di Pierluigi Paganini*
Un ricercatore dell’associazione svizzera Abuse.ch ha avviato un’iniziativa per la creazione di una lista nera dei certificati digitali utilizzati per attività illecite.
Negli scorsi anni gli esperti di sicurezza hanno scoperto molti casi di certificati digitali usati per attività fraudolente, come spionaggio e distribuzione di malware.
Gli autori di malware usano varie tecniche per evitare di essere scoperti dalle forze dell’ordine e dalle principali aziende di sicurezza.
Per esempio, è pratica comune usare il protocollo SSL a protezione del traffico malevolo tra le macchine infette e i server che le controllano (Command and Control, C&C).
L’azione di Abuse.ch si prefigge di tracciare tutti quei certificati digitali usati per attività illegali. Cuore del progetto è il sito “SSL Black List”. Qui vi troviamo una lista nera di tali certificati e informazioni supplementari sul loro uso, come la finalità per la quale sono stati impiegati.
Il progetto è in fase embrionale ed è frutto dell’esperienza maturata dai ricercatori di Abuse.ch nell’investigazione su principali malware usati in frodi bancarie e botnet.
Attualmente l’archivio include circa 125 certificati digitali, le relative impronte SHA-1 e una descrizione dell’attività illecita associata. Molti dei certificati sono stati associati a popolari campagne basate su codici malevoli come Zeus, Shylock e Kins.
Come spiegato dai ricercatori, a regime il progetto fornirà un valido strumento per l’individuazione tempestiva delle attività fraudolente.
Lista nera certificati digitali, in campo anche Google
L’organizzazione Abuse.ch non è l’unica ad aver intrapreso un’iniziativa per individuare gli abusi dei certificati digitali. All’inizio di quest’anno Google ha annunciato il progetto Certificate Transparency project, una registro pubblico di tutti i certificati digitali emessi dalle varie Autorità di Certificazione. Lo scopo è censire i certificati in esercizio e individuare furti e usi degli stessi non autorizzati.
“In particolare – si legge sulla pagina ufficiale del progetto – Certificate Transparency project rende possibile rilevare i certificati SSL che sono stati erroneamente emessi da un’autorità di certificazione o acquisiti in maniera illecita. Il progetto consentirà anche l’identificazione di autorità di certificazione che rilasciano certificati che sono utilizzati per attività fraudolente”.
La difficoltà principale che un progetto del genere incontra risiede nel fatto che le varie Autorità di Certificazione non forniscono un elenco pubblico aggiornato dei certificati emessi.
Non vi è dubbio che progetti come SSL Black List e Certificate Transparency Project possano fornire un prezioso contributo nella prevenzione di attacchi informatici.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef