Hace algo más de un año se descubrió que la autoridad certificadora (CA) holandesa Diginotar había sido hackeada, ahora ha visto la luz el informe completo de las investigaciones que muestra que el fallo de seguridad fue mucho más grave de lo que se creía, ya que el atacante tuvo bajo control todos los servidores certificadores.

diginotar

 

 

Las investigaciones en el ámbito de la informática forense llevan también su tiempo ya que no se puede dejar nada al azar, pero como es el caso de DigiNotar suelen arrojar luz sobre los casos. Algo más de un año después de que saliera a la luz que la CA Diginotar, ahora en quiebra, fue hackeada descubrimos la verdadera gravedad de los hechos. Gracias a un riguroso informe de Fox-IT que demuestra que los atacantes tenían acceso a estos servidores un mes antes de que DigiNotar, que en aquellos momentos incluso certificaba a gobiernos, identificara el ataque.

El atacante tuvo bajo control los ocho servidores capaces de emitir certificados, por lo que pudo haber emitido un número indeterminado de certificados aún no identificados que pueden estar siendo utilizados en sofisticados ataques informáticos en estos momentos. Ya el año pasado algunos de estos certificados falsos fueron usados en un ataque man-in-the-middle a gran escala contra los usuarios de Gmail en Irán. En ese caso los atacantes estaban utilizando un certificado falso emitido para google.com lo que les permitía hacerse pasar por google ante cualquier navegador que confiara en este certificado. Además de este certificado también se descubrieron otros para Yahoo, Mozilla..

En el informe también se apunta que el atacante de DigiNotar pudo haber sido el mismo de otro importante CA como Comodo, ya que Fox-IT consiguió cotejar huellas digitales que indicarían un mismo origen que han conseguido rastrear hasta Irán. De la misma manera se indica que aunque DigiNotar tenía una infraestructura de red segmentada con nodos sin comunicación con Internet, la relajación en las normas de la propia red permitieron a los atacantes pasar del servidor web comprometido inicialmente hacía otras partes de la red, desde la que establecieron túneles para controlar directamente estos servidores de emisión de certificados.

Informe en PDF