Credito:CC0 Dominio Pubblico
Un fiorente mercato per i certificati SSL e TLS, piccoli file di dati utilizzati per facilitare la comunicazione riservata tra i server delle organizzazioni e i computer dei loro clienti, esiste su una parte nascosta di Internet, secondo una nuova ricerca dell'Evidence-Based Cybersecurity Research Group (EBCS) della Georgia State University e dell'Università del Surrey.
Le macchine in rete utilizzano chiavi e certificati SSL/TLS per identificarsi e autenticarsi quando si connettono tra loro, proprio come gli esseri umani utilizzano nomi utente e password per andare online, secondo Venafi, un fornitore privato di protezione dell'identità della macchina e sponsor della ricerca.
Quando questi certificati vengono venduti sulla darknet, sono confezionati con un'ampia gamma di crimeware che forniscono identità di macchine ai criminali informatici che li utilizzano per falsificare siti Web, intercettare il traffico crittografato, eseguire attacchi e rubare dati sensibili, tra le altre attività.
Scoprire l'ampia disponibilità di questi certificati sulla darknet è stata una sorpresa, secondo l'autore principale David Maimon, professore associato presso la Andrew Young School of Policy Studies dello Stato della Georgia e direttore dell'EBCS. Una ricerca di cinque mercati nella darknet per questa ricerca ha scoperto 2, 943 menzioni per "SSL" e 75 per "TLS". In confronto, c'erano solo 531 menzioni per "ransomware".
"Un aspetto molto interessante di questa ricerca è stato vedere i certificati TLS confezionati con servizi avvolgenti, come i servizi di progettazione Web, per offrire agli aggressori l'accesso immediato a livelli elevati di credibilità e fiducia online, " ha detto. "È stato sorprendente scoprire quanto sia facile ed economico acquisire certificati di convalida estesi, insieme a tutta la documentazione necessaria per creare società di comodo molto credibili senza alcuna informazione di verifica."
"Questo studio ha trovato prove evidenti della vendita dilagante di certificati TLS sulla darknet, " ha detto Kevin Bocek, vicepresidente della sicurezza e dell'intelligence sulle minacce per Venafi. "I certificati TLS che fungono da identità di macchine affidabili sono chiaramente una parte fondamentale dei toolkit dei criminali informatici, proprio come i robot, ransomware e spyware. Ogni organizzazione dovrebbe preoccuparsi che i certificati utilizzati per stabilire e mantenere la fiducia e la privacy su Internet vengano utilizzati come armi e venduti come merce ai criminali informatici".