28 marzo 2011

Comodohacker, el iraní de 21 años detrás del reciente golpe a los certificados SSL

Por Witilza Visigo

Un joven hacker iraní de 21 años se ha declarado el autor de uno de los mayores ataques a la seguridad en Internet en los últimos años. Según él mismo dice aquí y demuestra aquí, actuando sólo,  ha intentado devolver el golpe que el pasado año asestaron los EE.UU. e Israel  a la infraestructura nuclear iraní con el virus Stuxnet. Sin embargo no parece que este "contraataque" haya producido daño alguno, salvo el ocasionado a algo tan importante en Internet como la "confianza" en la infraestructura de seguridad que soporta la emisión de los certificados digitales SSL. Esa seguridad es sobre la que se sustenta nuestra cyber-civilización: privacidad, autenticación, comercio electrónico, encriptación de datos,... y no parece ser tan sólida como nos cuentan. Uno de los principales emisores de certificados digitales en Internet, algo así como quien expide los "carnets de identidad" para los servidores web, fue atacado por este chico que finalmente logró obtener certificados falsos a nombre ni más ni menos que de Microsoft y Google entre otros. El joven logró romper un eslabón de la cadena, quizás sólo el más debil, pero suficiente para haberle permitido crear servidores "auténticos" con los dominios comprometidos de Microsoft y Google y hacerse, entre otras cosas, con las claves de los usuarios de esos servidores.  Parece que el hacker no dio ese paso final, pero el golpe ya lo ha asestado, y bien fuerte. A partir de ahora la seguridad en Internet, o lo que es peor, la confianza en la seguridad, baja a límites insospechados. Si un estudiante de 21 años es capaz de esto ¿de qué seguridad estamos hablando ahora en bancos, comercio electrónico, gestión de dominios, ...? El asunto tiene gran importancia y se va a intentar minimizar. Hay muchos intereses en juego.

Éste es el resutado de lo que he podido investigar, sin entrar en detalles técnicos, aunque adjunto los links para quien quiera ampliar la información.


16 de Marzo
Jacob Appelbaum del Proyecto Tor (un sistema para garantizar la privacidad a los usuarios y muy extendido en la web) detecta por casualidad cambios extraños en el código de las últimas actualizaciones de los nevegadores web Chrome y Firefox, cambios que sirven para invalidar varios certificados digitales. Los certificados que llevan nuestros navegadores web son los que nos permiten saber que estamos en el sitio correcto y no ser objeto, por ejemplo, de estafas tipo phising. Appelbaum descubre que el procedimiento usado en esta ocasión para anular certificados utiliza un método poco común, y no el sistema habitual de revocación de certificados, lo que le lleva a investigar más a fondo. Tras su investigación descubre que se trata de certificados falsos creados por uno de los certificadores más importantes de Internet.
https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion


17 de Marzo
Google desvela en su blog oficial que "This release blacklists a small number of HTTPS certificates."
http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_17.html sin hacer mención alguna al incidente. Tras unas consultas con Google (Chrome) y Mozilla (Firefox), Appelbaum accede a la solicitud de Comodo y Microsoft para que no haga público su decubrimiento hasta que hayan puesto en circulación los parches de seguridad necesarios para que los navegadores no sean vulnerables.


22 de Marzo
Mozilla publica que se trata de certificados fraudulentos
https://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/


23 de Marzo
Comodo desvela cuáles son los dominios afectados:
  • www.google.com  
  • login.yahoo.com 
  • login.skype.com
  • addons.mozilla.org
  • login.live.com 

También hace pública la IP y el origen del atacante:
IP Address: 212.95.136.18
City: Tehran. Iran, Islamic Republic of
ISP: Pishgaman TOSE Ertebatat Tehran Network. 
http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html


25 de Marzo
Microsoft decide desactivar el acceso seguro a Hotmail (Windows Live) en más de una docena de países musulmanes.
https://www.eff.org/deeplinks/2011/03/microsoft-shuts-https-hotmail-over-dozen-countries


26 de Marzo
Un hacker llamado "comodohacker" supuestamente un estudiante iraní de 21 años, sale a la superficie explicando lo fácil que le resultó dar uno de los mayores golpes a la seguridad en Internet en los últimos años.
http://pastebin.com/74KXCaEZ





Update 28 de marzo: Hispasec tiene un interesante post sobre este asunto

Update 29 de marzo: Comodohacker demuestra su autoría en http://pastebin.com/CvGXyfiJ y además publica base de datos robada a Comodo con el hash de los passwords de los clientes y otros datos confidenciales. También publica el certificado de Mozilla con la clave privada.
Comodohacker entrevistado por Robert Graham (Errata Security)
http://erratasec.blogspot.com/2011/03/interview-with-comodohacker.html#more

Comodohacker sigue demostrando sus conocimientos técnicos, parece que está algo incómodo por el hecho de que no admiren lo suficiente su "proeza". Creo que tiene algún problema con su falta de modestia, supongo que por su juventud. Pero hay algo interesante que ha escrito en su último comunicado y que reproduzco aquí:

  1. At the end, I want to say my message to world leaders with problems with Iran and Iranian people:
  2.  
  3. 1) So counted green movement people in Iran isn't most of Iran, so when Obama says I'm with Iranian young community, I should say as Iranian young simply I hate you and I'm not with you, at least 90% of youngs in Iran will tell you same thing, it's not my sentence. But you have bad advisors, they report you wrong details, maybe you would think better if you have better advisors.
  4.  
  5. 2) To Ashton and others who do their best to stop Iranian nuclear program, to Israel who send terrorist to my country to terror my country's nuclear scientist (http://www.presstv.com/detail/153576.html), these type of works would not help you, you even can't stop me, there is a lot of more computer scientist in Iran, when you don't hear about our works inside Iran, that's simple, we don't share our findings as there is no use for us about sharing, so don't think Iran is so simple country, behind today's technology, you are far stronger then them, etc.
  6. Iran will do it's job about nuclear program, as it's simple right of each nation. Instead of struggling and obeying a fake regime's orders 22,072 km area (sum of area of some cities in Iran) and 63 years back, join Iranian people with 1000s years of civilization. Only loser of this fight is you.
  7. If a person in my age reached this level of expertise and knowledge keep the rest of olders and scientist in different areas like Physics, Chemistry, Math and Technology.
  8.  
  9. Let's have a better world by not obeying 63 years old fake regime. That's all I have to share with you right now.

.
Lo que quiere decir con esto es que reivindica la capacidad técnica de su nación y que ésta no será doblegada por el terrorismo. También rechaza que el "Movimiento Verde" tenga la relevancia que se le da en Occidente. El chaval aprovecha su popularidad para hacer proselitismo de su nación, lo que me parece muy bien, dicho sea de paso. Este asunto cada vez me gusta mas.