Por @Alvy — 16 de Octubre de 2017

Krack WPA2

En KrackAttacks.com:

Hemos descubierto vulnerabilidades serias en el protocolo WPA2 que sirve para proteger todas las redes Wi-Fi modernas. Un atacante que esté al alcance de la señal wifi de la víctima puede utilizar estas vulnerabilidades mediante los denominados «ataques de reinstalación de claves» (KRACKs). En concreto los atacantes pueden utilizar estas nuevas técnicas para leer información que tradicionalmente se consideraba que viajaba encriptada de forma segura.

Esto puede usarse para robar información sensible tal como números de tarjetas de crédito, contraseñas, mensajes de chat, correos electrónicos, fotos y demás. El ataque funciona sobre cualquier red Wi-Fi moderna protegida con WPA2 [los protocolos anteriores como WEP también se demostraron inseguros hace tiempo]. Dependiendo de la configuración de la red incluso puede usarse para inyectar y manipular datos. Por ejemplo el atacante podría inyectar ransomware u otro tipo de software malicioso en sitios web.

Esta debilidad está en el propio estándar Wi-Fi, no en productos o implementaciones concretas. Por tanto cualquier implementación correcta del WPA2 puede verse afectada. Para prevenir estos ataques los usuarios deben actualizar los productos afectados [software del sistema y firmware de los routers] tan pronto como se publiquen las actualizaciones. Obsérvese que si un dispositivo utiliza Wi-Fi lo más probable es que sea vulnerable. En las investigaciones preliminares hemos comprobado que las variantes de los ataques afectan a equipos Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros.

Aquí el trabajo completo y un vídeo de demostración:

La técnica en cuestión utiliza una debilidad en el protocolo que hace que durante uno de los pasos del establecimiento de una conexión se puedan reutilizar las claves haciendo que una parte del handshake se recicle una y otra vez; el truco consiste en que durante la negociación con el otro dispositivo (por ejemplo un router) se simula que los paquetes se pierden o no llegan correctamente. Con esto se puede leer poco a poco el contenido de los paquetes transmitidos y la información que contengan.

Tal y como explican esto afecta al protocolo, no solo a una marca de routers o a la implementación de un sistema operativo en particular. Así que la seguridad de todo Wi-Fi está comprometida.

Pero hay dos detalles importantes que no se deben pasar por alto:

  • El ataque requiere que el atacante esté en la proximidad de la señal Wi-Fi que quiere interceptar. Esto ya es de por sí una limitación a la gravedad del problema, pues es muy distinto a que cualquiera pueda entrar en tu router o tu red local hasta la cocina desde cualquier lugar del mundo.
  • El ataque no afecta a otras capas de seguridad, por ejemplo el HTTPS de los sitios web seguros. Dado que muchas aplicaciones y en especial los navegadores utilizan protocolos seguros como el HTTPS, que añaden una capa adicional de seguridad, aunque la capa inferior sea vulnerable esto no afecta a la siguiente. En otras palabras: si accedes a tu banco a través de la web usando el protocolo HTTPS (simbolizado con la famosa «llave») la información viajará segura, aunque hubiera alguien paseando por tu wifi y leyendo los paquetes. (Hazte a la idea que tu seguridad es la misma que si dejaras la Wi-Fi abierta).

Aunque el problema sea a nivel de protocolo cabe esperar que los fabricantes de routers sean ágiles en encontrar algún arreglo al problema y que lo distribuyan en forma de actualización, algo que probablemente también tendrán que hacer todos los desarrolladores de software y sistemas operativos. Así que, de cara al usuario final… simplemente queda esperar y actualizar.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 4 de Octubre de 2017

Yahoo FAIL
«¿Seguridad? Mejor tómate una tila…»

Tal y como explican en Wired y nos ha recordado por Twitter @mcontreras, se ha dado a conocer que el crackeo de Yahoo en 2013 no afectó a 1.000 millones de cuenta –que ya les vale– sino a 3.000 millones de cuentas, es decir todas las que existían por aquel entonces en sus diversos servicios.

Cuestiones corporativas, informativas, legales y de prestigio aparte, y teniendo en cuenta que hubo otro crackeo de unos 500 millones de cuentas en 2014 (que no se conoció hasta 2016, manda narices) se puede decir que en la práctica cualquiera que haya tenido una cuenta de Yahoo o sus servicios asociados en esta última década está potencialmente jodido.

La mejor solución si se quiere seguir usando Yahoo, aunque sea en «modo añoranza», es ir a la página de cambiar contraseña de Yahoo y seguir las instrucciones detalladas. Y después añadir la verificación en dos pasos que vincula la función de identificarse en los servicios con el móvil (a donde se envía un código alfanumérico al acceder) de modo que no sólo haga falta la contraseña sino también ese código que solo recibe el usuario autorizado.

El desastre de Yahoo fue de proporciones bíblicas; pero por alguna razón este tipo de cosas no parecen importarle mucho a la compañía. Buena muestra es que el propio sistema de verificación en dos pasos tiene un bug que hace cuando se envía el código falte un simple espacio entre «Tu clave de cuenta de Yahoo es…» y el propio código:

Yahoo fail

A simple vista no está muy claro si el código es esSNTU o SNTU. Y este bug lleva así literalmente meses. Es imposible no preguntarse cómo un sitio en el que trabajan todavía miles de empleados nadie se da cuenta de fallos de este tipo. ¿Acaso no usan sus propios servicios?

Hay más detalles del desastre para quien esté interesado en estos temas de seguridad y desastres corporativos en este artículo: So, uh, that billion-account Yahoo breach was actually 3 billion (Wired).

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Alvy — 20 de Septiembre de 2017

Este proyecto artesano pero tecnológico a la vez no solo es encantador sino que además tiene cierto toque misterioso. Se trata de un mecanismo secreto para abrir un cajón. Pero en vez de ser una llave o una combinación de números o letras el secreto de apertura está en un tablero de ajedrez que hay en la misma habitación. Al colocar un par de piezas de cierta forma un motor activa el mecanismo y el cajón se abre.

El montaje, llamado simplemente Mystery Box es una idea de John Park y está creado con componentes de Arduino; requiere de unas etiquetas RFID, un transmisor de 900 MHz, una placa controladora PN532 NFC/RFID y un motor capaz de mover el mecanismo de apertura. El chisme en sí no es desde luego de muy alta seguridad, porque el cajón es bastante normalito y los componentes muy básicos –y hay mil formas alternativas de romperlo para saltarse la seguridad– pero lo divertido es el concepto.

Tal y como está diseñado sólo funciona cuando dos piezas concretas que tienen las etiquetas RFID escondidas en la base se sitúan en las dos casillas elegidas del tablero. (Así a ojímetro me salen algo menos de 4 millones de combinaciones posibles.) Quizá con un tablero más completo se pudiera utilizar la misma idea modificando el software y detectando cualquier posición de todas las piezas, o quizá incluso el desarrollo de una partida completa, por hacerlo más complicado e intrigante.

Queda muy al estilo de las películas de viejos castillos y mansiones con pasadizos en los que hay que mover un par de candelabros o libros para abrir la puerta secreta. Pero más high-tech.

Compartir en Flipboard  Compartir en Facebook  Tuitear
Por @Wicho — 25 de Agosto de 2017

Tarjetas de embarque en Instagram

Veranito (al menos en el hemisferio norte). Tiempo de postureo vacacional. Lo que incluye, muy a menudo, subir fotos de las tarjetas de embarque de los vuelos a redes sociales como Facebook o Twitter.

Y según lo que se vea en esas fotos se trata de un error potencialmente muy peligroso, tal y como se puede leer en Post a boarding pass on Facebook, get your account stolen, aunque a poco que lo pienses es una gran obviedad.

Porque con el código de reserva y el nombre y apellidos del viajero –o con el código QR– se puede entrar a gestionar la reserva y a hacer cambios en ella. Además, en muchos casos, con esa información y algún dato más como la fecha del cumpleaños, que a menudo se puede encontrar sólo con googlear un poco a la persona en cuestión, es posible entrar a la cuenta del viajero con la aerolínea y cambiar su contraseña –y por tanto robarle la cuenta– y acceder a cosillas como por ejemplo los datos de las tarjetas de crédito asociadas a la cuenta.

Hay más información acerca de esto en Why It’s Still A Bad Idea to Post or Trash Your Airline Boarding Pass, donde recuerdan que el localizador de una reserva es, a todos los efectos, la clave para entrar a gestionarla, clave que luego se imprime en las tarjetas de embarque, en las etiquetas de las maletas si facturas…

Y aún más en Where in the World Is Carmen Sandiego?, una charla en el Chaos Communication Congress de 2016 que da un repaso a los sistemas de gestión de reservas, sorprendentemente poco cambiados desde la década de los 80, con lo que sus prácticas de seguridad son, en muchos casos, cuestionables.

Así que a ser posible, no imprimas las tarjetas de embarque y usa la aplicación móvil de la aerolínea o un código que puedas llevar en éste; y en caso de imprimirlas no las dejes en el avión o en una papelera, en especial si todavía te queda por hacer el viaje de vuelta.

Compartir en Flipboard  Compartir en Facebook  Tuitear