Presentación.

"Los locos somos los que trazamos los caminos... Que luego los cuerdos recorren"... Don Quijote

miércoles, 24 de agosto de 2011

Algunos Vectores para 'hackear' cuentas de twitter, facebook, hotmail y otros.


Algunos vectores de Ataque para obtener acceso a una cuenta personal de hotmail, gmail, twitter, facebook.

1. Vulnerabilidades en la plataforma.
Este vector de ataque no es tan popular, puesto que las vulnerabilidades en las plataformas se mantienen como 0day que pocos encuentran y no divulgan. Sin embargo, cuando el atacante conoce el 0day de la plataforma, puede 'hacer maravillas'. Por ejemplo, si la víctima tiene asociada toda su actividad social (twitter, facebook, etc) con su cuenta de hotmail, con un 0day donde se permita acceder a la bandeja de entrada, se puede acceder a sus cuentas sociales utilizando los mecanismos de recordar contraseña, además de ver el correo electrónico de la víctima. Las medidas de protección que tienen algunos sitios son: uso de doble autenticación mediante sms, segunda cuenta de correo para recuperar clave.

2. Adivinar contraseña mediante diccionario.
Este vector de ataque es el más popular, puesto que cualquiera con acceso a los servicios puede intentarlo. En primera instancia se realiza un 'Mineria de Datos' sobre la víctima para conocer aspectos importantes de su vida que puedan ser parte de una contraseña, como nombre de los hijos, fecha de nacimiento de los hijos, nombre de la esposa, lugar de nacimiento, nombre de su finca, etc. Tras realizar el diccionario, el atacante los prueba contra el servicio. Para evitar este vector de ataque, se debe utilizar una clave larga fácil de memorizar o también utilizar dobleautenticación

3. Acceder mediante pregunta secreta.
Este es otro vector de ataque popular. Muchos servicios de correo electrónico permiten reestablecer la clave mediante una pregunta secreta. Si la pregunta es de dominio público, el atacante puede acceder con facilidad. Casos famosos: Sarah Palin y Paris Hilton.  Para evitar este ataque, la relación pregunta secreta-respuesta, no debe ser obvia.

4. Robo de sesión por captura de paquetes (sniffing).
En este vector de ataque, el atacante debe tener la posibilidad de capturar paquetes de la red (sniffing). Por ejemplo, la red wifi de un aeropuerto, hotel,  café-bar, o incluso, en el mismo ISP. El atacante primero identifica que la víctima esté en la misma red, luego captura el tráfico para obtener las cookies de la víctima y suplantar su sesión. Si lo desea hacer más fácil, el atacante puede utilizar el plugin 'firesheep' para firefox y así robar más fácilmente la sesión. Servicios populares vulnerables en configuración por defecto: Hotmail, Twitter, Facebook. Si se configuran estos servicios para que siempre utilicen HTTPS, se evita este vector de ataque; también se debe evitar acceder a estos servicios en redes públicas. 

5. Robo de claves por captura de paquetes tipo hombre en la mitad (MITM)
Este vector de ataque requiere que el atacante esté en la misma red que la víctima, o en el camino de los paquetes. El atacante se pone en la mitad entre la víctima y el sitio al cual se quiere acceder, para interceptar el tráfico. Normalmente, este ataque genera mensajes de error de certificados digitales, pero muchos usuarios los omiten. Este tipo de ataque es sencillo de realizar con herramientas populares como CAIN o SSL Strip. Para evitar este ataque, se debe prestar atención a los mensajes de error con los certificados digitales y evitar el uso de redes públicas. 

6. Robo de claves por infección de malware.
En este vector, el atacante busca infectar a su víctima de malware, ya sea a través de medios extraibles (memoria usb, cd rom), elementos adjuntos a un correo electrónico (Ej, Shady RAT),  Cuando la víctima utiliza un pc infectado, el atacante puede acceder a sus documentos, teclas presionadas (ej, claves), y mucha información confidencial. Contramedidas: antivirus actualizado, antivirus con heurística activada, tener cuidado al descargar adjuntos, tener cuidado con los medios extraibles. 


7. Ingeniería social
Existen varios métodos de Ingeniería Social para obtener claves, que van desde llamadas telefónicas suplantando autoridades (o soporte técnico), hasta el uso de modelos sensuales para espiar gobiernos (caso Anna Chapman). Las contramedidas dependen de el nivel de alerta de cada persona.

De estos siete vectores mencionados, uno solo ataca el servicio (server side attack), mientras que los demás atacan al usuario o su red (client side attack). Por esta razón, los usuarios somos los responsables de proteger nuestra propia información, conociendo los riesgos a los cuales nos exponemos. Si una persona tiene la fama de proteger mal su información, por ejemplo, guardando la clave de su tarjeta débito en la billetera, es más probable que sea una potencial víctima de 'Acceso abusivo a un sistema informático'.

Agradezco a Segurinfo por esta información.

No hay comentarios:

Publicar un comentario