Hemos visto en los últimos años / meses ataques informáticos o cibernéticos, más especializados y elaborados que nunca antes, han ido variando desde robo de información confidencial principalmente secretos comerciales hasta el uso de gusanos especializados para atacar centrales nucleares.
Este año unos importantes y que llaman la atención han sido los ataques a Comodo y DigiNotar ambos son autoridades certificadoras de SSL, la idea detrás de los certificados SSL y los CAs, es que cada navegador de internet, distribución de Linux o programa confía en ciertos CAs.
Los ataques a los CAs se basan en esa confianza depositada ciegamente en las mismas autoridades certificadoras y que por lo mismo si yo compro un certificado a X CA espero que el mismo pueda ser validado por Y navegador de internet al otro lado del mundo.
Ese mismo es el problema con todo esto de los certificados, mis usuarios confían en que la transmisión de datos desde su navegador hasta mi servidor está encriptada y validada por un tercero del cual no tengo control alguno.
La idea de atacar los CAs es justamente crear certificados falsos para X.Y dominio el cual todos los navegadores van a confiar, entonces un ataque de phising bien elaborado hacia un servidor con una copia de un sitio web y utilizando certificados falsos (pero válidos por una CA) y tendrá la receta casi completa.
Verán, cuando uno ya tiene un certificado de SSL para un sitio web o aplicación específica, no piensa en comprar otro certificado a otra CA, por ejemplo usted tiene un certificado con Thawte vigente, no piensa en comprar uno a Verisign para el mismo nombre, cierto?
Sin embargo si lo hiciera y pusiera ambos certificados en dos servidores diferentes, un navegador que entre a ambos sitios estará navegando de manera segura, encriptada y validada por dos CAs diferentes.
Así que se debe mantener actualizado el software de nuestras computadoras, nuestros celulares aunque hasta ahora me parece que ninguno ha brindado una actualización de los certificados raíz de las CAs, sería algo muy importante que se hiciera.
La otra idea es como se puede traducir esto a otros sistemas? En Costa Rica ya se empieza a utilizar la famosa mal llamada "firma digital" (lo cual no es una firma y el que le puso ese nombre es un burro completo, pero eso será para otro momento), trabaja bajo el mismo concepto de un token con una llave privada y certificado firmado para dicha llave por parte de un CA (o banco y eventualmente otras instituciones) cuanto faltará para que este tipo de ataques se especialicen aún más y vayan detrás de este tipo de tecnologías.
Unan los ataques a los CAs, a RSA con los SecurID, gusanos especializados como Stuxnet, y ahora bancos que confían en CAs, RSA para los tokens, o firmas digitales.
Un gusano esperando a que todos estos puntos se junten y nuestros ahorros estarán otra vez en problemas.
Saludos,
Be safe!
Subscribe to:
Post Comments (Atom)
0 comentarios:
Post a Comment