Confianza En La Red

La confianza en la red

Conceptos básicos de la lectura.

DigiNotar. Es como un proveedor independiente de Servicios de Confianza en Internet, está especializado en asegurar la integridad de datos y ofrecer las garantías legales para toda la comunicación online.

Renovación masiva. Es una restauración de gran cantidad para mejorar el servicio.

PKI. En criptografía, es una disposición que ata las llaves públicas con su respectiva identidad de usuario por medio de una autoridad de certificación (certificate authority o CA). La identidad del usuario debe ser única por cada CA. PKI emplea dos claves, una pública y otra privada. La primera para cifrar y la segunda para descifrar. PKI es utilizado para, por ejemplo, para realizar transacciones comerciales seguras.

VeriSing. La empresa líder en emisión de certificados para internet.

McAfee. Es una compañía de seguridad informática con sede en Santa Clara, California (EE.UU.). Su principal producto es el McAfee VirusScan, entre otros productos y servicios relacionados a la seguridad como IntruShield, Entercept y Foundstone.

Symantec. Es una corporación internacional que produce software, especialmente relacionado a la seguridad. Fue fundada en 1982 y tiene su cuartel central en Cupertino, California (EE.UU.), y tiene operaciones en más de 40 países.

IP. Es la sigla de Internet Protocol o, en nuestro idioma, Protocolo de Internet. Se trata de un estándar no orientado a conexión que se utiliza para el envío y recepción de datos a través de una red de paquetes conmutados.

SSL. Diseñado por la empresa Netscape para proveer comunicaciones encriptados en internet. SSL da privacidad para datos y mensajes, además permite autentificar los datos enviados.

Cronología de los eventos más importantes del caso leído.

Marzo 2001. VeriSign.

VeriSign, Inc. 2001 emitió dos certificados digitales de firma de código de Clase 3 de VeriSign a un individuo que, fraudulentamente, decía ser empleado de Microsoft. El nombre común asignado a ambos certificados es "Microsoft Corporation". La capacidad de firmar contenido ejecutable utilizando claves que pretenden pertenecer a Microsoft podría ser aprovechada por un usuario malintencionado que quisiera convencer a los usuarios para que permitan ejecutar el contenido.

Los certificados podrían utilizarse a la firma de programas, controles ActiveX, macros de Microsoft Office y otros contenidos ejecutables. De éstos, los que plantearían un riesgo mayor serían los controles de ActiveX y las macros de Office, pues los escenarios de ataque serían los más directos. Tantos controles de ActiveX y los documentos de Microsoft Word pueden ser entregados por páginas Web o en mensajes de correo electrónico HTML. Los controles ActiveX pueden ser invocados automáticamente por una secuencia de comandos y los documentos de Word pueden ser abiertos automáticamente por una secuencia de comandos a menos que haya aplicado la herramienta de confirmación de abrir documento de Microsoft Office.

Aunque los certificados afirman que son propiedad de Microsoft, no son certificados de Microsoft auténticos y no hay que confiar de manera predeterminada en el contenido firmado por ellos. La confianza se define certificado por certificado, no por el nombre común. Por tanto, debería mostrarse un mensaje de advertencia antes de ejecutar cualquier contenido firmado, incluso aunque previamente haya aceptado confiar en otros certificados con el nombre común "Microsoft Corporation". El peligro está en que incluso un usuario consciente de la seguridad podría aceptar la ejecución del contenido, aceptando confiar siempre en los certificados fraudulentos.

VeriSign ha revocado los certificados, que se encuentran en la Lista de revocación de certificados (CRL) de VeriSign actual. Sin embargo, como los certificados de firma de código de VeriSign no especifican un Punto de distribución de CRL (un CDP), no es posible que cualquier mecanismo de comprobación de CRL del explorador descargue la CRL de VeriSign y la use. Microsoft ha desarrollado una actualización que rectifica este problema. El paquete de actualización incluye un CRL que contiene los dos certificados, así como un controlador de revocación instalable que consulta la CRL desde el equipo local, en lugar de intentar usar el mecanismo de CDP.

Marzo 2011.Comodo.

El 31 de marzo se hizo una actualización en Comodo. El propósito de esta actualización es describir el fallido intento de una cuenta de usuario distribuidor para acceder a la compra del certificado de plataforma del 26 de marzo del 2011. Lo que no ocurrió. La infraestructura de C.A no se vio comprometida.

Certificados han sido emitidos de manera fraudulenta. ¿Qué pasó?.

Comodo ha detectado y desbaratado una intrusión en una cuenta de usuario revendedor el 26-MAR-2011. Los nuevos controles implementados por Comodo después del incidente el 15-MAR-2011 elimina cualquier riesgo de la emisión fraudulenta de los títulos. Se cree que el ataque fue contra el autor mismo. Un segundo problema asociado con un segundo revendedor fue inicialmente detectado y reportado por Comodo. Después de investigaciones adicionales, Comodo ha determinado que este era en realidad un error de conexión por parte del distribuidor.

Un AR sufrió un ataque que resultó la violación de una cuenta de usuario específica. Esta cuenta de RA se utilizó de manera fraudulenta para emitir certificados de 9 (a través de 7 diferentes dominios). Todos estos certificados fueron revocados de inmediato en el descubrimiento. Monitoreo de tráfico de respuesta OCSP no ha detectado ningún intento de uso de estos certificados tras su revocación.

Se han expedido certificados de la siguiente manera:

1. Dominio: mail.google.com [no visto en vivo por internet] Serie: 047ECBE9FCA55F7BD09EAE36E10CAE1E

2. Dominio:

...