20 agosto 2010

Ojeada a la seguridad de Jolicloud


Jolicloud es uno de los últimos gritos en cuanto a cloud computing se refiere. Se define como un sistema operativo ideado para netbooks, que nos facilita la gestión de nuestros datos y los servicios que usamos en Internet. Al final, es un sistema operativo que centraliza diferentes servicios externos y facilita su uso. Dicho así parece atractivo, pero por otro lado algo que se basa tanto en la nube necesita unas medidas de seguridad extra, y si no las tiene puede jugarnos una mala pasada.

Hasta hace poco sólo se podía probar mediante invitación, pero en estos momentos está disponible la primera versión del sistema, y cualquiera puede crearse una cuenta y empezar a usarlo.

Puesto que ya está abierto al público, es el momento de ver cómo se han hecho las cosas. Vamos a crearnos una cuenta, y arrancamos la Live CD para probar. Además, vamos a monitorizar el tráfico que genera.

Lo primero que nos pide Jolicloud cuando termina de arrancar es que nos conectemos a Internet para poder iniciar sesión en el ordenador. Una vez preparados iniciamos sesión y vemos qué y cómo ha enviado los datos al servidor:



El nombre de usuario y la contraseña se envían en una petición POST HTTP en claro. ¿SSL? ¿Para qué?

Después de que nuestros credenciales hayan viajado legibles por medio mundo, estamos dentro de nuestro ordenador, con nuestras aplicaciones en local, y un montón de accesos directos a servicios online (Dropbox, Gmail, Facebook, Twitter ...). Vamos a descargar nuestra primera aplicación, que va a ser VLC:


La petición vuelve a ser en claro, indicando la aplicación y la acción a realizar.

Son pocas las peticiones que realiza el propio Jolicloud a sus servidores (y menos mal), el resto están gestionadas por el servicio en cuestión, ya que realmente lo que nos facilita el sistema es un acceso directo a la página web o la aplicación oficial del servicio.

Que cada uno saque sus propias conclusiones.

Artículo por Alberto Ortega Llamas.

7 comments :

Luis dijo...

El tema del envio de los credenciales sin cifrar... parece mentira... Hoy en dia todas las autenticaciones deberian ser cifradas, pues cualquiera puede monitorizar nuestro trafico (siempre y cuando la red no sea lo suficientemente "segura") y los certificados ya no son un privilegio de unos pocos (por temas economicos).

Con respecto a las demas peticiones que realice la servidor, ¿has comprobado si se puede jugar con cuentas ajenas? parece raro, pero mas veces de las que uno se piensa se les escapa alguna que otra validacion.

Un saludo!

a0rtega dijo...

Efectivamente, parece mentira.

@Luis
Supongo que te refieres a hacer las peticiones a mano para, por ejemplo, cambiar las preferencias del perfil de otro usuario. No lo he probado, pero visto lo visto, no me sorprendería que "faltaran comprobaciones" o estuvieran mal hechas y se pudiera "engañar" al servidor. Me da que como no lo mejoren, este sistema (y su servidor / web) va a ser un entretenimiento para más de uno.

Un saludo! ;)

Luis dijo...

@aOrtega
Efectivamente, me referia a eso.
Es increible en la cantidad de sitios que puedes jugar con sesiones de otros usuarios.
A ver si despues de examenes le hecho un vistazo y comento por aqui.

Jaime Chavarri dijo...

Es de juzgado de guardia que no autentique contra un mísero servidor con un ssl autofirmado. Con eso se podría hacer un man in de middle, pero ya requeriría más trabajo que simplemente hacer un escaneo en una WLAN.

Lo dicho, de escándalo. Esperemos que lo arreglen pronto ya que JoliCloud, por lo demás, tiene muchos puntos a favor.

Pho dijo...

Wow. Es asombroso que a estas alturas, alguien que monta un servicio así no se preocupe en darle unos minimos de seguridad...

Gracias por el aviso! :3
Saludos

DaniWeTT dijo...

Interesante "review". Con todo lo que se esta hablando estos dias de este S.O. y sus bondades, nadie se habia parado en la seguridad.
Muy buen articulo.
Gracias por compartirlo.
Un saludo.
;)

Anónimo dijo...

disculpen si no es mucho pedir alguien me podría decir como se llama o como se ase para analizar como lo en esta entrada...