En un acontecimiento sin precedentes, el ministro del interior holandés dio una conferencia de prensa a la 1:15 am del sábado. anunciando que el gobierno holandés revocaba su confianza en Diginotar.
Diginotar estaba compuesto básicamente por dos agencias independientes. Una era una autoridad de certificación que se ocupaba de las compañías regulares. La otra, llamada “PKIoverheid” trabajaba con el gobierno. La auditoría que se realizó en los sistemas de Diginotar mostró que no se podía garantizar la integridad de la autoridad PKIoverheid. Hay que asumir que se violó su integridad.
A principios de la semana pasada, el gobierno holandés avaló la integridad de la autoridad de certificación PKIoverheid. Esto hizo que los creadores de navegadores sólo incluyeran en su lista de rechazados los certificados de Diginotar que no estaban ligados al gobierno. La próxima vez los desarrolladores de navegadores no confiarán tanto en lo que les digan.
El ataque a Diginotar no se puede comparar a Stuxnet en cuestiones de sofisticación ni coordinación. Sin embargo, las consecuencias del ataque a Diginotar serán mucho mayores que las de Stuxnet. El ataque a Diginotar pondrá la ciberguerra en la lista de prioridades de los gobiernos occidentales.
Aquí desglosamos algunos de los puntos más importantes de este incidente:
Más de 500 certificados falsos
Se ha publicado una lista de certificados falsos. En esta página se pueden encontrar una lista de los dominios atacados. 531 certificados falsos son mucho más que el “par de docenas” sobre los que Diginotar advirtió al principio.
Certificados para agencias de inteligencia
Llaman la atención los certificados robados que se generaron para la CIA y otras agencias. No se puede conseguir información de inteligencia al espiar el tráfico del sitio web de la CIA, así que no está claro el motivo en este caso.
Windows Updates
También se emitió un certificado falso de Windows Updates. Tengo entendido que WU sólo funciona en programas que tienen la firma digital de Microsoft. Así que se necesitaría un certificado falso que también permita al atacante firmar códigos en vez de sólo abrir sitios web SSL para propagar malware mediante WU. Además, es posible que Microsoft tenga otras medidas de seguridad para evitar que un certificado falso explote sus productos.
Firma de códigos
Esta captura de pantalla muestra que el certificado *.google.com también es válido para firmar códigos. Eso significa que este ataque podría trascender al navegador. Los atacantes podrían enviar malware a sus víctimas potenciales y hacer que parezca que provienen de Microsoft o de cualquier otra de las empresas afectadas. En este momento es crítico que estos certificados se bloqueen en todo en el sistema operativo, no sólo en el navegador.
¿Dos ataques?
Por ahora no está claro si la agencia PKIoverheid fue comprometida en el mismo ataque que afectó a la autoridad de certificación DigiNotar. Ninguno de los más de 500 certificados fraudulentos se firmó con el certificado PKIoverheid.
Consecuencias de la revocación de certificados de autentificación de PKIoverheid
Se causó un daño significativo a la infraestructura informática del gobierno holandés. Muchos servicios ya no están disponibles. De hecho, las comunicaciones están interrumpidas. Por eso se podría llegar a pensar que el ataque es un acto de ciberguerra.
Ciberguerra en la agenda
Stuxnet tuvo un impacto muy grande. Pero no parecía tan urgente incluir la ciberguerra y ciberseguridad en la mayoría de las agendas políticas. Este incidente hizo que se incluyeran estos temas en la agenda política.
Atribución
El gobierno holandés está iniciando una investigación formal para averiguar si el gobierno iraní causó el ataque. Por ahora, todo es pura especulación. Cualquier tipo de pistas que se encuentren en los certificados registrados podrían ser sólo un señuelo. Mantengo mi opinión de que una operación gubernamental es lo más factible.
Dispositivos Móviles
Aunque los navegadores para ordenadores de escritorio y portátiles están recibiendo actualizaciones para incluir estas autoridades de certificación en sus listas de rechazados, no sucede todavía lo mismo con los dispositivos móviles. Esto es especialmente preocupante porque *.android.com es uno de los dominios atacados. Un consejo de seguridad útil: si un aparato puede enviar correos electrónicos o navegar en Internet, se le deben revocar estas autoridades de certificación.
Apple
Por ahora ni siquiera se sabe si Apple piensa revocar las autoridades de certificación afectadas. No entiendo por qué Apple se mantiene tan callado en este asunto, y me parece inaceptable. Usar navegadores y clientes de correo externos es lo más aconsejable.
Otras autoridades de certificación
La principal razón por la que se “excomulgó” a Diginotar es porque no anunció que había sufrido el ataque. Es difícil imaginar que Diginotar sea la única autoridad de certificación comprometida cuando existen más de 500 autoridades de certificación en el mundo. Es muy probable que el negocio de Diginotar se termine. Esto debería servir de lección para otras autoridades de certificación e impulsarlas a que avisen al público cuando sufran ataques informáticos.
Por qué Diginotar podría ser más importante que Stuxnet