Los certificados falsos revelan fallas en la seguridad de Internet

Una infracción importante en un proveedor holandés de certificados digitales ha provocado que algunos expertos en seguridad cuestionen la infraestructura que sustenta la seguridad de Internet.

La violación permitió a atacantes desconocidos emitir al menos 531 certificados fraudulentos para los principales dominios, incluidos Google.com, Microsoft.com y Yahoo.com. Se supone que los certificados deben verificar que un sitio web sea genuino para el navegador web de un visitante; esa verificación evita que un atacante utilice una dirección de dominio falsificada para robar datos. Los certificados contienen datos encriptados que permiten a los navegadores y otro software confirmar que un sitio web es legítimo. Por lo tanto, al comprometer el certificado digital, un atacante puede hacerse pasar por un sitio web seguro, como Gmail de Google, e interceptar las comunicaciones, o eludir los mecanismos de seguridad e instalar software malintencionado.

Lo que es inusual aquí no es que una autoridad de certificación se haya visto comprometida, sino que alguien se dio cuenta, dice Moxie Marlinspike, directora de tecnología y cofundadora de Whisper Systems, una firma que se enfoca en asegurar las comunicaciones móviles. Esto está sucediendo todo el tiempo.



La empresa de certificación comprometida, DigiNotar, es una de las 650 empresas, conocidas como autoridades de certificación o CA, en las que se confía para emitir los certificados. A principios de este año, otra autoridad certificadora, Comodo, reconoció que un atacante había violado la seguridad de sus sistemas y emitió al menos nueve certificados para dominios grandes, incluidos Google, Skype y Yahoo. En la Conferencia de Seguridad de Black Hat en agosto, Marlinspike criticó el sistema actual de autoridades de certificación y ofreció un modelo diferente, conocido como Convergencia, basado en un modelo de confianza entre pares.

La Electronic Frontier Foundation, un grupo de derechos digitales, argumentó en un análisis publicó esta semana que los robos recientes sugieren que la elección de si confiar en una autoridad de certificación debe recaer en el usuario, no en los proveedores de navegadores o sitios web.

Estas CA parecen existir en unas 50 jurisdicciones de países, escriben los autores del informe. Cualquiera de estos países posiblemente podría obligar a una CA a crear certificados fraudulentos con fines de espionaje o para espiar a los ciudadanos de ese país.

El último ataque demuestra que una sola infracción puede tener efectos de gran alcance. A informe preliminar emitido por la firma de seguridad holandesa Fox-IT a principios de septiembre encontró que los intrusos explotaron debilidades significativas en la seguridad de la red de DigiNotar, incluida una sola cuenta capaz de controlar todos sus servidores de certificados y usar una contraseña débil para acceder a la cuenta. La empresa descubrió que más de 300.000 direcciones IP únicas, casi en su totalidad de Irán, encontraron un certificado fraudulento emitido para el dominio de Google. Apple, Google, Microsoft y Mozilla ya han actualizado su navegador para desconfiar de cualquier certificado firmado por DigiNotar.

El gobierno holandés, que se basa en las firmas digitales emitidas por DigiNotar para sus comunicaciones cifradas, se ha hecho cargo de las operaciones de certificación de la empresa. Además, está investigando si el enfoque en los usuarios iraníes podría indicar que el gobierno de la nación pudo haber estado involucrado en el ataque.

El sistema de certificados funciona, pero necesita un mayor enfoque en la seguridad, dice Amar Doshi, gerente senior de productos de certificados de la firma de seguridad Symantec, que adquirió y ahora administra la autoridad de certificación VeriSign.

Todos los eventos de las últimas semanas realmente demuestran que 'un certificado es un certificado es un certificado' no se aplica realmente, dice Doshi. Existen diferencias entre certificados. Existen diferencias entre las AC.

Algunos de los fabricantes de navegadores parecen dispuestos a centrarse en esas diferencias. La semana pasada, la Fundación Mozilla, el grupo que administra el desarrollo del navegador Firefox, proporcionó a las autoridades de certificación una lista de controles de seguridad para completar en ocho días. Dijo que cualquier autoridad que no cumpla con la solicitud podría encontrar los certificados emitidos por ellos considerados no confiables por Mozilla.

La participación en el programa raíz de Mozilla queda a nuestra entera discreción, y tomaremos las medidas necesarias para mantener seguros a nuestros usuarios, Kathleen Wilson, directora del programa a cargo del módulo de certificados CA de Mozilla, dijo en un correo electrónico a las autoridades de certificación.

esconder