Geek the Planet


Seguridad no image

Published on agosto 23rd, 2011 | by Angelfire

0

Algunos Vectores para ‘hackear’ cuentas de redes social y otros

El siguiente post es una copia de un email que me llegó desde la Lista de Seguridad Informática Segurinfo, fue redactado en su totalidad por Marcos Julián Gutiérrez, un Consultor en Seguridad Informática, la idea de compartir esto es que debido a los recientes hecho sucedidos con la cuenta del señor Daniel Samper Ospina, el expresidente Alvaro Uribe Velez, entre otros, se han generado una serie de malos entendidos debido a la información errónea proporcionado por los medios de comunicación. Así que espero que se tomen los 5 minutos de lectura, busquen más información si es necesario y pregunten si es el caso.

Hola compañeros.

Recientemente, en las noticias han sonado muchas cosas sobre el  Acceso Abusivo (o hackeo según los medios) de la cuenta de twitter del expresidente Uribe, la página de Facebook del presidente Santos y del periodista Daniel Samper Ospina. De la misma manera, a muchas personas les ‘hackean’ a diario sus cuentas personales, dejándolas con un sentimiento de impotencia porque no saben quién les puede ayudar. (aunque la respuesta de las autoridades no es la misma que en el caso de personas reconocidas…).

La gente pregunta ¿cómo se metieron a la cuenta de uribe? ¿Hackearon twitter?. Hay diferencias entre meterse a  una cuenta de una persona y vulnerar toda la plataforma. Los vectores de ataque pueden variar:

Algunos vectores de Ataque para obtener acceso a una cuenta personal de hotmail, gmail, twitter, facebook.

  1. Vulnerabilidades en la plataforma.
    Este vector de ataque no es tan popular, puesto que las vulnerabilidades en las plataformas se mantienen como 0day que pocos encuentran y no divulgan. Sin embargo, cuando el atacante conoce el 0day de la plataforma, puede ‘hacer maravillas’. Por ejemplo, si la víctima tiene asociada toda su actividad social (twitter, facebook, etc) con su cuenta de hotmail, con un 0day donde se permita acceder a la bandeja de entrada, se puede acceder a sus cuentas sociales utilizando los mecanismos de recordar contraseña, además de ver el correo electrónico de la víctima. Las medidas de protección que tienen algunos sitios son: uso de doble autenticación mediante sms, segunda cuenta de correo para recuperar clave.
  2. Adivinar contraseña mediante diccionario.
    Este vector de ataque es el más popular, puesto que cualquiera con acceso a los servicios puede intentarlo. En primera instancia se realiza un ‘Mineria de Datos’ sobre la víctima para conocer aspectos importantes de su vida que puedan ser parte de una contraseña, como nombre de los hijos, fecha de nacimiento de los hijos, nombre de la esposa, lugar de nacimiento, nombre de su finca, etc. Tras realizar el diccionario, el atacante los prueba contra el servicio. Para evitar este vector de ataque, se debe utilizar una clave larga fácil de memorizar o también utilizar doble autenticación.
  3. Acceder mediante pregunta secreta.
    Este es otro vector de ataque popular. Muchos servicios de correo electrónico permiten reestablecer la clave mediante una pregunta secreta. Si la pregunta es de dominio público, el atacante puede acceder con facilidad. Casos famosos: Sarah PalinParis Hilton. Para evitar este ataque, la relación pregunta secreta-respuesta, no debe ser obvia.
  4. Robo de sesión por captura de paquetes (sniffing).
    En este vector de ataque, el atacante debe tener la posibilidad de capturar paquetes de la red (sniffing). Por ejemplo, la red wifi de un aeropuerto, hotel,  café-bar, o incluso, en el mismo ISP. El atacante primero identifica que la víctima esté en la misma red, luego captura el tráfico para obtener las cookies de la víctima y suplantar su sesión. Si lo desea hacer más fácil, el atacante puede utilizar el plugin ‘firesheep‘ para firefox y así robar más fácilmente la sesión. Servicios populares vulnerables en configuración por defecto: Hotmail, Twitter, Facebook. Si se configuran estos servicios para que siempre utilicen HTTPS, se evita este vector de ataque; también se debe evitar acceder a estos servicios en redes públicas.
  5. Robo de claves por captura de paquetes tipo hombre en la mitad (MITM)
    Este vector de ataque requiere que el atacante esté en la misma red que la víctima, o en el camino de los paquetes. El atacante se pone en la mitad entre la víctima y el sitio al cual se quiere acceder, para interceptar el tráfico. Normalmente, este ataque genera mensajes de error de certificados digitales, pero muchos usuarios los omiten. Este tipo de ataque es sencillo de realizar con herramientas populares como CAIN o SSL Strip. Para evitar este ataque, se debe prestar atención a los mensajes de error con los certificados digitales y evitar el uso de redes públicas.
  6. Robo de claves por infección de malware.
    En este vector, el atacante busca infectar a su víctima de malware, ya sea a través de medios extraibles (memoria usb, cd rom), elementos adjuntos a un correo electrónico (Ej, Shady RAT), Cuando la víctima utiliza un pc infectado, el atacante puede acceder a sus documentos, teclas presionadas (ej, claves), y mucha información confidencial. Contramedidas: antivirus actualizado, antivirus con heurística activada, tener cuidado al descargar adjuntos, tener cuidado con los medios extraibles.
  7. Ingeniería social
    Existen varios métodos de Ingeniería Social para obtener claves, que van desde llamadas telefónicas suplantando autoridades (o soporte técnico), hasta el uso de modelos sensuales para espiar gobiernos (caso Anna Chapman). Las contramedidas dependen de el nivel de alerta de cada persona.
    De estos siete vectores mencionados, uno solo ataca el servicio (server side attack), mientras que los demás atacan al usuario o su red (client side attack). Por esta razón, los usuarios somos los responsables de proteger nuestra propia información, conociendo los riesgos a los cuales nos exponemos. Si una persona tiene la fama de proteger mal su información, por ejemplo, guardando la clave de su tarjeta débito en la billetera, es más probable que sea una potencial víctima de ‘Acceso abusivo a un sistema informático’.

Tags: ,


About the Author

Systems Engineering, Computer Systems Specialist, Social Engineering Specialist. Social Media Analyzer. Usability and SEO enthusiasm (Este es mi perfil de Twitter...)



Comments are closed.

Back to Top ↑