La interceptación del tráfico y los ataques MitM, entre los riesgos de seguridad de los certificados TLS rusos

Rusia ofrece sus propios certificados de seguridad de la capa de transporte (TLS) para evitar las sanciones impuestas por empresas y gobiernos occidentales que limitan el acceso de los ciudadanos a los sitios web en medio de la invasión de Ucrania. Las restricciones a los pagos en el extranjero están dejando a muchos sitios web rusos sin poder renovar los certificados con las autoridades de firma internacionales, lo que hace que los navegadores bloqueen el acceso a los sitios. Por ello, el Estado ruso ha puesto en marcha una autoridad certificadora (CA) TLS nacional para la emisión y renovación independiente de certificados TLS. Los riesgos de los certificados TLS de propiedad y emisión rusa son significativos e incluyen la interceptación del tráfico y los ataques del hombre en el medio (MitM).

Los certificados rusos sustituyen a los certificados extranjeros revocados o caducados

Los certificados TLS —más conocidos como SSL o certificados digitales— protegen las conexiones de Internet cifrando los datos enviados entre navegadores, sitios web y servidores. Cuando un certificado caduca, los navegadores web como Google Chrome, Safari y Mozilla Firefox advierten de que una página puede ser insegura, lo que puede alejar a los usuarios.

Según un anuncio de servicio público ruso, el Estado sustituirá gratuitamente los certificados de seguridad extranjeros que sean revocados o caduquen, previa solicitud. "El certificado de seguridad está diseñado para autenticar el sitio en Internet cuando se establece una conexión segura", añadió. Los navegadores más utilizados, como Chrome y Firefox, aún no reconocen como fiables los certificados suministrados por el Estado, y se aconseja a los rusos que utilicen alternativas basadas en Rusia. Los medios de comunicación rusos han difundido una lista de casi 200 dominios a los que, al parecer, se les ha indicado que utilicen el certificado TLS nacional, aunque actualmente no es obligatorio.

Riesgos de seguridad que plantean los certificados TLS emitidos por Rusia

Las amenazas que plantea la llegada de los certificados proporcionados por el Estado ruso son importantes para los usuarios rusos. "Con las principales autoridades de certificación que revocan o simplemente no renuevan los certificados para las empresas rusas, éstas quedan en una posición difícil", explica a CSO Mike Parkin, investigador e ingeniero técnico senior de Vulcan Cyber. "Aunque es poco probable que los principales navegadores acepten la nueva CA rusa, puede ser un problema para los usuarios de Rusia. Tendrán que confiar en su CA, que está sancionada por un gobierno que no es muy conocido por respetar la privacidad de los usuarios, ni por adoptar una postura firme contra los ciberdelincuentes."

En la práctica, si no se puede confiar en la CA, no se puede confiar en que no autorizarán certificados que puedan ser utilizados en un ataque MitM, continúa Parkin. "Aunque un usuario cuidadoso podría darse cuenta de que el certificado al que se está conectando no es su objetivo final, similar a lo que vería al pasar por una pasarela web que realiza una inspección profunda de paquetes, el navegador vería el certificado firmado como legítimo y no lanzaría una advertencia. Esto podría permitir la vigilancia generalizada, así como otros usos maliciosos".

El CSO de Outpost24, Martin Jartelius, está de acuerdo y añade que si un navegador confía en la autoridad, quien lo controla puede abusar de los certificados con el fin de interceptar el tráfico en texto plano. "Por supuesto, abusar de la confianza de esta manera llevaría a una revocación de la confianza de la autoridad, pero funcionará para fines selectos, si uno está dispuesto a sacrificar la confianza para ello".

Yuval Wollman, presidente de CyberProof y ex director general del Ministerio de Inteligencia israelí, dice a CSO: "Si quiere minimizar el riesgo, mantenga a sus empleados alejados de cualquier certificado TLS emitido por Rusia, ya que su legitimidad es cuestionable y el control sobre ellos no está claro. Bloquee el acceso a sitios que utilicen certificados TLS emitidos por Rusia a nivel de infraestructura utilizando una lista negra, hasta que la situación se desarrolle más y pueda ser reevaluada".

Actores de la amenaza se preparan para la "Internet soberana" rusa

Las acciones de Rusia han llevado a los observadores y a los actores de amenazas de habla rusa a especular que la desconexión total de la nación de la Internet global es inminente, según una publicación del blog de Flashpoint. "Esto ocurriría en virtud de una Ley de Internet Soberana de 2019. Según la legislación rusa, la desconexión de la infraestructura de Internet rusa de la Internet global sería una medida defensiva, aunque esto deja un amplio margen de interpretación", se lee.

Flashpoint sugiere que esto podría hacer que los sitios web de fuera de Rusia sean inalcanzables para los usuarios rusos, crear una degradación del servicio y derrotar los métodos de evasión como las VPN. Por lo tanto, los actores de amenazas de habla rusa están buscando activamente soluciones para eludir el creciente control estatal sobre el tráfico online si las autoridades tratan de desconectar a Rusia por completo, añadió Flashpoint. Los analistas de Flashpoint observaron que los actores de las amenazas sugieren varias soluciones a los bloqueos existentes y potenciales en varios foros, entre ellas:

• Un bot de contenido en el foro SliVap ofrecía un software con tecnología anti-DPI, que supuestamente permitiría a los usuarios saltarse los bloqueos existentes al no dejar las huellas digitales típicas de los servicios VPN, Tor y proxy en los que se basa la tecnología DPI para bloquear el uso de dichas técnicas de evasión.
• Un servicio de VPN anunciado en el foro YouHack afirma ser capaz de eludir la tecnología DPI y evitar que los ISP registren las consultas DNS.
• Los usuarios del foro Exploit, de primer nivel, sugirieron utilizar un bot de Telegram que proporciona puentes Tor (relés que no aparecen en el directorio público de Tor y que, por tanto, teóricamente no están bloqueados). Anteriormente, los usuarios sugirieron utilizar una combinación VPN-Tor-VPN para evitar los bloqueos.