SCCAID: Herramienta para la automatización del cambio de contraseñas

¿Cuántas identidades digitales podemos tener registradas en Internet? ¿entre 10 y 30 cuentas en servicios distintos..., quizá más?, y entre estas, ¿cuántas contraseñas distintas tenemos?, ¿qué complejidad tienen esas contraseñas para que seamos capaces de recordarlas todas?

Cada día que pasa son más y más servicios en los que un usuario está dado de alta y como tal se hace bastante complejo el mantenimiento de las contraseñas en todos estos servicios.
También se hacen cada vez más habituales las noticias informando sobre filtrados de bases de datos con contraseñas y publicaciones de cuentas de usuarios (Adobe, LinkedIn, Yahoo, Sony, Snapchat...), otorgando mucha más importancia a una buena gestión de cambio de contraseñas para los distintos servicios en los que el usuario este dado de alta.

Si realizamos una valoración de la cantidad de servicios a los que estamos suscritos y lo multiplicamos por el coste en tiempo que nos lleva hacer un cambio de contraseña (tarea que deberíamos hacer de manera regular), y si además tenemos en cuenta el riesgo de que de una manera u otra se pueda comprometer una de nuestras cuentas, la conclusión a la que llegamos es clara, tenemos un problema.

Llegados a este punto, ¿qué solución o valor añadido se puede aportar a este tipo de situaciones?

Para dar respuesta a esta pregunta queremos presentaros la aplicación “SCCAID”, desarrollada por un grupo de alumnos del Máster de Seguridad de la UEM y dirigidos por Alejandro Ramos (@aramosf) como parte del Proyecto Fin de Máster.  

¿Qué es SCCAID?

Es una aplicación cuya función principal reside en proporcionar al usuario una herramienta para poder gestionar cambios de contraseñas de manera rápida y eficaz tanto en un servicio en concreto de manera individual como en varios servicios a la vez y de forma paralela.

¿Cómo funciona?

Básicamente es un motor de peticiones Web que utiliza plantillas XML en las que se indican las peticiones que se deben realizar al servidor Web del servicio para ejecutar el cambio de contraseña.

Un ejemplo de cómo SCCAID realiza un cambio de contraseña:

¿Qué valor aporta SCCAID?

• Reducir drásticamente el tiempo invertido en realizar un cambio de contraseña. Imaginad el tiempo que se ahorra en cambiar la contraseña de 5 servicios introduciendo los datos una única vez y sin tener que hacer clic y esperar a que cargue cada nuevo formulario Web.
• Flexibilidad y sencillez a la hora realizar un cambio de contraseña cuando sea necesario o demandado por el usuario. Sólo es necesario introducir los datos de tu cuenta y la contraseña la primera vez, y en sucesivos cambios solo habrá que introducir la contraseña nueva a establecer.
• Favorecer el uso de contraseñas complejas para todos los servicios en los que el usuario esté dado de alta en detrimento de la utilización de un número mayor de contraseñas débiles para cada uno de los servicios.

¿Qué funcionalidades implementa en su versión actual?

• Política de Contraseñas, el usuario puede elegir complejidad y periodicidad aplicable a sus contraseñas:

• Integración con LastPass y Keepass a través de ficheros CSV:

• Integración con Latch (más información en el artículo de elladodelmal):

• Posibilidad de realizar backups en sistemas de ficheros y vía FTP:

• Gestión de perfiles, posibilidad de creación de perfiles y almacenes. Por ejemplo un usuario podrá crear un almacén con un perfil denominado Redes sociales que contenga servicios como Twitter y Facebook y otro perfil con los perfiles de tiendas PrestaShop y Ebay. De este modo podrá agrupar según sus necesidades y realizar cambios de clave en bloque o por separado.

¿Qué servicios soporta?

Hasta ahora los servicios que soporta SCCAID son los siguientes:

Para finalizar, os dejamos el enlace de descarga de una nueva revisión de la aplicación para todos los que quieran probarla y ver su funcionamiento.
Si lo descargasteis de elladodelmal os recomiendo desinstalar esa versión e instalar esta, ya que a cada nueva actualización que realicemos la aplicación os avisará y se actualizará automáticamente.

Nos podéis seguir a través del Twitter @ProyectoSCCAID siendo esta cuenta de momento el punto de contacto con los usuarios que lo prueben para ir recogiendo feedback.

No queremos despedirnos sin dar las gracias a SecurityByDefault por el apoyo a nuestro proyecto permitiéndonos publicar el artículo, a Alejandro Ramos por su ayuda en el proyecto y su apoyo, a Chema Alonso por el apoyo en su blog y a todos los usuarios que lo probéis y nos ayudéis a mejorar.

¡Saludos!

Autores: Rubén Franco (@FrankNoIdea), Miguel Ángel García (@nodoraiz) y Moisés Llorente (@moisllorente)

Leer más...

Reutilización de credenciales de e-banking

Hace relativamente poco publicamos un post sobre lo complicado que es gestionar diferentes identidades digitales para todos los servicios que consumimos en Internet, debido fundamentalmente a la heterogeneidad y variedad de los mismos.

Sin embargo, me gustaría dar a conocer los resultados de un estudio realizado por parte de la empresa Trusteer, en el que deja claro que un alto porcentaje de los internautas (un 73%) utiliza la MISMA contraseña de su banca online para al menos otro servicio online. Y además, un 47% de los usuarios utilizan ambos, identificador y contraseña, en al menos otro servicio. Para concluir estos porcentajes, han escogido una muestra de 4 millones de PCs, por lo que no parece que el estudio se haya hecho entre una pandilla de amigos.

¿Qué consecuencias pueden darse por esta mala práctica? Pues que un inteligente atacante (en este caso es más probable que sea alguien que te conoce) pueda intentar conseguir el identificador y/o contraseña de un usuario en otro tipo de servicio y probar si coincide con la de la banca online de la víctima.

Los bancos cada vez inventan nuevos mecanismos de seguridad (OTP, clave de firma, tarjetas de coordenadas, certificados digitales,...) para proteger al usuario al menos a la hora de realizar operaciones críticas como por ejemplo las transacciones electrónicas. Asimismo los propios servicios de banca online suelen asignar directamente el nombre de usuario y una contraseña aleatoria a cada usuario, para que ni siquiera éste tenga que pensarse qué identificador/contraseña elegir.

Esto me recuerda lo cierto que es, lo que nuestro compañero Yago comentó en el Security Blogger Summit 2010. La seguridad de las acciones de los usuarios en Internet no deberían dejarse en sus manos (o al menos, no todas) y que es más seguro dárselo lo más hecho posible. El usuario ni tiene ni quiere preocuparse por la seguridad, quiere que funcione y que los procedimientos sean ya lo más seguros posibles.

Está demostrado que los ataques que mayor éxito tienen son todos aquellos que conlleven en engañar al usuario para involucrarlo en revelar sus credenciales: phishing, ingeniería social (esta pregunta cae en el examen de cualquier certificación de seguridad) y acceso a sitios inseguros (aquellos operados por cibercriminales que puedan ofrecer servicios gratuitos a cambio de un inocente registro).

Aún así, hay que seguir adelante con las campañas de concienciación, buenas prácticas e información a los usuarios, puesto que si con ellas, se siguen cometiendo ciertas aberraciones, si existiera aún más desinformación, la situación sería aún peor.

El informe original de Trusteer, así como sus recomendaciones e indicaciones lo podéis descargar de aquí

Leer más...

Identidades digitales inmanejables

Es impresionante la cantidad de sitios web que visitamos, y de empresas/organizaciones que ofrecen vía web los servicios que demandamos, ya sea como forma de vida, por trabajo, ocio, hobbies, interés particular, etc,...

Cada día nos suscribimos a nuevos foros, compramos billetes de avión, tren, reservamos hoteles, accedemos a nuestra banca online, facturas de telefonía, luz, gas,... participamos en redes sociales (como facebook, twitter, linkedin,...), gestionamos diferentes cuentas de correo (hotmail, gmail, yahoo,...), compramos y vendemos (ebay, paypal) foros varios dependiendo de si nos gustan los coches, los libros, el cine, la música,... entre otros.

Para cada sitio web, es necesario introducir unas credenciales: En algunos casos podremos elegir el nombre de usuario (siempre y cuando no exista, o tendremos que derivar uno diferente al que generalmente usamos) y una contraseña (que en algunos casos deberá seguir un formato dado por la organización para satisfacer ciertos requisitos de complejidad). A no ser que seamos felices viviendo en el campo, ajenos a una conexión a Internet, estamos obligados a tener un montón de identidades digitales o una única con un nombre de usuario lo suficientemente raro y una misma contraseña.

¿Problemas? Pues ambas posibilidades tienen sus ventajas e inconvenientes. Tener diferentes identidades (pares usuario/contraseña) permite ser uno diferente en cada sitio, de manera que no se pueda concluir mediante herramientas online o mediante análisis las costumbres (a veces contradictorias) de un mismo individuo. Así, si un sitio de los que somos usuarios se ve comprometido (o picamos ante un ataque de phising) y nuestras credenciales son expuestas, las que usamos para el resto de los servicios seguirán seguras. Mucha gente, incluso importante en el mundo de la seguridad, utilizan mecanismos de generación de credenciales basados en el nombre del sitio web o servicio que visitan. Una vez comprometido el algoritmo pensado, todas las credenciales de ese individuo, quedan expuestas.

Por lo mismo y dada la cantidad de servicios online que consumimos, lo más normal es que olvidemos aquellos que no utilizamos tan a menudo y haya que usar las opciones "Lost Password?".

En el caso de usar el mismo usuario/contraseña (siempre que se pueda) para todos los servicios, si alguien averigua nuestras credenciales (por sniffing, shoulder surfing, compromiso de uno de los websites, ingeniería social, phising, etc...) podrá probar en otros sitios que exista el mismo usuario o de otros en los que conozca nuestros hábitos.

Para evitar este tipo de disyuntivas, las empresas se gastan un dineral anualmente en lo que se llaman proyectos de gestión de identidades, single sign-on y provisioning. Para el usuario "de a pie", hay en el mercado variedad de productos, comerciales y libres (como por ejemplo KeepassX), que permiten mantener en un contenedor cifrado las diferentes identidades. Para aplicaciones web, incluso los navegadores proveen de servicios propios de auto-rellenado de usuario y contraseña.

En general, estos programas de protección de contraseñas, así como los de gestión de identidades, requieren una autenticación basada en una contraseña maestra. Lo cuál nos lleva a otro problema más, si esa contraseña maestra cae, todas las demás quedan expuestas.

Este problema se solucionaría utilizando algún tipo de autenticación fuerte como contraseña maestra, basada en al menos dos factores de estos tres: "algo que se tiene, algo que se sabe, algo que se es".

Si no es posible la autenticación fuerte, al menos:

• Aseguraos de que cuando insertéis la contraseña maestra de vuestro gestor de credenciales no haya nadie nadie mirando. Si tapáis el PIN cuando metéis la tarjeta en el cajero automático, ¿por qué no tener ciertas precauciones en el teclado del PC?
• Como extensión al punto anterior, que no nos miren ni desde fuera ni desde dentro del PC: mantenedlo libre de troyanos y keyloggers. Política de parches y antivirus actualizados, firewalls personales, instalar sólo aquello que estéis seguros que no contiene spyware/malware y cuidado con los rogue antivirus
• Cerrad la sesión cuando terminéis la actividad para la que os hayáis tenido que autenticar (sobre todo para entornos de banca online, los datos son datos, pero la pasta/guita es la pasta/guita)
• Cuidado con los enlaces sobre los que pincháis (los que veáis en foros, los que os lleguen por correo), puede llevaros a no dar vuestra contraseña, pero sí a ceder vuestra sesión por robo de cookies
• Seguid las recomendaciones y buenas prácticas recomendadas por Laura respecto a la gestión y vida de las contraseñas
• Cuidado con las "Preguntas secretas" para recuperar contraseñas. Extremad precauciones con respuestas demasiado triviales que puedan comprometer vuestra información de una forma trivial por quien os conoce
• Y sobre todo y más importante, cuidado con los ataques basados en ingeniería social. Cuando hay que dar una contraseña a alguien, no fiarse siempre es la opción correcta!
  

Leer más...

Fraude mediante herramientas online

De piedra me he quedado al leer una noticia en El Mundo relativa a la detención de un individuo de Gerona, por haber solicitado préstamos a diferentes entidades bancarias, a nombre de sus empleados, todo ello a través de Internet.

Por lo que cuenta la noticia, diferentes empleados (hasta una centena) en dos empresas de este individuo (Jordi), han sido víctimas de una suplantación de identidad, para tener abiertas diversas cuentas bancarias y préstamos a su nombre, vía online, mediante fotocopias de los DNIs de las mismas.

El detenido (máximo accionista individual de la Real Sociedad) había tenido problemas en los pagos de alguna de sus empresas e incluso llegó a decir que es víctima de una venganza por parte de sus empleados, etc, etc,...

Y digo yo, sea verdad o no lo que ha sucedido, sea una estafa por parte de Jordi hacia sus empleados, o sea una venganza por parte de los mismos... ¿hasta que punto es viable llevar a cabo este tipo de fraude?

Yo mismo he sido víctima de un alta indebida, o slamming, como ya comenté aquí tiempo atrás. Para ello, no es necesario firmar nada, simplemente tener a mano acceso a los datos de otra persona; ya con una fotocopia del DNI es aún más factible. A la orden del día están los delitos de usurpar la identidad de otra persona en propio beneficio o con malas intenciones contra esa persona. Que te contraten un servicio ADSL nuevo, que te cambien de operador de telefonía o te den de baja la línea, son experiencias molestas pero de menor nivel. Sin embargo, la creación de una cuenta bancaria a tu nombre, y más la solicitud de créditos a través de Internet, son palabras mayores. ¿Hasta qué punto estamos protegidos los usuarios de este tipo de estafa? ¿cómo depurar las responsabilidades? ¿quienes son los culpables? Probablemente el fallo esté en la comodidad hacia los usuarios a la hora de poder efectuar según que tipo de cosas a través de Internet o por vía telefónica. Si fuera necesario, hacer ciertas operaciones de forma presencial, o se forzara a la utilización de mecanismos de autenticación fuertes, como puede ser (al menos hasta hoy) la firma digital mediante los certificados del DNI-E, al menos tendríamos cubierta vulnerabilidad de la validez de ciertos trámites mediante fotocopias.

Ahora plantearos en todos aquellos sitios en los que os piden el DNI para hacer una fotocopia (véase hoteles, vuestras propias compañías, empresas de telefonía móvil en las que el empleado hace la fotocopia en una habitación que tú no ves, etc....)

Leer más...

Problemas de autenticación para Kevin Mitnick

El archipopularmente conocido hacker... perdón, "profesional de la seguridad" de los 80 y 90, Kevin Mitnick, ha declarado haber tenido problemas para probar su autenticación en Facebook.

Paradójicamente, Kevin, es conocido precisamente por sus excelentes habilidades para robar la identidad de otras personas, convenciendo a la gente mediante ingeniería social, para conseguir información confidencial, contraseñas, acceso a lugares restrigidos, etc,.... Sin embargo en la, también popular, red social Facebook, fue incapaz de acceder a su propia cuenta durante semanas. El motivo: Los administradores de la propia red social no creyeron que era quien decía ser.

Después de llevar 2 años utilizando Facebook, el 22 de Febrero de 2009, le resulta imposible acceder a su perfil. Envió un correo preguntando qué sucedía y la respuesta es que había violado los términos de utilización por registrarse con un nombre falso. Se le ocurrió enviar un correo desde su cuenta de su empresa Mitnick Security Consulting para probar que era él de verdad. Los administradores respondieron que sólo aceptaban correos electrónicos de la cuenta que él tenía registrada en Facebook y que había sido borrada junto al perfil que creían falso, por lo que no les valía.

Finalmente el problema fue solucionado. La gente de Facebook insiste en que es tanto el afán de que los miembros de Facebook no falseen su identidad, que a veces se cometen errores como este.

Según palabras del propio Mitnick: "Me resulta muy frustrante, puesto que yo solía ser muy influyente a la hora de simular ser otras personas, y ahora ni siquiera soy capaz de probar que soy el verdadero Kevin Mitnick en realidad"

La noticia original en cnet la podéis leer aquí

Leer más...

La curiosidad mató a Comcast

En la sección de negocio, innovación, tecnología y sociedad del blog del New York Times se hacen eco de una noticia en la que se dan lugar ciertos hechos que hemos comentado varias veces en Security By Default.

En primer lugar, un nombre importante, digamos por ejemplo Comcast, la compañía lider en telecomunicaciones de EE.UU, que proporciona televisión e internet a un gran número de estadounidenses. No perdáis este nombre, que después le añadiremos verbo y complementos.

En segundo lugar, nos da la curiosidad después de leer un artículo que trata el tema de nuestra confidencialidad, o ausencia de ella mejor dicho, y queremos saber lo que el resto del mundo podría saber de nosotros. Utilicemos, en tercer lugar, un servicio de internet, relacionado con identidades, con el que dado un nombre y apellidos obtenemos ocurrencias en múltiples sitios. Por ejemplo, pipl. Seguidamente, nos damos cuenta que aparecemos en varios lugares, entre ellos, el youtube de los documentos, como lo definían en genbeta hace un par de años, Scribd. La cosa no acaba ahí, no es que aparezcan sólo nuestros nombres y apellidos...el problema es que también aparece nuestra contraseña, que para más inri, es la que usamos para todo. Esta información no venía sola: con ella, un listado de 7999 lineas más de ese mismo estilo, pero con otras personas. Era un listado de 8.000 nombres de usuarios y contraseñas de Comcast.

Esto es lo que se encontró un profesor de universidad especialista en tecnología (que no en contraseñas por lo que parece...), en el que raudo y veloz se dispuso a notificar este hecho a Comcast, al F.B.I. y a Scribd, que rápidamente eliminó el documento, que había sido visto ya por más de 340 personas y descargado por otras 27.

¿Intrusión en Comcast? Poco probable. ¿Publicación por parte de algún empleado de la compañía? Quizás. ¿Phishing en Comcast? Personalmente, creo que tenemos ganador, aunque la propia victima, recordemos de nuevo, especialista en tecnología con la misma contraseña para todo, diga que no recuerda haber sido víctima de un phishing. Comcast como no, ha hablado sobre el tema, y aquí llegamos a otro hecho que se repite mucho en este tipo de incidentes cuando la compañía da la cara...no un momento, en eso consiste, al final no dan la cara... resumiendo, declaran y cito NO textualmente: "¿8000? no hombre no, unos 700, al resto no les hagáis caso que ya no son clientes".

[+] Noticia original: Passwords of Comcast Customers Exposed

Leer más...

Telefónica y sus automatismos

Me ha llegado la factura de mi línea fija de teléfono a casa, y entre otras comunicaciones, me encuentro con un formulario en el que se indica el número de teléfono móvil que tengo asociado a mi ficha de línea fija.

Mentando a la LOPD, se me da la oportunidad de decidir si quiero permitir que Telefónica haga uso de este número de teléfono móvil para promocionar sus productos y servicios (así como de otras empresas) por SMS/MMS.

Para evitar esto se te insta a enviar este formulario con las cruces marcadas sobre aquello que no quieres permitir vía correo postal, vía internet o finalmente al número de teléfono 900502020 (que es lo que creo que harán la mayoría de los usuarios).

En este teléfono, una grabación te indica que marques el número de teléfono al que quieres denegar/permitir su utilización para envío de publicidad mediante SMS/MMS. Después de pulsar los 9 dígitos la misma voz enlatada te hace 3 preguntas sobre si deseas permitir o no este tipo de publicidad. Se te indica que si quieres permitirlo pulses 1 y si quieres denegarlo pulses 2.

Evidentemente he pulsado 2 a las tres preguntas. Posteriormente a esto se te indica que se ha tramitado correctamente tu solicitud y ya está.

Con este sistema en mano, si alguien se sabe mi número de móvil directamente puede llamar tranquilamente, pulsar los 9 dígitos de mi teléfono y marcar 1 a las 3 preguntas. De esta manera me enviarán publicidad de forma indiscriminada al móvil sin haberla pedido. Mis dudas ante esto son: ¿por qué no utilizan algún otro mecanismo de autenticación previo? Pedir que marques tu DNI o una One Time Password que venga en la carta personalizada sería más acorde que únicamente el móvil al que quieres permitir/denegar spam y el decir Sí o No.

He probado por si acaso a llamar desde un móvil diferente para ver si a lo mejor era debido a que sólo se pudiera hacer desde el número de teléfono fijo de casa, pero efectivamente he podido modificarlo para que me envíen morralla al móvil.

Ya aprovechando he modificado los datos para que a mis padres no les envíen publicidad de Imagenios y etcéteras al móvil,... pero lo mismo que he dicho que no lo quería para otra persona, podía haber marcado que sí a todo.

Leer más...