Se han detectado
más certificados fraudulentos que pretenden legitimar páginas falsas de Google (aunque podría hacerlo con cualquier dominio).
Una entidad de confianza (para todos los Windows) ha firmado certificados falsos,
lo que permite que se suplanten las
páginas del buscador o que el
tráfico cifrado en realidad sea visto por un tercero. Veamos algunas
curiosidades.
Vuelve a ocurrir por quinta vez desde 2011, de forma muy similar. El 2
de julio, Google se percató de que se estaban usando certificados no
válidos de
Google, firmados por una autoridad de confianza preinstalada
en Windows. En este caso, la organización gubernamental National
Informatics Centre (NIC) de India, que maneja varias CA intermedias,
todas confiadas en última instancia por el "Indian Controller of
Certifying Authorities (India CCA)".
Al estar incluida en el repositorio de confianza raíz de Windows, la
inmensa mayoría de programas confiarán en el certificado, además de por
supuesto Internet Explorer y Chrome bajo Windows. Firefox, como sigue
una política diferente de en quién confiar (que se ha mostrado más
eficaz) no se ve afectado. Chrome, bajo otros sistemas operativos,
tampoco.
Recordemos que para esto que suponga un "daño" para un usuario, se deben dar varias circunstancias:
- Que la víctima sea redirigida al sitio falso donde se ha instalado
el certificado falso. esto puede hacerse por pharming, DNS, o cualquier
otro método.
- Aunque así ocurriese, Google utiliza certificate-pinning para sus
dominios de forma predeterminada. Así que si el atacante se limitó a
emitir certificados de dominios de Google con la CA de la India, y la
víctima visitaba estos sitios falsos con Chrome, el sistema se hubiese
quejado.
Lo que no han dejado claro aún (habría que estudiar el certificado en
detalle) es si estos certificados tienen alguna restricción de uso. Si
solo han sido emitidos para validar servidores, o quizás también se
pueda firma código, etc.
En cualquier caso, actualmente, ya no se corre tanto peligro. Los certificados están revocados y
Microsoft ha emitido el parche correspondiente,
que hace que los tres certificados intermedios (y por tanto cualquier
"hijo" creado ilegítimamente) pasen al estado de "no confianza". Incluso
si han emitido certificados para otros dominios, y estos no están
"pineados", lo más probable es que el navegador se queje. Incluso así,
por si fuera poco, Google ha emitido CRLSets actualizados para Chrome
que actúan automáticamente sobre el navegador.
Fuente:
ElevenPaths
