На прошлой неделе наделала шуму кража SSL-сертификатов у одного из партнёров компании Comodo. Неизвестные взломщики добыли поддельные криптосертификаты Yahoo, Google, Skype, Mozilla и Live.com. Поскольку атака шла с иранских IP, немедленно возникло подозрение, что её устроили иранские спецслужбы (у них был и мотив, и возможность). Однако, похоже, в действительности дело обстояло проще.
В субботу и воскресенье некто по имени Comodohacker сначала разразился пространным заявлением по поводу недавнего взлома, а затем подкрепил свои слова дизассемблированным кодом библиотеки TrustDLL.dll, с помощью которой осуществляются запросы в Comodo на получение сертификатов от её партнёров.
В первой половине своего послания, написанного на весьма посредственном английском, предположительный взломщик утверждает, что ему 21 год и что, хотя он и в самом деле живёт в Иране, ни к правительству страны, ни к «кибер-армии Ирана» он не имеет ни малейшего отношения.
«Я — не группа хакеров. Я — хакер-одиночка с опытом 1000 хакеров, я программист-одиночка с опытом 1000 программистов, я индивидуальный планировщик/проект-менеджер с опытом тысячи проект-менеджеров, так что вы правы, это [атака] провела группа хакеров, но это был я один с опытом 1000 хакеров», — хвастается ComodoHacker.
Во второй половине послания взломщик разражается патриотическим спичем на тему вируса Stuxnet, полумифической программы Echelon и метеостанции HAARP: мол, почему про них никто ничего не пишет, а про его взлом все расшумелись. «Когда США и Израиль могут читать мои сообщения в Yahoo, Hotmail, Skype, Gmail и т.д. без всяких проблем, когда они могут шпионить с помощью Echelon, я могу делать всё, на что я способен. Это простое правило», — пишет предположительный хакер.
В конце автор послания начинает сыпать угрозами в адрес врагов Иранской республики, а также в адрес компании Comodo, других поставщиков SSL-сертификатов и, как у него написано, «microsoft, mozilla and chrome», получающих инструкции прямо от ЦРУ.
Антиамериканская и антиизраильская риторика хакера выглядит типично. В Рунете подобные заявления встречаются сплошь и рядом, причём изложенные практически в тех же выражениях: если они, мол, хулиганят, почему нам нельзя? В похождениях неизбалованных умом, но страдающих воспалением социальной активности товарищей заинтересованные стороны то и дело усматривают след спецслужб, да так старательно, что аж глаза на лоб лезут. Между тем ни всесильных спецслужб, ни даже особой технической квалификации тут, за редким исключением, не требуется.
Что же касается технической стороны взлома Comodo, то, как написал специалист по сетевой безопасности Роберт Грэм из компании Errata Security, вполне вероятно, что заявления Comodohacker соответствуют действительности. «Только Comodo может подтвердить, насколько верны сведения о взломе, в деталях, однако как специалист, который регулярно проводит тесты систем на устойчивость к проникновению со стороны возможных злоумышленников, свидетельствую, что общие сведения вполне достоверны», — пишет Грэм.
По мнению Грэма, мы имеем дело с типичным хакером в исходном смысле этого слова: в Иране, оказывается, они тоже встречаются. Comodo взломал не киберпреступник, а человек, которому нравится «колдовать» с техникой. Потому, вероятно, он и не попытался получить сертификат какой-нибудь платёжной системы — им двигала вовсе не корысть.