15 mar 2012

SSLCop 1.0, dale caña a las CA

Hola!

Muy buenas a todos/as!

Cuando trabajamos con el sistema operativo accedemos a diversas webs, hay muchas de ellas a las que accedemos mediante HTTPS, me acuerdo cuando en el área de soporte le decías a la persona que te llamaba.

“Si sale el candadito, es que estás seguro/a”

El tema de las CA es un cachondeo sobretodo, porque by default aceptamos varias entitades como confianza.

Esta problemática es la que quiso exponer Yago Jesús en la charla que pudimos ver/oir en la Rooted con.

La charla de Yago Jesús  trataba las siguientes problemáticas:

Problemas relacionados con gestión de certificados SSL (no verificabilidad, falsa sensación de seguridad, fallos en procesos de registro)Problemas relacionados con certificados en formato PKCS#12Problemas relacionados con comunicaciones seguras cifradas (ataques MitM avanzados)Vectores prácticos de ataques a SmartCards (Dni-e)

Junto con la charla, Yago ha desarrollado una herramienta SSLCop que se encarga de bloquear las CA por procedencia.

Aquí tenemos un vistazo a la herramienta

La herramienta ofrece de manera muy fácil el poder bloquear las CA por procedencia geográfica.

Por ejemplo, marcamos todo menos España, y le damos a bloquear

De esta manera tan sencilla podemos bloquear todas las CA, así de fácil.

La pregunta que planteaba Yago en la charla de la Rooted era “¿es necesario que yo, nacido y residente en España, confíe en la CA del gobierno de Japón? más aún ¿En la CA del gobierno Chino o la de Túnez?”

Cada uno es consecuente con lo que hace en Internet, pero si podemos securizarnos un poco mas, mejor que mejor.

Ya han habido problemas relacionados con las CA, Security by Default lo explicaba, por ejemplo en el caso de Comodo, o en el caso de Diginotar.

La herramienta SSLCop la podéis descargar de aquí.

Os animo también a probar dos herramientas mas desarrolladas por Yago,Unhide Patriot.

Saludos

2 comentarios: