Comprobar el certificado digital SSH por canal paralelo

Durante este mes se ha publicado en la lista de Bugtraq una pequeña herramienta vía web que realiza una comprobación paralela a la firma del certificado que se sirve por SSH. Esto es útil cuando hablamos de una primera conexión, en la que el certificado aún no está guardado y pineado en la base de datos local del cliente y, por tanto, no puede garantizarse que sea el servidor correcto. Un atacante podría hacer un man in the middle y entregar otro certificado digital.

Lo que propone la herramienta es tener en un servidor web una segunda verificación, que por medio de una comprobación por medio de otro canal se compruebe el certificado. Si el fingerprinting de los certificados no es el mismo, se estaría ante un ataque de man in the middle y habría que evitar realizar esa conexión. Esa disponible es CheckSSH.com y lo único que hay que hacer es enviarle la dirección IP o el nombre de dominio del servidor que se quiere comprobar, y la herramienta devuelve el fingreprinting que ella ve.

En el debate se planteaban muchas cosas, como por ejemplo que el atacante tuviera un man in the middle en el canal de conexión a la web, además de en el canal de la conexión al servidor SSH, que hubiera un bug en el servidor web donde se aloja este código de comprobación o simplemente que los que gestionan este servicio sean los que están haciendo el man in the middle. En cualquier caso de estos, la víctima tendría una falsa sensación de seguridad que ayudaría al éxito del ataque.

Con el objeto de disipar las dudas, el servicio lleva HTTPs con un certificado de validación extendida y podrías hacer un Certifiacte Pinning con él. Pero el 100% de certeza, tal y como se plantea el mundo hoy en día es casi imposible. No obstante, han publicado el código fuente del servicio que corre en la web, así que puedes montártelo en tu propio servidor y diseñarte el esquema de seguridad que más se adapte a tus requerimientos gestionándolo tú mismo.