Még mindig kétségek között hánykolódom az állítólagos Comodo hacker üzenetét illetően, pedig már egy hamisított Mozilla tanúsítványt és privát kulcsokat is prezentáltak a hitelességét alátámasztandó. Ha fogadnom kéne, most arra tennék, hogy az üzenet a valóságot írja le, és valóban egy 21 éves iráni srác kezdett magának tanúsítványokat gyártani a legnagyobb webes szolgáltatásokhoz, így viszont súlyos következtetéseket kell levonni.

Mert a világrengető PWN-ért járó összes kredit mellett sem szabadna komolyan venni valakit, aki az interneten hirdeti, hogy márpedig meg fogja törni az RSA-t, mikor jól láthatóan távolról sincs fogalma a probléma természetéről. Ha ilyesvalaki egyedül tanúsítványt tud generálni egy világméretű CA nevében, akkor k*rva nagy probléma van! És a leírás szerint valóban nem kellett vért izzadni: itt is volt valami webes hiba, a webszerveren meg egy DLL-be forgatott jelszó, amivel gyakorlatilag további korlátozás nélkül lehetett aláírogatni. Igen, úgy tűnik ennyit ér egy hétpecsétes CA védelme.

Persze nem ez az egyetlen magyarázat. Lehet, hogy valamelyik nagyhatalom kiberalakulata hónapok tervezése után hajtotta végre a sebészi pontosságú akciót, a mostani üzengetés pedig csak egyszerű elterelés. Persze ettől még a fent említett faék bonyolultságú támadási vektorok érvényben maradnak, és a professzionális kivitelezés ellen szól az is, hogy a támadók viszonylag hamar lebuktak.

Akárhogy is van, Z-nek igaza volt: senkiháziak kezében van az IT-biztonsági szakma.

Éppen a posztom végére értem, mikor megjelent egy interjú a sráccal az Errata Security blogján. 

Friss: Dr. Berta István Zsolt egy másik nézőpontját emeli ki a történetnek, érdemes elolvasni.