Un ricercatore dell’associazione svizzera Abuse.ch ha avviato un’iniziativa per la creazione di una lista nera dei certificati digitali utilizzati per attività illecite.

Negli scorsi anni gli esperti di sicurezza hanno scoperto molti casi in cui sono stati utilizzati certificati digitali per attività fraudolente come spionaggio e distribuzione di malware.

Gli autori di malware utilizzano varie tecniche per evitare di essere scoperti dalle forze dell’ordine e dalle principali aziende di sicurezza, per esempio è pratica comune utilizzare il protocollo SSL a protezione del traffico malevolo tra le macchine infette ed i server che le controllano (Command and Control, C&C).

ssl blacklist overviewUn ricercatore dell’organizzazione svizzera Abuse.Ch ha avviato un progetto che si prefigge di tracciare tutti quei certificati digitali utilizzati per attività illegali, cuore del progetto è una Lista nera “SSL Black List” che li elenca fornendo informazioni supplementari sul loro utilizzo come la finalità per la quale sono stati utilizzati.

Il progetto è in fase embrionale ed è frutto dell’esperienza maturata dai ricercatori di Abuse.ch nell’investigazione su principali malware utilizzati in frodi bancarie e botnet.

Attualmente l’archivio include circa 125 certificati digitali, le relative impronte SHA-1 ed una descrizione dell’attività illecita associata. Come è possibile notare, molti dei certificati sono stati associati a popolari campagne basate su codici malevoli come ZeusShylock and Kins.

Come spiegato dai ricercatori, il progetto, una volta a regime, fornirà un valido strumento per l’individuazione tempestiva delle attività fraudolente, un ulteriore tassello nella lotta al crimine informatico. Di seguito il testo originale che spiega il progetto e la finalità della “lista nera” dei certificati digitali.

ssl_blacklist“The goal of SSLBL is to provide a list of bad SHA1 fingerprints of SSL certificates that are associated with malware and botnet activities. Currently, SSLBL provides an IP based and a SHA1 fingerprint based blacklist in CSV and Suricata rule format. SSLBL helps you in detecting potential botnet C&C traffic that relies on SSL, such as KINS (aka VMZeuS) and Shylock”

L’organizzazione Abuse.ch non è l’unica ad aver intrapreso un’iniziativa volta ad individuare gli abusi dei certificati digitali, all’inizio di quest’anno Google ha annunciato il progetto Certificate Transparency project, una registro pubblico di tutti i certificati digitali emessi dalle varie Autorità di Certificazione, lo scopo è quello di censire i certificati in esercizio ed individuare per tempo furti ed utilizzi non autorizzati degli stessi.

“In particolare, il progetto Certificate Transparency project rende possibile rilevare i certificati SSL che sono stati erroneamente emessi da un’autorità di certificazione o acquisiti in maniera illecita. Il progetto consentirà anche l’identificazione di autorità di certificazione che rilasciano certificati che sono utilizzati per attività fraudolente.” riporta la pagina ufficiale del progetto.

La difficoltà principale che un progetto del genere incontra risiede nel fatto che le varie Autorità di Certificazione non forniscono un elenco pubblico aggiornato dei certificati emessi.

Non vi è dubbio che progetti come la “lista nera” dei certificati digitali (SSL Black List) ed il progetto Certificate Transparency project, sono iniziative che possono fornire un prezioso contributo nella prevenzione di attacchi informatici.

Il progetto della “Lista nera dei certificati”, una volta che il database si sarà popolato da un volume cospicuo di dati, rappresenterà una fonte preziosa per gli esperti di sicurezza intenti nella lotta alla diffusione di codici malevoli ed alla proliferazione di botnet che utilizzano che abusano di certificati digitali ottenuti in maniera illegale.


Pierluigi PaganiniAutore: Pierluigi Paganini

Membro del Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Affari Esteri e della Cooperazione Internazionale
Membro Gruppo Threat Landscape Stakeholder Group ENISA (European Union Agency for Network and Information Security)
Collaboratore SIPAF –  Prevenzione dell’ utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze

1 COMMENT