Menú principal

viernes, 2 de septiembre de 2011

Serio Bug: Mac OS X no revoca Entidades de Certificación

Mac OS X no anda de enhorabuena en seguridad, después del fallo de autenticación en OpenLdap sin contraseña, se ha descubierto una nueva vulnerabilidad que Apple va a tener que parcherar rápido. El bug se genera ya que, debido a un fallo en la programación del sistema operativo, los usuarios no pueden confiar en ciegamente en los certificados digitales que utilizan los sitios a los que se conectan.

Se debe a que Mac OS X no es capaz de desconfiar de certificados emitidos por una Entidad revocada por el usuario. Así, si el usuario desconfía de la entidad, Mac OS X sigue mostrando los certificados emitidos por ella como seguros, cuando deberían mostrarse una alerta de seguridad al usuario.

Los certificados digitales juegan una parte importante en Internet. Son esenciales cada vez que dos equipos se conectan utilizando protocolos como HTTPS. Un certificado digital permite al usuario conocer la identidad de una máquina a la que está conectado y que ésta es quién dice ser en base a entidades de certificación de confianza del usuario. Esta confianza no solo puede ser medida en base a entidades certifiadoras, y debe por tanto permitir qu el usuario otorgue o quite la confianza a certificados digitales en concreto. Es por ello por lo que no contar con un mecanismo que permita al usuario revocar la confianza a un certificado hace que el sistema pierda utilidad.
La tarde en cuestión

Seth Bromberger cuenta la noticia en la tarde del martes, después de leer una noticia sobre DigiNotar que fue comprometida, es decir, atacada. Seth decidió probar por sí mismo y revocó los certificados que él disponía en su equipo de DigiNotar. Para revocar o manejar certificados se debe ir al keychain de Apple en Mac OS X y en haciendo clic en el certtificado digital concreto quitar la confianza del mismo del sistema, tal y como se ve en la imagen siguiente.

Figura 1: Revocación de confianza a certificado digital en Mac OS X

Una vez que Seth revocó los certificados de DigiNotar, probó a entrar en sitios firmados por DigiNotar y debería recibir una advertencia de seguridad. ¿Qué ocurrió? Pues que realmente no se obtiene ninguna alerta. No hubo advertencias de seguridad y se confirmó que todos los sitios web firmados por DigiNotar seguían viéndose exactamente igual que antes de revocar el certificado.

La mayoría de los usuarios de Mac OS X no revocan los certificados por sí mismos, por lo que cuando aparece un incidente como el de Comodo, es la propia Apple la que crea la blacklist a nivel de sistema o son los fabricantes de navegadores los que manejan el asunto.

A día de hoy, Chrome, Firefox e Internet Explorer tienen todos los certificados DigiNotar bloqueados, pero Apple no ha comentado lo que planea realizar con su navegador Safari. Por el momento, se recomienda a los usuarios que no se fíen de los sitios web firmados por DigiNotar cuando se navegue con Apple Safari, lo que hace ir con mil ojos en la navegación.

Ryan Sleevi, desarrollador de software que participó en el proyecto de Google Chrome, descubrió la causa. Los usuarios pueden retirar del keychain el certificado, pero si los usuarios visitan un sitio que utiliza certificados de validación extendida, Mac OS X aceptará el certificado aunque éste haya sido emitido por una entidad marcada como no confiable, por lo que parece que Apple hace caso omiso a los ajustes marcados por el usuario.

Los problemas con los certificados digitales son preocupantes ya que favorecen, una vez se ha comprometido un certificado digital de una entidad en la que confía el sistema, la realizacion de aaques de phishing con DNS Spoofing o Man in the middle sin generación de alertas. Además, hay que tener en cuenta que hay alguien interesado en todo esto ya que DigiNotar fue hackeado en Julio lo que ahce pensar en que se hayan emitido cientos de falsos certificados digitales para los dominios como google.com, mozilla.com, yahoo.com, etc...

El pasado domingo, Google reconoció que un ataque de este tipo había sido lanzado contra los usuarios de su servicio de Gmail, principalmente a usuarios de Irán. Como se puede ver en la imagen, la autoría del suceso de la intrusión fue supuestamente cometidad por hackers de Irán.

Figura 2: Intrusión de Diginotar firmada por hackers iranís

Este tipo de ataques, y la necesidad de getionar eficientemente la confianza, vienen a apoyar már la tesis de Moxie Marlinspike de añadir conceptos de agilidad, como el que usa en su sistema de notarios propuesto en esta pasada edición de BlackHat llamado Convergence. El termino utilizado por Moxie Marlinspike es Trust Agility, y dice propone que el sistema de autenticación de entidades debe seguir funcionando incluso cuando un usuario deje de confiar en una entidad de certificación en concreto.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares