Acabamos el verano con una noticia que vuelve a sacudir nuestra vida cotidiana. En este caso, la publicación de la noticia de que una de las autoridades certificadoras, Diginotar, había emitido un certificado el 10 de Julio de 2011, para todos los subdominios de google.com, que podría permitir a algunos usuarios descifrar las comunicaciones de otros usuarios con los servicios "del gigante" (plus, docs, mail...). Alguien accedió, y consiguió emitir este certificado.
Si bien todavía los detalles del ataque no se saben a ciencia cierta, si que se evidenció en varias ocasiones como esta empresa holandesa habría sufrido varias intrusiones en sus sistemas, por varios grupos de hackers, crackers, defacers, etc. Ya en marzo informamos del caso Comodo y la historia de la CA comprometida se repite ahora con Diginotar. Al parecer, estuvimos (o estamos en medio) de una moda en la que los principales objetivos son CAs que si bien en la mayoría de los casos no sean muy conocidas, si que están en la lista de permitidas por navegadores, algo suficiente para poder "liarla parda" en caso de acceder a su plataforma de emisión de certificados y generarlos a nuestro antojo. Como se muestra en este post de F-Secure, Diginotar llevaba sufriendo intrusiones desde el 2009 por diferentes grupos. Quizás el ver que era un deface les hizo pensar que de ahí no fueron a más. MAL.
Ya Moxie Marlinspike se aventuró a exponer este gran problema al que nos enfrentamos, y en el que en un principio, estamos atados de pies y manos, y nos propuso Convergence debido a estos últimos acontecimientos en lo que llevamos de año. Ahora mismo lo que podemos hacer de momento es limpiar todo rastro de Diginotar de nuestros repositorios de autoridades de certificados.
Los fabricantes se han aventurado a publicar sus avisos de seguridad para que sepamos que están al tanto de este incidente:
- En Microsoft ya cuentan con un Aviso de Seguridad, en el que nos tranquilizan informándonos de que el certificado de Diginotar ya ha sido eliminado de su lista de confianza (Todos los Windows salvo XP y Server 2003 utilizan la Microsoft Certificate Trust List).
- En Mozilla publican como poder eliminar el certificado de Diginotar mientras se lanza la actualización para su navegador Firefox.
- Los usuarios de Google Chrome, según la propia Google en este post, pueden estar tranquilos ya que desde Junio su navegador ya era capaz de detectar estos certificados fraudulentos para los dominios de *.google.com.
De Apple todavía no tenemos noticias a fecha de redacción de este post, aunque de momento si os podemos recomendar que accedáis a vuestro repositorio de certificados (Keychain Access) y elimineis el certificado de Diginotar.
Seguimos al tanto de todo lo que se siga comentando acerca de este tema, no descartamos un próximo hackeo memorable a Diginotar CA, la verdad es que se lo merece.