La función de los certificados digitales es confirmar la autenticidad de sitios que ofrecen transmisión cifrada entre el servidor y el navegador, pero pueden ser utilizados para realizar distintos ataques. SSL Blacklist es una iniciativa que tiene como objetivos detectar y difundir una lista de certificados de seguridad asociados a software o botnets malignas.
Los delincuentes informáticos pueden utilizar los certificados SSL con el fin de controlar las computadoras que han infectado, y también para eludir soluciones de seguridad. Hasta el momento, la base de datos de SSL Blacklist está compuesta de 127 anotaciones con valores hash SHA1, como asimismo una breve descripción de las razones que llevaron a la organización a colocar en lista negra cada certificado en particular.
Muchos de los certificados en cuestión forman parte de botnets conocidas, troyanos bancarios, y otros vectores de ataque o software maligno.
La iniciativa fue lanzada por un experto suizo en seguridad informática, que prefiere mantener su identidad en reserva mediante el blog de seguridad, igualmente suizo, Abuse.ch, que durante años ha publicado información precisamente sobre botnets y troyanos.
“SSL Blacklist ayuda a los usuarios a revelar tráfico digital proveniente de botnets potenciales, como asimismo de sus servidores de comando y control, dependientes de SSL. Esto incluye, entre otras cosas, actores como KINS (también conocido como VMZeus), y Shylock” Esta iniciativa surgió a partir de la Seguridad Informática de las Infraestructuras de Clave Pública, compuesta por los Certificados Digitales y las Autoridades Certificantes que los emiten, ha sido puesta en duda. Gracias a la criptografía moderna, los navegadores pueden detectar sitios web maliciosos que se aprovisionan con certificados SSL falsos, pero los mecanismos criptográficos actuales dificultan la detección de sitios web maliciosos si estos están aprovisionados con los certificados emitidos por error, o certificados que se han emitido por una autoridad de certificación que ha sido comprometida. En estos casos, los navegadores no detectan ninguna anomalía en los certificados porque la Autoridad Certificante parece ser legítima, dando a los usuarios la impresión de que el sitio web que está visitando es auténtico y su conexión es segura».
