Hacker de Comodo se da a conocer, afirma 'no tener relación con el CyberEjercito Iraní'

Su historia es que fue capaz de comprometer los socios de Comodo, GlobalTrust.it e InstantSSL.it. Ambos sitios están actualmente "en construcción".

En ese punto tendría que estar de acuerdo con él, ya que atacar el algoritmo RSA parece un reto mucho más difícil, pero el texto de su "manifiesto" está tan llena de jactancia es incluso difícil de leer.

Si bien es iraní, afirma no tener ninguna relación con el "CyberEjército iraní " e insiste en que es simplemente un hacker con unas 1000 veces el conocimiento y la experiencia que todos los demás ...

Al des-ensamblar esta DLL, descubrió un nombre de usuario y contraseña en texto claro usado como parte del proceso de envío del CSR, lo que le permitió enviar cualquier CSR que quisiera para ser firmado por Comodo y obtener el certificado firmado de inmediato.

Al principio no estaba claro si este tipo era el real, y por supuesto es imposible saberlo. Lo que hizo después fue publicar parte del código fuente de la TrustDLL.dll en pastebin, incluyendo las partes utilizadas para la autenticación que almacena la contraseña no cifrada.

Una vez más volvemos a las contraseñas inseguras y las técnicas de manejo de contraseñas. Afortunadamente, el impacto de este incidente es muy pequeño y puede ser una llamada de atención para la industria de certificados en su conjunto.

Como Mozilla señaló en una nota del blog, la práctica de firmar los certificados directamente con el certificado raíz, como Comodo lo ha estado haciendo, es realmente una mala práctica.

El único misterio que queda es este: Si se trata de un hacker solitario señalando su punto, ¿por qué emitir certificados de estos sitios web específicos, todos ellos relacionados con los métodos seguros de comunicación usados a menudo por los disidentes para organizar protestas y compartir noticias con el mundo? Sus divagaciones muestran sin duda su apoyo a Mahmud Ahmadinejad y el régimen iraní actual, pero no hay vínculos concluyentes con su gobierno.

Traducción: Raúl Batista - Segu-Info
Autor: Chester Wisniewski
Fuente: Sophos Blog - Naked Security

Ver original.