Cómo perdí el control de mi PKI

Mientras conduzco hacia la oficina, me fijo en los abedules en ciernes y me pregunto cuándo empezarán mis alergias, supongo que en unas dos semanas. Al llegar a mi mesa, recibo algunos saludos de mis compañeros. Entablo una conversación trivial con un compañero que está pensando en comprarse un coche nuevo. Otro está entusiasmado con una escapada de fin de semana con su futura prometida. Todas las actividades habituales de la mañana. Relleno de café. Arranque del sistema. Entrada de BitLocker. Introducción del PIN protegido por certificado para iniciar todas mis estaciones de trabajo. Como una cadencia rítmica. Empiezo a tachar mi lista diaria de tareas de supervisión.

1. Comprobar los próximos vencimientos de certificados
2. Compruebe los registros de CA
3. Comprobar el estado de las CRL conocidas
4. Revisar y asignar tickets de soporte

Jaque, jaque, jaque, jaque

Siguen llegando al sistema algunas solicitudes de asistencia de poca importancia. En una de ellas se afirma que algo va mal en nuestro sistema telefónico secundario, algo extraño, pero no demasiado alarmante. El sistema siempre ha sido defectuoso, junto con nuestros procesos de supervisión manual, la PKI SHA-1 y el escandaloso recuento de certificados. Terry, nuestro antiguo "hombre PKI" (considerado el maestro de PKI entre sus muchas otras responsabilidades) llevaba 22 años en la empresa y hace sólo seis semanas se jubiló, dejándome a mí:

• un manual de tres páginas
• copias de nuestro CP/CPS de 2006
• algunos apuntes de arquitectura de gallinero
• y un par de horas de "transferencia de conocimientos" al salir por la puerta

Así de fácil me convertí en el "nuevo chico PKI".

El primer día tras la marcha de Terry, mi primera sugerencia fue controlar nuestros certificados, CRL y CA y la gestión general de su ciclo de vida. Recopilar un inventario de los certificados que habíamos adquirido, tanto los emitidos internamente como los de confianza externa, seguido de una mejor forma de inscribirlos, renovarlos y revocarlos, pero eso no cayó bien en la alta dirección.

"¿Por qué arreglar algo que no está roto? Mantén al día tus hojas de cálculo y tus notas"... "Terry hizo esto durante años sin problemas - no sé por qué tú no puedes hacer lo mismo". En mis cuatro años en esta empresa, había aprendido a agachar la cabeza y a no ser demasiado ambicioso a la hora de sugerir nuevas plataformas o metodologías de automatización por las siguientes razones:

• sin presupuesto
• demasiados departamentos afectados
• dolor del cambio del "sistema" actual

No agites el barco.

Respiro hondo, vuelvo a la realidad y me doy cuenta de que no puedo hervir el océano. Me invade una sensación de paz. Puede que tenga tiempo para repasar las principales predicciones y amenazas para la seguridad de este año (sí, ya sé que estamos en junio). Sé que *debería* ser más previsor, pero no puedo evitar sentirme abrumado con nuestra bomba de relojería, también conocida como PKI obsoleta y mal gestionada, y las tareas manuales que me atascan a diario. Me pregunto (sólo por un instante) cuánto tiempo llevaba funcionando antes de que yo la heredara. Puede que la ignorancia sea una bendición.

Se me escapan unas horas. Empiezo a pensar en el almuerzo, ¿otra vez reparto de Jimmy John's? Claro, por qué no. Otro análisis del correo electrónico. Me doy cuenta de que la cadena de remediación para los tickets de soporte que emití esta mañana estaban regresando como fallidos. Mi correo electrónico a la persona responsable de nuestro sistema de solicitud de vacaciones volvió sin error de usuario o problemas de servidor. Lo mismo con el contacto secundario del sistema telefónico. Qué extraño. Voy a enviar un ping a Justin para que me ayude, cuando me doy cuenta de que mi conexión a Internet no funciona. ¿Sólo el Wi-Fi? No, toda la red. Miro mi teléfono de escritorio y veo el mensaje de error en él también. Lento al principio, luego todos a la vez, empiezan a golpearme como una tonelada de ladrillos. Alertas de denegación de acceso. Nadie puede acceder a la red. Una fatalidad inminente.

Mi teléfono móvil suena, no una, sino dos y luego una tercera vez en rápida sucesión. Empiezan a llegar correos electrónicos de nuestro sistema de alerta externo que supervisa el acceso al dominio. Se me acelera el corazón. Empiezo a albergar la esperanza de haberme perdido una nota sobre un corte planificado por nuestro proveedor de Internet, pero la situación se parecía demasiado a "La tormenta perfecta" como para que ese fuera el caso.

Empiezo a recopilar una lista de denegaciones de acceso (que tristemente sigue creciendo):

• red de toda la empresa
• Wi-Fi en toda la empresa
• sistema telefónico principal
• sistema telefónico secundario
• portal del cliente
• servidor de archivos interno
• sistema de solicitud de vacaciones

Se trataba de un simulacro de incendio ya probado. Alerto frenéticamente a nuestro equipo directivo y empiezo a indagar. Reviso los registros y repaso mis "comprobaciones": ¿se me había pasado algo por alto?

Se me enciende una bombilla al recordar un libro blanco de Gartner que leí hace meses. ¿Qué pasa con los certificados caducados? ¿Cuál? Tenemos miles. Me concentro. Empiezo a comprobar las fechas de caducidad de los certificados que sirven a los sistemas afectados. Fechas válidas, ¿tal vez una lista de revocación de certificados (CRL) no disponible o caducada? No tengo ni idea de dónde se guardan esas listas. Esto nunca pasaba cuando Terry estaba aquí. ¿Por qué a mí?

Darse cuenta de por qué esto nunca había sucedido antes era sencillo, lo que lo hacía aún más frustrante. Terry alojaba la CRL de numerosas aplicaciones en un servidor que había sido dado de baja. Resulta que el equipo de operaciones de TI vio que un servidor dispar, propiedad de Terry (desaparecido), claramente ya no era necesario y tomó la decisión de desconectarlo. Un servidor web que albergaba la CRL a la que todo apuntaba se cayó sin luchar, sin avisos. Qué delicia, todo este caos causado por una CRL aleatoria. Lo que plantea una pregunta existencial, si una CRL no es accesible o el certificado expira y nadie está cerca para verlo, ¿causa un problema? Por supuesto que sí.

Alojo la CRL en otro lugar y me pongo en modo de recuperación de desastres. Asegúrese de que se restablece el acceso en todos los ámbitos. Control de daños con los equipos internos. Me aseguro personalmente de que se restablezca el acceso de nuestro director general. Abordar la pérdida de productividad en toda la empresa, etc., pero la reacción no había hecho más que empezar. Nuestros equipos de ventas y éxito de clientes acudieron airados a mi despacho: "¿Cómo explico esto a nuestros clientes? ¿Cómo podemos asegurarnos de que no vuelva a ocurrir?". Me acobardé, dando una respuesta genérica pero de disculpa, preguntándome en mi cabeza cómo *realmente* iba a asegurarme de que esto no volviera a ocurrir. Esta vez se trataba de un problema de CRL, pero no tenía ni idea de dónde estaban alojados los demás CRL ni de dónde vivían los miles de certificados que habíamos emitido ni para qué servían. Un fuerte dolor de cabeza se unió a mi retorcido estómago.

Esa noche empecé a evaluar lo descontrolada que estaba mi PKI desde el principio y lo mucho que había empeorado en las últimas seis semanas. Creé una tercera CA para dar soporte a la autenticación Wi-Fi segura. Estábamos emitiendo un gran número de certificados para cada dispositivo que se conectaba a la Wi-Fi, lo que invalidaba por completo mi antiguo método de seguimiento manual de los datos de certificados y CRL en una hoja de cálculo. Además, teníamos a personas dispares de departamentos completamente distintos, en edificios completamente diferentes, emitiendo certificados sin que yo lo supiera. Estaba horrorizado por mi irresponsabilidad. ¿Cómo pude dejar que un atributo de autenticación tan poderoso quedara completamente sin gestionar? Había perdido el control total de mi PKI en un abrir y cerrar de ojos. Mientras apoyaba felizmente nuevos casos de uso fantásticos, haciendo feliz a nuestro CISO con capas añadidas de seguridad a través de los certificados que habíamos emitido internamente desde nuestra propia PKI, sin saberlo, orquesté un disparo directo a mi propio pie al dejar que estos certificados y CRL crecieran hasta ser inmanejables.

Ese día pasará a la infamia para mí y para mi antigua empresa. Le ruego que aprenda de mis errores: considere la posibilidad de implantar una plataforma de gestión del ciclo de vida de los certificados y de la ICP y actúe en consecuencia antes de que sea demasiado tarde.