È successo tutto tra giugno e agosto: un hacker che si firma con il motto " Janam Fadaye Rahbar" (qualcosa che suona come " sono pronto a sacrificarmi per il mio leader") ha violato migliaia di account Google di utenti iraniani. Per farlo, ha sfruttato i server del provider olandese DigiNotar, attraverso cui ha generato dei certificati digitali fasulli di cui Wired.it vi ha già raccontato. Secondo l'agenzia di Internet security Fox-IT, l'attacco informatico avrebbe aggirato facilmente alcuni firewall colabrodo. Così, vista la sonora batosta, gli esperti della sicurezza hanno pensato bene di soprannominare l'operazione " Tulipano nero".

Come racconta PCWorld, l'hacker ha usato i server di DigiNotar per generare un certificato digitale targato *.google.com fasullo. Armato di questa chiave d'accesso, il pirata informatico ha forzato username e password di migliaia di account gmail registrati in Iran e ne ha assunto il controllo. Il volume di informazioni riservate potenzialmente sottratte sarebbe enorme: a partire dal 4 agosto, infatti, i server di BigG sono stati contattati da 300mila diversi IP, tutti iraniani e con passaporto olandese. Una situazione davvero insolita, che ha messo tardivamente in allarme Google. Il certificato è stato bloccato il 29 agosto, quando ormai il peggio era già successo.

Per capire cosa si sia verificato nel concreto, è utile dare uno sguardo al report stilato da Fox-IT, che ha ricostruito i dettagli dell'accaduto a partire da fine agosto. I primi movimenti sospetti hanno avuto luogo a metà giugno, quando il provider olandese ha identificato delle attività sospette sui propri server. Il 19 luglio, in seguito a un controllo più approfondito, DigiNotar ha scoperto l'esistenza di 128 certificati fasulli generati sfruttando alcune falle nel suo sistema di sicurezza. Nonostante il blocco immediato di questi dati, l'attacco hacker è andato avanti fino al 27 luglio, generando altri 204 certificati pirata, tutti indirizzati verso l'Iran.

Insomma, il provider dei Paesi Bassi ha capito subito di trovarsi di fronte a attività di hacking su larga scala che stavano bersagliando computer iraniani. Ma, a quanto pare, DigiNotar non è riuscita a bloccare tutte le chiavi d'accesso create dal pirata informatico. Primo fra tutti, il famoso certificato *.google.com - generato, per la precisione, il 10 luglio - che è sfuggito completamente ai controlli ed è rimasto operativo per quasi 50 giorni. In questo arco di tempo, il burattinaio di Tulipano nero aveva diretto accesso ai contenuti degli account gmail e di qualsiasi altro servizio BigG a cui fosse possibile accedere con le credenziali rubate.

Nessuno, tuttavia, sa ancora quale sia stata la reale portata di questo attacco. Google ha semplicemente invitato gli utenti iraniani a cancellare i vecchi cookies e a scegliere una nuova password per il login.

Le identità dei bersagli colpiti dall' hacker non sono ancora note, ma di sicuro l'accaduto non verrà preso alla leggera. Giusto per capire la portata dell'attacco, basti pensare che tra gli altri codici sospetti bloccati da DigiNotar c'erano anche protocolli fasulli per accedere direttamente ai server di Microsoft, Cia e Mossad, i servizi segreti israeliani.

Fonte: daily.wired.it