(Por Rubén Borlenghi, el Microsaurio) La inseguridad de las comunicaciones seguras: otra Autoridad Certificante emite un certificado digital a quien no debía. Y el impostor lo emplea (parece) para obtener contraseñas de email o revisar el contenido de los mensajes. ¿Lograrán que volvamos a escribir cartas y mandarlas por correo? Enterate del libreto de la película, antes que formes parte de la trama.
La saga comenzó el viernes pasado, y el dato sacudió a los fabricantes de navegadores. Otra vez el tema de certificados digitales emitidos por una Autoridad Certificante… descuidada, digamos.
Como la historia es bastante parecida a la que te conté en marzo y afectó a certificados digitales de la empresa Comodo, o a la que puntualmente te relaté en mayo vamos para adelante.
Alguien, todavía no identificado, logró que una empresa generara certificados para el dominio *.google.com. ¿Notaste el asterisco? Ahí caen un montón de subdominios, como los relacionados con el correo electrónico, los documentos cargados por algunos centenares de miles de empresas (y no me imagino la cantidad de particulares) en Google Docs…
Encantador.
Sobre el tema técnico, prefiero adaptar-traducir el escueto mensaje de Micah Gersten, ingeniero de seguridad de Ubuntu para Canonical Ltd., habitante de Chicago el hombre, y administrador/webmaster en una empresa grande, que dijo: “…se ha descubierto que la autoridad certificante holandesa DigiNotar ha emitido erróneamente una cantidad de certificados fraudulentos (…) estos certificados podrían permitir que un agresor ejecutara un ataque de “Hombre en el Medio” que podría hacer que un usuario legítimo creyera que su conexión es segura, pero en realidad esté siendo monitoreada…”
El mensaje de Gersten comunicaba además que se estaba impulsando en ese momento una actualización de Ubuntu para que todos los certificados de DigiNotar sean considerados inválidos. La decisión no fue de Canonical, sino de los de Mozilla (por el Firefox que usa Ubuntu), dado que eso se hace alterando determinada configuración del browser, que es quien revisa la conexión, controla los certificados cuando corresponde y muestra el famoso candadito cuando te conectás a una servidor con el conocido “https://…”
No sólo la gente de Mozilla actuó al toque, como podrás leer acá; también Microsoft emparchó un navegador y tal como Google, ambos indicaron que sus navegadores más avanzados detectaban certificados fraudulentos.
Ojo con el uso de la palabra fraudulento… Son certificados expedidos por la Autoridad Certificante, pero fruto de un engaño; así que “falsos”, no son…
Datito interesante: un usuario iraní de Google fue uno de los primeros en notar que algo raro pasaba con su navegador al intentar la lectura de su correo.
En este y otros casos, no se trata de “robarle la cuenta de correo”. El atacante ya logró tener el password. Discretamente ingresa en la cuenta, lee mensajes archivados, copia la lista de contactos… y sigue su camino sin tocar nada más. Podrá volver cuando lo desee.
¿Quién es ese “atacante”? Podés generar la teoría conspirativa que se te ocurra. Pero en uno de los mensajes al respecto, que leí en un foro técnico, alguien deslizó “…eso se hace, a veces, con complicidad de los ISP (…) otras veces, o el proveedor colabora o podría suceder algo desagradable con su autorización para operar…”
No más comentarios.
Última observación: la primera fue la de Comodo. Esta es la segunda. Si la tercera es la vencida, tengan en cuenta que los vencidos somos nosotros. Todos.
Quisiera compartir esta información con mis conocidos, pero cada vez que publico un link de tecnozona el cartel de sitio peligroso desalienta a los visitanes.
Por eso les pido autorización para reproducir integramente la nota en mi muro de facebook, citando la fuente y agregando de todas maneras el link al pie.