viernes, diciembre 06, 2013

EMET Rules: Haz Certificate Pinning a todo tu Internet

Una de las herramientas de las que más se habla en el libro de Máxima Seguridad en Windows es Microsoft EMET. Esta solución que está ya en su versión 4.1, de nombre Enhanced Mitigation Experience Toolkit, permite a los administradores más avanzados y a los usuarios más preocupados por la seguridad aplicar las más modernas técnicas de seguridad en la fortificación del sistema frente a nuevos exploits o ataques. En su última versión es posible, entre otras cosas, es posible configurar Certificate Pinning para que se generen alertas cuando un certificado digital cambie.

Figura 1: Certificate Pinning está disponible en EMET v4.0

Las técnicas de Certificate Pinning se basan en instalar la clave pública del servidor web que se quiere controlar, para que si en cualquier momento el navegador envía un nuevo certificado digital se genere una alerta en Internet Explorer. Esto evitaría los problemas que tiene HTTPs en ataques de Fake CA o BasicConstraints, así como los problemas asociados al esquema de cadenas de confianza, donde cualquier entidad certificadora podría generar un certificado para cualquier sitio web.

Figura 2: Proceso de hacer Certificate Pinning con EMET v4

Hacer esto en EMET no es demasiado cómodo, así que desde el laboratorio de ideas en Málaga de Eleven Paths se ha trabajado en una pequeña herramienta que se llama EMET Rules y que permite a los administradores algo tan cómodo como darle una lista de URLs con certificados digitales a "pinnear" y que la herramienta se ocupe de todo el trabajo, es decir, conectarse al servidor, descargarse el certificado digital actual en la web y configurar las reglas necesarias en EMET.

Figura 3: EMET Rules configurando Certificate Pinning de múltiples sitios en EMET v4

La idea es que este proceso se haga en un entorno en el que la conexión de red y los certificados a descargar se consideran seguros, para que después se detecten los cambios en los certificados digitales en el resto de conexiones para detectar cualquier intento de ataque man in the middle. La herramienta se ha hecho en modo comandos para poder ser lanzada en múltiples entornos y usada incluso en scripts automatizados de PowerShell y  puede descargar desde el blog de Eleven Paths, donde además tenéis un manual de todos los comandos de la herramienta.

Saludos Malignos!

1 comentario:

Nick Turpin dijo...
Este comentario ha sido eliminado por el autor.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares