(Por El Microsaurio) Le dijeron al espía: si la vas a hacer, hacela bien, robate Certificados Digitales. Hace dos semanas alguien entró en un server de una Autoridad Certificante (eso duele!) y se llevó nueve certificados digitales. ¿En qué puede afectarte esto? Tal vez, si las medidas de mitigación fueron las correctas, en nada, pero… El escándalo de los certificados, una semana después.

La historia, según se puede deducir leyendo una nota de seguridad de Microsoft y varias publicaciones online, comenzó cuando el pasado martes 15 un avispado hacker consiguió el nombre de usuario y el password para entrar “por derecha” en un servidor perteneciente a “un Asociado Confiable Comodo en el sur de Europa”, según consignó en un blog el Dr. Phillip Hallam-Baker, que trabaja en la empresa Comodo. Usando esa llave de oro, el atacante consiguió ingresar a una cuenta de Autoridad Certificante de Comodo, y expedirse nueve certificados HTTPS, totalmente auténticos, claro.
Porque no, no son Certificados Digitales falsos. Aunque desde la empresa se trató de borronear responsabilidades, y lograron que se difundiera el concepto de “documentos falsos”, los certificados eran totalmente auténticos, ya que estaban emitidos por un empleado de Comodo… al menos, el hacker usó un nombre de usuario y un password totalmente válidos, no faltaba más.
En el detalle técnico del incidente pude leer que el muchacho se auto-entregó certificados a nombre de Google/Gmail, Yahoo, Live.com (Hotmail) y Skype; también indica que uno de los certificados a nombre de “login.yahoo.com” fue usado al menos una vez antes de que la entidad atacada declarara inválidos todos los certificados. Eso ya lo comentamos en la alarma de la semana pasada.
Desde Comodo avisaron a Microsoft al día siguiente (el 16) y por alguna razón misteriosa desde Redmond soltaron un aviso mencionando que había una actualización fuera de turno, recién al mediodía del miércoles 23. Seis horas después saltó una actualización para Firefox, que pasa a ser el 3.6.16. El Zorro de Fuego Cuatro también fue actualizado (el 22), pero hasta dentro de un mes yo no lo pongo en mis máquinas (sólo trabajo de beta tester si me pagan). La actualización de Chrome del día 17 fue por ese mismo tema, Debian actualizó el Iceape, y el proyecto Tor también ha modificado piezas de software, según informó Jakob Appelbaum, ese al que Homeland Security le sacó los celulares en un aeropuerto, que hizo un prolijísimo análisis del tema.
Hasta ahí la secuencia ataque->detección->mitigación, todo rutinario, pero… El tema se puso más interesante el sábado 26, cuando en un website muy visitado por programadores, investigadores de seguridad y black/gray/whitehats apareció un texto que comenzaba así:

“Un mensaje del hacker de Comodo”.

Como para que nadie tuviera dudas, el ¿hacker? que escribió ese mensaje dio detalles, indicó el nombre y apellido del dueño de la empresa italiana (Instantssl.it) reseller de Comodo en cuyos servidores había entrado atravesando alegremente un firewall, mencionó cómo se llamaba el Administrador de Sistemas cuyo nombre de usuario y password había usado, detalló qué servidores visitó, qué les sacó, qué borró, cómo logró solicitar y recibir los certificados digitales. Y además aclaró “cuando se hizo famoso Stuxnet, nadie fue a pedirles cuentas a los embajadores de Estados Unidos o Israel; después de que yo entré en ese servidor, los norteamericanos quisieron interrogar al embajador iraní en la ONU. Sin embargo, ellos pueden leer un email si se usa Yahoo, Gmail, Hotmail o Skype; espían usando Echelon; bien, ahora puedo hacer lo mismo…
Evidentemente fue como para decir “tomá tu Stuxnet, por acá tampoco somos mancos”; durante un par de días existió la posibilidad de engañar a un usuario, haciéndole creer que estaba entrado en Yahoo Mail para leer el correo. Y como el primer paso es enviar nombre de usuario y contraseña, listo, casilla de correo exitosamente atacada.
Como en el texto de su auto atribución este hacker de declarados 21 años menciona muy despectivamente al MEK, Organización Popular Mojahedin Iraní, un grupo violentamente opositor al gobierno de Irán, que tiene base en Francia, tal vez, en una de esas, la información que capturó este hacker irá a parar a manos de las autoridades de su país. Seguro, él dice que actuó solo, y por patriotismo. No pienso contradecirlo.
El problema de los certificados digitales robados fue solucionado anulándolos, aunque no se sabe realmente cuánto tiempo estuvieron vigentes; pero el verdadero problema, según dice Appelbaum, el de Tor, está en determinadas fallas de diseño del sistema. Recuerden cuando en Ekoparty 2009 Moxie Marlinspike mostró cómo jugar con los certificados, esto es un tema conocido…
Así que… a brindar por la idea original de diseño de Arpanet: una red que no pueda voltearse…
(Total, basta con que un Funcionario Muy Importante llame por teléfono a un ministro de comunicaciones, y éste asuste a los ISP, y la Internet dentro de un país… puf, se acabó. Fijate en Egipto sino.)
Ah, tal vez alguno se pregunta por qué no doy la url o el nombre del website donde está la declaración del hacker iraní; es que además posteó una base de datos que robó de la empresa italiana reseller de Comodo, donde figuran una cantidad de datos de clientes, entidades tan interesantes como la Universitá Degli Studi di Udine o Sextoy Italy. Me dio un poco de curiosidad eso de que “Sextoy Italy” comprara por 69 euros un Certificado Digital de Instant SSL. (Sí, sesenta y nueve, tal vez un número mágico para esa empresa…) Exactamente 69,90, poca plata para obtener “La massima sicurezza SSL ad un piccolo prezzo”, según dicen los revendedores).
Pero leyendo un poco más en esa base de datos, comprendí, callé, perdoné misericordiosamente y me fui a buscar el vasito de vodka.

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.