(Por Rubén Borlenghi, el Microsaurio) Otro Certificado Digital falso, otra Autoridad Certificante chambona, y en el medio están los usuarios. Sí señoras y señores, otra vez. Durante este año comenté tantos casos de certificados digitales verdaderos pero emitidos mediante engaño, o reales pero robados de una empresa, que no me preocupo por poner los links acá. Porque no son “falsos” en el sentido de un billete de cien pesos hecho con fotocopiadora; salieron de los servidores de las Señoras Autoridades Certificantes, y luego cambiaron de manos. Ahora son otros que se “extraviaron” en Malasia, y están apareciendo en Europa.
Según informaron varias empresas de análisis de malware, a principios de este mes apareció software dañino dentro de una cantidad de archivos PDF que (historia vieja…) llegaron por email a diferentes empresas y fueron detectados por su conducta sospechosa o agresiva, lo cual es una forma casera que tengo de definir lo que se llama “detección proactiva” o “heurística avanzada” según el empleado de marketing que redacte el texto.
Al hacer clic sobre el PDF se ejecutaba código que “llamaba” a un servidor web, desde el cual se descargaba un archivo de ataque, también ejecutable.
Falso, pero con certificado de buena conducta
Lo interesante de este archivo dañino es que, para evitar la detección del software de seguridad, llevaba incluido un Certificado Digital. Oh, maravilla. Que había salido de una Autoridad Certificante que trabaja para el gobierno de un país. Más exactamente, para el gobierno de Malasia.
En efecto, según informó la empresa F-Secure, uno de los certificados está firmado por el Instituto de Investigación Agraria de Malasia, algo similar a nuestro INTA. Y no es un certificado falso, parece. Simplemente, esa dependencia oficial le informó a la empresa de seguridad informática que “…nos ha sido robado hace un tiempo…”. Así nomás.
Veintidós Certificados Digitales con claves “fáciles”
De acuerdo a esta nota de seguridad de Microsoft, la empresa malaya DigiCert Sdn Bhd, una Autoridad Certificante reconocida por el gobierno de ese país, y que casualmente es la misma de los certificados del párrafo anterior, ha generado 22 certificados cuya clave de criptografía se considera “débil”. Y podría ser quebrada con relativa facilidad. La redacción del comunicado de Microsoft es muy prudente, y sólo informan fríamente que han decidido publicar una actualización para todas las versiones de Windows, que revoca la confianza en esos certificados. A esta altura del partido ya tendría que haber bajado a tu máquina, así que no toques nada.
No es el tema de la actualización de Windows lo que me preocupa. Los fabricantes de navegadores también han cancelado la confianza en esos Certificados, por medio de actualizaciones rápidas y silenciosas.
El tema es el de las Autoridades Certificantes y su codicia, y la falta de control sobre ellas. ¿Quién tiene poder de policía sobre una Autoridad Certificante?
Les recuerdo lo que escribí cuando el tema de Comodo, y sigo afirmando que mientras sigan apareciendo casos como estos, seguiré prefiriendo poner mi firma (con tinta) en un papel, delante de un Escribano, a la antigua. Porque para hacerse cargo de la mala fe de un notario, hay procedimientos claros. En estos otros casos…
Ah, para los fanas de las certificaciones digitales: ¿se acuerdan que en el caso Stuxnet, ese malware también estaba relacionado con una muy auténtico Certificado Digital oportunamente currado de una fábrica?
Que duerman bien, queridos Administradores de Sistemas.