Nuevo certificado SSL fraudulento de Google renueva las dudas sobre los certificados

Hace algunos meses, un hacker iraní se infiltró en los servidores de la empresa Comodo, dedicada a vender certificados SSL, creándose una serie de certificados fraudulentos que le permitían hacerse pasar por sitios como Gmail, Hotmail, Yahoo y otros, e infiltrarse en las cuentas de correo de los usuarios, por ejemplo.

El SSL, o Secure Sockets Layer, es un sistema ampliamente usado en Internet para garantizar la identidad de un servicio, de modo que el usuario pueda confiar en que están visitando un sitio que pertenece a quien dice que pertenece. La garantía de identidad se realiza usando una clave digital conocida como certificado. Un certificado falso permite a un atacante engañar fácilmente a los usuarios.

Esta vez, una vez más, una empresa que emite certificados fue hackeada. Se trata de la compañía holandesa DigiNotar, que emitió un certificado fraudulento para google.com y todos sus subdominios. Aparentemente el objetivo nuevamente es Gmail, y el acceso a cuentas de correo. Las sospechas vuelven a recaer sobre Irán, donde se han recibido reportes de que el certificado fraudulento fue usado para realizar ataques tipo “man-in-the-middle” en el país. El certificado fue emitido el 10 de julio pasado, de modo que puede haber sido usado por varias semanas antes de que se descubriera su existencia.

DigiNotar invalidó el certificado, dándole cierta protección a los usuarios (hay algunas aplicaciones que no revisan si se han cancelado certificados, donde la medida no sirve). La compañía, sin embargo, no ha revelado cómo los hackers consiguieron el certificado fraudulento, dejando en duda que se haya reparado el error. Como resultado, Google, Mozilla y Microsoft lanzaron parches para Chrome, Firefox e Internet Explorer, que bloquean los certificados emitidos por la empresa por completo.

El mutismo de DigiNotar también podría significar que no se sabe mucho del atacante. En el caso de Comodo, un iraní se atribuyó finalmente el hackeo, diciendo que era un hacker independiente que no pertenecía al gobierno.

Como sea, el caso ha despertado nuevamente dudas sobre las entidades que tienen el poder de emitir los certificados, y la absoluta confianza que se ha depositado en ellos. Los emisores de certificados aparecen como el eslabón débil de una cadena, siendo al mismo tiempo una parte clave de la infraestructura.

Vía: Fayer Wayer

1 comentarios:

SSL dijo...

No creo que sea un problema de dudas sobre certificados sino de ciertas marcas. Es como el caso de Toyota cuando daban problemas con el acelerador, no eran todas las marcas sino una en concreto.
El problema de esto es conocer por qué se da este tipo de problemas y bajo qué seguridad operaba este tipo de certificados. Además que la empresa guarde silencio es un problema bastante grande, sobre todo porque los usuarios deben conocer qué ocurre por parte de la propia entidad.
Recomendamos tener muy actualizado el navegador si uno no sabe eliminar por sí mismo la validez de los certificados.

Publicar un comentario