VeriSign, la empresa líder en emisión de certificados para Internet,
acaba de protagonizar uno de los fiascos más importantes de su
historia que compromete de lleno la seguridad de los usuarios de
Windows. La emisión de dos certificados a un impostor que se hizo
pasar por trabajador de Microsoft permitiría firmar virus y cualquier
software malicioso como si fueran aplicaciones originales de Microsoft.
A efectos prácticos y en líneas generales, el trabajo de VeriSign raíz
del problema consiste en hacer las veces de notario mediante la
emisión de certificados digitales (autoridad de certificación). Las
empresas que quieren certificar la autenticidad de sus aplicaciones
ante los usuarios solicitan a VeriSign un certificado con el que
firmar digitalmente su código. Además de exigir el pago
correspondiente, VeriSign tiene un protocolo para verificar la
identidad del solicitante, es decir, la empresa o persona con los
privilegios adecuados a nombre de la cual se emite el certificado.
A todas luces este paso crítico ha fallado en el incidente que nos
ocupa.
Estos certificados permiten que el sistema del usuario distinga que el
código que va a ejecutar ha sido firmado digitalmente por un
certificado de VeriSign emitido a nombre de una determinada empresa.
Este esquema nos proporciona autenticación, evitando troyanos que se
hagan pasar por software original, e integridad, impidiendo que la
aplicación haya podido sufrir modificaciones desde su origen hasta
llegar a nuestras manos.
Microsoft es la gran consumidora de certificados digitales, ya que
basa gran parte de su seguridad en la tecnología Authenticode. El
ejemplo más claro lo encontramos en las diferencias entre los applets
de Java y los controles Active-X. Sun pensó en la seguridad mientras
diseñaba el lenguaje de programación y, a posteriori, con la máquina
virtual de Java, que impide a los applets acceder de forma directa al
sistema del usuario y verifica el byte-code antes de su ejecución para
comprobar que cumple con todas las normas de seguridad. Microsoft
apostó porque los controles Active-X pudieran llevar a cabo cualquier
tipo de acción en el sistema con la única condición de que el usuario
sea informado con anterioridad del origen del control para que pueda
decidir si quiere ejecutar o no el código según el nivel de
confiabilidad que le merezca el certificado que lo acompaña o su
ausencia.
Los certificados fraudulentos de clase 3 fueron emitidos el 29 y 30 de
enero de este año y pueden ser utilizados para firmar aplicaciones,
tales como controles Active-X o macros de Office. Hasta el momento no
se ha detectado su utilización, al menos de forma notoria y masiva
como podría ser la distribución de un virus o un gusano al ser
lanzados desde una página Web o un mensaje de correo electrónico,
posibilidad que decrece a medida que pasa el tiempo. Otras hipótesis
apuntan a que ya se hayan utilizado para llevar a cabo un ataque
dirigido a una corporación determinada.
En cualquier caso, los usuarios puede identificar los certificados a
través de los datos que se visualizarían en el cuadro de diálogo que
aparecería al intentar ejecutar una aplicación firmada con ellos:
Certificado 1
Issued by VeriSign Commercial Software Publishers CA
Validity period is 1/29/2001 to 1/30/2002
Serial number is 1B51 90F7 3724 399C 9254 CD42 4637 996A
Certificado 2
Issued by VeriSign Commercial Software Publishers CA
Validity period is 1/30/2001 to 1/31/2002
Serial number is 750E 40FF 97F0 47ED F556 C708 4EB1 ABFD
También se encuentran en la siguiente lista de revocación de
certificados que se puede descargar en:
http://crl.verisign.com/Class3SoftwarePublishers.crl
La imagen de VeriSign se ha visto manchada por partida doble. Por un
lado comete el error en el proceso más básico, pero al mismo tiempo
más crítico, en el que se basa su negocio; por otro, involucra a la
empresa de software más importante que engloba a todos los usuarios de
sus populares sistemas operativos. Microsoft en este caso concreto no
tiene responsabilidad, ni se le puede reprochar su actitud ya que ha
informado de forma pública sobre el incidente y está trabajando en un
parche para evitar males mayores. Poco más puede hacer, a no ser que
se plantee la reestructuración de toda su estrategia de seguridad.
Otros actores secundarios en este drama son las empresas antivirus.
Tanto Network Associates (McAfee) y Symantec (Norton) han saltado a la
arena para anunciar que sus antivirus cuentan con actualizaciones para
detectar los certificados fraudulentos, como si de un virus se tratara.
Además de la labor preventiva de esta iniciativa, sin olvidar también
cierto grado de oportunismo desde el punto de vista de marketing, el
anuncio del incidente por parte de las casas antivirus tiene una
segunda lectura algo más escondida que ha pasado desapercibida y sobre
la que reflexionaremos en una próxima entrega.
bernardo@hispasec.com
Más información:
VeriSign Security Alert Fraud Detected in Authenticode Code Signing
Certificates:
http://www.verisign.com/developer/notice/authenticode/index.html
Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard:
http://www.microsoft.com/technet/security/bulletin/MS01-017.asp
CERT Advisory CA-2001-04 Unauthentic «Microsoft Corporation» Certificates:
http://www.cert.org/advisories/CA-2001-04.html
Invalid Certificate:
http://vil.nai.com/vil/virusSummary.asp?virus_k=99058
Symantec First to Provide Anti-Virus and Enterprise Security Management
Protection Against Recently Issued Fraudulent Verisign Digital Certificates:
http://www.symantec.com/press/2001/n010324.html
Invalid Certificate:
http://www.sarc.com/avcenter/venc/data/invalid.certificate.html
Advertencia sobre certificados digitales falsos:
http://videosoft.tripod.com/vulms01-017.htm
Microsoft, VeriSign y los certificados digitales:
http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=35
FAQ: Microsoft security breach:
http://www.zdii.com/industry_list.asp?mode=news&doc_id=ZD5080023
VeriSign erroneously issues Microsoft digital certificates:
http://www.computerworld.com/cwi/story/0,1199,NAV47_STO58857,00.html
Network Associates AVERT and COVERT Labs Advise of Invalid VeriSign Digital Certificates:
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=/www/story/03-25-2001/0001454858&EDAT
