Portada
Hace 8 años | Por --127714-- a boingboing.net
Publicado hace 8 años por --127714-- a boingboing.net
Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

Symantec pillada emitiendo certificado ilegítimo de Google.com [ENG]

 boingboing.net

Hoy Symantec fue pillado emitiendo certificados ilegítimos de Google. La compañía es una de las más importantes en el mundo de la seguridad, y una de las autoridades de certificación más importantes del mundo. La emisión de un certificado ilegítimo para una de las compañías más grandes de Internet - una empresa que se encarga de una cantidad inimaginable de datos sensibles - es una "gran" noticia.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 5.2k 33

Comentarios

H

Si yo fuera google, haría que chrome dejara de aceptar los certificados firmados por Symantec. Deste ya mismo.

V 31
K 220
D

#1 pues el chrome es durisimo: no te permite aceptar certificados invalidos ni con intervención del usuario
Los autofirmados hay que meterselos a mano antes

V 4
K 36
D
autor

En realidad soy de los que piensa que las explicaciones de Symantec son creíbles.

Lo preocupante es lo de siempre, cuántas personas en Symantec tienen acceso a generar certificados válidos. Así como en otras compañías hasta el becario tiene las claves de acceso a los servidores principales de la compañía, es más que posible que suceda lo mismo en Symantec.

V 19
K 171
l
editado

#5 Esa es la cuestión, la infraestructura de clave pública es tan o más importante, en este caso claramente más, que las claves del banco. El par maestro debería de ser única y exclusivamente accesible por el gerente de la empresa y quizas alguna otra personas de muchísima confianza.

Pero claro, es que ellos son expertos en gestión.

V 3
K 33
systembd

#5 Ante un error causado por un humano, si tienes que elegir entre justificarlo por maldad o estupidez, escoje siempre lo segundo. Acertarás en más del 95% de las ocasiones.

Y lo dice un "experto" en HCI roll.

V 4
K 40
Wayfarer

#12 #5 «Nunca atribuyas a la maldad lo que puede ser explicado por la estupidez»
https://es.wikipedia.org/wiki/Principio_de_Hanlon

V 7
K 71
systembd

#20 Eeeso era... Sabía que lo había oído antes. Gracias.

V 3
K 39
mmcnet

#20 "Nunca atribuyas a la estupidez lo que pueda ser explicado por la maldad"
Principio de MMCNET.

V 1
K 19
U5u4r10

#12 hci?

V 0
K 7
systembd

#23 Human-Computer Interaction, la disciplina científica dedicada al estudio -y mejora- de la comunicación entre seres humanos y sistemas informáticos:
https://es.m.wikipedia.org/wiki/Interacci%C3%B3n_persona-computadora

V 2
K 26
D

#5 Pues a mí no me convence la explicación. Si realmente son certificados de prueba como dicen que narices hacen usando la CA válida que tiene todo el mundo. Creas otro certificado de CA para las firmas de prueba y lo instalas internamente allá donde quieras hacer las pruebas, así aunque alguien firme algo con ese certificado y se filtre no lo aceptará nadie más.

V 3
K 36
D

#18 Sactamente. La clave de "real" debe estar un en servidor rodeado de aire.

V 1
K 17
frg

#5 ¿Creíbles?.

Creíble es que esté colaborando con alguna "agencia de seguridad", para algo, como poco, turbio.

Si te crees lo que dicen, se les puede describir con un adjetivo, chapuceros.

Sea como fuere, queda claro que NO SON DE FIAR.

V 0
K 8
D

On September 14, around 19:20 GMT, Symantec’s Thawte-branded CA issued an Extended Validation (EV) pre-certificate for the domains google.com and www.google.com. This pre-certificate was neither requested nor authorized by Google.

V 7
K 68
D

Hay una posible "solución" para dificultar que pasen estas cosas. Extender la especificación del sistema de certificados para permitir que sus dueños puedan forzar el firmado múltiple por distintas autoridades de certificación.

Es decir, que cuando el navegador se descarga la información sobre el certificado, este pueda "entender" algún mensaje adjunto indicándole que a partir de ese momento, y para ese dominio, solo acepte certificados firmados por, no sé, digamos 2 o 3 entidades certificadoras, en vez de por solo una.

Esta extensión no sería ideal, admite posibles "ataques", pero si los primeros pasos del protocolo se siguen sin un ataque, a partir de ese momento la seguridad aumenta (y no es peor que antes de introducir esa modificación).

V 5
K 42
D
autor
editado

#8 Tienes razón, esa solución incrementa en cierta medida la certeza del usuario. Yo personalmente creo más en una tercera figura en la escala de confianza.

Las notarías digitales, que se ocupen de decir en tiempo real si un certificado es válido o no, es el sistema en el que se basa Convergence de Moxie Marlinspike.

Esas entidades serían independientes de las CA y se dedicarían en exclusiva a detectar problemas en los certificados, de esta manera también harían desaparecer el oligopolio de las CA ya que cualquier usuario podría crear un certificado válido ya que serían las notarías las que avalasen su validez.

V 5
K 58
RubiaDereBote
editado

#10 "ya que cualquier usuario podría crear un certificado válido"

Cualquiera puede crear un certificado válido. El problema es la confianza del mismo. Y la confianza se la da el propio usuario, muchas veces viene refrendado por el sistema operativo que ya viene con unas agencias de certificación como confiables por defecto.

Un ejemplo muy vistoso son los certificados de la Administración del estado, los certificados son válidos y el sistema operativo no los detecta como confiables porque el Estado no puede delegar esa tarea a una empresa privada de reconocimiento internacional. Pero aun así, son válidos, y son cofiables si así se lo estableces en el sistema operativo/navegador. Igual sucede con los que creas tú mismo en casa. No existe un certificado más válido y confiable para ti, que el creado por ti mismo.

V 8
K 69
D
autor

#16 Cuando dije "válido" pensaba que se sobreentendía que me refería a "de confianza".

Hoy por hoy tú puedes generar tantos certificados igual de seguros matemática y criptográficamente hablando como cualquier CA, pero nadie confiará en ellos.

Si entiendes el modelo que propone Moxie entenderás a lo que me refiero.

V 3
K 20
RubiaDereBote

#17 No puedo sobreentender que cuando dices A quieras decir NO A y B, como seguro que comprendes.

V 1
K 14
D
autor

#27 ¡¡A por todas en esta vida, campeón!!

V 1
K 6
D

#17 ¿nadie? Confiarás tú mismo y quien confíe en ellos

V 0
K 7
Cidwel

no es la primera CA que cae en bancarrota por emitir un certificado digital inválido

V 3
K 35
Cidwel

certificate transparency y eso que se pasan por el forro

V 2
K 29
g

http://i.imgur.com/v0ulKWY.jpg

V 2
K 28
D
editado

Los cetificados digitales son un buen invento implementados por el demonio en persona. LA PUTA MIERDA MÁS GRANDE DE ESTE UNIVERSO. lol

V 6
K 26
D

Habiendo comprado varios certificados a Symantec, debo decir que no estoy nada impresionado con las verificaciones que hacen.

Incluso el "extended validation" no implica ninguna visita fisica al comprador. Es que no sé qué es lo que validan. Todo se limita a unas llamadas a unos números de teléfono que sacan de un directorio comercial. Bastaría con tener acceso al switch de telefonía (que es una cosa que no se audita) para desviar esas llamadas al estilo Las Vegas, y obtener un certificado con el nombre que quieras.

V 2
K 26
Cidwel

#25 en los EV esto parece más comun de lo que te imaginas. Incluso en la CA para la que trabajo, los EV no requieren personación. Al final se suele validar una entidad mas que un individuo

V 1
K 22
Candidatas
31
meneos
tecnología La importante razón para llamar Galileo al GPS
31
meneos
tecnología Eye4Sky, la empresa española que lidera la revolución de los dispositivos ópticos de cristal líquido en el espacio
6
meneos
tecnología Comienza el espectáculo: Tesla duplica las entregas de almacenamiento a medida que las baterías cobran protagonismo
10
meneos
tecnología ¿Son habituales ataques con ordenador oculto como el del Ayuntamiento de Gijón?
18
meneos
tecnología El W3C publica sus «Principios éticos de la web»
9
meneos
tecnología Un haz concentrado de partículas y fotones podría llevarnos a Próxima Centauri
16
meneos
tecnología Starcraft (Una historia en dos actos) [ENG]
9
meneos
tecnología Epic, otra vez contra Apple: la acusa de obstruir el lanzamiento de la Epic Games Store en iOS
9
meneos
tecnología Por qué la cultura Hustle está dañando el sector tech | Disaaster
6
meneos
tecnología Se crea el primer acceso gratuito a la superficie lunar
14
meneos
tecnología Ucrania ve nacer la era de los robots asesinos impulsados por IA
8
meneos
tecnología Game Genie
7
meneos
tecnología ¿Es posible viajar en eléctrico? | Aprende a hacerlo con A Better Route Planner
8
meneos
tecnología Crean álbum de Pink Floyd con Inteligencia Artificial
13
meneos
tecnología Twilio anuncia que hackers obtuvieron los números de teléfono móvil de los usuarios de la aplicación de dos factores Authy
6
meneos
tecnología La computadora mecánica se basa en cubos kirigami, no en dispositivos electrónicos (eng)
19
meneos
tecnología Vulnerabilidad de ejecución remota de código sin autenticación en el servidor OpenSSH [eng]
7
meneos
tecnología Escándalo en 3 millones de apps móviles expuestas a serios problemas de seguridad
10
meneos
tecnología Las alas del caza secreto chino se transforman en drones en pleno vuelo
14
meneos
tecnología Editor online de fuentes de letra
D

Era de noche, habían tomado unas cuantas copas de más, una cosa llevó a la otra...

V 2
K 19
qemi

Poned Linux y olvidaros.

V 2
K 17
D

La cantidad de certificados falsos que debe de haber rondando por ahí en manos de agencias públicas o empresas especializadas en espionaje a ciudadanos y organizaciones.

Es monstruoso.

V 1
K 15
noexisto

Véase el final de la noticia y el comunicado de Symantec: http://www.symantec.com/connect/blogs/tough-day-leaders

Anda que la entidad holandesa (cerró) que autorizó unos para que el gobierno iraníes siguiera a unos disidentes

V 0
K 12
dudo

Symantec tu antes molabas

V 0
K 10
D

omaigor!

V 0
K 7