venerdì 23 febbraio 2018

Certificati SSL : il prodotto di "lusso" che scoraggia gli hacker



I certificati SSL rappresentano uno dei tanti prodotti venduti all'interno del mercato nero appetiti dagli hacker. Acquistandone uno è possibile riuscire a far passare inosservato il malware agli occhi del sistema di sicurezza del terminale preso di mira. Sebbene il mercato sia florido, una ricerca recente ha dimostrato che il prezzo di questi certificati è molto alto, fattore che sembra aver scoraggiato numerosi hacker. 

E' risaputo che il malware più difficile da individuare è quello che apparentemente presenta una firma riconducibile ad aziende ben conosciute e certificate. Quello che però si è sempre ritenuto, più o meno a ragione, è che gli hacker avessero messo le mani sui certificati attraverso il furto di quest'ultimi a danni dell'azienda stessa, dei loro partner o delle stesse CAs (le autorità certificate). 

La maggior parte dei certificati non viene hackerata, viene comprata

Secondo quanto emerge da una nuova ricerca pubblicata di recente, il quadro che si presenterebbe agli esperti della sicurezza è ben diverso da quello a cui erano abituati. Andrei Barysevich, direttore dell' Advanced Collection at Recorded Future, sostiene infatti che i cyber-criminali sarebbero riusciti a mettere le mani sulla maggior parte dei certificati grazie ad una vendita fraudolenta e non attaccando la rete di una CA. 
Barysevich ha insistito molto su quest'ultimo aspetto, evidenziando la differenza tra ciò che si pensava abitualmente e quale invece sia la realtà dei fatti: "siamo abituati a pensare che i certificati di cui dispongono gli hacker siano stati rubati per compiere azioni illecite: in realtà questi non sono che dei prodotti confezionati su misura appropriandosi delle credenziali delle aziende certificate e successivamente rivenduti all'interno di un mercato codificato. 

Come funziona la compravendita
All'interno di un altro dossier, Barysevich ha tracciato una panoramica di come funziona l'acquisto di questi certificati. Il procedimento è molto semplice in realtà: i criminali agiscono attraverso shop online. Una volta ricevuto l'ordine del cliente, il proprietario dello shop cercherà di ottenere il certificato richiesto da parte ad una CA con la scusa di utilizzarlo per un app o un sito web, ovviamente falsi. Per ottenere il certificato si avvarrà delle credenziali rubate di un'aziena o dei suoi impiegati. 

Sempre secondo Barysevich, i legittimi proprietari delle aziende sarebbero all'oscuro di quanto succeda  e di come i loro dati siano potenzialmente al centro di azioni illegali. 
Ancora più eclatante è il risultato a cui sono arrivati gli esperti: i criminali sarebbero riusciti infatti ad ottenere i certificati da CA molto famose quali Comodo, Thawte, and Symantec. 

Una volta completata la vendita del certificato al "cliente", quest'ultimo è in grado di utilizzarlo per criptare il traffico HTTPS o per apporre la propria firma su applicazioni che vengono spacciate poi come provenienti da fonti sicure e autorevoli. 

Un mercato in espansione dal 2015
I primi shop online sono stati scoperti nel 2015. Da quel momento la Recorded Future ha monitorato quattro venditori, due che operavano singolarmente e due che agivano come gruppo. Ad oggi risulta che due di questi abbiano cessato la loro attività. I prezzi dei certificati si attestano tra i 299 e i 1799 dollari, offendo anche prodotti di prima fascia come i certificati EV (Extended Validation), in assoluto i più sicuri.   



Detto questo, sebbene il mercato mostri segni di crescita, la loro popolarità sembrerebbe limitata tra gli sviluppatori di malware a motivo del prezzo elevato del prodotto che scoraggerebbe molti hacker facendoli propendere per l'acquisto di altri strumenti fraudolenti come i crypter, più economici e ad oggi ancora efficaci.  

Concludendo, al netto di questa maggioranza ancora titubante, Barysevich sostiene che esiste una fetta minoritaria composta di attori più esigenti che continuerà ad usufruire di questi "servizi", non curanti del prezzo praticato.

Nessun commento:

Posta un commento