Nunca había escuchado de la
empresa DigiNotar, y tú? No nos culpo, es una empresa por allá en Holanda. ¿Se
me había olvidado decir que es una autoridad certificadora de esas de “raíz”?
¿Y se me pasó decir que fue hackeada?
Una autoridad certificadora es
aquella que emite certificados digitales. De esos como los que ya vienen
pre-instalados en los navegadores y que permiten iniciar una sesión segura usando
SSL. En pocas palabras, cuando vas al portal de un banco comercial y aparece el
candadito en una de las esquinas del navegador, quiere decir que estás haciendo
uso de certificados digitales.
Bien. ¿Pero para qué querría
alguien hackear una autoridad certificadora? Ni modo que alguien quisiera obtener
un certificado a nombre de…digamos Google, y luego levantar un sitio falso PERO
con un certificado digital válido, o sí? Así este sitio fraudulento podría
aparecer todavía como más auténtico ya que “hasta el candadito se prendió y sin
ninguna advertencia”.
Asimismo, con un certificado
digital robado bien puedes hacer ataques de Man-in-the-middle: en tu sesión con
GMail hay un tercero en discordia que manda tus peticiones a GMail y a ti te
envía todo lo que recibe de GMail; en pocas palabras puede leer todo lo que se
manda/recibe en una sesión “segura”. Que de hecho es lo que al parecer hizo el
gobierno de Irán con lo cual (de ser cierto) pudo “ver” el contenido de varios
de sus ciudadanos que iniciaron una sesión aparentemente “segura” a GMail.
El hackeo fue desde el mes de
julio. Y al parecer cerca de 200 certificados falsos de diversas
organizaciones fueron generados. El gobierno holandés por precaución revocó certificados por si las
moscas: nuevos certificados habrá que generar me temo (ya estoy hablando como
Yoda).
Y supongo que la CIA y el
Mossad no están felices de que algún fulanito ande por ahí con certificados
digitales válidos de sus sitios.
Microsoft, Firefox, Chorme entre otros navegadores
han anunciado que dejarán de “confiar” en esta autoridad certificadora llamada
DigiNotar con el fin de que no haya más de estos ataques. Le echaron montón y
bien podría significar el fin de DigiNotar. Las autoridades certificadoras
venden a final de cuentas confianza (no el certificado).
Por cierto, no es la primera (y
al parecer no será la última vez) que existe un ataque a autoridades
certificadoras. El último que recuerdo fue Comodo.
Podemos pensar que este asunto
es totalmente irrelevante para nuestra realidad en México (u otro país). Sin
embargo este hackeo nos muestra varios puntos:
Uno: que por default confías en
lo que tu navegador confía. Y tu navegador confía en autoridades certificadoras
que tú no conoces. Y efectivamente en base a esta endeble confianza, tú estableces
enlaces “seguros” a sitios de banca en línea o compras online.
Dos: las autoridades
certificadoras son hackeadas. Serán parte de una cadena de seguridad, pero son
susceptibles de ataques.
Tres: que aunque el protocolo
SSL (TLS) es adecuado, no así la cadena de confianza que sustenta toda esta
infraestructura. Moxie explica este punto de mejor
manera yendo lejos y afirmando que “At
long last, we're finally approaching the critical mass necessary to replace the
CA system that we've long since grown out of”.
En fin, la recomendación es que
vayas a actualizar tu navegador. Es una de las formas para botar a DigiNotar de
tu sistema. También checa las opciones de CertificatePatrol (muy
recomendable) o hasta la opción un poco más radical de Convergence.
Los dejo con una cita de Bruce
Schneier sobre el tema:"This attack
illustrates one of the many security problems with SSL: there are too many
single points of trust".
No hay comentarios:
Publicar un comentario