Investigadores de segurança informática dividem-se sobre se o “ComodoHacker” é real.
Um hacker iraniano solitário assumiu no sábado a responsabilidade pelo roubo de vários certificados SSL pertencentes a alguns dos maiores sítios Web, incluindo a Google, Microsoft, Skype e Yahoo.
A reacção inicial de especialistas em segurança foi mista, com alguns a acreditar no hacker, enquanto outros ficaram em dúvida.
Na semana passada, a conjectura focou-se num ataque assegurado por um Estado, talvez financiado ou realizado pelo governo iraniano, que acedeu ilegalmente a um revendedor de certificados parceiro da norte-americana Comodo.
A 23 de Março, a Comodo reconheceu o ataque, dizendo que oito dias antes os hackers obtiveram nove certificados falsos para o registo nos sites Hotmail, da Microsoft, Gmail, da Google, no serviço de telefone por Internet e chat Skype e no Yahoo Mail. Foi também obtido um certificado para um add-on do Firefox, da Mozilla.
Os certificados SSL validam a legitimidade de um site para o browser, garantindo aos utilizadores que estão a aceder ao site real, e que o tráfego entre os browsers e o site é cifrado.
O CEO da Comodo, Melih Abdulhayoglu, disse na semana passada haver indícios de um ataque apoiado por um Estado, e afirmou que o governo do Irão estava, provavelmente, por trás do mesmo. “Acreditamos que estes são ataques politicamente motivadas, conduzidos ou financiados por um estado”, disse Abdulhayoglu.
A sua opinião baseou-se no facto de que apenas o governo do Irão – que poderia contornar o DNS (domain name system) do país para direccionar tráfego através de sites falsos garantidos pelos certificados roubados – seria beneficiado.
Segundo Abdulhayoglu, as autoridades poderiam ter usado os certificados para enganar os activistas anti-governo e levá-los a acreditar que estavam numa conta legítima do Yahoo Mail, por exemplo. Na realidade, porém, os sites falsos teriam recolhido nomes de utilizadores e passwords e, assim, dado acesso ao governo às suas contas de e-mail ou de Skype.
No domingo, um único hacker assumiu a responsabilidade pelo ataque ao Comodo, sustentado a alegação com código não compilado.
“Eu não sou um grupo de hacker [sic], sou um hacker único com experiência de 1.000 hackers”, escreveu no sábado o atacante num “post” no Pastebin.com. Autodenominou-se de “ComodoHacker” e disse ter 21 anos.
O ComodoHacker alegou que tinha tido acesso total ao InstantSSL.it, o braço italiano do serviço de venda de certificados InstantSLL da Comodo, onde descobriu um ficheiro DLL não compilado que encontrou no servidor e assim acedeu ao nome e password da conta de utilizador do revendedor.
Com esta informação, diz ComodoHacker, foi capaz de gerar os nove certificados, “tudo em cerca de 10-15 minutos”. A sua mensagem estava assinada como “Janam Fadaye Rahbar”, que supostamente significa “irei sacrificar a minha alma para o meu líder”.
O site InstantSLL.it está actualmente offline.
Robert Graham, CEO da Errata Security, acredita que o ComodoHacker está a contar uma história verdadeira.
“Como ‘pentester’ [de testes de penetração] que faz ataques semelhantes ao que o ComodoHacker fez, acho que é credível”, disse no domingo Graham, no blogue da Errata. “Acho provável que (1) seja ele, (2) que agiu sozinho, (3) que é iraniano, (4) que é patriota mas não político”.
Mas Mikko Hypponen, o responsável de investigação da F-Secure, em Helsínquia, parece céptico.
“Acreditamos realmente que um hacker solitário entra numa [autoridade de certificados], pode gerar qualquer certificado… e vai atrás de login.live.com em vez do paypal.com?”, perguntou Hypponen no Twitter.
Graham tinha uma resposta para a questão de Hypponen.
“O [Comodo Hacker] começou com um objectivo, as chaves de “factoring” RSA, e acabou numa meta relacionada, a forjar certificados”, disse Graham. “Ele não pensou no PayPal porque não estava a tentar fazer algo com os certificados falsos”.
O ComodoHacker também apontou o Oeste – os meios de comunicação ocidentais, em particular – por rapidamente concluírem que o governo iraniano estava envolvido, quando minimizou as possíveis ligações dos EUA e de Israel ao Stuxnet, o “worm” que a maioria dos especialistas acreditam visar o programa nuclear iraniano.
Ele ameaçou também usar as suas capacidades contra aqueles que disse serem inimigos do Irão.
“Qualquer pessoa com problemas no Irão, de falsos Movimento Verde a todos os membros do MKO e terroristas duplos, devem [ter] medo de mim, pessoalmente”, disse ComodoHacker. “Não vou deixar ninguém dentro do Irão prejudicar pessoas do Irão, prejudicar os Cientistas Nucleares do meu país, prejudicar o meu Líder (o que ninguém consegue), prejudicar o meu presidente”.
Os MKO, ou “Mujahedin do Povo do Irão”, é um grupo islâmico que defende o derrube do actual governo iraniano.
“Enquanto eu viver, não tem privacidade na Internet, não tem segurança no mundo digital, é só esperar e ver”, disse ComodoHacker.
A Comodo não estava disponível no domingo para comentar as alegações do ComodoHacker.