Trend Micro: la Diginotar violata per spiare gli utenti iraniani e oltrepassare i sistemi anticensura

di |

Italia


“In questo articolo presentiamo prove concrete che dimostrano come la recente violazione della Diginotar, una CA (Certification Authority) olandese, sia stata sfruttata per spiare su larga scala gli utenti Internet iraniani. Abbiamo scoperto che gli utenti Internet di oltre 40 differenti reti di ISP e università iraniane hanno avuto a che fare con falsi certificati SSL emessi dalla Diginotar. Peggio ancora, ci sono le prove di come alcuni utenti iraniani che si avvalevano di software progettati per aggirare la censura e le intercettazioni del traffico online, non fossero in realtà protetti da questo massiccio attacco di tipo “man-in-the-middle” (MITM).

I certificati SSL vengono utilizzati per proteggere determinate sessioni Web come quelle relative ai servizi di Internet banking o Google Gmail. Le cosiddette Certification Authority (CA) sono aziende od organizzazioni che emettono certificati SSL e ne controllano l’autenticità. Già a luglio alcuni hacker erano riusciti a creare falsi certificati SSL per centinaia di nomi di domini tra cui google.com e persino l’intero TLD (Top Level Domain) .com, penetrando nei sistemi della CA olandese Diginotar.

Questa situazione è fonte di gravi pericoli, dal momento che i certificati SSL fasulli possono essere utilizzati per attacchi “man-in-the-middle” (MITM) nei quali il traffico sicuro e crittografato può essere letto da una terza parte non autorizzata.

Ed è quello che è successo: Il 29 agosto 2011 è stato scoperto il falso certificato SSL emesso dalla Diginotar per il dominio google.com, certificato che consente di intercettare il traffico Gmail all’interno di attacchi “man-in-the-middle” (MITM). Trend Micro ha le prove concrete di come questi attacchi MITM siano avvenuti su vasta scala in Iran.

Le nostre prove si basano sui dati raccolti nei giorni scorsi dalla Trend Micro “Smart Protection Network (SPN)”, che analizza i feedback di milioni di clienti in tutto il mondo allo scopo di proteggerli contro nuovi attacchi, in un batter d’occhio. La Smart Protection Network possiede dati completi su quali domini vengono raggiunti, in quale parte del mondo e in quale momento.

Per quanto riguarda il dominio “validation.diginotar.nl” le ultime settimane hanno mostrato un comportamento molto interessante, dato che è stato caricato soprattutto da utenti Internet olandesi e iraniani – fino al 30 agosto 2011.

Il dominio validation.diginotar.nl viene usato dai browser Internet per controllare l’autenticità dei certificati SSL emessi dalla Diginotar. Poiché la Diginotar è una piccola CA olandese con clienti principalmente locali, ci saremmo aspettati che il suo dominio fosse richiesto per la maggior parte da utenti olandesi, o da pochi altri nel mondo – certamente non da una grande quantità di utenti iraniani.

Analizzando i dati raccolti dalla Smart Protection Network, possiamo vedere come una parte significativa degli utenti Internet che hanno caricato l’URL per la verifica dei certificati SSL della Diginotar il 28 agosto 2011, fosse iraniana. Il 30 agosto la maggior parte del traffico di origine iraniana era scomparso, per poi praticamente azzerarsi il 2 settembre, quando Diginotar è tornata a ricevere soprattutto utenti olandesi, come logico.

Queste statistiche aggregate, estratte dallo Smart Protection System di Trend Micro, indicano chiaramente come gli utenti Internet iraniani siano stati esposti a un attacco MITM di grandi dimensioni che ha permesso a qualcuno di decifrare il traffico SSL crittografato. Per esempio, qualcuno è stato probabilmente in grado di leggere tutte le comunicazioni scambiate da un utente iraniano attraverso il suo account Gmail.

Un’analisi più approfondita dei dati rivela una situazione ancora più allarmante: abbiamo notato come i proxy di uscita di un software anti-censura sviluppato in California inviassero richieste relative a validation.diginotar.nl ai cloud server di Trend Micro. Molto probabilmente i cittadini iraniani che utilizzavano quel particolare software anti-censura sono stati vittime dello stesso attacco MITM. Il software avrebbe dovuto proteggerli, ma in realtà le loro comunicazioni cifrate sono state probabilmente intercettate da qualcun altro”.

Per accedere a questo post online: http://blog.trendmicro.com/diginotar-iranians-the-real-target/

Visualizza anche il post di Rik Ferguson sulla vicenda: http://countermeasures.trendmicro.eu/diginotar-iran-certificates-and-you/