26 abril 2010

Yo soy Vodafone.es, Y orangemail.es, Y Mixmail.com

Les comprendo, supongo que cuando han leído el titulo y han visto la foto que lo acompaña (el GRAN Freud) han pensado que definitivamente he perdido la cabeza y padezco algún tipo de trastorno de personalidad múltiple.

Bien, es posible, pero antes de emitir un veredicto déjenme darles una explicación.

Primero de todo, definamos un contexto sobre 'como se es algo en Internet'. La forma mas comúnmente aceptada de probar la identidad online son los certificados digitales. Es la forma de, por ejemplo, tener la certeza de que cuando navegamos en la web de Caja Madrid estamos en ese sitio ya que, vía SSL, sabemos que alguien ha certificado que eso es correcto.

Definido el marco de lo que es una identidad Online, imagino que en este punto el ávido lector se estará preguntando ¿Significa esto podrías tener certificados SSL de Vodafone, Mixmail y Orangemail? Respuesta rápida: Si, pero mejor explicarlo.

Los certificados SSL 'normales' (no los EV) con el paso del tiempo se han convertido en algo tan fiable como la palabra de un político. Ya hicimos una demo de lo fácil que es obtener uno para un sitio que manifiestamente iba a albergar Phishing (El certificado de ese post ya caducó, obviamente no lo vamos a renovar).

El proceso de petición de un certificado SSL normal conlleva una parte de verificación mínima bastante pobre. Muchas entidades certificadoras tienen como único paso de verificación que seas capaz de controlar una de las cuentas de correo que ellas designan como 'fiables'. A través del Twitter de @hdmoore llegué a un curioso post donde se comentaba como en muchos webmails la cuenta 'ssladmin' no estaba bloqueada y como muchas entidades de certificación la tienen como cuenta-de-verificación. No pude resistirme a probar como estaban algunos webmails nacionales. Aprovechando que soy cliente de Vodafone (pese a la extrema torpeza de @vodafone_es) hice la prueba y ... Vaya ! resulta que si puedo registrar ssladmin@vodafone.es, después probamos en Orangemail y Mixmail con idéntico resultado (probablemente haya muchos otros sitios pero con esto, suficiente).

El siguiente paso es localizar una entidad certificadora que tuviera a ssladmin como cuenta de correo en el protocolo de verificación, nuevamente recurrimos a Comodo por sus amables certificados de 90 días gratis.

Vodafone España tiene como website para clientes canalonline.vodafone.es desde donde se puede gestionar toda la operativa de clientes Vodafone. Así que me dispuse a solicitar un certificado para ese dominio. Como se puede ver en la captura, para verificar que yo tengo legitimidad sobre vodafone.es, Comodo tan solo me pide que responda a un email en alguna de esas cuentas, como yo gestiono ssladmin@vodafone.es puedo solicitar un certificado para Vodafone.es y CUALQUIER subdominio.


Una vez hecho eso, con enviar un CSR hecho vía OpenSSL, ya pude disponer de mi certificado aceptado en *todos* los navegadores para canalonline.vodafone.es. 100% factible para ataques Man-in-the-middle.

Disclamer: Dado que el propósito NO es hacer algo ilegal, acto seguido destruimos la clave privada asociada a ese certificado, de forma que NO es usable.


Aquí en formato Crt (PEM) el certificado obtenido.

¿Veredicto?

22 comments :

Antonio Ramos dijo...

El proceso de registro es el eslabón más débil de la cadena en el caso de la PKI... obvio.

Jose Selvi dijo...

Muy buena! Todo un peligro para aquellas empresas que ofrezcan cuentas de correo, que son muchas.

Guiseppe dijo...

tan facil?
pero segun entiendo no es falla de SSL, en este caso seria de vodafone por no tener resguardadas cuentas como esas y el ente certificador.

Dondado dijo...

Im-presionante. Que las entidades de verificación acepten cosas como esa es... peculiar. Al menos, si van a utilizar como sistema de verificación una dirección de correo, podrían utilizar la asociada al dominio, aunque no estoy seguro de si ya todos los TLD's exigen dirección de correo electrónico para el alta

Anónimo dijo...

En Orange, de lo que serias propietario es del dominio orangemail.es ! No del principal que es orange. Por lo cual el impacto no es mismo ni mucho menos que en vodafone. Por lo visto la gente ya se ha dedicado a registrar esas cuentas. No se deberia publicar estas cosas...

Un saludo

Anónimo dijo...

mixmail.com no creo que se encuentre muy mantenido ya.

Cuando creamos ese webmail parte de esas cuentas si se tenían en cuenta, pero obviamente, eran otros tiempos y el proceso de validación era de viva voz con Verisign, y con cierta documentación que te exigían.

Aun así, era, y sigue siendo, una memez.

skye dijo...

Como que no deberían publicarse. Por supuesto que deben publicarse, por dos razones muy simples:

1-El full disclosure es el metodo más rápido para conseguir que se arregle/cambie algo.

2-hay que dar a conocer siempre las verguenzas de los sistemas para que los usuarios de estos sepan verdaderamente que es lo que estan usando.

No estamos hablando de como fabricar uranio a base de gelatina de fresa. En este caso es mucho más positivo publicarlo que el no hacerlo.

Un saludo.

José A. Guasch dijo...

@Anónimo, si un usuario medio le da por mirar el certificado por primera vez de su cuenta de OrangeMail, y comprueba que efectivamente es de OrangeMail, sentirá seguridad ya que pensará que al coincidir con su dominio del correo es correcto. Obviamente no es lo mismo que el vodafone en cuanto a impacto, pero para engañar a un usuario es más que suficiente.

Ruben dijo...

@anónimo ¿y por qué no se deberían publicar estas cosas?

Román Ramírez dijo...

Este tipo de publicaciones son imprescindibles.

Es evidente que muchas organizaciones tienen unos protocolos de respuesta frente a las crisis, donde uno de los pasos es el gabinete de comunicación y control de la información.

Es legítimo tener ese tipo de respuestas y, también, es legítimo controlar la publicación de detalles, entendiendo siempre que el fin de la organización es protegerse.

Pero cuando te enfrentas a investigaciones ajenas que no son intrusivas, la mejor política es colaborar y tratar de ser responsable con tus usuarios.

"No publicar este tipo de cosas" solamente ayuda a los delincuentes y defraudadores.

¡Enhorabuena por este excelente trabajo!

Anónimo dijo...

Culpables todos.

Los que verifican los procedimientos de registro de las autoridades de certificación.

Las autoridades de certificación por comprobar de una forma tan vaga la identidad del solicitante.

Las compañías que no resguardan ese tipo de cuentas y no están informadas y al dia en cuestiones de seguridad (leyendo blogs como Security by default :))

y finalmente los usuarios por confiar nuestros navegadores a estas autoridades de certificación

vierito5 dijo...

Por cierto, ya llegáis tarde, ssladmin@ono.com lo acaban de registrar xDDDDDDD

Jose Selvi dijo...

Yo estoy con @Rubén y @Román, ocultar estas cosas solo es "security through obscurity" y da una falsa sensación de seguridad que en realidad no existe (el fallo estaba ahí, pudiendo haber sido explotado, mucho antes de que se publicara).

José A. Guasch dijo...

Añado a lo que bien comenta @Jose Selvi, que además podría haber sido aprovechado con otros fines no tan educativos como es el caso de este post.

Unknown dijo...

Yo también pienso que este tipo de cosas se deben publicar, y no me sirve la típica frase: "ahora todo el mundo irá a probar y ..."

Ante todo información y educación, si luego alguno va a hacer daño, no es culpa de la gente que ha publicado el artículo.

No a la segurida por ocultación.

NaCl u2

Adrián dijo...

Desde luego sorprende la facilidad de algunas cosas. Y por supuesto la publicación es absolutamente necesaria, es más, ahora nadie puede registrar ssladmin en esos dominios :P

VanStraaten dijo...

Muy bien, chavales. Espero que no se os olviden nunca las llaves puestas en la puerta, porque entonces vuestro vecino Sinforoso estará en su derecho de, en vez de avisaros a vosotros para que la cerréis, irse a La Celsa y decirselo a todos los yonkis que se encuentren por alli. Al fin y al cabo, los yonkis no harán nada, o mejor dicho, el yonki que haga algo será porque es mu marvao,pero no será culpa del bueno de vuestro vecino Sinforoso, que el pobre lo ha hecho por tu bien. Educación e información, ¿no?.

Podría haberse solucionado la vulnerabilidad avisando a los administradores correspondientes. O mejor dicho, serían positivamente culpables de negligencia si, una vez avisados, no lo solucionaran. Pero no, se me olvidaba que eso es lo que suelen hacer los grandes: Avisar y si no se muestra interés, publicar.

Yago Jesus dijo...

@VanStraaten me lo pones tan fácil que mi respuesta podría ser mas grande que el Post. Para empezar esto NO es una vulnerabilidad de una web en la que si publicas exploit 'dejas vendido a alguien'. Esto es un problema de las entidades de gestión de certificados. Problema que NO es nuevo (ver el enlace que pongo de un estudio similar en webmails anglosajones). Si te refieres a Vodafone / Orange / Mixmail. No hay posibilidad de 'explotar' nada puesto que las cuentas de ssladmin las gestionamos nosotros y, obviamente, no habría problema en delegarlas si se nos solicita. Entonces, ¿Eres capaz de explicarme donde está el problema?

VanStraaten dijo...

Yago, me resulta curioso que precisamente sea quien no era destinatario de mi crítica quien me responda.

Igual me tengo que explicar mejor la próxima vez, pero a lo que me refería en mi post es a afirmaciones de algunos de los demás comentaristas.

Afirmaciones tipo: "El full disclosure es el metodo más rápido para conseguir que se arregle/cambie algo"

Pues depende. Es decir, en este caso es algo que está ahí, que se sabe, etc. Pero generalizar con afirmaciones como esa...

Es la que más me ha dolido. Se por experiencia que NO es así, o al menos en mi entorno.

hace unas semanas nos dimos cuenta de dos vulnerabilidades en nuestros sistemas. La primera la detectó uno de nuestros grupos de hacking ético, es decir, no se publicó. Tardamos cosa de una hora en localizar a los responsables, darles instrucciones para eliminarla,bla, bla, y comprobar que ya estaba eliminada.

la segunda se hizo pública. tardamos un poco más en tomar medidas paliativas y unos días en solucionarla teniendo a los encargados de generar el parche trabajando 24x7.

Lo injusto de la situación es que en ambos casos se ha puesto toda la carne en el asador, pero en la segunda ocasión lo pasamos MUY mal hasta que pudimos activar las medidas paliativas.

Por otro lado, repito, tu artículo, desde mi pnto de vista, chapeau.

Yago Jesus dijo...

@VanStraaten Entiendo lo que dices. Y me alegra haber podido aclarar el tema. Yo creo que al final todo es una cuestión de sentido común.

Anónimo dijo...

Muy buenas!! A mi no me ha quedado muy claro que es lo que ocurre al hacer esto. Que es lo que podría hacer esa persona con una cuenta de ese tipo y con un certificado válido.

Yago Jesus dijo...

@Anónimo El problema de tener un certificado reconocido de un dominio como canalonline.vodafone.es básicamente estriba en que si por ejemplo tu y yo coincidimos en una red local y, siendo tu de vodafone, te hago un ataque Man-in-the-middle puedo impersonar la web de Vodafone por SSL sin que tu lo adviertas