Menú principal

lunes, 18 de abril de 2011

Apple al final soluciona el incidente de Comodo con un Security update de Mac OS X Leopard y Snow Leopard

El mundo de la seguridad está revuelto desde el famoso incidente de los certificados fraudulentos generados a través de un fallo en la política de seguridad de claves de la entidad certificadora Comodo. Aprovechando una debilidad en la protección de las cuentas de usuario de los miembros de la entidad certificadora, un hacker iraní fue capaz de obtener certificados falsos totalmente funcionales para los dominios más cotizados por cualquier "guerrero de la información": Las cuentas de los servicios online de Google, Microsoft y Yahoo! :

- mail.google.com - www.google.com - login.yahoo.com -
- login.skype.com - addons.mozilla.org - login.live.com -

De los dominios seleccionados por el hacker, se puede ver claramente que su objetivo era poder hacer ataques Man in the Middle en conexiones Https generando el canal SSL entre el cliente y el atacante con un certificado perfecto, que no generaría ninguna alerta de seguridad. El correo de Google, Microsoft Hotmail y Yahoo!, parecía el objetivo principal, además de las búsquedas en Google y la instalación de pluggins de Mozilla. Algo, que hacía sospechar que podría interesar, o tener detrás, a algún gobierno.

Para solucionar este problema se pensó en utilizar el protocolo OCSP, que permite configurar el envío de consultas a la entidad certificadora en tiempo real para poder conocer si el certificado ha sido revocado o no. Esta opción tiene que ser configurada en Mac OS X.

Figura 1: Configuración de OCSP en Mac OS X

En Firefox, aunque esta opción viene configurada, sin embargo no viene con la opción de generar una alerta cuando el servidor OCSP no esté disponible, con lo que al atacante le basta con interceptar la petición y droppear las peticiones al servidor OCSP para que se den por buenos los certificados.

Figura 2: Opciones OCSP en Firefox

Conocido estos comportamientos, Microsoft optó por generar un update de seguridad el día 25 de Marzo, para instalar una lista negra con los certificados falsos robados. Esta política de seguridad fue seguida por Debian, que el día 26 de Marzo publicó también un update de seguridad para poner en la lista negra estos certificados fraudulentos. El jueves pasado, 14 de Abril, Apple ha hecho lo mismo con Mac OS X Leopard 10.5.8 y Snow Leopard 10.6.7, pero ha dejado a todos los sistemas operativos anteriores sin parche de seguridad, por lo que se recomienda tener especial cuidado con los sistemas operativos anteriores, que ya están sin soporte.

En cualquier caso, tanto si tienes Tiger, Leopard o Snow Leopard, te recomendamos que configures OCSP en tu Mac OS X, tal y como explican en faq-mac para poder utilizar este protocolo. Aunque como explicó Moxie Marlinspike, un atacante puede solventar este ataque con una respuesta falsa con valor 3 "Try Later", cualquier medida de seguridad hará más difícil el ataque.

La información sobre la actualización la tienes en el siguiente enlace: Mac OS X Security Update 2011-002.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares