www.MegaLab.it

Si firma "Comodo Hacker" e, tramite un messaggio pubblicato mediante la risorsa per la condivisione di codice pastebin.com, rivendica con fermezza la responsabilità per l'aggressione portata la settimana scorsa a Comodo.

"Ho craccato Comodo tramite InstantSSL.it" sostiene il 21enne iraniano, rivelando per la prima volta il nome preciso dell'azienda che Comodo aveva identificato solamente come "un partner del sud Europa".

Come prova d'autenticità, il cracker ha diffuso anche l'indirizzo e-mail del presidente del gruppo e varie credenziali d'accesso ottenute nel corso dell'assalto. I dati esatti sono stati rapidamente censurati, ma sono ancora visionabili per intero qui.

"Non ho alcuna relazione con Iranian Cyber Army", prosegue la comunicazione, sottolineando che l'interpretazione secondo la quale si sarebbe trattato di un'aggressione organizzata dal governo sia completamente fasulla: "Sono un singolo hacker con l'esperienza di 1000 hacker" si vanta l'utente prima di lanciarsi in una celebrazione delle proprie competenze.

Il programmatore prosegue poi illustrando alcuni dettagli relativi all'assalto. Dopo aver tentato di violare l'algoritmo RSA senza successo, il cracker ha puntato su una strada più breve: il crack dell'infrastruttura tecnica del un partner Comodo.

Il risultato è stato raggiunto con una semplicità preoccupante: le credenziali d'accesso utilizzate da InstantSSL.it per comunicare con il server Comodo erano infatti memorizzate in una DLL raggiungibile tramite web: è stato quindi sufficiente decompilare il file (pubblicato poi integralmente qui) e utilizzare le giuste chiamate alle API dell'applicazione per garantirsi pieno accesso al servizio per la generazione di certificati digitali.

La dichiarazione procede poi con alcune accuse di natura politica riguardanti il ruolo degli Stati Uniti nella realizzazione di Stuxnet per poi concludersi con ancora qualche frase patriottica, minacce varie e vari sproloqui di esaltazione personale.

Sarà autentico?

Quello che gli esperti stanno cercando di capire in queste ore è se il messaggio sia autentico o meno. Le opinioni sono lievemente differenti, ma nessuna fonte autorevole sembra scartare a priori la possibilità.

Chester Wisniewski di Sophos è possibilista, sebbene sottolinei giustamente che, in caso si sia trattato di un attacco portato da un singolo utente senza una reale pianificazione politica, non si spiega perché i certificati digitali trafugati siano tutti relativi a servizi di comunicazione che potrebbero consentire ad un governo di intercettare le comunicazioni dei dissidenti.

L'esperto di sicurezza Robert Graham è invece fermamente convinto che non si tratti di un falso: "Da professionista di penetration test che effettuata attacchi come quello svolto da ComodoHacker, io trovo sia credibile".

"Crediamo davvero che un hacker solitario riesca ad accedere ad una certification autority tramite la quale generare i certificati che preferisca... e scelga login.live.com invece di paypal.com?" chiede retoricamente Mikko H. Hypponen di F-Secure.

Gli unici in grado di confermare l'autenticità delle dichiarazioni sono però Comodo e InstantSSL.it dai quali, al momento, non vi è stata ancora alcuna replica.

Comodo Hacker ha pubblicato la chiave privata utilizzata per generare il certificato fasullo di addons.mozilla.org. Robert Graham ha poi provveduto a crittografare un file di prova con la relativa chiave pubblica, per poi decrittarlo con quella proposta dal cracker: l'operazione ha avuto successo, prova matematicamente incontrovertibile che l'utente sia realmente il responsabile del crack.