(Por Rubén Borlenghi, el Microsaurio) ¿Qué tienen en común los usuarios de Skype, o de Google, con los agentes de la CIA, el SIS británico y el Mossad? ¿Cuán inseguro puede ser un certificado digital, o una Autoridad Certificante? Preguntale a una Autoridad Certificante del Gobierno Holandés, por ejemplo, y reflexioná sobre los móviles y las consecuencias.
Se va asentando la polvareda producida por la emisión fraudulenta de certificados digitales auténticos generados por delincuentes que usaron los servidores de una Autoridad Certificante holandesa, la empresa DigiNotar.
Acostumbro a esperar que las declaraciones al estilo “horror, espanto, desesperación” bajen de tono, para encontrar datos más o menos sólidos. Y así ubiqué la lista de las entidades de las cuales los atacantes pidieron (y obtuvieron) certificados. Están en una página del blog de Gervase Markham, un programador británico graduado en Oxford, que en su época fue el empleado más joven de Mozilla.org (tenía 23 añitos) y durante este incidente formó parte del equipo que atendió el tema.
Dentro de los certificados, que se redactan de acuerdo con la norma X.509 de la Unión Internacional de Telecomunicaciones, aparece algo llamado CN, “common name”; ni más ni menos, la denominación o nombre de dominio de la entidad que solicita el certificado, que luego será empleado para decir “sí, señor, usted realmente está entrando en el website de…”
Los atacantes obtuvieron 531 certificados que pertenecen a 51 dominios, emitidos el 10, 18 y 20 de julio. Es lo que se sabía hasta este domingo pasado. Observemos que la empresa DigiNotar afirma que descubrió el problema el 19 de julio, pero la gente de Google y la de Mozilla se enteraron a fines de agosto. Puse “los atacantes” porque se especula que existieron varias intrusiones con al menos dos atacantes, uno muy prolijo y otro descuidado, tipo “elefante en el bazar”.
De la lista (no los quiero aburrir) me interesaron estos:
- –>*.skype.com
- –>*.torproject.org
- –>*.android.com
- –>*.wordpress.com
- –>twitter.com
- –>www.facebook.com
- –>addons.mozilla.org
- –>azadegi.com (es un portal iraní donde se publican noticias como “La policía atacó a un barrio pobre de Ilam para demoler casas”) (gracias traduGoogle)
- –>friends.walla.co.il (es un portal israelí muy popular, con webmail y grupos de amigos)
- –>certificados a nombre de Comodo, DigiCert, Equifax, Thawte y VeriSign (son las mayores empresas norteamericanas de Certificación Digital)
- –>*.google.com (casi cualquier servicio de Google)
- –>login.yahoo.com, login.live.com, my.screenname.aol.com (por acá se entra al correo de Yahoo, al Hotmail y al de AOL, entre esos cubren a la mayoría de los estadounidenses, residan en su país o no…)
- –>www.cia.gov (yes, la mismísima CIA), www.sis.gov.uk (la CIA de Gran Bretaña) *.mossad.gov.il (¿explico qué es el Mossad?)
- –>secure.logmein.com (punto de entrada para los usuarios del producto que te permite conectarte con tu compu a distancia; ahora también “ellos” se conectarán con tu compu…)
- —> y (¡suenen trompetas!) *.microsoft.com, www.update.microsoft.com, windowsupdate.com (o sea, ¿qué cuernos podría bajar a tu compu en lugar del parche esperado?)
Tres detalles
a) Cuando aparece un asterisco es eso, por desgracia; indica que se emitieron certificados válidos para cualquier subdomino de un website mencionado. Brrrr…
b) El gobierno holandés, que usa Certificados Digitales de esa empresa tan chambona, aceptó en primera instancia las explicaciones del estilo “y… nos entró un hacker, ¿vio?” hasta que por fin un mes después solicitó una auditoría a una empresa de seguridad local, Fox-IT
c) Los certificados identificados ya fueron dados de baja en los navegadores de Google, Mozilla y Microsoft, junto con todo lo que huela a DigiNotar; siguiendo diferentes mecanismos, dado que Opera y Safari, por ejemplo, afirman que saldrá un cartelito de advertencia, ya que no necesitan actualizar su browser.
Coda
Todo bien con la criptografía, la imposibilidad de que alguien modifique un Certificado Digital sin que se lo descubra, pero me encantaría que las autoridades tomaran en cuenta que la seguridad física e informática de las entidades certificantes es lo que está en discusión. No es un problema criptográfico. Se trata de la cerradura de la caja fuerte del escribano, ¿estamos?
Y ya que tocamos el tema: ¿cuál es la responsabilidad legal que tiene una autoridad certificante? ¿Qué penalidades deben aplicarse en caso de una falla como esta, si se produce daño a terceros? ¿Quién paga los platos rotos? ¿Eh? ¿hola? ¿hay alguien ahí…?