Hacker de Comodo se da a conocer, afirma 'no tener relación con el CyberEjercito Iraní'
El presunto hacker de Comodo dio un paso al frente este fin de semana para explicar cómo generó los falsos certificados SSL para login.skype.com, mail.google.com, login.live.com y otros sitios populares de Internet (código fuente utilizado).
Su historia es que fue capaz de comprometer los socios de Comodo, GlobalTrust.it e InstantSSL.it. Ambos sitios están actualmente "en construcción".
Se jacta de cómo decidió derribar el sistema de certificados raíz SSL y empezó por atacar el algoritmo RSA, pero cuando se encontró con las vulnerabilidades de estos sitios web se decidió por ese enfoque.
En ese punto tendría que estar de acuerdo con él, ya que atacar el algoritmo RSA parece un reto mucho más difícil, pero el texto de su "manifiesto" está tan llena de jactancia es incluso difícil de leer.
Si bien es iraní, afirma no tener ninguna relación con el "CyberEjército iraní " e insiste en que es simplemente un hacker con unas 1000 veces el conocimiento y la experiencia que todos los demás...
Mientras investigaba la forma en que podría poner en peligro a una entidad emisora de certificados (CA) se topó con InstantSSL.it y el uso de un archivo DLL en ese sitio, utilizado para enviar solicitudes de firma de certificado (CSR) para la firma inmediata de la CA.
Al des-ensamblar esta DLL, descubrió un nombre de usuario y contraseña en texto claro usado como parte del proceso de envío del CSR, lo que le permitió enviar cualquier CSR que quisiera para ser firmado por Comodo y obtener el certificado firmado de inmediato.
Al principio no estaba claro si este tipo era el real, y por supuesto es imposible saberlo. Lo que hizo después fue publicar parte del código fuente de la TrustDLL.dll en pastebin, incluyendo las partes utilizadas para la autenticación que almacena la contraseña no cifrada.
Una vez más volvemos a las contraseñas inseguras y las técnicas de manejo de contraseñas. Afortunadamente, el impacto de este incidente es muy pequeño y puede ser una llamada de atención para la industria de certificados en su conjunto.
Como Mozilla señaló en una nota del blog, la práctica de firmar los certificados directamente con el certificado raíz, como Comodo lo ha estado haciendo, es realmente una mala práctica.
El único misterio que queda es este: Si se trata de un hacker solitario señalando su punto, ¿por qué emitir certificados de estos sitios web específicos, todos ellos relacionados con los métodos seguros de comunicación usados a menudo por los disidentes para organizar protestas y compartir noticias con el mundo? Sus divagaciones muestran sin duda su apoyo a Mahmud Ahmadinejad y el régimen iraní actual, pero no hay vínculos concluyentes con su gobierno.
Traducción: Raúl Batista - Segu-Info
Autor: Chester Wisniewski
Fuente: Sophos Blog - Naked Security
Su historia es que fue capaz de comprometer los socios de Comodo, GlobalTrust.it e InstantSSL.it. Ambos sitios están actualmente "en construcción".
En ese punto tendría que estar de acuerdo con él, ya que atacar el algoritmo RSA parece un reto mucho más difícil, pero el texto de su "manifiesto" está tan llena de jactancia es incluso difícil de leer.
Si bien es iraní, afirma no tener ninguna relación con el "CyberEjército iraní " e insiste en que es simplemente un hacker con unas 1000 veces el conocimiento y la experiencia que todos los demás...
Al des-ensamblar esta DLL, descubrió un nombre de usuario y contraseña en texto claro usado como parte del proceso de envío del CSR, lo que le permitió enviar cualquier CSR que quisiera para ser firmado por Comodo y obtener el certificado firmado de inmediato.
Al principio no estaba claro si este tipo era el real, y por supuesto es imposible saberlo. Lo que hizo después fue publicar parte del código fuente de la TrustDLL.dll en pastebin, incluyendo las partes utilizadas para la autenticación que almacena la contraseña no cifrada.
Una vez más volvemos a las contraseñas inseguras y las técnicas de manejo de contraseñas. Afortunadamente, el impacto de este incidente es muy pequeño y puede ser una llamada de atención para la industria de certificados en su conjunto.
Como Mozilla señaló en una nota del blog, la práctica de firmar los certificados directamente con el certificado raíz, como Comodo lo ha estado haciendo, es realmente una mala práctica.
El único misterio que queda es este: Si se trata de un hacker solitario señalando su punto, ¿por qué emitir certificados de estos sitios web específicos, todos ellos relacionados con los métodos seguros de comunicación usados a menudo por los disidentes para organizar protestas y compartir noticias con el mundo? Sus divagaciones muestran sin duda su apoyo a Mahmud Ahmadinejad y el régimen iraní actual, pero no hay vínculos concluyentes con su gobierno.
Traducción: Raúl Batista - Segu-Info
Autor: Chester Wisniewski
Fuente: Sophos Blog - Naked Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!