Quasi.dot

Scusate il gioco di parole nel titolo: mi riferisco ovviamente a quanto dichiarato da Comodo che ha rivelato l’emissione fraudolenta di 9 certificati. I certificati sono quelli legati a:

• login.live.com
• mail.google.com
• www.google.com
• login.yahoo.com (3 certificates)
• login.skype.com
• addons.mozilla.org
• "Global Trustee"

Il report sull’incidente reca una serie di affermazioni che sono quanto meno stupefacenti. La responsabiltà dell’attacco viene attribuita all’Iran, sulla base della geolocalizzazione degli indirizzi IP di provenienza. Spero davvero abbiano ben altri elementi a supporto di una simile affermazione. Un attaccante abile ovviamente cercherà di nascondere la propria provenienza e l’uso di open proxy è persino banale.

In più sostengono che i certificati non sono utilizzabili se non da chi controlli I server DNS relativi. Come se un qualsiasi pen tester non fosse in grado di fare uso dei certificati senza troppi patemi!

Tutti I principali browser hanno proceduto a neutralizzare I certificati in questione. In quanto al discorso di un attacco “statale” (va di moda dai tempi di Stuxnet…) mi preoccupa per il fatto di essere indicato così direttamente e precisamente trascurando altre e più semplici ipotesi.