08 mayo 2012

Debilidades en los sistemas de restitución de credenciales


Casi siempre cuando hablamos de Seguridad, y más aún de Seguridad Informática, es común escuchar que “una cadena es tan fuerte como su eslabón más débil”. Sí, es casi un cliché, pero no por eso deja de ser verdad.

Con lo omnipresencia de las grandes empresas de servicios de correo gratuito, y con los servicios plus que cada una ofrece (e.g.: calendario, Web disk, Mensajería instantánea, etc.), es común ver cómo la gente protege paranoicamente su cuenta, ya no sólo de correo sino de servicios. Perder la cuenta de correo que usas desde la Universidad o el colegio es peor que perder a tu novia tus tarjetas bancarias, dependiendo de cómo perdiste el acceso a tu cuenta, recuperarla podría ser más complicado que reponer las tarjetas perdidas. Por esta razón, las grandes compañías de servicio de correo electrónico gratuito como Gmail, Hotmail o Yahoo, agregan mecanismos multifactoriales para la recuperación de la cuenta (e.g.: preguntas de seguridad, números telefónicos y cuentas de correo secundarias.) Ahora bien, así como agregan mecanismos varios para la recuperación de la cuenta, también fortalecen los mecanismos de ingreso porque para muchos que nos movemos en el mundo de la seguridad depender únicamente de una clave pareciera ser insuficiente, razón por la cual Gmail agrega, por ejemplo, su doble factor de autenticación.

A propósito de la reciente vulnerabilidad que se encontró en Hotmail, Yahoo y AOL, la cual permitía a cualquier usuario con medianos conocimientos técnicos resetear la clave de cualquiera de estas cuentas, me di a la tarea de reflexionar sobre los mecanismos disponibles para la recuperación de contraseñas en varias de las empresas más grandes que ofrecen este servicio gratuitamente. Una de las opciones que comparten prácticamente todas ellas es la opción de envío de restitución de credenciales a través de un correo secundario previamente asociado por el usuario. El mecanismo en sí es muy lógico, si nos manejamos en un mundo virtual donde el correo es prácticamente la llave de entrada a tu(s) identidad(es) digital(es), es razonable pensar que debes tener más de una cuenta de correo habilitada, y la posibilidad de perder el acceso simultáneamente a ambas cuentas no debería ser algo tan común. No obstante, estos mecanismo de recuperación de contraseñas en términos prácticos representan otra puerta de entrada al correo, y en seguridad, entre más puertas tengas, más puertas tienes que cuidar.

Imaginemos que un usuario A está interesado en ingresar desautorizadamente a la cuenta de un usuario B. Este usuario B tiene su cuenta de correo en Gmail y lo ampara una contraseña irrompible de 16 caracteres combinados entre números, letras y símbolos especiales. Imaginemos también que este usuario A sólo conoce algunos datos básicos del usuario B, datos como el lugar de trabajo, algunos amigos, algunas aficiones, y cualquier detalle que se pueda encontrar en un perfil descuidado de Facebook. Este usuario B tiene como cuenta secundaria asociada la cuenta de correo de su empresa y las preguntas de seguridad convencionales que cualquier usuario podría configurar. Si el usuario A prepara su ataque descartará como primera opción hacer un ataque de fuerza bruta a Gmail, ya sabemos que desde hace años y con la implementación de los validadores de Recaptcha estos ataques se han complicado, en el caso de que aún así decida efectuarlo no le funcionará porque ya sabemos que la contraseña es robusta.

También podría pensar en un ataque más a largo plazo analizando la plataforma de Gmail haciendo recolección de información técnica, escaneo de puertos, análisis de paquetes de red, y cualquier estrategia que busque hallar debilidades en los sistemas de seguridad de Google, lo cual seguramente no le será fácil y mucho menos le garantizará el éxito de la operación. Adivinar las preguntas de seguridad son una posibilidad, sin embargo, se requiere conocer muy bien a la víctima para poder tener acertar la respuesta, al fin de cuenta, cuando se configura la pregunta secreta siempre se está pensando en algo que sólo conozcamos nosotros, al menos debería ser así.

Como tercera y última opción le queda comprometer la cuenta secundaria asociada para ingresar de manera indirecta a la cuenta Gmail. El hecho de que lo logre o no ya es lo de menos, lo que podemos ver aquí es que la seguridad de Gmail es directamente proporcional a la seguridad de la segunda cuenta de correo electrónica asociada:

  • Si es una cuenta Hotmail, y créanme que un gran porcentaje de asociaciones entre cuentas para recuperación de credenciales está entre Hotmail-Gmail, la seguridad de Gmail será equivalente a la seguridad de Hotmail, la cual se puso en evidencia hace pocos días tal como vimos
  • Si la cuenta secundaria es de una empresa, la seguridad de la cuenta de Gmail (y todos sus servicios) será igual a la seguridad de la plataforma tecnológica de esa empresa. Podríamos seguir profundizando el análisis comentando que un gran porcentaje de las empresas que realizan sus implementaciones para correo corporativo no usan conexión SSL para sus usuarios, por lo que con un ataque de MITM quedarían expuestas las credenciales de todas las cuentas que ingresen. Podríamos referir otro tipo de ataques también comunes como los de SQLi el cual afecta a sistemas de correos de empresas muy importantes en la actualidad y a través del cual también se podrían comprometer las credenciales de acceso de cualquier usuario. De igual forma aplicarían los ataques de fuerza bruta para las implementaciones que carecen de Recaptcha o que no controlan el número de intentos de ingreso permitidos.

La conclusión es que si la seguridad es un punto crítico de tu plataforma, debes pensarla en todas las perspectivas y enfoques. No sirve de nada que una empresa invierta millones en tener los sistemas de IDS/IPS más robustos, los Sistemas Operativos con las últimas actualizaciones de seguridad disponibles, los sistemas de monitoreo más completos y que, la recuperación de credenciales dependan de una segunda plataforma que no controlas.

--------------------------------------------------------------

Artículo cortesía de Carlos Rondón A. @phronimos

2 comments :

Jon Souto dijo...

Efectivamente a veces en temas de seguridad nos olvidamos de la premisa de que "Una cadena es tan fuerte como el más débil de sus eslabones".



 

Leandro Penalver dijo...

Totalmente Cierto!!!