martes, 13 de septiembre de 2011

Reflexiones sobre el caso DigiNotar

La estrella de incidentes de seguridad de la semana pasada de la llevó la PKI Diginotar. Aunque ya hay colgadas en la red múltiples reflexiones, yo quiero añadir un par de puntos de vista más a contemplar. Para el que no sepa de qué va el incidente, recomiendo leer los post de "Security by default", "Reflexiones sobre Diginotar" y de Hispasec "Otro certificado falso de Google" y "Conversaciones sobre certificados digitales, seguridad y pornografía".

El tema de las PKI es personalmente uno de los que más me encienden. Este mecanismo de seguridad utilizado extensamente como medio de generación de confianza no puede ser entendido como aspectos puramente técnicos relacionados con la generación y distribución de certificados. El éxito y robustez de estas infraestructuras se basan en la fortaleza de los tres elementos esenciales: personas, procesos y tecnología.
Ya postee extensamente sobre esta problemática cuando en marzo de este año fue conocido el problema con la PKI Comodo en el post "Incidente de Comodo, reflexiones sobre el uso de entidades de certificación". En aquel incidente, lo que acabó comprometida fue la autoridad de registro, una pieza clave en toda la infraestructura porque es la parte que acredita la identidad para que se genere y otorgue a un tercero un certificado.

El caso DigiNotar sin embargo es todavía mucho más grave. Como resultado del incidente ha acabado comprometida la Entidad Raíz de Certificación, lo que supone que todos los certificados generados por dicha empresa pasan a estar revocados. Esto, para una PKI es lo más grave que puede suceder dado que anula todos los certificados expedidos y supone que todos los navegadores coloquen este certificado raíz en la lista de certificados revocados.

Las tres reflexiones al respecto que quiero apuntar son:
  • Una empresa cuyo proceso de negocio se fundamenta en la seguridad es la que menos puede permitirse un incidente, porque además del daño en imagen, acaba con su modelo de negocio. En este caso casi seguro que acabará sucediendo esto segundo porque DigiNotar ahora parte como PKI con el reto de recuperar la confianza y volver a ser admitida como un certificado raíz válido en los navegadores. Además, es difícil vender seguridad si no se da ejemplo.
  • Es incompresible e intolerable que piezas tan delicadas y críticas de la infraestructura de confianza que suponen las PKI puedan estar gestionadas y administradas en las condiciones en las que revela el informe de FoxIT sobre el incidente que puede ser consultado en esta dirección. Las conclusiones no pueden ser más claras: mala política de contraseñas con passwords debiles, falta de parcheo en equipos, la CA Raíz en línea, etc... demasiadas papeletas compradas para que no les tocara el gordo del hacking. Quizás el fallo más grave de Diginotar que puede acabar hundiendo a la empresa es haber tenido el certificado raíz en linea, obligando a todos los navegadores a revocar el certificado raíz porque lo razonable es emplear entidades subordinadas para generar los certificados de forma que si hay cualquier problema se revocan los certificados de la rama de la entidad subordinada detectada pero la Entidad de certificación puede seguir operando.
  • Las PKI son una pieza esencial en la sociedad del siglo XXI por así decirlo son el tercero en quien se delega la confianza de verificar que los dominios y las empresas son quienes dicen ser. Por tanto, todos (Usuarios y empresas) transferimos ciertos riesgos al buen hacer de estas empresas que prestan como servicio esa verificación de identidad y otorgan confianza. Debieran plantearse controles más estrictos sobre todas las empresas que son prestadores de servicios de certificación porque el compromiso de cualquiera de ellas pone en peligro la seguridad basada en el uso de certificados digitales. Aunque el post de Hispasec "Conversaciones sobre certificados digitales, seguridad y pornografía" cuenta bien que es complejo poder emplear un certificado falso para comprometer la seguridad del protocolo https, también es cierto que el fallo en cualquier PKI pone en peligro a cualquier certificado de cualquier organización porque puede ser perfectamente suplantado pasando desapercibido para el usuario. Además genera una sensación al usuario final de intranquilidad debido a que las precauciones habituales que se recomiendan para verificar que estás en el sitio correcto y que todo marcha bien en este caso no serían suficientes. Quizás una de las medidas de presión que pudiera establecerse sobre toda Empresa que se dedique al mundo de los certificados digitales sera la auditoría continua. En cualquier momento en cualquier lugar pueden aparecer unos auditores para valorar el funcionamiento de tu PKI y si no se cumplen los requisitos, perder la "licencia" de ser prestador por no garantizar suficiente seguridad. De esta forma, el poder ser inspeccionado en cualquier momento puede generar suficiente tensión como para no relajar las medidas necesarias.
 
;