Comodo reconoció que un atacante con IP de Irán obtuvo usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para simular que era esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org...
Lo primero que hizo Comodo fue incluirlos en una lista de revocación, disponible desde http://crl.comodo.net/UTN-USERFirst-Hardware.crl. Esta lista puede descargarse e importarse manualmente en el sistema. Esto incluiría los certificados comprometidos en la lista de inválidos. Si fueran empleados contra una víctima, a ésta le aparecería a la hora de navegar por la página en cuestión, que el certificado no es válido.
La lista de revocación CRL comprueba la validez de un certificado. Es un método "offline" de comprobación manual. Existe para remediarlo un protocolo que, basado en HTTP, comprueba la validez de los certificados y se llama Online Certificate Status Protocol (OCSP). OCSP sirve para comunicarse con los servidores de revocación y comprobar el estado de los certificados. No todas las autoridades lo utilizan. También se da la condición de que el navegador debe estar configurado para usar OCSP y aprovechar esa característica.
El modelo de confianza de las autoridades certificadoras funciona, aunque como se ha comprobado, mantiene el punto débil en las autoridades. Estas pueden ser objetivo de atacantes, pueden cometer errores o sacrificar calidad por cantidad. Una alternativa a este modelo de confianza es GPG, por ejemplo, en el que no existe una autoridad que emita confianza sino que son los propios usuarios entre sí los que "firman" certificados para darles "validez". Es la propia comunidad la que actúa firmando otras claves GPG de usuarios. Tiempo atrás se realizaban "quedadas" en los que los usuarios de GPG se encontraban físicamente para firmarse mutuamente las claves GPG que llevaban en disquetes.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4535
Lo primero que hizo Comodo fue incluirlos en una lista de revocación, disponible desde http://crl.comodo.net/UTN-USERFirst-Hardware.crl. Esta lista puede descargarse e importarse manualmente en el sistema. Esto incluiría los certificados comprometidos en la lista de inválidos. Si fueran empleados contra una víctima, a ésta le aparecería a la hora de navegar por la página en cuestión, que el certificado no es válido.
La lista de revocación CRL comprueba la validez de un certificado. Es un método "offline" de comprobación manual. Existe para remediarlo un protocolo que, basado en HTTP, comprueba la validez de los certificados y se llama Online Certificate Status Protocol (OCSP). OCSP sirve para comunicarse con los servidores de revocación y comprobar el estado de los certificados. No todas las autoridades lo utilizan. También se da la condición de que el navegador debe estar configurado para usar OCSP y aprovechar esa característica.
El modelo de confianza de las autoridades certificadoras funciona, aunque como se ha comprobado, mantiene el punto débil en las autoridades. Estas pueden ser objetivo de atacantes, pueden cometer errores o sacrificar calidad por cantidad. Una alternativa a este modelo de confianza es GPG, por ejemplo, en el que no existe una autoridad que emita confianza sino que son los propios usuarios entre sí los que "firman" certificados para darles "validez". Es la propia comunidad la que actúa firmando otras claves GPG de usuarios. Tiempo atrás se realizaban "quedadas" en los que los usuarios de GPG se encontraban físicamente para firmarse mutuamente las claves GPG que llevaban en disquetes.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4535
No hay comentarios:
Publicar un comentario