Negligencia de contratista dejó a los
usuarios expuestos a ataques de tipo man-in-the-middle.
Google y Mozilla han bloqueado
certificados falsos distribuidos por un registrador en China, que podrían ser
utilizados para atacar a usuarios de Macintosh, Windows y Linux. El ingeniero
de seguridad de Google, Adam Langley escribe en el blog de Google que el
problema afecta a numerosos sistemas.
“Los certificados fueron emitidos por
una autoridad de certificación intermedia, controlada por una empresa
denominada MCS Holdings. El certificado en sí fue emitido por China Internet
Network Information Center (CNNIC). CNNIC tiene todas las acreditaciones
correspondientes, lo que implica que los certificados falsos contarían con la
confianza de casi todos los navegadores y sistemas operativos”.
“Alertamos rápidamente a CNNIC y a los
fabricantes de navegadores sobre el incidente, bloqueando el certificado de
China Internet Network Information Center (CNNIC) mediante un procedimiento
centralizado denominado CRLSet”, agrega Langley.
El ejecutivo de Google explicó que el
potencial de daño es mayúsculo, ya que los certificados pueden ser utilizados
para interceptar comunicaciones realizadas vía Internet. “En lugar de mantener
la clave privada en un módulo de seguridad de hardware adecuado, MCS Holdings
lo instaló en un proxy “, explicó Langley, aduciendo que este procedimiento
infringe los procedimientos establecidos.
La utilización de un proxy para estas
funciones habilitan la posibilidad de interceptar conexiones seguras, al
suplantar al destinatario. En algunas ocasiones, este procedimiento es
utilizado por las empresas para monitorizar las comunicaciones cifradas de sus
empleados, o a petición de las autoridades por razones legales.
Mozilla, en tanto, publicó una
notificación de seguridad titulada “Revocamos la confianza en certificado
intermedio de CNNIC”, donde asegurua a los usuarios de Firefox que el problema
está siendo abordado. En el aviso se señala que aunque no se trata de un
problema específico de Firefox , el certificado revocado ha sido agregado a sus
mecanismos internos de protección y neutralización de amenazas.
“Recomendamos a todos los usuarios
actualizar a la última versión deFirefox”, indica la empresa. La nueva versión
de Firefox, que lleva el numeral 37, como asimismo las futuras versiones
deFirefox, contendrán el mecanismo One CRL, utilizado para la revocación de los
certificados, y para solucionar futuras incidencias de este tipo.
Fuente: Diarioti.com