Contraseñas no tan efímeras en memoria

En bastantes ocasiones hemos encontrado la recomendación de cambiar nuestras contraseñas periódicamente para mejorar la protección de nuestras cuentas de correo y/o redes sociales. Esta recomendación que más bien puede parecer un incordio (tener que buscar contraseñas fáciles de recordar periódicamente y que además cumpla con las políticas de seguridad del proveedor: mayúsculas, números, etc.) tiene bastante sentido ya que no es tan difícil que alguien obtenga nuestra contraseña. No estoy hablando del típico robo de credenciales, keyloggers software o hardware, sniffers de red, etc. Voy a algo mucho más sencillo y que no necesita ninguna sofisticación.

Seguramente muchos de los lectores se han encontrado en la tesitura de tener que consultar su correo o perfil de red social desde un ordenador público (en bibliotecas, universidades, hoteles o en casa de algún conocido); pues bien, no importa si utilizó una conexión cifrada, o si cerró la sesión, incluso si cerró el navegador. Su contraseña puede estar en memoria y puede ser revelada fácilmente por un tercero.

La explicación es simple, para que un proceso pueda trabajar con la información debe estar en memoria y, aunque en el momento de la transmisión los datos se encuentren cifrados, previamente la información se encuentra perfectamente legible en algún lugar. El proceso puede haber terminado de trabajar con esos datos pero eso no significa que se hayan eliminado esos datos de la memoria.

Una pequeña y sencilla muestra de este procedimiento:

  1. Obtenemos una muestra completa del espacio de direcciones de memoria del proceso correspondiente al navegador (iexplorer.exe, chrome.exe, firefox.exe, etc.)
    mem01
  2. Buscamos cadenas de texto tipo “pass=”, “passwd=”, “password=” tratando de encontrar en memoria peticiones de login de los usuarios que han usado el equipo. Para ello usaremos el comando strings para buscar cadenas y findstr para filtrar. Enviamos los resultados de la búsqueda al fichero result.txt
    mem02
  3. Comprobamos el fichero result.txt en busca de credenciales. En nuestro caso aparecen la contraseña y el usuario de Facebook de testuser@yahoo.es
    mem03

En resumen, este artículo pretende alertar al lector sobre lo simple que puede resultar la obtención de credenciales, de modo que recomendamos restringir el uso de las mismas a lugares de mucha confianza y el cambio periódico de la contraseña para prevenir posibles accesos no autorizados.

Tienes un mensaje privado…

Hoy en día es bastante común recibir correos electrónicos indicando que alguien, ya sea de nuestros contactos o no, nos ha enviado un mensaje privado. Aunque, lógicamente, es mayor la confianza cuando el destinatario es conocido siempre existe la curiosidad intrínseca del usuario y es en esa confianza y curiosidad en las que reside el éxito de estos ataques.

El siguiente caso de estudio nos permitirá definir las claves necesarias para distinguir entre realidad o ataque. Cuando recibimos un e-mail de este tipo en nuestro buzón de correo, siempre tendremos que hacer clic en un enlace para leer el mensaje que supuestamente nos aguarda. Antes de hacer clic en el mismo es recomendable conocer el destino del mismo, para ello simplemente hacemos clic con el botón derecho del ratón y seleccionamos “Copiar dirección del enlace”. Acto seguido pegamos el contenido en cualquier editor de texto (Word, OpenOffice, bloc de notas…) y analizamos la URL:

http://68.168.30.188/?leer=zucimo&f=origen%40hotmail.com&to=victima%40hotmail.com&n=victima

La primera incongruencia de la URL respecto a un servicio legítimo es la dirección IP. Esta ausencia de dominio ya debería hacernos desconfiar. Además, cualquier servicio de este estilo que se precie utilizaría “https” y esta URL utiliza el protocolo “http”, es decir, la información no se transmitirá de forma cifrada por la red y por tanto, la comunicación no será segura.

Pero, analicemos un poco esa dirección IP. Como posiblemente el lector ya conozca, los nombres de dominio se traducen en direcciones IP a través del servicio de nombres de dominio (DNS) y esta traducción se hace en los dos sentidos. Utilicemos la web http://www.domaintools.com e intentemos obtener el dominio asociado a esta dirección IP.

Captura de pantalla 2013-02-24 a la(s) 23.04.21

Tal y como podemos ver en la imagen esta dirección IP resuelve correctamente para estos tres dominios: livebaylic.org, livebaylic.com y livebaylib.com

Estos dominios tienen cierto parecido a los utilizados por MS Live en Hotmail pero como veremos ahora poco o nada tienen que ver. Utilizaremos el servicio de http://www.netcraft.com y solicitaremos información de alguno de estos nombres de dominio.

Captura de pantalla 2013-02-24 a la(s) 22.40.53

La calificación de riesgo que da NetCraft sobre el dominio es de 9 sobre 10 por lo que la desconfianza del usuario debería aumentar pero con esta desconfianza veamos a donde nos dirige el enlace si hacemos clic. Utilizando nuestra página de origen (en este caso Hotmail) nos muestra una pantalla de login similar a Outlook con nuestro usuario de correo y nos solicita la contraseña. Si recordamos la información de NetCraft, el propietario del segmento de red no era Microsoft por lo que está claro que es una web fraudulenta intentando pasar por el servicio de webmail Outlook. En caso de introducir la contraseña el usuario estará dando sus credenciales y facilitando su suplantación y robo de datos como la libreta de direcciones, lo cual realimenta este tipo de ataque mezcla de SPAM mezcla de Phising. En otras ocasiones, el mismo link derivará en la clásica encuesta que has de rellenar para conseguir cierto premio y que acaba solicitando información personal que acabará siendo utilizada para campañas de mailing o de llamadas comerciales masivas.

Resumiendo, desconfiad de cualquier enlace de este tipo y en general también de aquellos disfrazados en forma de URL corta, muy utilizados en redes de microblogging como por ejemplo Twitter. Recomendamos utilizar servicios como http://urlxray.com/ que nos permiten saber a dónde nos lleva una determinada URL sin necesidad de hacer clic en ella.

Hasta la próxima! 🙂

Bienvenidos!!

Buenas a todos y bienvenidos!

Con la mera intención de servir de ayuda y orientación para conseguir una red más segura que nos permita sentirnos más protegidos (y realmente estarlo) nace este blog. En él iremos publicando trucos y consejos (algunos más “técnicos” y otros mucho menos complejos) relacionados con temas diversos que abarcan desde cómo proteger tu cuenta de correo o cómo saber si alguien ha pirateado tu red wifi a asuntos más complejos como un análisis forense de tu teléfono móvil. Trataremos de resolver las dudas que planteéis y cubrir los temas más candentes u oscuros acerca de la Seguridad en Internet intentando hacerlo ameno y sencillo.

Así que, comenzamos!