02 marzo 2015

¿Quién está tocando mis CAs?

A estas alturas es muy probable que el 'caso SuperFish' te suene bastante. Lenovo, el fabricante de PCs, colaba en sus equipos un 'regalo' en forma de spyware que, entre otras cosas, insertaba un certificado digital de CA en el 'store' del PC para poder luego interceptar el tráfico SSL.

Esta práctica, lejos de ser algo puntual, suele ser habitual en sistemas 'defensivos' para poder acceder cómodamente a un tráfico que, en teoría, debe ser privado e inaccesible.

Aparentemente, empresas como Kaspersky o Bitdefender también se aseguran ese grado extra de confianza insertando CAs durante el proceso de instalación de sus soluciones.

Mucho he hablado a lo largo de los últimos años sobre el modelo de confianza del 'mundo PKI', sus debilidades y fortalezas. De hecho ya en 2010 advertí sobre la perdida de transparencia en la gestión de certificados con el advenimiento de Windows 7.

A raíz de eso desarrollé una herramienta llamada 'CertMon' cuya misión es actuar de vigilante para el almacén de certificados de Windows. CertMon te advertirá en caso de que un nuevo certificado sea cargado en Windows.

Intuía que mi herramienta podría ser de utilidad ante casos como SuperFish, así que decidí buscar el famoso spyware y comprobar que, efectivamente, CertMon te permite detectar este tipo de ataques.

Como se puede ver en la imagen, CertMon se porta como un campeón y, en el momento de la instalación de SuperFish, detecta la inserción del famoso certificado ¿pirata?



Como siempre digo, hay que tener MUCHO cuidado con la gestión de certificados digitales. Por algo se les denomina 'de confianza' y ya se sabe que siempre hay desaprensivos que abusan de ella. En el mundo real y en el virtual

5 comments :

Sll dijo...

¿Y no se podria ampliar las funciones de la aplicación para que pueda tambien analizar los certificados de CA ya almacenados y advertir de los bien conocidos por sus malas practicas?
Es solo una idea, gracias por el post.

alej dijo...

muy bueno. cuando habrá versión para linux?

Unico dijo...

Yo pregunto lo mismo, ¿existe algún programa que compruebe y te deje eliminar los certificados conocidos como maliciosos de tu sistema Windows?
Venga Yago alguna respuesta que hace 5 días que lo preguntaron.

Yago Jesus dijo...

No conozco ningún programa que haga eso. Si un certificado emitido por una CA reconocida se mal-usa, ese certificado se bloquea y ya vía OCSP o CRL queda desautorizado. Fuera de eso, podría ampliar CertMon para mantener una BD de certificados maliciosos o intentar abordar el problema por heurística. Todo depende del apoyo que tenga el proyecto

random dijo...

Oye, pues viendo cómo está la seguridad con los certificados no estaría nada mal. Me parece una gran idea, Yago.