Comodo, la compañía de seguridad de Jersey City, NJ cuyo revendedor publicó certificados falsos, cuestiona la acusación, diciendo que en ningún momento nadie estuvo en riesgo.
La semana pasada, atacantes usaron un usuario y contraseña válidos para obtener nueve certificados SSL -- usados para probar que un sitio es legítimo --- de un afiliado de Comodo. Los certificados fueron para seis sitios Web, incluyendo sitios de ingreso a Hotmail de Microsoft, Gmail de Google, el servicio de teléfono y chat de Skype y el correo de Yahoo. Un certificado para el sitio de agregados de Firefox de Mozilla también fue conseguido.
Según reveló Comodo, la empresa atacada para generar certificados falsos, al menos uno de los certificados logon.yahoo.com fue usado para legitimar un sitio falso de Yahoo alojado en un ISP Iraní.
Según Melih Abdulhayoglu el CEO y fundador de Comodo hay evidencia altamente circunstancial respecto que el gobierno Iraní respaldó el ataque a su socio para obtener certificados SSL. Agrregó que el ataque fue "muy bien ejecutado por los cibercriminales. Fue bien planeado y sabía exactamente lo que querían obtener."
Comodo esperó ocho días antes de revelar el ataque, usando ese tiempo para investigar, revocar los certificados y contactar a los fabricantes de navegadores como Google, Firefox y Microsoft para que pudieran publicar actualizaciones que bloquearan los certificados falsos.
Esa demora puso a Iraníes en riesgo, dice Jacob Appelbaum, un investigador del Laboratorio de investigación de seguridad y privacidad de la Universidad de Washington. Appelbaum descubrió de forma independiente el robo de certificados la semana pasada y se comunicó con Comodo, Mozilla y Google sobre lo que descubrió.
El martes Appelbaum publicó su análisis en el blog del proyecto Tor. Tor es un sistema que permite a la gente conectarse anónimamente a la Web y es usado a menudo en países donde el gobierno vigila la actividad en linea de sus ciudadanos.
"Al mantener esto en silencio por ocho días, Comodo y otros pusieron en riesgo vidas", dice Appelbaum, refiriéndose a los activistas anti-gobierno de Iraníes que pudieron haber sido redirigidos a sitios falsos y así revelar sus identidades y planes. "Fueron completamente incapaces de protegerse durante ese lapso de tiempo. Los usuarios deberían haber tenido más temprano esta información".
Appelbaum dijo que las autoridades Iraníes confrontan a los activistas con evidencia en linea de sus alegados crímenes durante interrogatorios. "Regularmente le muestran a quienes son arrestados la información de su tráfico en Internet," dijo Appelbaum.
Abdulhayoglu dijo que no hubo prueba que nadie en Irán haya estado en riesgo debido a la demora en la divulgación.
El único certificado que Comodo vio realmente en uso fue uno de los tres asignados a Yahoo, login.yahoo.com. "Solo se vio en vivo un certificado, y fue solo una prueba," dijo Abdulhayoglu,
Según Comodo, el sitio Yahoo falso quedó fuera de linea apenas despues que la compañía revocara los certificados falsos.
Comodo no ha sido capaz de confirmar si los atacantes realmente fueron capaces de obtener algo de los otros ocho certificados antes que fueran revocados, admitió Abdulhayoglu. También declinó compartir detalles sobre el ataque, incluyendo el revendedor cuya cuenta fue usada para adquirir los certificados o como los atacantes obtuvieron el nombre de usuario y contraseña del revendedor, citando una investigación en curso por parte de la justicia.
De cualquier forma, no hubo razón para revelar el robo antes que los fabricantes de navegadores pudieran parchar su software para bloquear los certificados robados. "No tiene sentido revelarlo si no tiene un remedio," dijo Abdulhayoglu. "Ahí los parches, que hacen a todos seguros".
Varias veces Abdulhayoglu dijo que la demora fue necesaria para una "divulgación responsable", la práctica de contener la información sobre vulnerabilidades de seguridad o problemas hasta que esté listo un arreglo.
Google, Microsoft y Mozilla han publicado cada uno actualizaciones para agregar los nueve certificados falsos a la lista negra en sus navegadores.
Google actualizó Chrome la semana pasada, y el martes Mozilla liberó actualizaciones para Firefox . Microsodt publicó su actualización el miércoles para sus usuarios de Windows.
Pero Appelbaum discute que nadie -- a excepción del atacante que tuvo los certificados robados -- podría haber sido dañado si Comodo y los otros hubiera publicado la noticia antes.
"La única gente que que puede atacar usando los certificados son aquellos que los tienen," dijo Appelbaum. "No puedo lanzar un ataque, solo soy capaz de detectar un ataque usando los certificados."
Traducción: Raúl Batista - Segu-Info
Autor: Gregg Keizer
Fuente: Networkworld
