Negli ultimi anni l’utilizzo illecito dei certificati digitali è in crescente aumento. Criminali informatici ed agenzie di intelligence hanno spesso utilizzato i certificati digitali per perpetrare crimini oppure per attività di sorveglianza.

I principali abusi di certificati digitali sono classificabili nelle seguenti categorie.

Attacchi di Man-in-the-middle (MITM)

Man In the Middle
Attacco Man in the Middle

I certificati digitali sono utilizzati per intercettare il traffico SSL/TLS. Solitamente questi attacchi sfruttano la mancanza di controlli rigorosi da parte delle applicazioni client quando accedono ad un servizio remoto esposto da un server che presenta all’utente un certificato SSL/TLS firmato da una Certification Authority fidata. L’utilizzo di certificati SSL consente di fornire agli utenti di un sito web garanzia sulla sicurezza delle connessioni, la visita di un sito web sicuro è spesso associata alla presenza di un lucchetto nella barra degli indirizzi. Prima che l’icona del lucchetto sia visibile nella barra degli indirizzi, il sito web al quale accediamo presenta un certificato digitale firmato da una CA che riconosciamo valida che quindi attesta l’identità del sito e fornisce informazioni sul protocollo di cifratura utilizzato per la connessione.
Potrebbe tuttavia capitare che il browser web, causa mancanza di appropriati controlli, accetti certificati emessi da una terza CA, seppur attendibile, differente da quella attesa. Ciò significa che qualora un attaccante riesca ad ottenere un certificato di un’altra Cerification Authority valida, sarà sufficiente che metta in piedi un sito clone di quello sicuro che intende attaccare e che presenti all’utente che lo visita durante la fase di connessione un certificato come quello pocanzi descritto. In questo modo il malintenzionato potrà raggirare la vittima e fargli credere che in realtà è sul sito legittimo che intendeva visitare.

Attacchi informatici basati su malware firmati digitalmente.

La pratica di firmare digitalmente un codice malevolo è estremamente diffusa, ciò consente al malintenzionato di far eseguire un malware su una macchina, aumentando le possibilità di elusione dei sistemi di difesa.
Allo scopo si è solito utilizzare certificati digitali rubati ed associati ad una entità riconosciuta come attendibile, una volta che la chiave privata associata a tale entità è compromessa, potrebbe essere utilizzata per firmare il codice sorgente da utilizzare in un attacco informatico.
Con questo trucco, un utente malintenzionato può installare sul PC della vittima componenti software (ad esempio driver, aggiornamenti software) che richiedono che il codice sorgente sia firmato per la loro installazione / esecuzione. Uno dei casi di cronaca più popolari riguardava la violazione di dati subito da società di sicurezza Bit9. Gli aggressori hanno rubato uno dei certificati della società e lo hanno utilizzato per firmare codice malevolo utilizzato in successivi attacchi. Il certificato in questione è stato utilizzato per firmare un applet Java malevola che sfruttava una falla nel browser delle vittime che accedevano ad alcuni siti web.

Utilizzo di malware per installare certificati digitali illegittimi

Un attaccante potrebbe usare anche un malware per installare certificati illegittimi sulla macchina delle vittime. Un trojan ad esempio potrebbe operare sulla macchina delle vittime come un proxy locale per cui transita tutto il traffico SSL/TLS, ed in tal caso l’utilizzo illecito dei certificati digitali installati potrebbe consentire agli aggressori di intercettare tale flusso di informazioni senza attivare alcun allarme. L’installazione di un falso certificato di una CA su di un sistema compromesso potrebbe consentire agli aggressori di organizzare una campagna di phishing che indirizza le vittime su di un sito malevolo che tuttavia apparirà come legittimo proprio per l’utilizzo del protocollo SSL/TLS basato sui certificati installati.

Certificato illegittimo installato
Esempio di certificato illegittimo installato

Una Certification Authority rilascia certificati impropri

Una CA potrebbe erroneamente emettere un certificato “improprio” che potrebbe essere utilizzato in un attacco informatico. In uno dei casi più eclatanti, la CA DigiCert ha erroneamente rilasciato un certificato ad una società inesistente, tale certificato digitale è stato poi utilizzato per firmare malware utilizzato in attacchi informatici.

Per coloro che volessero approfondire la tematica suggerisco la lettura di un post esaustivo sull’argomento Full Article “How Cybercrime Exploits Digital Certificates” 


Pierluigi PaganiniAutore: Pierluigi Paganini

Membro del Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Affari Esteri e della Cooperazione Internazionale
Membro Gruppo Threat Landscape Stakeholder Group ENISA (European Union Agency for Network and Information Security)
Collaboratore SIPAF – Prevenzione dell’ utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze

 

9 COMMENTS