Tin tặc độc lập nhận trách nhiệm về ăn trộm chứng thực của Comodo

Singlehacker claims responsibility for Comodo certificate theft

28March 2011, 17:51

Theo:http://www.h-online.com/security/news/item/Single-hacker-claims-responsibility-for-Comodo-certificate-theft-1216417.html

Bàiđược đưa lên Internet ngày: 28/03/2011

Lờingười dịch: Có khả năng dù còn nhiều nghi vấn, rằng1 tin tặc Iran đã thâm nhập được vào máy chủ của cơquan cấp chứng chỉ số CA (Certificate Authority) và đãăn cắp được chứng chỉ số và thâm nhập vào cácmáy chủ web của một loạt các nhà cung cấp dịch vụweb như login.live.com, mail.google.com, www.google.com,login.yahoo.com, login.skype.com và addons.mozilla.org nhằm giánđiệp các truyền thông giữa các thành viên của phe chốngđối.

Mộttin tặc cá nhân, được cho là người Iran, nhận đứngđằng sau việc tạo ra, không được phép, các chứng thựcSSL bất hợp pháp cho các máy chủ web của một loạt cácnhà cung cấp dịch vụ web chủ chốt. Trước đó, chínhphủ Iran là một trong những chính phủ bị tình nghi đãtriển khai cuộc tấn công này, để sử dụng các chứngthực để gián điệp các giao tiếp truyền thông giữacác thành viên của phe chống đối quốc gia này.

Trênwebsite xuất bản những mẩu nhỏ văn bản, pastebin.com,một lập trình viên 21 tuổi với cái bí danh “Comodohacker”đã đưa ra một tuyên ngôn trong đó anh ta cung cấp cácchi tiết về sự thâm nhập trái phép này. Trong khi cácchuyên gia an ninh nghĩ rằng mô tả của anh ta về sự thâmnhập là có vẻ hợp lý, thì họ tiếp tục nghi rằng mộtcá nhân có thể có trách nhiệm về cuộc tấn công này.

Trongtuyền ngôn của mình, tin tặc này nhận rằng anh ta banđầu đã thâm nhập được vào máy chủ của nhà bán lẻComodo là InstantSSl.it - mà các dịch vụ của nó từng, quảthực, bị treo vào tuần trước. Trên máy chủ web, tin tặcnày nói rằng anh ta đã tìm thấy một thư viện .NET đượcnhà bán lẻ này sử dụng để truyền các yêu cầu kýchứng thực (CSRs) tới Comodo và tới GeoTrust. Khi biên dịchngược lại thư viện này được viết bằng ngôn ngữC#, tin tặc này nói anh ta đã thấy những ủy quyền truycập được nhúng cho các tài khoản của Comodo và GeoTrustcủa nhà bán lẻ này.

Đãthiết lập rằng các URL của GeoTrust được lưu trữtrong các tệp DLL không làm việc, tin tặc nói rằng anh tađã định truy cập vào tài khoản của Comodo. Dù anh tanói rằng để ký CSR của anh ta thì ban đầu anh ta đã tựlàm quen với giao diện lập trình ứng dụng API, tin tặc,người thông qua tuyên ngôn của mình đã khen ngợi lặpđi lặp lại các tài năng của riêng mình, nói rằng chỉmật 15 phút để làm điều này. Anh ta sau đó được cholà đã định chuyển các yêu cầu này đi; theo Comodo, cáctên miền bị ảnh hưởng bao gồm login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com vàaddons.mozilla.org.

Anindividual, presumably Iranian, hacker claims to be behind theunauthorised creation of illegitimate SSL certificates for the webservers of various major web service providers. Previously, theIranian government was among those suspected to have carried out theattack, potentially in order to use the certificates to spy out thecommunications between members of the national opposition.

Onthe text snippets publishing website, pastebin.com, a 21-year-oldprogrammer who goes by the name of "Comodohacker" hasreleased a manifestoin which he provides details about the intrusion. While securityexperts think that his description of the hack is plausible, theycontinue to doubt that an individual could be responsible for theattack.

Inhis manifesto, the hacker claims that he initially broke into the webserver of Italian Comodo reseller InstantSSL.it – whose serviceswere, indeed, suspended last week. On the web server, the hacker saidthat he found a .NETlibrary used by the reseller to submit Certificate SigningRequests (CSRs) to Comodo and to GeoTrust. When decompiling thelibrary written in C#, the hacker says he found the embedded accesscredentials for the reseller's Comodo and GeoTrust accounts.

Havingestablished that the GeoTrust URLs stored in the DLL didn't work, thehacker said that he did manage to access the Comodo account. Althoughhe said that in order to sign his CSRs he initially had tofamiliarise himself with the API, the hacker, who throughout hismanifesto repeatedly praised his own talents, said that it only tookhim 15 minutes to do this. He then reportedly managed to submit therequests; according to Comodo, the affected domains includedlogin.live.com, mail.google.com, www.google.com, login.yahoo.com,login.skype.com and addons.mozilla.org.

Hìnhnhư tin tặc yêu nước này đã không nói về các độngcơ chính xác của anh ta. Dường như là, khi cố gắng tạora các khóa RSA, anh ta đã đánh mất các chi tiết và,không thành công, xử lý để tập trung vào việc thâmnhập cơ quan chứng chỉ CA.

Comodođã không đưa ra bất kỳ thông tin nào hơn để khẳngđịnh hoặc vô hiệu hóa tuyên bố của anh ta. Nhữngngười kiểm nghiệm bằng bút thử của Errata Security đãthấy rằng ít nhất thì mô tả kỹ thuật là hợp lý.Errata Security nói rằng, trong các thử nghiệm bằng bútcủa mình, học “thường thấy các tên và mật khẩuđược nhúng vào mà không ai tin rằng các tin tặc lại cóthể đọc được”.

TrênTwitter, lập trình viên của Metasploit H.D. Moore nghi rằngmột người đơn độc có thể có trách nhiệm về toànbộ cuộc tấn công này. Mikko Hyyponen từ F-Secure cũng nghĩrằng cuộc tấn công đã không triển khai được chỉ bởi1 cá nhân. Chuyên gia an ninh này đã hỏi: “Liệu chúng tacó thực sự tin rằng chỉ một tin tặc duy nhất thâmnhập được vào CA, có thể tạo ra bất kỳ chứng thựcnào mà anh ta muốn được không ... và đi sau login.live.comthay vì paypal.com?”

Tuynhiên, về các khả năng mà tin tặc này đã yêu cầugiành được các chứng thực, thì một số người đồrằng các khả năng của anh ta cũng đủ để tạo ra báođộng đỏ mà tuyên ngôn này có thể thực sự gây ra.

Theapparently patriotic hacker didn't state his precise motives. Itseems that, when trying to factor RSA keys, he got lost in thedetails and, being unsuccessful, proceeded to focus on hacking theCAs.

Comodohasn't provided any further information to confirm or invalidate hisclaims. Pen testers Errata Security findthat at least the technical description is plausible. Errata Securitysaid that, in its pen tests, they "regularly find embeddedusernames and passwords that nobody believe hackers can read."

OnTwitter, Metasploit developer H.D. Moore doubtsthat a single person could be responsible for the entire attack.Mikko Hyyponen f-rom F-Secure also thinksthat the attack wasn't carried out by an individual perpetrator. Thesecurity expert asked: "Do we really believe that a lone hackergets into a CA, can generate any cert he wants... and goes afterlogin.live.com instead of paypal.com?" However, in view of thecapabilities the hacker required for obtaining the certificates, somepeople speculate that his abilities would also be sufficient tocre-ate the red herring this manifesto could turn out to be.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com