28 marzo 2011

Me inComodo



Ha sido la noticia de la SECmana, la empresa de seguridad Comodo ha protagonizado un sonoro escándalo a través de su linea de negocio de certificados SSL.

La historia, en este punto ya ha sido comentada en otros sitios como Hispasec, pero sirva como breve resumen este:

Uno de sus partners que re-vendía certificados SSL (y que en un esquema PKI sería una RA, Registration Authority) fue comprometido de forma que lanzó peticiones de firmado de certificados SSL sin la correspondiente verificación, dando lugar a la emisión de varios certificados digitales SSL falsos, que a ojos de cualquier navegador serían aceptados como validos.

Los certificados 'rogue' emitidos fueron estos:

Domain:  mail.google.com  
Serial:  047ECBE9FCA55F7BD09EAE36E10CAE1E

Domain:  www.google.com
Serial:  00F5C86AF36162F13A64F54F6DC9587C06

Domain:  login.yahoo.com 
Serial:  00D7558FDAF5F1105BB213282B707729A3

Domain:  login.yahoo.com   
Serial:  392A434F0E07DF1F8AA305DE34E0C229

Domain:  login.yahoo.com    
Serial:  3E75CED46B693021218830AE86A82A71

Domain:  login.skype.com    
Serial:  00E9028B9578E415DC1A710A2B88154447

Domain:  addons.mozilla.org    
Serial:  009239D5348F40D1695A745470E1F23F43

Domain:  login.live.com
Serial:  00B0B7133ED096F9B56FAE91C874BD3AC0

Domain:  global trustee
Serial:  00D8F35F4EB7872B2DAB0692E315382FB0

Como se puede ver en el listado, no eran precisamente certificados de sitios poco conocidos.

El impacto de este ataque implica que, cualquier persona / organismo con capacidad de implementar un ataque MiM sería capaz de 'colar' una web https falsa de Yahoo, Google y otros sin que el navegador protestase.

Para darle un punto mas divertido al asunto, según Comodo la IP que generó este ataque estaba geolocalizada en Irán.

Comodo, en su nota de prensa, intenta ofrecer una falsa sensación de seguridad indicando que no todo está perdido, ya que como esos certificados están revocados, cualquier navegador que al conectarse contra un servidor 'malicioso' https haga la verificación OCSP, (protocolo de verificación de certificados online) dará por no validos los certificados.

¿Y con eso todo solucionado? De entrada, el hecho de que tanto Microsoft como mozilla y otros hayan lanzado un parche especial para bloquear estos certificados, ya empieza a dejar ver que no. 

Internet Explorer 8 y Safari no hacen comprobaciones OCSP por defecto. En el caso de Firefox, sí aparece activada la opción de comprobar la validez del certificado vía OCSP, lamentablemente la opción de que, en caso de que esa conexión falle, el certificado no sea dado por bueno está desmarcada
Si nos situamos en Tools --> Options --> Encryption --> Validation properties, podemos observar que Firefox activa por defecto el verificar el estado de un certificado SSL vía OCSP, pero tiene desmarcada la opción de que, en caso de que esa conexión falle, el certificado no sea dado por bueno


¿Que significa esto? Básicamente que si una persona tiene la capacidad de situarse entre nosotros e internet, obviamente puede bloquear el tráfico contra el servidor OCSP de forma que, si se le presenta a Firefox uno de los certificados falseados, intentará validarlo y al no poder contactar contra el servidor OCSP lo dará por bueno. 

La mejor opción en estos casos es instalar un add-on como 'Certificate Patrol' que monitoriza cambios en servidores https de forma que si un día el certificado SSL de Gmail es diferente al que había el día de antes, te notificará de tal cambio.

Al hilo de esta noticia no está de mas apuntar unas cuantas reseñas:

Comodo y su laxa política de validación ya ha permitido otro tipo de fraudes

Los certificados SSL 'normales' valen menos que la palabra de un político

12 comments :

Luis dijo...

No conocia la extensión para firefox, buen post Yago!

t31m0 dijo...

Mui Bueno....
Saludos Yago...

Main_Menu dijo...

Buenas Yago sé que es un poco Off-topic... pero ¿podría preguntarte por tu opinión sobre Google Chrome?

Yago Jesus dijo...

@Luis Gracias !

@t31m0 obrigado!

@Main_Menu Pienso que es un muy buen navegador, a nivel seguridad claramente de los mejor diseñados (se nota que es el nuevo), a nivel rendimiento, sobresaliente en la rapidez, pero un poco excesivo el consumo de recursos (no veo tanta diferencia con Firefox)

Anónimo dijo...

No lo entiendo. ¿Por qué usar la extensión de firefoz en vez de simplemente marcar la casilla para que lo trate como inválido?

saludos!

Yago Jesus dijo...

@Anónimo son aproximaciones diferentes (y complementarias) al problema

Anónimo dijo...

soy el anónimo anterior. ahora me acabo de dar cuenta de la chorrada de mi pregunta. jaja. se comprende que la siesta me sienta mal.

muchas gracias por la pagina!

PD: estaría genial un post sobre seguridad en firefox...por ejemplo :P

Yago Jesus dijo...

@Anónimo ¿Conoces FFhardener? http://www.securitybydefault.com/2009/06/ffhardener-11.html

Anónimo dijo...

@Yago: lo conozco y estoy trasteando con el, porque desafortunadamente estoy en macos, para ver si consigo ejecutarlo sin que me de error. gracias!

Anónimo dijo...

@todos: desafortunadamente escapa a mis conocimientos. (cada día estoy más cerca de linux...)

DoLpHiN dijo...

Buenas tardes, a raíz del problema con los certificados, resulta que el gestor de correo (Thunderbird) me está soltando constantemente un aviso para añadir una excepción de seguridad para una de mis cuentas de GMail, dice que el certificado pertenece a un sitio diferente, y no se si es que lo han cambiado o si se trata del certificado comprometido.
Si alguien pudiera decirme si he de confirmar la excepción o no, se lo agradecería, ya que no sé que hacer.
El número de serie del certificado es:
68:D1:B0:51:00:03:00:00:22:AF

Muchas gracias.
Saludos

DoLpHiN dijo...

Buenas tardes, a raíz del problema con los certificados, resulta que el gestor de correo (Thunderbird) me está soltando constantemente un aviso para añadir una excepción de seguridad para una de mis cuentas de GMail, dice que el certificado pertenece a un sitio diferente, y no se si es que lo han cambiado o si se trata del certificado comprometido.
Si alguien pudiera decirme si he de confirmar la excepción o no, se lo agradecería, ya que no sé que hacer.
El número de serie del certificado es:
68:D1:B0:51:00:03:00:00:22:AF

Muchas gracias.
Saludos