16 diciembre 2013

Navidades, esa mala época para ser una CA

Sí, parece que el periodo de tiempo que comprende Diciembre-Enero está gafado para el mundo PKI.

En 2012 padecimos el caso Trustwave, hecho público en febrero pero con origen en esa época. En enero del 2013 tuvimos el caso TURKTRUST, y ahora, en Diciembre, tenemos el caso ANSSI. El denominador común de estos tres incidentes es un certificado de CA subordinada (con capacidad de emitir a su vez certificados para cualquier host) que 'en teoría de forma no intencionada', es empleado para generar certificados indebidos.

A estos casos de 'negligencia', tenemos que sumar en el acumulado, los hackeos de Comodo y Diginotar.

En total 5 casos bastante graves que afectan a la integridad del mundo PKI en el periodo 2011-2013. Contando que hablamos de un grupo relativamente reducido de entidades, es un mensaje que habla muy a las claras sobre cosas que no se están haciendo bien.

Está claro que el modelo, del cual me declaro defensor, necesita ajustes. Hay alternativas rupturistas como Convergence que, pasado ya un tiempo, han suscitado poco interés / implantación.

Por contra, lo que sí está siendo tomado muy en cuenta por los grandes fabricantes son mejoras al sistema que lo hagan más robusto. Por ejemplo el 'certificate pinning', lanzado y defendido por Google (no en vano Chrome es pionero en esto) y también por Microsoft a través de EMET. De hecho, gracias a Chrome se ha descubierto el caso ANSSI.

En este sentido, hay que destacar una nueva iniciativa 'EmetRules' nacido en el lab de I+D de Eleven Paths y que facilita el uso de pinning en EMET.

Complementando al pinning, mi aportación particular es SSLCop, que intenta separar las CAs de confianza en las que te interesa confiar y en las que no, mediante criterios geográficos.

Cualquier persona que haya usado SSLCop y sea hispana, seguro que ya tenía bloqueadas de antemano a TURKTRUST y ANSSI, puesto que una es de Turkía y otra de Francia. Países en los que, a priori, no necesitamos confiar puesto que sus entidades reconocidas no las necesitamos.

¿Un mini manual de buenas prácticas para usuarios?

1- Usa EMET
2- Usa EmetRules
3- Usa SSLCop
4- Usa Google Chrome
5- Para Firefox, usa CertPatrol

2 comments :

María García dijo...

Muchas gracias por los consejos y por la herramienta. Cuando la hagáis disponible para otras plataformas, por favor, acordaos también de los pobrecitos desgraciados que usamos Android, que yo las CAs del móvil las voy quitando a mano. :)

@lostinsecurity dijo...

Buenos consejos, y gracias Yago por la mención a nuestra pequeña herramienta :)