jueves, 7 de junio de 2012

Flame, Hash y Certificados.

Ultimamente se esta hablando mucho de Flame, los investigadores de distintos sitios están diseccionando el espécimen y una de los aspectos que llama mas la atención es que este software tenia certificados digitales validos de Microsoft, hasta tal punto que la propia empresa envió actualizaciones de seguridad para revocar estos certificados.

Algunos lectores nos preguntan ¿si es tan critico todo esto?, así que vamos a hablar un poco de los certificados digitales y como Flame los utiliza para atacar las distintas maquinas dentro de una red local.

Lo primero que recomiendo si no tienes muchos conocimientos sobre certificados es que leas este articulo donde se explica lo mas básico del funcionamiento de los equipos con los certificados.

Los requisitos para que un certificado sea valido son:
El certificado tenga un formato valido(ruta entidades, caducidad, etc).
Acceder a una la lista de revocación.
Entidades certificadora raíz (CA) e intermedia sean de confianza.

En nuestros equipos, hay una serie de entidades de certificacion de confianza que están instaladas, Microsoft es una de ellas, esto quiere decir que cualquier software que venga firmado con un certificado digital de esta empresa tiene privilegios para hacer mas cosas en la maquina, algunas de estas operaciones sin consultar al usuario.

Esta funcionalidad se aplica para actualizar los componentes del Sistema Operativo, y es la que aprovecha Flame, Hispasec explica el proceso muy bien.

¿Como se obtuvieron?
Los certificados firmados con el algoritmo MD5, de sobra conocido como no seguro, se pudieron modificar mediante un método de colisiones MD5 para modificarlos sin cambiar la firma.


Seguridad a lo Jabali para Todos!!

2 comentarios:

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias