DigiNotar: los iraníes, el verdadero objetivo

Fecha: Mié, 07/09/2011 - 12:47 Fuente:

Autor: Feike Heicquebord, Trend Micro

En el siguiente texto, Trend Micro presenta pruebas tangibles de que la reciente vulnerabilidad de la empresa certificadora holandesa DigiNotar se utilizó para espiar a usuarios de Internet iraníes de forma masiva

DigiNotar: los iraníes, el verdadero objetivo

En Trend Micro hemos descubierto que usuarios de Internet de más de 40 redes distintas de ISP y universidades de Irán se toparon con certificados SSL falsos emitidos por DigiNotar. Y lo más grave aún: hemos hallado pruebas de que algunos iraníes que usaban software diseñado para burlar la censura y espiar el tráfico no estaban protegidos contra este ataque masivo “man-in-the-middle” (conocido como ataque MitM o intermediario en español).

Certificados SSL falsos para ataques MitM
Los certificados SSL se utilizan para mantener sesiones Web seguras, como al realizar transacciones bancarias en Internet y en sesiones de Gmail de Google. Las autoridades certificadoras son las encargadas de emitir certificados SSL y de comprobar la autenticidad de los certificados SSL. En julio de 2011, algunos hackers consiguieron crear certificados SSL falsos para cientos de nombres de dominios, incluido google.com e incluso todo el dominio de nivel principal .com mediante la intrusión en los sistemas de la certificadora holandesa DigiNotar. Este ataque es de extrema peligrosidad, puesto que estos certificados SSL falsos pueden utilizarse en ataques MitM en donde el tráfico Web seguro cifrado puede ser leído por terceras personas.
El 29 de agosto de 2011 se descubrió el certificado SSL falso de Google.com emitido por DigiNotar. Este certificado permite espiar el tráfico de Gmail en los ataques MitM. Trend Micro ha descubierto pruebas tangibles de que estos ataques fueron perpetrados a gran escala en Irán.
Nuestras pruebas se basan en los datos recopilados estas últimas semanas por nuestra infraestructura Trend Micro Smart Protection Network. Trend Micro Smart Protection Network analiza de forma constante los datos de los bucles de comentarios de millones de clientes de todo el mundo, incluidos a qué nombres de dominio se accede desde qué partes del mundo y a qué hora. Esta valiosa información nos permite proteger frente a los vectores de ataque más recientes en un abrir y cerrar de ojos.

Ataque dirigido a los usuarios iraníes
En el caso del dominio validation.diginotar.nl, hemos encontrado un patrón muy interesante en las últimas semanas: hasta el 30 de agosto de 2011, lo cargaron principalmente usuarios de Internet con base en Holanda e Irán. El nombre de dominio validation.diginotar.nl lo utilizan los navegadores de Internet para verificar la autenticidad de los certificados SSL que son emitidos por DigiNotar. DigiNotar es una pequeña empresa certificadora holandesa con clientes de Holanda principalmente. Por lo tanto, lo esperado es que este nombre de dominio sea solicitado por usuarios de Internet holandeses casi en su totalidad y, quizás, por algún puñado de usuarios de otros países. Pero no por un gran número de iraníes.
A partir del análisis de los datos de Smart Protection Network, observamos que el 28 de agosto de 2011 una parte significativa de usuarios de Internet que cargaron la URL de verificación de certificados SSL de DigiNotar eran de Irán. El 30 de agosto de 2011, la mayor parte del tráfico de Irán desapareció y el 2 de septiembre de este año prácticamente todo el tráfico iraní se había esfumado y DigiNotar siguió recibiendo a usuarios de Internet holandeses, como es habitual.
Estas estadísticas agregadas de Trend Micro Smart Protection Network exponen con claridad que los usuarios de Internet iraníes estuvieron expuestos a un ataque MitM a gran escala en el que el tráfico cifrado de SSL pudo ser descifrado por terceras personas. Por ejemplo: probablemente, terceras personas pudieron leer toda la comunicación por correo electrónico que un usuario de Internet había enviado desde su cuenta de Gmail.
Un análisis más detenido de nuestros datos revela hechos incluso más alarmantes: hemos detectado que los nodos de proxy salientes del software anticensura estadounidense creado en California enviaron solicitudes de clasificación Web para validation.diginotar.nl a los servidores en nube de Trend Micro. Esto significa casi con total seguridad que los ciudadanos iraníes que usaban este software anticensura fueron las víctimas del mismo ataque MitM. Su software anticensura debería haberles protegido pero, en realidad, sus comunicaciones cifradas fueron probablemente espiadas por terceras personas.

Si desea consultar esta información visite: http://blog.trendmicro.com/diginotar-iranians-the-real-target/  y  http://countermeasures.trendmicro.eu/diginotar-iran-certificates-and-you/

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar