miércoles, 15 de febrero de 2006

Phishing via https

Ultimamente leo poco pero una de las referencias semanales sigue siendo Sergio Hernando. Leo en su post Análisis de un ataque casi perfecto un reciente ataque que incluso ha conseguido crear una web cuyo acceso era seguro mediante autenticación de servidor basada en certificado digital.En el siguiente enlace podéis ver el detalle técnico del ataque.

Y el problema está en que la aparición del candado cada vez significa menos y proporciona menos garantías.
- La generación de certificados no está suficientemente controlada, porque los certificados son técnicamente todos iguales entre si (de cara al usuario pintan el mismo candado) pero su significado puede ser muy diferente.
- La validez del certificado es algo muy cuestionable dado que las listas de revocación no suelen estar accesibles y tampoco es frecuente disponer de servidores OCPS para verificar en tiempo real si ha sido o no comprometido.
- Tampoco a nivel legal está claro quien vela por el cumplimiento de la Ley 59/2003 de Firma Digital que regula el uso de la firma digital y la expedición de certificados digitales.

Se supone que en España existe un registro de los prestadores de servicios de certificación. La Ley 59/2003 establece en el artículo 30.2 que:
"2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Ciencia y Tecnología el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento."

Además, existe la obligación para todo prestador, independientemente de si genera certificados "reconocidos" (Con validez jurídica identica a la firma manuscrita) o no , de publicar y poner en conocimiento del usuario las "Prácticas de Certificación" que son una declaración del funcionamiento interno respecto a la custodia y generación de certificados, atención a usuarios respecto a los diferentes procesos, medidas de seguridad aplicadas y otros aspectos que garantizan al usuario la transparencia y el conocimiento sobre el funcionamiento de la entidad de certificación. (Artículos 18 y 19 de la Ley 59/2003).

Fruto de esa transparencia es la publicación del Registro Oficial de Prestadores de Servicios de Certificación que puede consultarse en dos sitios:

- Tramitación de los Prestadores autorizados.
- Listado de Prestadores de Servicios de certificación de Firma Electrónica autorizados.

Aunque los tecnólogos a veces nos empeñemos en no querer asumir que existen leyes que limitan nuestro poder, respecto a la firma electrónica, entiendo que el Estado debe regular qué garantías ofrecen quienes son responsables de dar fé. La ley entiende que "Se denomina prestador de servicios de certificación la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.(Art. 2 Ley 59/2003)"

Con esta definición, cualquiera que expide o genera un certificado ("Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad" (Art. 6 Ley 59/2003)) debería registrarse para que el Estado avalara el ejercicio de dicha función y al menos, garantizara el cumplimiento de los requisitos más básicos exigidos a un prestador. La existencia de unas prácticas de certificación que expliquen qué hace y cómo para generar garantías y seguridad.
En fin, y como para muestra de "falsa confianza" lo mejor son las evidencias, a continuación pongo dos urls que tenía localizadas con certificados de servidor en plan "chapuza" que no están evidentemente en ese registro de Prestadores de servicios de certificación.
- Acceso seguro a Intranet PolarisWorld
- Acceso seguro a Cenemes, del Instituto de Fomento de Murcia.

En ambos casos, pulsar sobre el certificado para ver qué confianza da algo montado en un servidor propio y qué validez puede tener si son certificados "juan palomo", que todo se lo guisan y se lo comen. Con hechos así, ¿para que queremos la Ley de Firma Digital?
 
;