domingo, 4 de septiembre de 2011

El hundimiento de DigiNotar


Nunca había escuchado de la empresa DigiNotar, y tú? No nos culpo, es una empresa por allá en Holanda. ¿Se me había olvidado decir que es una autoridad certificadora de esas de “raíz”? ¿Y se me pasó decir que fue hackeada?
Una autoridad certificadora es aquella que emite certificados digitales. De esos como los que ya vienen pre-instalados en los navegadores y que permiten iniciar una sesión segura usando SSL. En pocas palabras, cuando vas al portal de un banco comercial y aparece el candadito en una de las esquinas del navegador, quiere decir que estás haciendo uso de certificados digitales.
Bien. ¿Pero para qué querría alguien hackear una autoridad certificadora? Ni modo que alguien quisiera obtener un certificado a nombre de…digamos Google, y luego levantar un sitio falso PERO con un certificado digital válido, o sí? Así este sitio fraudulento podría aparecer todavía como más auténtico ya que “hasta el candadito se prendió y sin ninguna advertencia”.
Asimismo, con un certificado digital robado bien puedes hacer ataques de Man-in-the-middle: en tu sesión con GMail hay un tercero en discordia que manda tus peticiones a GMail y a ti te envía todo lo que recibe de GMail; en pocas palabras puede leer todo lo que se manda/recibe en una sesión “segura”. Que de hecho es lo que al parecer hizo el gobierno de Irán con lo cual (de ser cierto) pudo “ver” el contenido de varios de sus ciudadanos que iniciaron una sesión aparentemente “segura” a GMail.
El hackeo fue desde el mes de julio. Y al parecer cerca de 200 certificados falsos de diversas organizaciones fueron generados. El gobierno holandés por precaución revocó certificados por si las moscas: nuevos certificados habrá que generar me temo (ya estoy hablando como Yoda).
Y supongo que la CIA y el Mossad no están felices de que algún fulanito ande por ahí con certificados digitales válidos de sus sitios.
Microsoft, Firefox, Chorme entre otros navegadores han anunciado que dejarán de “confiar” en esta autoridad certificadora llamada DigiNotar con el fin de que no haya más de estos ataques. Le echaron montón y bien podría significar el fin de DigiNotar. Las autoridades certificadoras venden a final de cuentas confianza (no el certificado).
Por cierto, no es la primera (y al parecer no será la última vez) que existe un ataque a autoridades certificadoras. El último que recuerdo fue Comodo.
Podemos pensar que este asunto es totalmente irrelevante para nuestra realidad en México (u otro país). Sin embargo este hackeo nos muestra varios puntos:
Uno: que por default confías en lo que tu navegador confía. Y tu navegador confía en autoridades certificadoras que tú no conoces. Y efectivamente en base a esta endeble confianza, tú estableces enlaces “seguros” a sitios de banca en línea o compras online.
Dos: las autoridades certificadoras son hackeadas. Serán parte de una cadena de seguridad, pero son susceptibles de ataques.
Tres: que aunque el protocolo SSL (TLS) es adecuado, no así la cadena de confianza que sustenta toda esta infraestructura. Moxie explica este punto de mejor manera yendo lejos y afirmando que “At long last, we're finally approaching the critical mass necessary to replace the CA system that we've long since grown out of”.
En fin, la recomendación es que vayas a actualizar tu navegador. Es una de las formas para botar a DigiNotar de tu sistema. También checa las opciones de CertificatePatrol (muy recomendable) o hasta la opción un poco más radical de Convergence.
Los dejo con una cita de Bruce Schneier sobre el tema:"This attack illustrates one of the many security problems with SSL: there are too many single points of trust".