• Tweet

El 15 de marzo de 2011, una RA (Registration Authority) afiliada a Comodo resultó comprometida tras la falsificación de 9 certificados SSL a sitios de 7 dominios. Aunque el incidente se detectó en unas cuantas horas y los certificados fueron revocados de inmediato, el ataque y la sospecha de qué lo motivó requieren una atención urgente de toda la comunidad de seguridad.

En ningún momento se comprometió a alguna de las llaves de administración de Comodo, autoridades de certificación (CAs) intermediarias o algún hardware de seguridad. El compromiso ocurrió justo en un afiliado autorizado para realizar la validación primaria de solicitudes de certificado, se informó de inmediato al respecto a propietarios de los dominios afectados, proveedores de navegadores y a autoridades gubernamentales pertinentes.

Esta nota tiene como objetivo reflejar los acontecimientos relevantes a medida que se actualicen los hechos. Encuentre información más detallada en el apartado Reporte del Incidente. La siguiente publicación considerará aquellos eventos que impliquen algún tipo de amenaza para la seguridad en Internet y se dará a conocer al público posteriormente a fin de que sepan las acciones a tomar para solucionar.

Un atacante obtuvo el nombre de usuario y contraseña de un Socio de Confianza de Comodo (Comodo Trusted Partner) en Europa del Sur. No tenemos del todo claro acerca de la naturaleza o los detalles de la violación sufrida por otro socio, el cual supo que otras cuentas en línea (no sólo de Comodo) de ese mismo socio se comprometieron al mismo tiempo.

El atacante usó el nombre de usuario y contraseña para iniciar sesión a la cuenta particular de la RA de Comodo y hacer certificados fraudulentos.

El atacante seguía utilizando la cuenta cuando la violación fue identificada y la cuenta fue suspendida. El atacante pudo haber tenido otros dominios como objetivo adicional y tener la oportunidad de vulnerarlos.

Los esfuerzos para solucionar comenzaron tan pronto fue descubierta la violación. Todos los certificados fueron revocados, por lo que ningún navegador web debería aceptar ahora certificados fraudulentos, si la comprobación de la revocación está deshabilitada. Auditorías y controles adicionales han sido desplegados para la descripción de detalles del incidente en el reporte.

La dirección IP al inicio del ataque quedó grabada y se determinó que ésta se encuentra asignada a un ISP (Proveedor de Servicios de Internet) con sede en Irán. Una encuesta en línea reveló que uno de los certificados provino de otra dirección IP, la cual también se ubica en un ISP del país árabe. El servidor en cuestión se detenía cuando trataba de responder a las solicitudes poco después de que el certificado fuese revocado.

Si bien la participación de dos direcciones IP asignadas a ISPs iraníes sugiere un origen, esto podría ser en realidad el resultado de que un atacante esté intentando colocar una pista falsa.

No se escapa de anotar que los dominios dirigidos podrían ser de gran uso para que grupos disidentes atenten contra un gobierno. El ataque se produce en un momento en que muchos países de África del Norte y la región del Golfo enfrentan protestas populares y muchos comentaristas han señalado a Internet y, en particular a los sitios de redes sociales, como una herramienta importante para la organización de las protestas.

Los ataques del gobierno contra los sitios de redes sociales no son un fenómeno nuevo. A raíz de las protestas del 2009, Twitter fue desactivado una hora por un grupo autodenominado Cyber Ejército Iraní. En los últimos meses se ha visto un cierre completo de Internet en Egipto y en Libia. Las autoridades del gobierno de Túnez también intentaron un ataque contra las credenciales de acceso a los sitios de redes sociales, pero a través de un ataque de JavaScript.

Un artículo reciente en el London Daily Telegraph describe las medidas tomadas en contra del programa Tor, una infraestructura de enrutamiento del gobierno de Irán.