Hace algunos meses, un hacker iraní se infiltró en los servidores de la empresa Comodo, dedicada a vender certificados SSL, creándose una serie de certificados fraudulentos que le permitían hacerse pasar por sitios como Gmail, Hotmail, Yahoo y otros, e infiltrarse en las cuentas de correo de los usuarios, por ejemplo.
PUBLICIDAD
El SSL, o Secure Sockets Layer, es un sistema ampliamente usado en internet para garantizar la identidad de un servicio, de modo que el usuario pueda confiar en que están visitando un sitio que pertenece a quien dice que pertenece. La garantía de identidad se realiza usando una clave digital conocida como certificado. Un certificado falso permite a un atacante engañar fácilmente a los usuarios.
Esta vez, una vez más, una empresa que emite certificados fue hackeada. Se trata de la compañía holandesa DigiNotar, que emitió un certificado fraudulento para google.com y todos sus subdominios. Aparentemente el objetivo nuevamente es Gmail, y el acceso a cuentas de correo. Las sospechas vuelven a recaer sobre Irán, donde se han recibido reportes de que el certificado fraudulento fue usado para realizar ataques tipo “man-in-the-middle” en el país. El certificado fue emitido el 10 de julio pasado, de modo que puede haber sido usado por varias semanas antes de que se descubriera su existencia.
DigiNotar invalidó el certificado, dándole cierta protección a los usuarios (hay algunas aplicaciones que no revisan si se han cancelado certificados, donde la medida no sirve). La compañía, sin embargo, no ha revelado cómo los hackers consiguieron el certificado fraudulento, dejando en duda que se haya reparado el error. Como resultado, Google, Mozilla y Microsoft lanzaron parches para Chrome, Firefox e Internet Explorer, que bloquean los certificados emitidos por la empresa por completo.
El mutismo de DigiNotar también podría significar que no se sabe mucho del atacante. En el caso de Comodo, un iraní se atribuyó finalmente el hackeo, diciendo que era un hacker independiente que no pertenecía al gobierno.
Como sea, el caso ha despertado nuevamente dudas sobre las entidades que tienen el poder de emitir los certificados, y la absoluta confianza que se ha depositado en ellos. Los emisores de certificados aparecen como el eslabón débil de una cadena, siendo al mismo tiempo una parte clave de la infraestructura.
Link: Another fraudulent certificate raises the same old question about certificate authorities (ArsTechnica)