip, fatto dalla società di investigazioni digitali Fox-IT, riportano che circa 300.000 utenti internet, in gran parte iraniani, hanno avuto il loro account Gmail compromesso e i loro messaggi letti da un sedicente, e ahimé altrimenti noto ComodoHacker, che a marzo scorso aveva “derubato” la CA Comodo (da qui il nome) di alcuni certificati che facevano capo, fra gli altri, a mail.google.com. Fox-IT è stata ingaggiata dal governo olandese per un audit sulla sicurezza dopo che i server DigiNotar sono stati violati a inizio luglio, e più di 500 certificati Secure Socket Layer (SSL) sono stati fabbricati da parte di intrusi. Tra i diversi certificati, alcuni sono stati usati per “impersonare” siti e/o servizi, di Google, tra cui Gmail.

    Il certificato SSL fasullo è stato utilizzato per firmare digitalmente connessioni HTTPS a qualsiasi sito di Google ed è stato emesso dalla succitata società olandese DigiNotar lo scorso 10 luglio 2011, che nella sua Homepage recita: “Iternet Trust Services – DigiNotar offers (legal) security in the online process of identification, validation and preservation”.

    L’audit ha scoperto che l’attacco pare essere iniziato il 17 giugno 2011 ed è andato avanti per più di un mese, nonostante l’evidenza dell’attacco riporti la data del 10 luglio (data di emissione del certificato). Il rapporto dipinge anche un quadro piuttosto desolante sulle policy di sicurezza all’interno di DigiNotar, evidenziando, fra le altre, come la stessa non fosse al corrente del fatto che ormai da settimane gli hacker controllassero i suoi server. Durante questo lungo periodo, l’hacker è riuscito a penetrare in diversi server della CA, riuscendo a generare complessivamente 531 certificati falsi. L’hacker si vanta inoltre di avere accesso sia a StartCom CA e GlobalSign CA e ad altre quattro autorità di certificazione, che per adesso non nomina, ma che prima o poi utilizzerà per emettere altri certificati falsi.

    “You know, I have access to 4 more so HIGH profile CAs, which I can issue certs from them too which I will, I won’t name them, I also had access to StartCom CA, I hacked their server too with so sophisticated methods, he was lucky by being sitted in front of HSM for signing, I will name just one more which I still have access: GlobalSign, let me use these accesses and CAs, later I’ll talk about them too..”


    Vale la pena ricordare che i certificati SSL (quelli che per intendersi fanno comparire la “s” finale nel “http” nella barra di navigazione) sono usati per autenticare i siti web, al fine di “rassicurare” i browser/utenti che il sito che si sta visitando è realmente chi dice di essere. Certificati falsi sono particolarmente allarmanti, in quanto oltre a reindirizzare gli utenti Internet ai siti Web sbagliati, spesso con intenti malevoli, distruggono la fiducia nella CA (autorità di certificazione).

    .

    “Sulla base dei risultati e la decisione del governo olandese, così come le conversazioni con gli altri produttori di browser, abbiamo deciso di rifiutare tutte le Autorità di Certificazione gestite da DigiNotar”

    Heather Adkins
    Information Security Manager for Google

    “Il governo non può garantire la sicurezza dei suoi siti web a causa dell’attacco perpetrato ai danni di DigiNotar”, così Piet Hein Donner, che suggerisce ai cittadini di non accedere ai siti di pubblico servizio fino a quando nuovi certificati non verranno ottenuti da altre fonti (CA, ndr.).

    Piet Hein Donner
    Ministro degli Interni dei Paesi Bassi

    I certificati fasulli sono “rimasti in uso” per ben otto giorni prima di venire revocati dai principali browser (Chrome, Firefox ed Explorer), mentre sono rimasti validi più a lungo per i principali programmi di posta elettronica (Microsoft).

    Fox-IT afferma che circa 300.000 indirizzi IP, ognuno dei quali rappresenta almeno un computer/utente, hanno avuto accesso a siti che espongono un certificato falso per google.com tra il 27 di luglio e il 29 di agosto 2011. Quasi tutti gli indirizzi IP (il 99%) hanno la loro origine in Iran.

    Da parte sua DigiNotar, in un comunicato dello scorso 30 agosto 2011, afferma che dopo notifica da parte di GovCert (the Cyber Security and Incident Response Team of the government), DigiNotar ha preso misure immediate e revocato il certificato fraudolento, sottolineando il fatto come la stragrande maggioranza delle sue attività di certificazione, comprese quelle per il governo olandese (PKIOverheid) sono rimaste sicure.

    La mia vuole essere solo una provocazione, ma forse stiamo arrivando alla fine dell’era SSL, iniziata decenni fa, in un’epoca in cui la preoccupazione maggiore era la protezione degli utenti al momento dell’utilizzo delle loro carte di credito online. Forse il modello delle tante CA (forse troppe?) potrebbe essere diventato più un fattore moltiplicatore di insicurezza che altro, e i recenti attacchi, Comodo, RSA, Diginotar, sembrano evidenziare ancora una volta come un’autenticazione a due, o più livelli, stia diventando un elemento vieppiù necessario per cercare di allontanare la minaccia di hacker che mettono le “loro mani” sulle nostre password, i nostri documenti, i nostri archivi e in ultima analisi la nostra privacy.

    Ahinoi, come sembra drammaticamente adattarsi alla situazione il working title “Dance with the Devil” della canzone degli ABBA del 1975 “Man in the Middle“, che inizia con una strofa “ri-ahinoi” profetica:

    “did you see that man …?”

    (in the middle, ndr.)