Los investigadores de Internet van más allá del ámbito académico para cerrar una importante laguna de seguridad

Durante años, un desastre potencial acechó en el sistema de cifrado de Internet, amenazando la seguridad de organizaciones e individuos en todo el mundo. Los ingenieros de Princeton ahora han sofocado esa amenaza, trabajando con líderes de la industria para transformar su investigación en un estándar de seguridad universal que fue adoptado por organizaciones globales en agosto y entró en vigor el 6 de septiembre.

El cambiar se centra en cómo los navegadores web y los sistemas operativos verifican la identidad de un sitio web al establecer una conexión segura.

Dependen de organizaciones de terceros conocidas como autoridades de certificación, que emiten certificados digitales de autenticidad basándose en la capacidad del propietario de un sitio web para demostrar un control legítimo sobre el dominio del sitio web, generalmente incorporando un valor aleatorio proporcionado por la autoridad de certificación.

El equipo de Princeton, dirigido por los profesores Prateek Mittal y Jennifer Rexford, demostró que los malos actores podrían fácilmente eludir esos obstáculos para obtener un certificado fraudulento para un sitio web que no controlan legítimamente.

El plan tardó menos de un minuto en realizarse utilizando una computadora portátil. Y podría apuntar a cualquier sitio web en Internet. Los usuarios no tenían forma de detectar el fraude ya que los certificados eran reales, incluso si los hechos subyacentes habían sido falsificados. Con un certificado fraudulento, los delincuentes podrían atacar a los usuarios y dirigir el tráfico a sitios falsos sin que nadie lo sepa.

Eso planteó el espectro de los peores escenarios, según Ryan Dickson y Chris Clements, expertos en ciberseguridad de Google Chrome que ayudaron a introducir el nuevo estándar de Princeton.

«Imagínese de alguna manera a un mal actor interponiéndose entre usted y su sitio de noticias», dijo Dickson. «Y afirma fraudulentamente que hay un desastre natural inminente y que la gente debe empezar a evacuar su zona».

En el sistema antiguo, el sitio falso parecería tan legítimo como el real. El mal actor podría causar estragos. «El daño a la sociedad podría ser catastrófico», afirmó.

Prácticamente todos los miles de millones de interacciones diarias en Internet, desde publicaciones en redes sociales hasta pagos de facturas y transferencias de documentos intergubernamentales, estuvieron sujetos a este fraude.

Al adoptar el estándar de Princeton, las autoridades de certificación acordaron verificar cada sitio web desde múltiples puntos de vista en lugar de solo uno, una solución que suena engañosamente simple y que ha llevado más de cinco años perfeccionar para una adopción amplia.

De la buena idea a la innovación práctica

El plan de fraude fue descubierto por primera vez en un estudio de 2017 realizado por Henry Birge-Lee, un estudiante universitario en ese momento, que trabajaba con Mittal y Rexford. Birge Lee demostró el esquema en una conferencia académica ese año.

Josh Aas, fundador y director ejecutivo de Let’s Encrypt, la autoridad de certificación más grande del mundo, fue el orador principal en esa misma conferencia y vio la presentación de Birge-Lee. Inmediatamente reconoció la urgencia de la situación.

«Cuando vi la presentación que demostraba el ataque, tenía mucho sentido y supe que querríamos tomar medidas para solucionarlo», dijo Aas. «Comenzamos a trabajar con el equipo de Princeton poco después y desde entonces ha sido una asociación productiva».

El equipo de Princeton introdujo una solución técnica en un documento de seguimiento de 2018. Y colaboraron con Aas para implementar la solución en los sistemas reales de su organización, en última instancia. implementarlo a partir de 2020.

Mittal, profesor de ingeniería eléctrica e informática, dijo que la participación de Let’s Encrypt fue fundamental en la evolución del proyecto. La organización no solo demostró que la solución funcionaba a escala, sino que también demostró que era razonablemente asequible. Let’s Encrypt también demostró que colaborar con el equipo de Princeton fue valioso para llevar la tecnología al mundo.

Eso jugó un papel decisivo a la hora de convencer a la comunidad de ciberseguridad en general de que los beneficios de adoptar el nuevo enfoque valían los costos, según las personas involucradas en el proceso.

Para adoptar el nuevo enfoque como estándar universal, tuvo que presentarse ante un consorcio de las organizaciones de seguridad más importantes de Internet, llamado Autoridad de Certificación/Foro de Navegadores. Este consorcio incluye gigantes tecnológicos como Apple, Google, Microsoft y Mozilla, así como 55 autoridades de certificación. El grupo realizó más de mil modificaciones a su documento rector. Cada cambio de palabra se convirtió en una negociación. Al final, los miembros votantes llegaron a un acuerdo unánime.

Mittal dijo este trabajoaunque no es típico de los académicos, fue crucial para darle a su investigación la oportunidad de marcar una diferencia en la vida real. No fue tan sencillo como encontrar el problema y proponer una solución. Fue necesario un esfuerzo sostenido, convencer a personas poderosas una y otra vez durante muchos años. «Teníamos que hacer la obra misional», dijo.

Un minuto decisivo, años de preparación

En diciembre de 2022, el equipo de Princeton que trabajaba en este problema había crecido. Además de Birge-Lee, Mittal y Rexford, rector de Princeton y profesor de ingeniería Gordon YS Wu, el grupo incluía al Ph.D. la estudiante Grace Cimaszewski; Liang Wang, investigador asociado; y Mihir Kshirsagar, líder de la clínica de política tecnológica del Centro de Política de Tecnología de la Información de Princeton y profesor del Centro Keller.

Los equipos de Princeton y Let’s Encrypt convocaron una reunión cara a cara, invitando a docenas de los principales expertos en cifrado del mundo para discutir las vulnerabilidades más urgentes de Internet. Entre los problemas discutidos: la laguna jurídica de la fuente única descrita en el artículo de Birge-Lee de 2017.

En un momento dado, Birge-Lee y Cimaszewski demostrado su ataque en vivo, explotando la laguna jurídica utilizando herramientas que el grupo había desarrollado, ante sus propios ojos. Prácticamente no llevó nada de tiempo.

«Todos se sorprendieron de lo fácil que fue», dijo Cimaszewski. «Y qué rápido fue».

Ryan Dickson, representante de los intereses de Google Chrome, quedó boquiabierto.

«Recuerdo que me fui con este verdadero sentido de urgencia», dijo Dickson. De camino a casa después de la reunión, llamó a su colega de Google Chris Clements, que trabaja en la misma clase de problemas. «El tono general de esa llamada fue: acabamos de pasar dos días hablando sobre una vulnerabilidad activa en Internet. Sé que es un problema y sé que debemos resolverlo».

Con años de datos de Let’s Encrypt, experiencia técnica del equipo de Princeton y la motivación para solucionar este problema no solo para los usuarios de Chrome sino para todo Internet, Dickson y Clements pasaron los siguientes dos años liderando un proceso para el Foro CA/Browser. que varios de los participantes compararon con aprobar una legislación difícil. La capacidad del equipo de Princeton para aclarar el problema y simplificar la solución fue esencial durante todo ese proceso.

«En ningún momento la gente dijo, ah, pero esto no es real, este no es un resultado probable», dijo Dickson. «Y creo que en gran medida eso se debe a que [Birge-Lee and Cimaszewski] Mostró que sucedió en tiempo real».