Single hacker claims responsibility for Comodo certificate theft
28 March 2011, 17:51
Bài được đưa lên Internet ngày: 28/03/2011
Lời người dịch: Có khả năng dù còn nhiều nghi vấn, rằng 1 tin tặc Iran đã thâm nhập được vào máy chủ của cơ quan cấp chứng chỉ số CA (Certificate Authority) và đã ăn cắp được chứng chỉ số và thâm nhập vào các máy chủ web của một loạt các nhà cung cấp dịch vụ web như login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com và addons.mozilla.org nhằm gián điệp các truyền thông giữa các thành viên của phe chống đối.
Một tin tặc cá nhân, được cho là người Iran, nhận đứng đằng sau việc tạo ra, không được phép, các chứng thực SSL bất hợp pháp cho các máy chủ web của một loạt các nhà cung cấp dịch vụ web chủ chốt. Trước đó, chính phủ Iran là một trong những chính phủ bị tình nghi đã triển khai cuộc tấn công này, để sử dụng các chứng thực để gián điệp các giao tiếp truyền thông giữa các thành viên của phe chống đối quốc gia này.
Trên website xuất bản những mẩu nhỏ văn bản, pastebin.com, một lập trình viên 21 tuổi với cái bí danh “Comodohacker” đã đưa ra một tuyên ngôn trong đó anh ta cung cấp các chi tiết về sự thâm nhập trái phép này. Trong khi các chuyên gia an ninh nghĩ rằng mô tả của anh ta về sự thâm nhập là có vẻ hợp lý, thì họ tiếp tục nghi rằng một cá nhân có thể có trách nhiệm về cuộc tấn công này.
Trong tuyền ngôn của mình, tin tặc này nhận rằng anh ta ban đầu đã thâm nhập được vào máy chủ của nhà bán lẻ Comodo là InstantSSl.it - mà các dịch vụ của nó từng, quả thực, bị treo vào tuần trước. Trên máy chủ web, tin tặc này nói rằng anh ta đã tìm thấy một thư viện .NET được nhà bán lẻ này sử dụng để truyền các yêu cầu ký chứng thực (CSRs) tới Comodo và tới GeoTrust. Khi biên dịch ngược lại thư viện này được viết bằng ngôn ngữ C#, tin tặc này nói anh ta đã thấy những ủy quyền truy cập được nhúng cho các tài khoản của Comodo và GeoTrust của nhà bán lẻ này.
Đã thiết lập rằng các URL của GeoTrust được lưu trữ trong các tệp DLL không làm việc, tin tặc nói rằng anh ta đã định truy cập vào tài khoản của Comodo. Dù anh ta nói rằng để ký CSR của anh ta thì ban đầu anh ta đã tự làm quen với giao diện lập trình ứng dụng API, tin tặc, người thông qua tuyên ngôn của mình đã khen ngợi lặp đi lặp lại các tài năng của riêng mình, nói rằng chỉ mật 15 phút để làm điều này. Anh ta sau đó được cho là đã định chuyển các yêu cầu này đi; theo Comodo, các tên miền bị ảnh hưởng bao gồm login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com và addons.mozilla.org.
An individual, presumably Iranian, hacker claims to be behind the unauthorised creation of illegitimate SSL certificates for the web servers of various major web service providers. Previously, the Iranian government was among those suspected to have carried out the attack, potentially in order to use the certificates to spy out the communications between members of the national opposition.
On the text snippets publishing website, pastebin.com, a 21-year-old programmer who goes by the name of "Comodohacker" has released a manifesto in which he provides details about the intrusion. While security experts think that his description of the hack is plausible, they continue to doubt that an individual could be responsible for the attack.
In his manifesto, the hacker claims that he initially broke into the web server of Italian Comodo reseller InstantSSL.it – whose services were, indeed, suspended last week. On the web server, the hacker said that he found a .NET library used by the reseller to submit Certificate Signing Requests (CSRs) to Comodo and to GeoTrust. When decompiling the library written in C#, the hacker says he found the embedded access credentials for the reseller's Comodo and GeoTrust accounts.
Having established that the GeoTrust URLs stored in the DLL didn't work, the hacker said that he did manage to access the Comodo account. Although he said that in order to sign his CSRs he initially had to familiarise himself with the API, the hacker, who throughout his manifesto repeatedly praised his own talents, said that it only took him 15 minutes to do this. He then reportedly managed to submit the requests; according to Comodo, the affected domains included login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com and addons.mozilla.org.
Hình như tin tặc yêu nước này đã không nói về các động cơ chính xác của anh ta. Dường như là, khi cố gắng tạo ra các khóa RSA, anh ta đã đánh mất các chi tiết và, không thành công, xử lý để tập trung vào việc thâm nhập cơ quan chứng chỉ CA.
Comodo đã không đưa ra bất kỳ thông tin nào hơn để khẳng định hoặc vô hiệu hóa tuyên bố của anh ta. Những người kiểm nghiệm bằng bút thử của Errata Security đã thấy rằng ít nhất thì mô tả kỹ thuật là hợp lý. Errata Security nói rằng, trong các thử nghiệm bằng bút của mình, học “thường thấy các tên và mật khẩu được nhúng vào mà không ai tin rằng các tin tặc lại có thể đọc được”.
Trên Twitter, lập trình viên của Metasploit H.D. Moore nghi rằng một người đơn độc có thể có trách nhiệm về toàn bộ cuộc tấn công này. Mikko Hyyponen từ F-Secure cũng nghĩ rằng cuộc tấn công đã không triển khai được chỉ bởi 1 cá nhân. Chuyên gia an ninh này đã hỏi: “Liệu chúng ta có thực sự tin rằng chỉ một tin tặc duy nhất thâm nhập được vào CA, có thể tạo ra bất kỳ chứng thực nào mà anh ta muốn được không ... và đi sau login.live.com thay vì paypal.com?”
Tuy nhiên, về các khả năng mà tin tặc này đã yêu cầu giành được các chứng thực, thì một số người đồ rằng các khả năng của anh ta cũng đủ để tạo ra báo động đỏ mà tuyên ngôn này có thể thực sự gây ra.
The apparently patriotic hacker didn't state his precise motives. It seems that, when trying to factor RSA keys, he got lost in the details and, being unsuccessful, proceeded to focus on hacking the CAs.
Comodo hasn't provided any further information to confirm or invalidate his claims. Pen testers Errata Security find that at least the technical description is plausible. Errata Security said that, in its pen tests, they "regularly find embedded usernames and passwords that nobody believe hackers can read."
On Twitter, Metasploit developer H.D. Moore doubts that a single person could be responsible for the entire attack. Mikko Hyyponen from F-Secure also thinks that the attack wasn't carried out by an individual perpetrator. The security expert asked: "Do we really believe that a lone hacker gets into a CA, can generate any cert he wants... and goes after login.live.com instead of paypal.com?" However, in view of the capabilities the hacker required for obtaining the certificates, some people speculate that his abilities would also be sufficient to create the red herring this manifesto could turn out to be.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.