Avisos 15 de September, 2011

Actualització Avís Certificats falsos de DigiNotar

S'han detectat diversos certificats falsos emesos per l'autoritat de certificació digital holandesa DigiNotar. Segons la pròpia empresa, aquest incident és el resultat d'un compromís de Seguretat dels seus sistemes descobert el 19 de juliol de 2011.

Microsoft ha publicat una actualització fora de cicle, igual que la Fundació Mozilla, Adobe i Apple  per incloure tots els certificats arrel de Diginotar com no fiables explícitament. A més a més, a la llum d'aquests esdeveniments, la Fundació Mozilla ha exigit a totes les CAs incloses en els seus productes que realitzin una auditoria de l'estat de seguretat dels seus sistemes i Adobe ha anunciat modificacions en les polítiques per a la inclusió d'autoritats de certificació.

Recursos afectats:
- Plataforma afectada:
o No aplica

- Software afectat:
o Tots els navegadors web amb DigiNotar al seu llistat d'autoritats de confiança.
o Altres aplicacions que utilitzen certificats X.509 i tinguin DigiNotar al seu llistat d'autoritats de confiança.

Impacte: Fuita o robatori d’informació.

Solució:
Els certificats X.509 inclouen una URL de revocació de certificats per a aquests casos. No obstant, l'autoritat de certificació ha estat compromesa per complet, CESICAT recomana incloure tots els certificats arrel de DigiNotar com no fiables de manera explícita. D'aquesta manera, qualsevol certificat emès per ells serà identificat com no fiable encara que estigui signat addicionalment per qualsevol altra CA.

Internet Explorer

Aplicar l'actualització fora de cicle associada a l'avís de seguretat 2607712 de Microsoft (veure Referències).

Firefox/Thunderbird

Actualitzar a l'última versió publicada per la Fundació Mozilla o eliminar manualment el certificat a les preferències del programa.

Google Chrome

Aplicar l’última actualització del navegador, que elimina el certificat del magatzem de confiança. Chrome utilitza el magatzem de certificats per defecte del sistema, i es pot aplicar les recomanacions corresponents per a Windows i MacOSX.

Les versions més recents d'aquest navegador estan protegides contra els certificats falsos emesos per *. google.com.

Safari (MacOSX)

Aplicar l'actualització per Mac OS X Snow Leopard i Lion associada a l'avís de seguretat HT4920 de Apple (veure Referències). Per versions anteriors, cal eliminar manualment el certificat a través de "Accés a Clauers" (Access Keychain).

Opera

Eliminar manualment el certificat a través de l’opció "Administrar Certificats" a les opcions de seguretat.

Adobe Reader i Acrobat

Aplicar l’última actualització de les aplicacions de lectura i edició de documents PDF o eliminar manualment el certificat segons les instruccions del bloc de seguretat d’Adobe (veure Referències).

iOS

Actualment no hi ha forma de modificar la llista de certificats de confiança des del mateix dispositiu. Apple no ha publicat una actualització per a aquests dispositius.

És possible modificar la llista de certificats de confiança mitjançant una aplicació de configuració externa d' Apple orientada a les empreses (iPhone Configuration Utility).

Android

Actualment l'única forma de gestionar els certificats en aquesta plataforma és mitjançant comandes de consola i amb l'usuari root del sistema.

Algunes aplicacions de Seguretat de tercers com WhisperCore eliminen el certificat en la seva última actualització (veure Referències).

Detall:
Segons la pròpia empresa de certificació, els certificats falsos són el resultat d'una intrusió en els seus sistemes que van descobrir el 19 de juliol. Els certificats emesos podrien incloure alguns de tipus EVSSL (de validació estesa).

En el procés d'investigació van descobrir diversos certificats falsos que van afegir a les seves llistes de revocació, però recentment s'ha descobert que seguia en circulació com a mínim un certificat vàlid emès per a qualsevol domini .google.com.

Diverses fonts han associat la intrusió a DigiNotar amb el govern d’Iran, que ho podria haver utilitzat per espiar als dissidents.

Actualització: Investigacions forenses posteriors de les autoritats holandeses i l'empresa de seguretat Fox-IT, han revelat la llista completa de certificats falsos emesos, que inclouen molts més objectius que els descoberts inicialment (veure Referències).

El suposat autor de la intrusió ha emès diversos missatges a través del lloc web Pastebin, afirmant que és el mateix que va realitzar la intrusió en una altra CA anteriorment (Comodo), i que té accés a almenys altres 4 CAs d'importància.

Referències

Nou (13/9): Avís de seguretat de Apple

Publicat a: Avisos
Tags: Seguretat