Jeszcze w marcu Comodo podało, że z irańskiego serwera włamano się do jej partnera (resellera) i uzyskano podpisy dziewięciu certyfikatów SSL wysokiej wartości (m.in. witryn Microsoftu, Yahoo! i Google). W zeszłym tygodniu młody irański haker kryjący się pod nickiem ComodoHacker stwierdził, że atak jest jego dziełem i zaprezentował klucz prywatny witryny Mozilli identyczny z uzyskanym w czasie włamania.

Haker mówi, że było to trudne i czasochłonne zadanie poprzedzone włamaniami do resellerów certyfikatów i rozmowami z urzędami certyfikacji, w czasie których udawał klienta. Odkrył, że weryfikują one klientów w różny sposób i wybrał na swój cel Comodo. Irańczyk mówi, że włamał się też do innych urzędów certyfikacji i resellerów.

Certyfikaty SSL są kluczowe dla bezpieczeństwa Internetu. Zapewniają uwierzytelnianie na poziomie nazw domen. Przeglądarki korzystają z certyfikatów przy wysyłaniu bezpiecznych żądań HTTP do uwierzytelnionego serwera, takiego jak np. strona banku online.

By haker mógł użyć certyfikatu, potrzebna mu jest choć częściowa kontrola nad DNS lub zastosowanie ataku man in the middle. Dlatego Comodo uważało, że za atakiem stoi Iran, ponieważ kraje mają kontrolę nad swoją infrastrukturą DNS.

Jednak w e-mailu do serwisu CSOonline.com, haker stwierdził, że nie potrzebuje dostępu do infrastruktury DNS całego Iranu. Bramka do sieci lub pojedynczego komputera w sieci docelowej oraz ARP poisoning przy użyciu certyfikatów rozwiążą dla mnie ten problem - powiedział ComodoHacker.