Firmaprofesional está comprometida con la seguridad más allá de lo legalmente exigible, como lo demuestran los sellos WebTrust for CA y WebTrust Extended Validation.
Otra muestra de este compromiso con la seguridad y, además, con la transparencia han sido las medidas que desde Firmaprofesional se han tomado en respuesta a los incidentes a Prestadores de Servicios de Certificación acaecidos durante el pasado año 2.011, como el caso DigiNotar.
El enfoque de Firmaprofesional en respuesta a los hechos comentados abarca tres áreas de actuación, a saber:
-
Seguimiento de toda la información relativa a los incidentes, con especial hincapié en los casos Comodo (25 de marzo de 2011) y DigiNotar (10 de julio de 2011.)
-
Estrecha colaboración en las tareas de investigación de diferentes fabricantes de software, agrupaciones sectoriales y autoridades.
-
Refuerzo de las medidas de seguridad que Firmaprofesional aplica al proceso y a los sistemas de gestión del ciclo de vida de los certificados.
Seguimiento de la información de los incidentes
Este seguimiento nos ha permitido detectar qué vulnerabilidades se han explotado, ya sean de procedimiento, de software de base, de redes e infraestructura o del propio software de gestión del ciclo de vida de los certificados.
Las principales fuentes de información consultadas han sido:
- El informe del caso DigiNotar de la consultora de seguridad TIC FOX-IT.
- Información del propio hacker del caso Comodo (The Comodo hacker releases his manifesto, Hi again! I strike back again, huh?), que resultó ser el mismo que el del caso DigiNotar, el de GlobalSign y Starcom.
- El informe del prestigioso experto en criptografía Peter Gutman.
- El informe del Information Security Group, Royal Holloway, University of London sobre el caso DigiNotar.
- El propio informe interno de GlobalSign.
Las conclusiones extraídas son que los sistemas y procedimientos de DigiNotar presentaban importantes carencias, como:
- Los servidores más críticos contenían software malicioso que normalmente puede ser detectado por un antivirus.
- Todos los servidores de CA pertenecían a un mismo dominio de Windows, lo que hizo posible acceder a todos ellos obteniendo un único usuario / contraseña.
- La contraseña de administración no era robusta y fácil de obtener mediante fuerza bruta.
- El software instalado en los servidores web públicos estaba desactualizado y no se habían aplicado los parches oportunos.
- No había protección mediante antivirus en los servidores investigados.
- El sistema de emisión de certificados está totalmente automatizado, sin intervención humana alguna.
Ninguna de las carencias anteriores afecta a Firmaprofesional dado que ya disponíamos de las contramedidas a estos problemas, como expondré más adelante.
Colaboración en las tareas de investigación
Firmaprofesional ha colaborado estrecha y abiertamente con todas las entidades que se lo han solicitado, para tratar de identificar al autor o autores de los ataques, el modus operandi y las circunstancias que se daban para poder llevar los ataques.
Por un lado, la fundación Mozilla solicitó la realización de una serie de comprobaciones y colaboración en septiembre de 2011, a lo que Firmaprofesional contestó diligentemente punto por punto. Por esas fechas, en Firmaprofesional habíamos recibido varias solicitudes de certificados SSL inusuales y sospechosas, de las que informamos a la fundación Mozilla.
En este punto se inició una colaboración coordinada por la fundación Mozilla que nos puso en contacto con personal de las empresas StartCom y Comodo, con el Dutch Secret Service con el CA Browser forum y éstos con el FBI.
Por otro lado, también Microsoft se puso en contacto con nosotros, en las mismas fechas, con carácter confidencial según sus términos. De nuevo Firmaprofesional contestó puntualmente sobre la información requerida.
Refuerzo de las medidas de seguridad de Firmaprofesional
Fruto de lo anterior, en Firmaprofesional adquirimos un profundo conocimiento sobre los ataques y las vulnerabilidades que los propiciaron.
En Firmaprofesional no aplican algunas de las vulnerabilidades, como:
- Los sistemas de Firmaprofesional corren sobre equipos Linux, con lo que no aplica ninguna de las vulnerabilidades achacables a software de Microsoft.
- El proceso de emisión de certificados SSL requiere procesamiento manual de las solicitudes, es decir, no se emiten certificados mediante procesos 100×100 automatizados. Esto garantiza que al menos una persona procesa los datos de la petición y puede detectar comportamientos inusuales.
- Firmaprofesional tiene sus sistemas protegidos mediante la suite Sonicwall CGSS.
No obstante, fruto del compromiso con la seguridad que siempre ha caracterizado a Firmaprofesional, tomamos medidas adicionales, como son:
- Como medida preventiva, cambio de todas las contraseñas de administración.
- Actualización de sistemas con periodicidad semanal. Anteriormente esta actualización se realizaba mensualmente.
- Instalación de herramienta de detección de intrusión (IDS), para detectar rootkits (rhunter, chkrootkit.)
Todo el proceso de gestión de los incidentes mencionados y diseño e implantación de las medidas pertinentes ha sido supervisado por nuestro director técnico, Óscar Conesa (CISA, CISSP, CISM, BS27000 Lead Auditor) y por un auditor externo de la empresa isigma, Chema López (CISA.)
Con todo lo anterior, desde Firmaprofesional tenemos la certeza de disponer de unos sistemas y procedimientos adecuadamente protegidos.
