Comodo
Comodo bekräftar en utstuderad hackerattack den 15 mars och misstänker statliga motiv bakom angreppet.

En okänd angripare lyckades i början av förra veckan hacka sig in hos it-säkerhetsföretaget Comodo, som bland annat utfärdar och levererar signerade tsl- och ssl-certifikat. (Gmail och Skype mål i hackarattack)

Certifikaten används för att kryptera trafik mellan webbplatser och slutanvändarens dator. Dessa syns också vanligen i webbläsaren som en https-anslutning i adressraden.

Anders Nilsson, it-säkerhetsexpert på Eurosecure, har granskat hackerattacken och rapporterar att falska certifikat skapats för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Angreppet är allvarligt eftersom det öppnar för så kallade man-in-the-middle-attacker, som går ut på att trafiken mellan två punkter avlyssnas av angriparen. Att metoden i det här fallet dessutom utnyttjar certifikat som signerats av en betrodd utfärdare gör det hela särskilt utstuderat, menar han.

Anders Nilsson på Eurosecure.

– Detta pekar på en relativt stor operation, där syftet sannolikt varit att komma åt inloggningsuppgifter för en bred användarbas snarare än någon enskild individ, säger Nilsson.

Han drar också paralleller till angreppet i Tunisien i slutet av 2010, där regimen försökte censurera folkets internetprotester via landets internetleverantör. Leverantören utnyttjade ett javaskript för att fånga upp användarnamn och lösenord från Facebook-inloggande användare (Så avlyssnar Tunisien sin egen befolkning). Det är inte omöjligt att något liknande varit motivet även i detta fall.

– Möjligheten finns eftersom angreppet i princip kräver att man övervakar all trafik mellan en webbtjänst och anslutande datorer, det vill säga att man verkar på operatörnivå, säger Nilsson.

I Sverige är inte detta en stor fråga, men i andra länder där internetåtkomst är mer centralt styrd kan en sådan här typ av attack vara fungerande, förklarar han.

Att attacken skett med framgång mot ett stort it-säkerhetsföretag är samtidigt alarmerade, även om inget i dagsläget tyder på att någon teknisk sårbarhet ligger bakom detta.

–Företaget har troligtvis inte blivit hackad via något säkerhetshål, snarare har någon användares dator varit sårbar, vilket i sin tur gett tillgång till ett konto på Comodos servrar, säger Nilsson.

En kort säkerhetsrapport från Comodo bekräftar detta. Ett användarkonto har missbrukats för att utfärda nio certifikat för sju domäner, uppger företaget. Kontot har nu stängts av för utredning. Alla certifikat har också dragits tillbaka och ansvariga hos de berörda domänerna har informerats.

Statlig uppbackat angrepp


It-säkerhetsföretaget har även gjort en kort analys av angreppet och noterar att angriparen var ”kliniskt” målmedveten i sin attack.

”Angriparen var väl förberedd och visste på förväg vad han ville uppnå. Han tycks ha haft en lista på mål som han visste att han ville skapa certifikat för. Han var också snabb på att skapa certificate signing request (csr)-meddelanden och skicka förfrågningarna till våra system för att göra certifikaten tillgängliga”, skriver företaget i sin rapport.

De inledande uppgifterna tyder även på att angriparen anslutit mot Comodos servrar via flera ip-adresser och huvudsakligen från Iran, vilket företaget menar är en stark indikator på att en statlig resurs ligger bakom angreppet. Landet har tidigare också angripit andra krypteringsskyddade kommunikationer, uppger företaget.

Att detta över huvudtaget kan ske väcker på samma gång vissa förtroendefrågor gällande säkerhetslösningar som baseras på certifering och signering.

– Det här är en ny typ av attack och visar på en viss sårbarhet i certifikatsystemet. Problemet är att vi idag förlitar oss på ett antal betrodda aktörer som har i uppgift att skapa certifikat. Det gör det hela bekymmersamt när sådan här inträffar, säger Nilsson.

På frågan om vad användare kan göra för att skydda sig blir rekommendationen att hålla sina webbläsare uppdaterade. Microsoft, Mozilla och Google har också redan släppt uppdateringar till sina webbläsare som svartlistar de falska certifikaten.

Comodos åtgärder uppges också förhindra certifikaten, som enligt företaget inte tycks ha hunnit bli utnyttjade innan det hela upptäcktes.