Google, Mozilla y Apple bloquearon el miércoles un certificado raíz falso emitido por el gobierno de Kazajstán para espiar las actividades en línea de sus ciudadanos.
El gobierno instruyó a los ciudadanos a instalar el certificado en todos sus dispositivos, y proporcionó instrucciones separadas para los navegadores web Android, iOS, Chrome, Firefox e Internet Explorer, según F5 Labs.
Cuando aquellos que instalaron el certificado intentan acceder al sitio web usando Chrome, Firefox o Safari, ahora verán un mensaje de error que indica que no se debe confiar en el certificado de "Red de confianza Qaznet".
Google agregó el certificado a CRLSet y lo bloqueará en otros navegadores basados en Chromium, según Andrew Whalley, Chrome Security.
"Creemos que esta es la respuesta adecuada porque los usuarios en Kazajstán no tienen una opción significativa sobre si instalar el certificado y porque este ataque socava la integridad de un mecanismo crítico de seguridad de la red", dijo Wayne Thayer, Gerente del Programa de la Autoridad de Certificación de Mozilla.
Según los informes, Apple también ha tomado medidas para garantizar que Safari no confíe en el certificado.
Redmond silencioso
Microsoft no ha dicho nada públicamente sobre el tema.
"La Autoridad de Certificación en cuestión no es una CA de confianza en nuestro Programa de raíz de confianza", dijo un portavoz de Microsoft en un comunicado proporcionado a TechNewsWorld por la representante de la compañía Katie Schick.
Microsoft "probablemente tiene varios contratos importantes con el gobierno, y generalmente están mucho más expuestos si un gobierno quiere ir tras ellos, por lo que tienden a ser mucho más cautelosos", sugirió Rob Enderle, analista principal del Grupo Enderle.
Apple y Google no tienen mucha presencia en el gobierno, dijo a TechNewsWorld.
¿Buenas intenciones?
El certificado raíz falso permitió al gobierno de Kazajstán acceder al tráfico en línea de los ciudadanos, eludiendo el cifrado, a través de un ataque man-in-the-middle (MITM).
El certificado falso descifra el tráfico y lo cifra con su propia clave antes de reenviar el tráfico a su destino,
Planeta censurado encontró.
El objetivo era proteger a los usuarios de Kazajstán de las amenazas cibernéticas, según funcionarios del gobierno.
El certificado falso debe instalarse manualmente porque los navegadores no confían en él de forma predeterminada.
Censored Planet observó por primera vez la intercepción del tráfico en línea a través del mecanismo del certificado el 17 de julio y comenzó a rastrearlo el 20 de julio. La intercepción no fue continua, comenzando y deteniéndose varias veces.
Detectando el ataque
Censored Planet detectó el ataque usando una técnica llamada "HyperQuack", que implica conectarse a
TLS servidores y envío de apretones de manos que contienen dominios potencialmente censurados en la extensión de indicación de nombre de servidor (SNI).
Si la respuesta difiere de una respuesta normal de apretón de manos, el dominio se marca como potencialmente censurado.
Al menos 37 dominios se vieron afectados:
- google.com, docs.google.com, mail.google.com y otros sitios de Google;
- youtube.com;
- android.com y sitios relacionados de Android;
- instagram.com y sitios relacionados de Instagram;
- twitter.com; y
- Varios sitios de Facebook.
Censored Planet descubrió que las conexiones solo se interceptaban si seguían una ruta de red que pasaba por el sistema de intercepción.
Sin embargo, la intercepción se produjo independientemente de la dirección que tomó la conexión a lo largo del camino. Eso permitió que el comportamiento de intercepción se activara desde fuera de Kazajstán al hacer conexiones a los servidores TLS dentro del país.
Tempestad en la taza de té?
Censored Planet tiene dos clientes de servidor privado virtual (VPS) en Kazajstán. Pudieron acceder a los sitios afectados sin ninguna intercepción HTTPS, lo que sugiere que no era universal.
La organización señaló que muchos clientes no reciben el certificado inyectado incluso cuando se conectan a dominios que se sabe que están afectados.
Se encontraron certificados inyectados en aproximadamente 1,600 de más de 6,700 hosts TLS a los que se accedió a través de uno de los clientes VPS de Censored Planet, y solo 459 de los hosts TLS cuando se accedió desde los Estados Unidos.
A principios de este mes, el gobierno de Kazajstán dijo que un nuevo sistema de seguridad que se estaba probando causó interrupciones en el acceso a Internet para los residentes de la capital del país, Nur-Sultan.
Se inspeccionó un tercio de todo el tráfico en la ciudad, dijo el gobierno, y agregó que las pruebas se completaron y que los ciudadanos que habían instalado el Certificado Nacional podrían eliminarlo. Los ciudadanos tendrían que instalarlo nuevamente si fuera necesario.
La ruta a todos los 1,600 servidores pasó a través de AS 9198, Kazakhstantelecom, que posee un monopolio de facto sobre la infraestructura troncal, y estableció el Punto de Intercambio de Internet de Kazajstán, un centro de intercambio para el tráfico doméstico, según Freedom House.
Si al principio no tienes éxito
El gobierno de Kazajstán primero intentó lanzar un falso ataque de CA en 2015.
Solicitó convertirse en una Autoridad de Certificación (CA) de confianza en el programa Mozilla, pero la solicitud fue denegada porque Mozilla tenía evidencia de que el gobierno planeaba interceptar el tráfico al obligar a los usuarios a instalar el certificado raíz en el error.
El último ataque utilizó un error diferente. Kazajstán describió el ataque como una prueba de sus ciberesistemas.
Mozilla bloqueó el certificado Qaznet porque algunos usuarios ya lo habían instalado y porque la organización consideró probable que el gobierno pudiera volver a confiar en él en el futuro.
Si el gobierno cambia a un nuevo certificado, Mozilla prometió tomar medidas similares para proteger la seguridad y la privacidad de los usuarios de Firefox.
Los fabricantes de navegadores han bloqueado previamente los certificados digitales. En 2015, Google y Mozilla bloquearon todos los nuevos certificados digitales que emitió el Centro de Información de Redes de Internet de China (CNNIC) después de una fecha límite.
Tomaron esa medida en respuesta a credenciales no autorizadas emitidas para Gmail y otros dominios de Google.
Sin embargo, Microsoft se limitó a emitir una actualización de seguridad, y Apple no tomó ninguna medida contra CNNIC.
Richard Adhikari ha sido reportero de ECT News Network desde 2008. Sus áreas de enfoque incluyen seguridad cibernética, tecnologías móviles, CRM, bases de datos, desarrollo de software, computación mainframe y de rango medio, y desarrollo de aplicaciones. Ha escrito y editado para numerosas publicaciones, incluyendo Semana informativa y Mundo de la informática. Es autor de dos libros sobre tecnología cliente / servidor.
Correo electrónico a Richard.