Una historia verdaderamente detective se ha desarrollado en los últimos meses en torno a
DarkMatter , que se
ha aplicado para incluir a su autoridad de certificación en el almacén de certificados raíz de confianza de Mozilla. El hecho es que no se trata de una empresa simple, sino de un desarrollador de software "spyware" de los EAU. Anteriormente se la
vio comprando hazañas de 0 días . En principio, esto no es un delito en sí mismo. Muchas empresas, incluidas las rusas, están desarrollando herramientas de hackers utilizando 0day. Venden estos programas, por ejemplo, a los organismos encargados de hacer cumplir la ley para hackear teléfonos (experiencia forense) o la instalación oculta de troyanos (vigilancia operativa). Pero las reglas generalmente aceptadas son tales que las empresas piratas informáticas cooperan solo con gobiernos democráticos, es decir, están "del lado del bien".
Las pasiones aumentaron en febrero de 2019 cuando salió una
investigación de Reuters de que DarkMatter estaba vendiendo software a regímenes represivos en el Medio Oriente.
Mozilla instantáneamente cayó
bajo presión .
El almacén de certificados raíz de confianza de Mozilla también lo utilizan algunas distribuciones de Linux. Muchos temían que una vez en Mozilla Root Store, DarkMatter comenzara a emitir certificados TLS, que pueden usarse para interceptar el tráfico de Internet de los usuarios. Tales casos ya han estado en países con regímenes represivos, aunque DarkMatter afirma que nunca ha participado en tales operaciones. Aunque ahora el problema podría afectar solo a ciertos sistemas Linux, pero es Linux el que se ejecuta en los servidores de los proveedores de la nube y se implementa en los centros de datos. Al
discutir la situación en los Grupos de Google , los representantes de DarkMatter aseguraron que nunca iban a hacer algo así.
Al mismo tiempo, los certificados DarkMatter han sido analizados. Y se descubrió rápidamente una extrañeza: para los números de certificado secuenciales, se usaron números aleatorios del espacio de 63 bits en lugar de 64 bits, como debería de acuerdo con la especificación. Esto viola los requisitos mínimos de entropía del foro CA / B (64 bits). Por lo tanto, Mozilla tenía razones formales para rechazar la inclusión de "espías" en el almacén de certificados de confianza.
Sin embargo, resultó que tal violación fue cometida no solo por DarkMatter, sino también por una docena de centros de certificación, incluidos GoDaddy, Apple y Google. La razón es que todas las CA afectadas utilizaron la popular solución de código abierto EJBCA PKI con la configuración incorrecta.
El retiro masivo de los principales centros ha comenzado. El procedimiento tomó mucho tiempo (hasta 30 días) debido a la gran cantidad de certificados. Tuvieron que violar RFC5280, que obliga a revocar certificados no válidos dentro de los cinco días. Como resultado, según algunas estimaciones, se retiraron varios millones de piezas.
Así es como la compañía de espionaje DarkMatter hizo un buen trabajo: ayudó a detectar una vulnerabilidad criptográfica grave. Pero ella misma estaba herida. De hecho, las acusaciones de una investigación de Reuters no tienen una base seria: quizás esto sea solo la especulación de un periodista. Sin embargo, su solicitud de inclusión en el almacenamiento raíz de confianza de Mozilla ya ha sido rechazada, por lo que los representantes de la compañía están
sinceramente indignados . Y algunos están de acuerdo con ellos.
“Una situación extraña. Por un lado, una negación de la solicitud de DarkMatter sobre la base de estos artículos en la prensa sentará un precedente para rechazar la evidente conciencia de un miembro de la industria basada solo en rumores y sin evidencia ", escribe Nadim Kobeissi, un conocido especialista en seguridad. "Por otro lado, al decidir actuar de buena fe, de manera transparente y con evidencia objetiva, en realidad estamos arriesgando un riesgo a largo plazo de socavar la confianza del público en el proceso de incorporación de AC".
Realmente me parece que ambas decisiones serán perjudiciales. En el primer caso, esto parecerá discriminatorio (e incluso un poco xenófobo) ... y en el segundo, habrá una seria nube de incertidumbre sobre la seguridad del directorio raíz de la CA en su conjunto. Y ni siquiera sé cómo alguien puede al menos disiparlo algún día.
Como observador externo, sinceramente no sé qué hacer Mozilla en este momento ...
De hecho, me gustaría que se publicaran pruebas serias contra el DarkMatter (si existe). Ayudarían a Mozilla a tomar una posición defensiva fuerte ".
Según los expertos de la industria SSL / PKI, la revocación repentina de certificados también demuestra el importante papel de la automatización en la gestión de los certificados de la empresa. Después de todo, de hecho, se le puede revocar un certificado en cualquier momento debido a un evento tan crítico.
Es bueno si es un certificado en un servidor, pero el problema se vuelve serio si tienes cientos de certificados en dispositivos IoT revocados instantáneamente. ¿Y si son miles de dispositivos, decenas de miles? Para resolver este problema, GlobalSign celebró un acuerdo de asociación tecnológica con
Xage Security . Implementará el sistema de gestión automática de certificados
IoT Identity Platform , capaz de emitir 3000 certificados por segundo.
Únase hoy a desarrolladores, innovadores en el campo de Internet de las cosas y administre varios
dispositivos IoT basados en PKI con soluciones GlobalSign .
¿Necesitas más información? Siempre nos complace asesorarle por teléfono +7 499-678-2210.