{"id":13356,"date":"2018-08-29T14:58:40","date_gmt":"2018-08-29T20:58:40","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13356"},"modified":"2018-09-18T06:28:04","modified_gmt":"2018-09-18T12:28:04","slug":"residual-certificates-mitm-dos","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/residual-certificates-mitm-dos\/13356\/","title":{"rendered":"Ataques MitM y DoS en dominios mediante certificados antiguos"},"content":{"rendered":"

Los certificados HTTPS son uno de los pilares de la seguridad de Internet, pero no todo lo que brilla es oro. Ya hemos discutido c\u00f3mo el sistema actual suele fallar a la hora de garantizar la seguridad de los usuarios<\/a>, pero \u00bfc\u00f3mo podr\u00eda perjudicar esto a los propietarios de los sitios web?<\/p>\n

\"\"<\/p>\n

Dos certificados v\u00e1lidos para el mismo dominio<\/h3>\n

El registro de dominios y la certificaci\u00f3n HTTPS se suelen controlar por diferentes organizaciones, as\u00ed que los periodos de validez de dominios y certificados no tienen por qu\u00e9 ser los mismos. Esto genera situaciones en la que los propietarios antiguos y los actuales tienen certificados v\u00e1lidos<\/em> para el mismo dominio al mismo tiempo.<\/p>\n

\u00bfQu\u00e9 puede salir mal en una situaci\u00f3n as\u00ed? \u00bfEs algo com\u00fan? En DEF CON 26<\/a>, los investigadores Ian Foster y Dylan Ayrey presentaron su estudio sobre este problema. Seg\u00fan ellos, hay m\u00e1s complicaciones de las que se aprecian a simple vista y la situaci\u00f3n se ha extendido sorprendentemente.<\/p>\n

El problema m\u00e1s obvio es lo que te puedes esperar si alguien m\u00e1s cuenta con un certificado v\u00e1lido para tu dominio: un ataque Man-in-the-Middle<\/a> a los usuarios de tu p\u00e1gina web.<\/p>\n

Foster y Ayrey utilizaron la base de datos de certificados de Certificate Transparency<\/a> para identificar 1.500.000 certificados con propiedad compartida, que equivale a casi el 0,5 % de todos los sitios de Internet. En un cuarto de estos casos, el certificado m\u00e1s antiguo sigue siendo v\u00e1lido, lo que supone que 375.000 dominios quedan vulnerables antes el ataque Man-in-the-Middle.<\/p>\n

\"\"<\/p>\n

Pero eso no es todo. Es muy com\u00fan hacer un certificado para m\u00faltiples dominios, puede que dos o incluso cientos de ellos. Por ejemplo, Foster y Ayrey detectaron un certificado que cubr\u00eda 700 dominios a la vez y, como los investigadores dicen, esta lista incluye algunos dominios muy populares.<\/p>\n

Algunos de estos 700 dominios est\u00e1n vacantes actualmente, por tanto, cualquiera podr\u00eda adquirir uno y obtener un certificado HTTPS para el mismo. Ahora, la pregunta es si el propietario del nuevo dominio tiene el derecho a anular el certificado previo para proteger su p\u00e1gina web de un ataque Man-in-the-Middle.<\/p>\n

\u00bfSe puede anular un certificado?<\/h3>\n

Los certificados se pueden anular. Los procedimientos operativos de los centros de certificaci\u00f3n<\/a> proporcionan la anulaci\u00f3n de certificados si \u201caparece en el certificado informaci\u00f3n err\u00f3nea o incorrecta\u201d. Esta anulaci\u00f3n debe realizarse las 24 horas siguientes luego de recibir la notificaci\u00f3n.<\/p>\n

Pero Foster y Ayrey analizaron c\u00f3mo funciona en la vida real y descubrieron que el proceso var\u00eda de forma considerable dependiendo del centro de certificaci\u00f3n. Por ejemplo, Let\u2019s Encrypt utiliza herramientas automatizadas que ayudan a anular r\u00e1pidamente un certificado, casi en tiempo real. Sin embargo, en otros centros de certificaci\u00f3n, hay que ponerse en contacto con una persona real, por lo que el proceso es m\u00e1s lento. A veces, conseguir la anulaci\u00f3n de un certificado requiere constancia y mucho m\u00e1s que las supuestas 24 horas especificadas y, en el peor de los casos, puede que no consigas la anulaci\u00f3n del certificado. Por ejemplo, Comodo respondi\u00f3 a los investigadores con la siguiente sugerencia: \u201colvida este SSL y solicita un nuevo SSL\u201d.<\/p>\n

\"\"<\/p>\n

De una manera u otra, es muy probable que acabes con un certificado antiguo y esto puede ser negativo y positivo. Por un lado, el nuevo propietario del dominio podr\u00e1 protegerse en la mayor\u00eda de los casos de un ataque Man-in-the-Middle que utilice la vulnerabilidad de este certificado. Y, por otro lado, significa que otra persona puede comprar un dominio libre de entre los cubiertos por un certificado \u201ccompartido\u201d y revocarlo, lo que perjudica el uso de los sitios web asociados.<\/p>\n

Te preguntar\u00e1s si este problema es extenso y podemos afirmar que incluso m\u00e1s que el anterior: 7 millones de dominios (\u00a1m\u00e1s del 2 % de Internet!) comparten sus certificados con dominios cuya inscripci\u00f3n ha expirado. El 41 % de los certificados anteriores siguen siendo v\u00e1lidos. Por tanto, varios millones de dominios siguen expuestos a ataques DoS<\/a> que utilizan la vulnerabilidad de la anulaci\u00f3n del certificado.<\/p>\n

\"\"<\/p>\n

Volviendo al certificado con 700 dominios, para demostrar que se trata de un problema inmediato, los investigadores compraron uno de los dominios gratuitos cubierto por este certificado. As\u00ed que ahora, en teor\u00eda, tienen la oportunidad de lanzar un ataque DoS a cientos de sitios web activos.<\/p>\n

C\u00f3mo protegerse<\/h3>\n

Un total de 375000 dominios son vulnerables a los ataques MitM y otros tantos millones a los ataques DoS expandidos mediante un certificado antiguo. Tus dominios tambi\u00e9n pueden estar en la lista. Despu\u00e9s de que se presentara este informe en la conferencia de hackeo<\/i> m\u00e1s importante, puedes estar seguro de que alguien ya anda en busca de dominios vulnerables, incluso mientras lees este art\u00edculo. \u00bfC\u00f3mo pueden protegerse los propietarios de sitios web? Foster y Ayrey sugieren que:<\/p>\n