Comodo, società che si occupa di sicurezza in Rete, rivela di aver subito un attacco proveniente dall’Iran che ha permesso ad alcuni malintenzionati di accedere ad un account di uno dei partner del gruppo al fine di ottenere certificati SSL falsi. Il rischio, spiega Phillip Hallam-Baker di Comodo, è che alcuni siti fraudolenti possano essere spacciati come appartenenti ad importanti portali del Web, risultando affidabili agli occhi degli utenti e soprattutto dei browser.
In particolare sono 9 i certificati sfuggiti, prontamente bloccati da chi di dovere, per un totale di 7 domini coinvolti. Tra questi, Mozilla segnala la presenza del proprio portale dedicato agli addon per il browser Firefox: proprio quest’ultimo è stato aggiornato per far fronte al problema, risultando ora in grado di identificare i certificati fraudolenti e di bloccarli. Tra gli altri siti potenzialmente a rischio figurano nomi del calibro di Google, Skype e Yahoo, motivo per cui il potenziale pericolo coinvolge numerosissimi utenti.
L’allarme è rientrato a distanza di poche ore dall’attacco, grazie alla revoca dei certificati SSL in questione da parte di Comodo, che ha inoltre evidenziato come nessuna root key sia stata scoperta e nessun componente hardware sia stato compromesso. Il furto dei certificati è infatti avvenuto grazie ad un login effettuato attraverso le credenziali di accesso di un gruppo partner di Comodo, di cui sono stati poi violati ulteriori account presso altri siti Web. Un’analisi dei dati forniti dal login ha permesso poi di rilevare due IP dei computer dai quali è stato effettuato l’accesso: tali indirizzi risultano appartenere ad un ISP iraniano e le prime ipotesi parlano di un attacco guidato dal Governo del Paese asiatico.
Oltre a Firefox, anche Internet Explorer e Chrome sono stati aggiornati dai rispettivi team di sviluppo per integrare le patch necessarie ad eliminare il problema. Da Apple non è giunto ancora alcun commento sulla vicenda, mentre per quanto riguarda Opera gli sviluppatori non sembrano temere pericoli: il browser norvegese è infatti in grado di rilevare la natura fraudolenta del certificato avvertendo poi l’utente dei possibili rischi cui si va incontro navigando tra le pagine coinvolte dall’attacco.