En la rueda de prensa internacional que realizamos en Moscú a principios de febrero, hablamos sobre la disolución de la confianza en Internet y discutimos el impacto que tienen los certificados digitales comprometidos y la posibilidad de subvertir a las Autoridades de Certificación.
En parte, nuestras reflexiones se basaron en el abuso de confianza causado por los certificados digitales robados de Stuxnet.
Por desgracia, parece que el momento de hacer los cambios está llegando antes de lo esperado. La semana pasada, apareció otro ejemplo de la pérdida del principio básico de confianza en la red causado por las fallas de coordinación entre una Autoridad de Certificación comprometida y los navegadores web. La Autoridad de Certificación comprometida y los desarrolladores de navegadores tenían que agregar a su lista de rechazados una serie de certificados digitales para sitios valiosos, que los atacantes habían creado para su propio uso. Como resultado, los atacantes adoptaron la credibilidad de algunas de las empresas más importantes de la red, respaldados por la Autoridad de Certificación. Mozilla ofreció una breve descripción del impacto de este problema: “Se puede redirigir a los usuarios de una red comprometida a sitios web en los que se utilizan los certificados fraudulentos para hacerles creer que se encuentran en sitios legítimos. Esto los puede persuadir para que revelen información personal como sus nombres de usuario y contraseñas. También los puede convencer de que descarguen programas maliciosos, si es que piensan que la descarga se encuentra en un sitio de confianza”.
¿Qué significa esto? Esta es una lista de algunos de los sitios afectados:
login.live.com
mail.google.com
www.google.com
login.yahoo.com (3 certificados)
login.skype.com
addons.mozilla.org
“Global Trustee”
En teoría, has podido haber recibido un correo electrónico y haber pulsado en un enlace que contenía, o tu navegador pudo haberte redirigido a un sitio que se parece a cualquiera de los mencionados arriba. El navegador indicó que confiaba en el sitio, así que escribes tu nombre de usuario y contraseña. Por alguna razón, te redirigen de nuevo al mismo sitio y vuelves a escribir tus datos. En ese momento, un atacante compromete parte de tu identidad y de tu acceso a tu cuenta de correo electrónico y mensajería instantánea. Repito: esto es sólo en teoría.
Haciendo un seguimiento de este problema, un largo artículo (en inglés) sobre los asuntos técnicos del incidente anunció que se ha creado el “proyecto crlwatch”.
El proyecto crlwatch ayudará a controlar la revocación de certificados en respuesta a problemas de seguridad de este tipo.
Se están publicando más datos mientras escribo esta entrada. La iré actualizando a medida de que aparezcan más detalles.
¿Una red de (des)confianza?