Supongo que a estas alturas todos habéis leído algo sobre los últimos bugs de seguridad que afectan a diversos servidores DNS, e incluso el famoso dejavú (*) http://www.kb.cert.org/vuls/id/800113 del que habló toda la prensa. O el más reciente (http://www.kriptopolis.org/revelan-mayor-agujero-seguridad-internet) basado en el protocolo BGP.
(*) El envenenamiento DNS no es algo nuevo, ya en el 2002/2003 había quien hablaba sobre eso en algún que otro ezine aunque no recuerdo el grupo, aunque el URL estuvo como topic en el canal #hackers y/o #networking del IRC Hispano.
Entonces, ¿Como puedo confiar que estoy escribiendo en la web de Hackindex y no en otra web?. Cualquiera con los conocimientos suficientes podría hacer una réplica de hackindex para capturar contraseñas. ¿Sintomas?, “ohh, vaya, la cookie ha caducado, tendré que iniciar sesión de nuevo”.
Una forma de evitarlo, podría ser con un certificado digital y el url pasaría a ser de tipo “https://“.
Pero, imaginense la siguiente situación: ¿Qué pasaría si nos creyéramos más listos que el hambre y dijéramos “Vamos a crear nuestra propia entidad certificadora“?. Respuesta: Que todo aquel que entrara en nuestra web recibiría de propina un mensaje del navegador “Certificado no conocido” y dándole la opción de “Confiar sólo para esta sesión”, “Confiar para siempre” y “no confiar” si se trata de Mozilla.
Ahora bien, si puede ser posible hacer un envenenamiento DNS, ¿por qué no podría ser posible hacer un envenenamiento DNS del servidor que aloja el emisor de certificados digitales?. Si hacemos click en “confiar para siempre” y suponiendo que se tratara del autentico hackindex ya tendríamos la llave pública de hackindex cacheada en mi navegador (*2) y en el momento en el que alguien usurpara hackindex mi navegador “cantaría” el error. Pero todos aquellos que entraran por primera vez, serían engañados.
(*2) Suposición. Tengo que comprobar si efectivamente es así. Si alguien lo sabe con certeza por favor que diga algo.
Es decir, en mi opinión lo mejor sería siempre utilizar una entidad certificadora conocida y de prestigio. En caso contrario, podríamos tener una situación de tipo “pescadilla que se muerde la cola”.
Supongamos por un momento, que mi carné de identidad ha caducado y necesito renovarlo. Por lo tanto voy a la web “https://www.citapreviadnie.es/” donde puedo pedir cita para renovar el carné de identidad. En esa web me pedirán datos personales y por ese motivo utilizan una conexión cifrada, pero cual es mi sorpresa de que usan su propio emisor de certificados.
Como mi navegador no conoce esa entidad certificadora, aparece la ventana afirmando tal hecho. Si examino el certificado digital, observo que el emisor se llama “DIRECCION GENERAL DE LA POLICIA” que efectivamente está listado por el ministerio de industria (http://www.mityc.es/DGDSI/Servicios/FirmaElectronica/Prestadores/) como un prestador valido de servicios de certificación. Pero realmente … ¿puedo fiarme?
La posibilidad de disponer de una extensa base de datos con la que comerciar es algo muy goloso para diversas mafias y la posibilidad de que sin darme cuenta esté entregando mis datos personales a una mafia está siempre latente.
En esta URL (http://www.mozilla.org/projects/security/certs/included/) hay una lista de certificados que por defecto vienen incluidos en Mozilla. Mi opinión es que los navegadores que se distribuyan en España, sea Mozilla, Explorer, Konqueror, etc, también deberían incluir por defecto los certificados listados por el ministerio de industria de esta forma se evitaría la situación de la pescadilla.
Saludos.
Aviso: Esta entrada tiene un error de concepto, ver el primer comentario.
Loading ...