En el blog Malware Blog de Trend Micro han presentado pruebas concretas de que el reciente compromiso de DigiNotar la compañía holandesa de emisión de certificados de seguridad fue utilizado para espiar a los usuarios de Internet iraníes a gran escala.

Han encontrado que los usuarios de Internet en más de 40 diferentes redes de ISPs y las universidades de Irán se encontraron con los certificados SSL fraudulentos emitidos por DigiNotar. Peor aún, han encontrado evidencia de que algunos iraníes que utilizan un software diseñado para burlar la censura y el tráfico de espionaje no estaban protegidos contra el masivo ataque man-in-the-middle (hombre-en-el-medio).

 Certificados SSL falsos para el ataque man-in-the-middle.

Los certificados SSL se utilizan para las sesiones de web seguras como el de bancos por Internet y Gmail de Google. Las autoridades de emisión de certificación tienen que comprobar la autenticidad de los certificados SSL. En julio de 2011, los hackers lograron crear certificados SSL falsos para cientos de nombres de dominio, incluyendo google.com e incluso la totalidad del dominio .com de alto nivel para irrumpir en los sistemas de certificación de la autoridad DigiNotar en los Países Bajos. Esto es muy peligroso, ya que estos certificados SSL falsos pueden ser utilizados en un ataque man-in-the-middle en el que el tráfico cifrado Web seguro puede ser leído por un tercero.

El 29 de agosto de 2011, fue descubierto el certificado SSL falso google.com emitido por DigiNotar. Es posible que este certificado fraudulento hiciera espionaje en el tráfico de Gmail con el ataque de man-in-the-middle. Trend Micro tiene evidencia concreta de que estos ataques man-in-the-middle en efecto sucedieron a gran escala en Irán.

Sus  pruebas se basan en datos que Trend Micro Smart Protection Network ha recogido sobre el tiempo. La Trend Micro Smart Protection Network analiza constantemente los datos de la información de millones de clientes en todo el mundo, incluyendo los nombres de dominio que se acceden a partir de cual partes en un momento determinado. . Estos datos de retroalimentación permiten proteger contra vectores de ataque recientes que se ven en un abrir y cerrar de ojos.

Ataque dirigido a Usuarios de Irán

En las últimas semanas, han visto un patrón muy notable para el dominio: validation.diginotar.nl, que fue cargado en su mayoría por usuarios de Internet en Holanda e Irán hasta el 30 de agosto del  2011. Este nombre de dominio es utilizado por los navegadores de Internet para comprobar la autenticidad de los certificados SSL emitidos por DigiNotar.

DigiNotar es una pequeña compañía holandesa de autoridad de certificación cuyos clientes residen principalmente en los Países Bajos. Por lo tanto, se espera que este nombre de dominio va a ser en su mayoría solicitado por los usuarios de Internet holandeses y tal vez un puñado de usuarios de otros países, pero ciertamente no por una gran cantidad de iraníes.

Analizando los datos de Smart Protection Network, vieron el 28 de agosto del 2011 que un número significativo de usuarios de Internet que carga la URL del certificado de verificación SSL de DigiNotar eran de Irán. El 30 de agosto 2011 la mayoría del tráfico de personas de Irán desapareció y el  02 de septiembre del 2011 casi todo el tráfico de Irán se había ido y DigiNotar como se esperaba había recibido peticiones en su mayoría sólo de los usuarios de Internet holandeses.

Estas estadísticas agregadas de la red de Trend Micro Smart Protection muestran claramente que los usuarios de Internet iraníes fueron expuestos a un ataque man-in-the-middle en gran escala en el que un tráfico SSL cifrado se puede descifrar por un tercero. Debido a esto, lo más probable es que una tercera parte fuera capaz de leer todos los mensajes de correo electrónico enviados o recibidos por un usuario de Internet iraní en su cuenta de Gmail.

Un análisis más detallado de sus datos revelan hechos aún más alarmante como la de los nodos de proxy salientes en los Estados Unidos del software anti-censura hecho en California fueron el envío de solicitudes Web de calificación para validation.diginotar.nl a los servidores de la nube de Trend Micro. Esto significa que es muy probable que los ciudadanos iraníes que estaban usando este software anti-censura fueran víctimas del mismo ataque man-in-the-middle. Su software anti-censura debería haberlos protegido. Sin embargo, en realidad, una tercera parte fue capaz de espiar a la totalidad de sus mensajes cifrados.

Gráficos del trafico de solicitud de calificación web para el dominio validation.diginotar.nl,  a la izquierda el 28 de Agosto y a la derecha el 30 de Agosto 2011:

Significado en los gráficos:

NL = Holanda

IR = Irán

Others = Otros

Traducción: Velcro

Fuente: blog.trendmicro.com

Anuncios