En este caso, parece que Iran devuelve la pelota del Stuxnet, ya que las IP desde las que se realizó el ataque a los servidores, provenían de este país.
Desde hace dos o tres años, este tipo de actuaciones es cada vez más frecuente, sobre todo para su uso en malware y así dificultar su detección, como ha ocurrido con Zeus o Stuxnet, aunque en este último caso, el certificado aunque robado, era válido.
El uso de estos certificados SSL falsos, permitiría realizar ataques del tipo MitM (Man in the Middle), donde el acceso mediante el protocolo seguro SSL (Secure Sockets Layer) a una web falsa, quedaría inadvertido por el usuario, así como la sustitución del contenido que percibe el usuario de la web real por uno alterado.
Este tipo de prácticas de filtrado de contenidos, bloqueo o suplantación, a través del uso de Proxys Transparentes viene siendo aplicada con asiduidad por gobiernos como China o Iran, donde la libertad de expresión en Internet está muy restringida.
En los casos en los que se detecta el uso de estos certificados falsos, como ha sido este, la autoridad certificadora procede a la revocación de los certificados, pero esto no tiene por que ser la solución completa e inmediata al problema.
La comprobación de certificados revocados, se puede hacer a través de CRL (Certificate Revocation List) o a través del acceso a servidores OCSP (Online Certificate Status Protocol), pero en el primer caso, las CRL se descargan y procesan en local, por lo que si no están actualizadas, su efectividad es prácticamente nula.
En el caso del acceso a los OCSP, dependerá de cómo se comporten los navegadores respecto a este tipo de consultas, así como la configuración que tenga el usuario en su navegador. Por ejemplo Internet Explorer 8 y Safari, no hacen comprobaciones OCSP por defecto y en Firefox, aunque si se hace, en el caso de que falle la consulta, no está activada por defecto la opción de que se de por inválido el certificado.
No hay comentarios:
Publicar un comentario