Por qué los procedimientos PKI son tan importantes para su empresa
La mayoría de las personas familiarizadas con la infraestructura de clave pública conocen los desafortunados sucesos acaecidos a la CA pública holandesa DigiNotar. Como neerlandés y especialista en PKI, me interesó especialmente este suceso. En el momento en que ocurrió, en septiembre de 2011, me encontraba en los Países Bajos y tuve la suerte de poder ver y leer las cosas de primera mano.
DigiNotar fue la primera CA pública que quebró por haber sido pirateada. Esto es muy importante para el mundo de la PKI, ya que demuestra lo esencial que es la seguridad de la PKI y el seguimiento de los procedimientos para mantener una empresa en funcionamiento. Además, la quiebra de DigiNotar podría haberse evitado si simplemente hubieran hecho lo que considero uno de los aspectos más importantes de la seguridad informática: Seguir los procedimientos a la perfección, todas y cada una de las veces.
He aquí una breve cronología de los acontecimientos publicados en el informe provisional ("Operación Tulipán Negro") de Fox-IT:
|
Posiblemente la primera exploración por el atacante (s) |
|
Servidores en la DMZ en control del atacante o atacantes |
|
Incidente detectado por DigiNotar mediante el procedimiento de auditoría diaria |
|
Primer intento de crear un certificado falso |
|
El primer certificado falso que ha tenido éxito (*.Google.com) |
|
Última vez que se creó el certificado falso |
|
Último tráfico saliente a IP de atacante(s) (no confirmado) |
|
Inicio de una investigación por parte de una empresa de seguridad informática (sin confirmar) |
|
Entrega del informe de seguridad de la empresa de seguridad informática |
|
Primera solicitud OCSP falsa *.google.com |
|
Visto por primera vez que se verificaron certificados falsos de Irán |
|
Iniciar actividad masiva de *.google.com en el respondedor OCSP |
|
Primera mención del certificado *.google.com en un blog |
|
GOVCERT.NL es notificado por CERT-BUND (Alemania) |
|
El certificado *.google.com está revocado |
|
Iniciar investigación por Fox-IT |
|
Sensor de respuesta a incidentes activo |
|
OCSP basado en lista blanca. DigiNotar se declara en quiebra |
Pasado y presente de las operaciones públicas de AC.
Cuando se introdujeron por primera vez las CA públicas, sus operaciones diarias eran muy diferentes a como se hacen ahora. Por ejemplo, antes se tardaba varios días en obtener un certificado de SSL , mientras que hoy sólo se tarda unos minutos. Las exigencias de rapidez y eficacia de la sociedad moderna han obligado a las empresas de TI a encontrar formas más rápidas y mejores de satisfacer las necesidades de sus clientes. Aunque el crecimiento puede ser emocionante para cualquier empresario, a veces la necesidad de velocidad tienta a los propietarios a ignorar advertencias y procedimientos para hacer un trabajo más rápido. A medida que crece la reputación de la empresa y su competencia se hace más feroz, también se hace cada vez más difícil mantener una apariencia exterior sólida ante la comunidad, ya que las imperfecciones podrían causar una pérdida de negocio y dinero para la empresa. Por eso, como en el caso de DigiNotar, muchos empresarios entran en pánico cuando algo como el pirateo informático golpea con fuerza a su empresa. La tentación de "tomar atajos" se dispara, especialmente cuando se trata de seguir los procedimientos. Admitir que se ha producido un problema, como el pirateo, puede suponer la pérdida de un cliente valioso y de mucho dinero, y no es un riesgo que muchos propietarios quieran correr. Pero en el mundo de la seguridad, el riesgo rara vez equivale a la recompensa, y seguir los procedimientos adecuados, por muy meticulosos que sean, podría marcar la diferencia entre mantener su empresa a largo plazo o verse obligado a declararse en quiebra.
Procedimientos, procedimientos, procedimientos.
Cuando hablo con los clientes sobre PKI, paso la mayor parte del tiempo discutiendo los procedimientos adecuados en lugar de centrarme en los aspectos técnicos. A menudo esto les sorprende, e incluso pueden reaccionar de forma despectiva. Aunque es posible que el cliente sólo quiera hablar de la seguridad PKI en relación con sus redes, yo le animo a que también dedique el tiempo necesario a analizar el aspecto físico de la seguridad informática, que también es muy importante. Esto incluye incluso un aspecto de relaciones públicas, como la forma de gestionar y anunciar sucesos desafortunados como el cierre de una red o un fallo de seguridad.
Entre los temas que trato se incluyen:
- Acceso a la sala PKI
- Creación de una Política de Certificación (PC) y una Declaración de Prácticas de Certificación (DPC), (Cuestiones jurídicas)
- Proceso de validación del usuario final (persona, dispositivo)
- Creación de un equipo de PKI (funciones de PKI)
- Qué hacer cuando te atacan o piratean (Relaciones públicas)
Estos procedimientos se aplican no sólo a las CA privadas internas, sino también a las públicas.
Todos hemos oído hablar de la "Ley de Murphy", que significa "todo lo que puede salir mal, saldrá mal". Se trata de un excelente recordatorio para cualquiera que utilice PKI, ya que siempre debe asumir el peor escenario posible cuando tenga la tentación de pasar por alto o saltarse los procedimientos, por ridículos que parezcan. La única vez que corras al baño y decidas abrir la puerta de la sala de PKI en lugar de cerrarla, será la única vez que alguien entre en la sala y piratee tu sistema.
Nos han pirateado. ¿Qué hacemos ahora?
La respuesta es: ¡Seguir los procedimientos! Empresas como VeriSign, Entrust, Comodo o CyberTrust, por nombrar algunas, cuentan con procedimientos para proteger su PKI. Comodo fue pirateada por los mismos hackers que DigiNotar. Entonces, ¿por qué DigiNotar quebró cuando fue pirateada y las demás empresas no?
La respuesta es muy sencilla. No siguieron los procedimientos PKI ni cumplieron los requisitos de seguridad. En cuanto DigiNotar descubrió que alguien había pirateado sus sistemas, debería haberlo hecho público, pero no lo hizo. En lugar de eso, lo mantuvieron en secreto e intentaron encubrirlo, lo que no hizo sino agrandar y empeorar la situación.
Cuando sospeche de un ataque o pirateo en su PKI, lo primero que debe hacer es un anuncio público (o interno, si tiene una PKI privada). Aunque admitir un ataque puede ser un golpe para su reputación o ego, al final puede ser lo que salve su negocio. Las personas no sólo pueden estar alerta y protegerse contra nuevos ataques, sino que también se aumenta su concienciación y es más probable que informen de actividades sospechosas que podrían ayudar a la empresa a encontrar y detener al atacante.
Además de no hacer un anuncio, Diginotar también cometió el error de permitir el uso indebido y el acceso no autorizado a la clave privada, causando un compromiso de seguridad. Si te das cuenta de que tu sistema ha sido comprometido, hay procedimientos que debes seguir inmediatamente, antes de que se hayan producido daños mayores y más extensos.
La seguridad es sensata.
El desafortunado destino de Diginotar nos recuerda lo importante que es disponer de una PKI y utilizarla correctamente para el éxito de una empresa. Con las medidas adecuadas y siguiendo los procedimientos al pie de la letra, una empresa puede evitar sucesos trágicos que pueden llevarla a la pérdida y, en última instancia, a la quiebra. Nunca tenga miedo de hacer preguntas o sobrecargar su negocio con políticas y procedimientos. Si necesita ayuda de PKI, los consultores de CSS, como yo, siempre estamos encantados de ayudarle a asegurar su negocio, así como su confianza.