(Por El Microsaurio) Cuidado con las Autoridades Certificantes, y con los Certificados Digitales. Mucha firma digital, mucha seguridad, mucho bombo… pero el tema de la seguridad interna se les escapa como agua a través de los dedos. Otra vez un socio de Comodo, esa empresa por la cual Microsoft, Firefox y Google tuvieron que modificar sus navegadores a las corridas, sufrió una violación de su base de datos. Seguí leyendo la novela…
Mediodía del sábado pasado. Un mail lacónico, firmado por “gimmemyfiles” y enviado desde un nudo de Tor (zonzo el hombre…) a través de Yahoo Mail Europa avisaba que para quien quisiera leerla, había posteado en determinado repositorio público parte de la base de datos de Comodo Brasil.
Que es, como te has dado cuenta, la sucursal brasileña de la empresa que el mes pasado dejó sin aliento a cuanto fabricante de browser hay en el planeta tal como te relatamos aquí. Bah, a todos los fabricantes, no; a Apple sólo le movió un párpado, y tardó un mes en emparchar Safari.
Para el domingo ya unos cien de los molestos que andamos por la web habíamos leído los más de 500 KB de datos, donde hay mil y pico de datos de clientes de Comodo Brasil: universidades, empresas de software que certifican sus aplicaciones, particulares, unidades relacionadas con la seguridad del estado… Para el martes al mediodía mil ochocientos visitantes habían curioseado la lista. Ahí estaban los nombres y apellidos, los nombres de usuario y las cuentas de email, y ¡¡Oh Maravilla… los password de esas cuentas de email!!!
Para muestra te copio ahí abajo, pudorosamente tachados, los datos y passwords de los empleados jerárquicos de Comodo Brasil, que incluyen los de la directora, doña Luciana Dxxx, me parece.
Algo que me sorprende profundamente es que mientras varios password estan “hasheados” (eso es razonable, demoran, uf, como un minuto en ser descifrados) hay uno que fue guardado en la base de datos de la Autoridad Certificante… en ¡texto plano! Es el password del email del Departamento de Validación de Certificados de Comodo Brasil. En serio. Nada menos que ese.
¿Lográs ver cómo es el password? ¡Siííí!! La contraseña es “com123odo” ¿No es enternecedor?¿Verdad que, si la empresa se llama Comodo, nadie podría adivinar “comodo” y “123”??? ¿Quién permitió ese password, en el Departamento de Validación de una empresa que entrega Certificados Digitales?????¿Quién auditó esto?¿Isidoro Cañones? Pregunta científica: ¿lo auditó alguien?
Lo publico así de frente (lo cual no es mi costumbre) para ver si lo cambian. Lo único que falta es que ya le hayan vaciado la cuenta de mail, llevándose los datos de validación del certificado de no sé qué software recontracrítico.
Aclaremos, de paso, que el atacante fue tan amable como para hacer CC del mail donde da el informe, a la cuenta “suporte@comodobr.com”. Por lo cual esta terrible revelación de password que acabo de hacer no es tal. Además, para el domingo a la noche el acceso a la base de datos ya era otro (hasta que alguien lo encuentre, jéh…)
Pausa. Respiren hondo.
Queridos hermanos, estamos reunidos aquí para reflexionar:
0) Como afirmé en el tema de Comodo Italia, si un Certificado es emitido por La Autoridad Certificante, alpiste, es válido, es auténtico. En su caso, habrá que demostrar que fue obtenido mediante engaño o intrusión, y obtener que la justicia tipifique un delito. Para lo cual habrá que descubrir (y probar) que hubo ese engaño o intrusión.
1) Esto afecta a unas mil personas jurídicas; particulares, instituciones, empresas de Brasil.
2) Nadie dijo, todavía, que se robaron o emitieron Certificados Digitales. Parece que el muchacho era sólo un hacker, no un cracker.
3) El hacker entró por el link “comprar certificado” en el website oficial público; nada de terribles técnicas del recontraespionaje. Simplemente, entró como un cliente más, y probó los formularios PHP; uno estaba mal programado…
4) No me tomé el trabajo de revisar si había empresas argentinas que hubieran solicitado y obtenido certificados en Comodo Brasil, por alguna cuestión de exportación/importación. Yo que ustedes, averiguaría (si les cabe). Y exigiría el cambio (gratuito…) del Certificado por otro. Y la anulación del existente. ¿Que eso retrasaría transacciones comerciales importantísimas? Y bueno… evalúen riesgo/beneficio.
5) Me preocupa el tema del No Repudio. Si sos un simple particular, y sos víctima de la mala utilización de un Certificado Digital totalmente auténtico, y no te enterás hasta semanas después de que se consumó el hecho… ¿necesitarás a Gardel como abogado?
Coda:
Qué querés que te diga, me encanta confiar en un escribano de carne y hueso, y también me encanta la validez de la firma ológrafa (que era como se escribía cuando yo era snif-joven, u hológrafa, que ahora admite como variante la RAE) Si tienen ganas de discutir, recuerden que mi “firma digital” la puede usar cualquiera que me levante ciertos datos de la PC o se siente a ella por cinco minutos mientras no estoy; pero falsificar una firma es algo que no resiste una buena pericia hecha por un humano debidamente entrenado.
Digo, como para que descansen tranquilos esta noche, pensando en los certificados digitales provistos por los bancos locales, esos que duermen en la barriga de las PC de su empresa, allá en el edificio de la compañía, que no tiene ni sereno y menos un admin de guardia en el departamento de cómputos…
Me encantó esta nota!!