MEDIA ALERT: Milioni di iraniani sotto attacco Hacker

05/set/2011 16.35.03 M&CM Contatta l'autore

Questo comunicato è stato pubblicato più di 1 anno fa. Le informazioni su questa pagina potrebbero non essere attendibili.

Malware Blog Logo.JPG

 

Media Alert

 

 

Milioni di mail spiate in Iran

La Diginotar violata per spiare gli utenti iraniani e oltrepassare  i sistemi anticensura

Milano, 5 Settembre 2011 - Alert a cura di Feike Hacquebor, Ricercatore Senior di Trend Micro

“In questo articolo presentiamo prove concrete che dimostrano come la recente violazione della Diginotar, una CA (Certification Authority) olandese, sia stata sfruttata per spiare su larga scala gli utenti Internet iraniani. Abbiamo scoperto che gli utenti Internet di oltre 40 differenti reti di ISP e università iraniane hanno avuto a che fare con falsi certificati SSL emessi dalla Diginotar. Peggio ancora, ci sono le prove di come alcuni utenti iraniani che si avvalevano di software progettati per aggirare la censura e le intercettazioni del traffico online, non fossero in realtà protetti da questo massiccio attacco di tipo “man-in-the-middle” (MITM).

I certificati SSL vengono utilizzati per proteggere determinate sessioni Web come quelle relative ai servizi di Internet banking o Google Gmail. Le cosiddette Certification Authority (CA) sono aziende od organizzazioni che emettono certificati SSL e ne controllano l'autenticità. Già a luglio  alcuni hacker erano riusciti a creare falsi certificati SSL per centinaia di nomi di domini tra cui google.com e persino l'intero TLD (Top Level Domain) .com,  penetrando nei sistemi della CA olandese Diginotar.

Questa situazione è fonte di gravi pericoli, dal momento che i certificati SSL fasulli possono essere utilizzati per attacchi “man-in-the-middle” (MITM) nei quali il traffico sicuro e crittografato può essere letto da una terza parte non autorizzata.

Ed è quello che è successo: Il 29 agosto 2011 è stato scoperto il falso certificato SSL emesso dalla Diginotar per il dominio google.com, certificato che consente di intercettare il traffico Gmail all'interno di attacchi “man-in-the-middle” (MITM). Trend Micro ha le prove concrete di come questi attacchi MITM siano avvenuti su vasta scala in Iran.

Le nostre prove si basano sui dati raccolti nei giorni scorsi dalla Trend Micro “Smart Protection Network (SPN)”, che analizza i feedback di milioni di clienti in tutto il mondo allo scopo di proteggerli contro nuovi attacchi, in un batter d’occhio. La Smart Protection Network possiede dati completi su quali domini vengono raggiunti, in quale parte del mondo e in quale momento.

Per quanto riguarda il dominio “validation.diginotar.nl” le ultime settimane hanno mostrato un comportamento molto interessante, dato che è stato caricato soprattutto da utenti Internet olandesi e iraniani - fino al 30 agosto 2011.

Il dominio validation.diginotar.nl viene usato dai browser Internet per controllare l'autenticità dei certificati SSL emessi dalla Diginotar. Poiché la Diginotar è una piccola CA olandese con clienti principalmente locali, ci saremmo aspettati che il suo dominio fosse richiesto per la maggior parte da utenti olandesi, o da pochi altri nel mondo - certamente non da una grande quantità di utenti iraniani.

Analizzando i dati raccolti dalla Smart Protection Network, possiamo vedere come una parte significativa degli utenti Internet che hanno caricato l'URL per la verifica dei certificati SSL della Diginotar il 28 agosto 2011, fosse iraniana. Il 30 agosto la maggior parte del traffico di origine iraniana era scomparso, per poi praticamente azzerarsi il 2 settembre, quando Diginotar è tornata a ricevere soprattutto utenti olandesi, come logico.

Volumi di richieste del dominio validation.diginotar.nl il 28 agosto 2011

Volumi di richieste del dominio validation.diginotar.nl il 30 agosto 2011

 

Queste statistiche aggregate, estratte dallo Smart Protection System di Trend Micro, indicano chiaramente come gli utenti Internet iraniani siano stati esposti a un attacco MITM di grandi dimensioni che ha permesso a qualcuno di decifrare il traffico SSL crittografato. Per esempio, qualcuno è stato probabilmente in grado di leggere tutte le comunicazioni scambiate da un utente iraniano attraverso il suo account Gmail.

Un'analisi più approfondita dei dati rivela una situazione ancora più allarmante: abbiamo notato come i proxy di uscita di un software anti-censura sviluppato in California inviassero richieste relative a validation.diginotar.nl ai cloud server di Trend Micro. Molto probabilmente i cittadini iraniani che utilizzavano quel particolare software anti-censura sono stati vittime dello stesso attacco MITM. Il software avrebbe dovuto proteggerli, ma in realtà le loro comunicazioni cifrate sono state probabilmente intercettate da qualcun altro.”

Per accedere a questo post online: http://blog.trendmicro.com/diginotar-iranians-the-real-target/

 

Visualizza anche il post di Rik Ferguson sulla vicenda: http://countermeasures.trendmicro.eu/diginotar-iran-certificates-and-you/

 

 

Trend Micro

Trend Micro Incorporated, leader globale nella sicurezza per il cloud, crea un mondo sicuro nel quale scambiare informazioni digitali, fornendo a imprese e utenti privati soluzioni per la sicurezza dei contenuti Internet e la gestione delle minacce. Pioniere nella sicurezza server con un'esperienza ultra ventennale, Trend Micro propone un'offerta completa per la sicurezza a livello client, server e cloud in grado di soddisfare le esigenze di clienti e partner, bloccare le nuove minacce con rapidità e proteggere i dati all'interno di ambienti fisici, virtualizzati e cloud. Basati sull'infrastruttura in-the-cloud Smart Protection Network™ di Trend Micro, le tecnologie, i prodotti e servizi per la sicurezza bloccano le minacce là dove emergono, su Internet, e sono supportati da oltre 1.000 esperti di threat intelligence di tutto il mondo. Per maggiori informazioni è possibile visitare il sito www.trendmicro.it

 

 

Seguiteci su:

 

 Trend Micro su Twitter

 Trend Micro su Facebook

 Trend Micro su YouTube

 Trend Micro su SlideShare

 

 

Per ulteriori informazioni:

Carla Targa                                                       Federica Beretta

Trend Micro                                                       M&CM

Tel 02 925931                                                  Tel 02 68821.619

carla_targa@trendmicro.it                             f.beretta@mecm.it  

blog comments powered by Disqus
Comunicati.net è un servizio offerto da Factotum Srl