Comodo informó ayer que una filial de la empresa se vio seriamente comprometida, un ataque donde se obtuvieron el nombre de usuario y la contraseña, resultado de una emisión fraudulenta de certificados SSL a través de siete dominios, todo ello a pesar de los certificados cubiertos de Google, Yahoo,Skype y Microsoft.
Básicamente se trata de que un atacante “desliza” un certificado falso de alto nivel en el sistema para desviar el tráfico a sus propios servidores y así coleccionar y recoger los datos de autenticación, recogiendo nombres de usuario y contraseñas.
Desde que se supo de la práctica, los navegadores han sido alertados y se cree que ahora mismo no corren peligro. Tal y como cuenta Phillip Hallam-Baker, vicepresidente de Comodo:
Lo ocurrido se produjo durante una validación primaria afiliada y autorizada para realizar las solicitudes de certificados. El compromiso fue reportado sin demora a los propietarios de los dominios afectados y a los proveedores de navegadores y autoridades gubernamentales pertinentes
Los certificados en cuestión fueron expedidos a: mail.google.com (Gmail), Login.live.com (Htmail), www.google.com, login.yahoo.com, login.skype.com y mozilla.org (extensiones de Firefox).
La empresa también comunicó que el ataque se produjo desde una ISP de Irán, más concretamente desde una organización del Estado y que el ataque se limitó a la infraestructura de comunicación (no a la financiera).
Este tipo de ataques, según los investigadores, sugieren tácticas de espionaje con los usuarios. Si controlan el enrutamiento de Internet en un país pueden conseguir claves o nombres o correos sin importar el cifrado SSL del lugar.
La seguridad en Internet nunca es poca. Más si tenemos en cuenta que navegar con las SSL (Protocolo de conexión segura) ya no es motivo de tranquilidad. Ocurre con las webs, pero quizá más peligroso es que ocurre también con las cuentas de correo electrónico o las del banco de cada usuario. Navegar con tranquilidad cuando sabemos que existen certificados digitales de autorización en la entidad emisora que nos dirigimos (CA) tampoco es motivo para estar seguro. Imaginemos un certificado comprometido en el que detrás se encuentren unos ladrones. Los mismos podrían hacerse pasar por tráfico de la HTTPs para el alojamiento. Este tipo de ataques con certificados falsos, conocidos como MITM, hacen posible la escucha y observación de todo el tráfico encriptado con el alojamiento comprometido mientras el usuarios no tiene ni idea de lo que está pasando.
Vía: http://bitelia.com