Hace unos días un grupo de hackers logró obtener una serie de certificados digitales fraudulentos, correspondientes a sitios tan conocidos como Google, Yahoo, Skype o Live.com, atacando una empresa afiliada a Comodo, una de las compañías autorizadas para la expedición de dichos certificados. La intrusión fue rápidamente detectada y anulada y los certificados revocados. Sin embargo la firma de seguridad Intego afirma que el navegador Safari podría seguir en peligro debido a la forma en que se comprueba la validación de la identidad digital. No es probable que se produzcan ataques reales aprovechando esta vulnerabilidad, pero es posible protegerse con unos sencillos pasos.
Los certificados digitales sirven, como ya imaginareis, para verificar que al otro lado de una conexión segura realmente se encuentra nuestro banco, o la tienda de Apple, o Amazon. En Safari un certificado válido se muestra mediante un candado en la esquina superior derecha de la ventana y el nombre de la empresa en color verde en la barra de dirección. Con un certificado falso sería posible, aunque no fácil, suplantar la página en cuestión y obtener todo tipo de datos personales. Pero si el certificado ha sido revocado el navegador debería impedirnos el acceso a la trampa.
El posible problema con Safari es debido a que el navegador de Apple utiliza el servicio de Acceso a Llaveros de Mac OS X, y por defecto la comprobación de las listas de validez de certificados está desactivada. Intego explica en su blog los sencillos pasos que hay que realizar para activar el uso de la Certificate Revocation List (CRL) y del Online Certificate Status Protocol (OCSP) en el Acceso a Llaveros que podemos encontrar en la carpeta de Utilidades dentro de Aplicaciones o simplemente buscando con Spotlight. Desgraciadamente el uso de estas funciones puede ralentizar el uso de internet en nuestro equipo.
La alternativa es usar otro navegador como el recientemente renovado Firefox o Google Chrome, ya que implementan otros mecanismos de validación y deberían detectar automáticamente la revocación de un certificado. De todas formas para realizar un ataque con éxito habría que crear una réplica completa de la web imitada y encontrar la forma de hacernos llegar hasta la versión falsa, un esfuerzo que no es probable que realicen los malhechores toda vez que el robo ha sido rápidamente detectado. Yo por si acaso seguiré usando Chrome como mi navegador por defecto.
Foto: Jeremy Daccarett