Si esta misma semana hablábamos de que Google había detectado que una empresa firmó de forma ilegal certificados cedidos por ellos, hoy hemos podido saber que Google ha descubierto que detrás de esto se encuentra el Gobierno francés. Y es que según ha podido saber Google tras hacer varias indagaciones es que estos certificados fueron encargados por el propio Gobierno de Francia para utilizarlo en varios dominios y así poder llevar a cabo el espionaje de los usuarios utilizando la técnica man in the middle. El problema, que también afecta a...
Comentarios
A tomar por culo el sistema de relaciones de confianza!
#2 un sistema de confianza que se basa en el dinero, a mi personalmente, no me sugiere nada de confianza. Si no que se lo digan a CAcert, que por no pagar ingentes cantidades de dinero no puede estar como certificadora de confianza por defecto en los sistemas operativos y navegadores.
#6 Deber ser por eso que tengo 3 del Gobierno catalán y 2 del Gobierno valenciano en la lista... que siga la fiesta.
La nsa no lo necesita, porque google le da acceso directo a sus datacenters.
#1 ¿Que les pincharan las conexiones internas que google tiene sin cifrar entre sus servidores es darle acceso a sus datacenters?
¿Lo dices porque tienes más información o porque meterse con Google en el primer comentario queda guay?
#9 No. Les dan acceso a sus datacenters directamente. Y tienen cientos de topos como Snowden, pero metidos trabajando como empleados dentro de google, que pueden pinchar cualquier cosa.
#10 ¿Pero me das alguna prueba o la NSA te lo ha prohibido?
#11 No lo necesito, creo en ello como los cristianos creen en dios y en jesus, y los musulmanes en ala y su profeta mahoma
#12 O sea, que lo tuyo es puro FUD y karmawhorismo. Me lo temía.
Para la próxima: "Afirmaciones extraordinarias requieren de pruebas extraordinarias"
#13 no tienes el nivel de autorización requerido para saberlo, pero sí mi karma llega a 16 te lo explico.
#14 Aunque por el contenido no te lo mereces te doy positivo por el vacile.
#11 ¿Lo dudas?
Con presupuestos como los de la nsa tienen topos en todos los lados aun que el pais sea colaborador.
Por lo que he podido comprobar, esta noticia no aparece en ningún medio de comunicación. ¡Viva el periodismo en España!
#3 Estarán buscando en el diccionario que significa cada palabra de "tecnología" que no son capaces de entender, igual para la semana que viene lo tienen listo
#3 ¿Medio de comunicación? ¿Qué es eso? ¿Y cuándo llega a España?
#3 en España tenemos mejores cosas por las que preocuparnos .....
..... por ejemplo el fútbol!
#3 A ver coño, el informativo de Antena3 empezó con un
a noticiapublirreportaje de 10 minutos sobre el AVE Barcelona-París, luego de pasada mencionaron algo de lo bien que va España y luego tocaba fútbol, no hay tiempo para todo.Y qué hace google entregando sus certificados a terceros? o son tontos o se lo hacen... y de tontos tienen poco...
#4 Los certificados los expide una empresa tercera y en teoría de confianza como p ej Verisign para todo aquél que se los pida.
Verisign como tercero certifica (porque lo comprobó) que el que pide el certificado (google) es quien dice ser. Quién tenga y opere con ese certificado (google) firmado por verisign para él, es quien dice ser y tu navegador comprueba que ese certificado es válido, que fue firmado por Verisign que es de confianza, gracias a que tiene instalado el certificado raíz de Verisign.
Si verisign te entrega a ti el certificado de google, entonces tú te puedes hacer pasar por google sin el consentimiento de google. Eso fue lo que pasó, al gobierno francés una entidad certifidadora le firmó certificados de google y ellos se hicieron pasar por google.
El "man-in-the-middle attack" es detectable. Para firefox puede ser hasta automático, el addon se llama "Perspectives".
#19 También está el SSL Observatory de HTTPS Everywhere, con algunas diferencias.
http://googleonlinesecurity.blogspot.com/2013/12/further-improving-digital-certificate.html?m=1
ANSSI has found that the intermediate CA certificate was used in a commercial device, on a private network, to inspect encrypted traffic with the knowledge of the users on that network.
No me cuadra lo que dice Google con lo que dice la noticia.
#8 No me cuadra lo que dice Google con lo que dice la noticia.
Cuando dice "con el conocimiento de los usuarios de esa red" haría falta concretar si se refieren a quienes pusieron ese equipo en la red o a todos los usuarios que accedían a través de él.
Pero en cualquier caso el problema de fondo es que una entidad certificadora emitió un certificado que a su vez permitió a otros suplantar la identidad de los servidores de Google.
La red de confianza SSL es tan fuerte como su eslabón más débil, si una entidad certificadora permite emitir certificados sin control entonces toda esa cadena de confianza queda en nada. Obviamente retirando esa entidad certificadora de las de confianza se soluciona el problema, pero para que eso ocurra hay que detectarlo.
En este caso parece que estaba en una red privada y por lo tanto el alcance era pequeño pero a su vez eso dificulta mucho su detección por parte del afectado, en este caso Google.
La solución que proponen para que esto no ocurra es que exista una lista pública de certificados emitidos de forma que cualquiera pueda comprobar esa lista e identificar rápidamente los certificados que jamás debieron haberse emitido. En esta caso Google hubiera podido ver en esa lista ese certificado del ataque, aunque sólo quisieran usarlo en una red privada no habría funcionado sin estar en esa lista pública ya que el navegador lo habría rechazado.
#23 por como está redactada la noticia parece más que son certificados de los que puede usar Google en los equipos que pone en las operadoras para acelerar el acceso a sus servicios...
De dónde viene el resto de información? Porque habría que revocar esa entidad certificadora...
#29 Aquí hay un poco más de información: http://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certificate/
Pero si no me equivoco parece que todos quieren evitar nombrar cual es la entidad certificadora de la que viene el certificado, probablemente hayan llegado a la conclusión que no fue error de esa CA y quieran evitar hundirla en la miseria.
#30 lo dicen en la propia noticia: "ANSSI (formerly known as DCSSI) operates the “IGC/A” root certificate that is included in NSS, and issues certificates for French Government websites that are used by the general public. The root certificate has an Issuer field with “O = PM/SGDN”, “OU = DCSSI”, and “CN = IGC/A”."
Es el momento de revisar los certificados que vienen por defecto en los navegadores... Sobre todo dar un toque a la política de gestión de los certificados de microsoft que es para tener miedo...
Google tiene un proyecto en marcha para evitar que ocurran casos como estos: Proyecto Certificate Transparency de Google [ENG]
Proyecto Certificate Transparency de Google [ENG]
certificate-transparency.orgRESUMEN:
El Gobierno francés está detrás de una empresa que firmó de forma ilegal certificados cedidos por Google.
Por favor, comentar o ampliar esto.
Queremos de saber.
Madre mía, aquí el más tonto hace relojes...
Totalitarismo.
edit
En el siglo XVIII por menos que eso, los franceses mandaron a sus gobernantes a la guillotina. Tanta tecnología nos está ablandando