lunes, enero 28, 2008

Riesgos de Seguridad y Medidas de
Protección en Windows Live Messenger (I/IV)

***************************************************************************************
Artículo Publicado en la revista PCWorld Ene'08
- Riesgos y Medidas de Protección en Windows Live Messenger (I/IV)
- Riesgos y Medidas de Protección en Windows Live Messenger (II/IV)
- Riesgos y Medidas de Protección en Windows Live Messenger (III/IV)
- Riesgos y Medidas de Protección en Windows Live Messenger (IV/IV)
***************************************************************************************
Hay ideas que triunfan a la primera, y otras no, solo hay que echar la mirada hacia atrás para recordar la moda del walkman, dónde “los jóvenes” de mi generación llevábamos siempre las orejas tapadas con los cascos de esponjilla naranja (al menos hasta que aparecieron los de cabeza de oro) e incluso una cinta pinchada en un bolígrafo BIC para poder rebobinar la cinta sin tener que consumir pila de esas que, cuando aparecieron las recargables, cuidábamos más que los “tamagotchis” la generación siguiente y a la familia SIMS la posterior. Por el contrario, están las que no triunfan nada, como el monedero electrónico o la motocicleta con cenicero.

Una de las ideas que nos ha revolucionado ha sido la mensajería instantánea, eso de poder charlar con los compañeros, los familiares, los amigos que no ves mucho, los novietas y novietas y cómo no, los compañeros de trabajo. Al final, los programas tipo Windows Live Messenger se han convertido en parte fundamental de la forma de trabajar de muchas compañías.

Sin embargo, el uso de los sistemas de mensajería instantánea, tienen sus riesgos de seguridad y hay que intentar protegerlos, o al menos, realizar un uso responsable de los mismos. Este artículo se centra en la protección de los sistemas que utilizan Windows Live Messenger y por tanto se van a mostrar los principales riesgos de seguridad que tiene la plataforma.

Versiones de Messenger

Los clientes de mensajería instantánea de Microsoft hoy en día son dos: Windows Messenger y Windows Live Messenger. La diferencia entre ambos es mucha.

El primero, la versión Windows Messenger es el cliente de mensajería empresarial, es decir, para aquellas empresas que utilizan los sistemas de mensajería como forma habitual de trabajo y necesitan opciones avanzadas de seguridad. Este cliente va asociado a los servidores de Microsoft Office System y permite opciones de cifrado en la transferencia de mensajes y ficheros así como en las comunicaciones de voz, permite configurar las opciones de los clientes para fortificar las configuraciones, filtrar el lenguaje utilizado, los tipos de documentos que se pueden enviar e incluso, añadir filtrado de antimalware para evitar que los sistemas de mensajería instantánea sean un coladero de virus, troyanos y malware general en tu empresa.

El segundo cliente, Windows Live Messenger es la versión de consumo y de uso general, totalmente gratuito y descargable por cualquiera desde Internet. Lógicamente las opciones que permite este cliente son menores en cuanto a seguridad, a saber: No realiza cifrado de conversaciones, no realiza cifrado de la transmisión de ficheros, tampoco utiliza ninguna solución de cifrado en las conversaciones de voz, no filtra los ficheros con ningún antimalware los ficheros enviados y recibidos y por supuesto, la configuración de las opciones para fortificar el cliente deben ser configuradas por parte del usuario. Como os podéis imaginar, caldo de cultivo para que existan problemas de seguridad….

Redes Inseguras

Antes de comenzar a ver nada sobre el producto me gustaría hacer una pequeña disertación sobre lo que se consideran redes inseguras. Esta recomendación debe ser tenida en cuenta no sólo para este servicio sino para todos los servicios de que supongan un riesgo.

- Redes Wifi: Las redes inalámbricas tienen la peculiaridad de estar al alcance cualquiera que esté cerca. Si la red inalámbrica no tiene autenticación o cifrado, o si el cifrado y autenticación que usa es WEP o si se está usando WPA-PSK y la contraseña es fácil, es decir, de longitud corta, poca complejidad y no es cambiada cada cierto tiempo, entonces … esa red Wireless es potencialmente insegura.

- Redes Cableadas: Si la red utiliza un concentrador de conexiones (hub) o usa switches sin IPSec y sin detectores de Sniffers y sin detectores de envenenamiento (ARP-Poisoning) entonces esa red es potencialmente insegura

Riesgos de las redes Inseguras

¿Y qué me puede pasar en una red de “esas”? Pues puede suceder que un atacante acceda a la lista de contactos que tienes, ver lo que hablas con ellos y que te dicen, ver la foto que tienes puesta y la que tienen tus contactos, acceder a los ficheros que envías y recibes, grabar los mensajes de voz enviados y las conversaciones en tiempo real de voz sobre IP y… ¿Te parece poco?

Captura de conversaciones

En este caso el objetivo del atacante es conseguir que el tráfico pase por su máquina. En cualquiera de los entornos descritos como Redes Inseguras esto se puede conseguir. Una vez que se ha conseguido que el tráfico pase por el equipo solo hay que activar un sniffer para realizar una captura del tráfico. Cualquier Sniffer valdría, Iris, Wireshark, SnifferPro, etc… y podemos buscar los mensajes transmitidos. En el caso del Messenger nos encontramos con un protocolo que a priori no es pública la última versión y que además ha tenido variaciones a lo largo de las diferentes versiones del producto, pero que en el caso de los mensajes de texto está bastante documentado y la mayoría de los sniffers detectan los paquetes y se pueden leer.

Imagen 1: Captura de mensaje enviado por Windows Live Messenger con Wireshark

Como se puede ver, encontrar el mensaje no es muy difícil, pero además existen herramientas especializadas en la mensajería instantánea para buscar los mensajes que circulan por la red y permitir a un atacante el poder disponer de un interfaz más cómodo. Una de esas herramientas es Shadow Instant Message Sniffer de la empresa Safety-lab.com. Como se puede ver en la captura esta herramienta no está solo pensada para Windows Live Messenger sino que detecta también otros protocolos de mensajería instantánea. No tiene soporte para capturar ficheros transmitidos.

Esta utilidad funciona con las librerías y el driver Winpcap, esto le permite a un atacante el poder realizar una ataque de Man In The Middle utilizando la herramienta CAIN entre el equipo al que se quiere espiar la conversación y su puerta de enlace y después arrancar SIMS para ir simplemente leyendo los mensajes.

Imagen 2: Captura de mensaje enviado por Windows Live Messenger con Shadow Instant Message Sniffer

***************************************************************************************
Artículo Publicado en la revista PCWorld Ene'08
- Riesgos y Medidas de Protección en Windows Live Messenger (I/IV)
- Riesgos y Medidas de Protección en Windows Live Messenger (II/IV)
- Riesgos y Medidas de Protección en Windows Live Messenger (III/IV)
- Riesgos y Medidas de Protección en Windows Live Messenger (IV/IV)
***************************************************************************************

12 comentarios:

  1. Nunca dejará de parecerme interesante el tema de sniffers, man on the middle, etc...muchas veces no somos conscientes de la información que estamos transmitiendo en claro, y no pensamos por supuesto que pueda haber alguien dispuesto a capturarlo.

    Por cierto, cuando hablas de los switches e IPSec para que no sean "vulnerables"(la red)...¿te refieres para cubrirte las espaldas en casos man in the middle? ¿O hay algo más que me esté perdiendo?
    Una cosa muy simple que suelo hacer es usar asignaciones estáticas ARP, supongo que no será la leche pero bueno de algo sirve sin entrar en IPSec (aunque si cambias frecuentemente de red no es aconsejable xD)

    Un Saludo y esperamos los siguientes artículos!

    P.D: Enjoy London ;)

    ResponderEliminar
  2. "Simp pro" es indispensable para los que utilicen MSN u otros programas de IM.

    -r

    ResponderEliminar
  3. Que tipo de cifrado utiliza Simp pro Lite ?

    ResponderEliminar
  4. Utiliza PKI. No recuerdo los cifrados exactos soportados pero vamos, de los estándares.:)

    -r

    ResponderEliminar
  5. @anon: Cuando yo lo usaba lo tiraba por RSA. Pero creo recordar que soportaba varios tipos de cifrado.

    ResponderEliminar
  6. @dejad de chatear y poneos a currar!!!

    ResponderEliminar
  7. ¿El "Simp pro" es para cifrar las conversaciones del Windows Live Messenger? Yo siempre pensé que estas ivan cifradas, de hecho en las opciones te aparece para marcar o desmarcar la opción de cifrado :S ¿Alguien me puede responder a esto?

    Un saludo.

    ResponderEliminar
  8. @romansoft: como por indispensable... pero me dices tu como explico a mi coleguita que se instale el SimpLite:

    -Sosio instale este programa para el msn que cifra nuestras conversaciones via red a traves de clave publica usando el algoritmo de encriptación RSA que basicamente sirve para que ningun malvado nos pueda esnifar el trafico y lea lo que no debe.

    -Tu tas tonto, ya te he dicho que yo no uso RSA, mi ordenador me venia con el Internet Explorer y yasta.

    ResponderEliminar
  9. @andres: que yo tenga entendido MSN nunca a aplicado algun tipo de encriptación a las conversaciones. Es decir que viajan en texto plano.

    Eso que dices "creo" que es cifrar la lista de contactos o si usas plus cifrar los historiales de conversación no los mensajes de máquina a máquina.

    ResponderEliminar
  10. @ Sirw2p:

    Si, en el Windows Live Messenger vas a Herramientas > Opciones > Pestaña de seguridad, abajo te aparece una casilla para cifrar los datos de la lista de contactos. Pues menuda mierda, nunca me había fijado, siempre estube en la duda de si cifraba, porque en una conferencia de Maligno lo debí entender mal XDDD Hasta ahora pensaba que era al revés :P
    De todos modos ya metí el SIMP Lite, del cual tengo la duda de si el otro contacto no lo tiene, la cifra igual, ¿no? Porque hice una captura con el Wireshark y eso parece :S

    Un saludo.

    ResponderEliminar
  11. @andres:
    Si claro, dos deben tener instalado el programa en su máquina, recuerda que usa un cifrado basado en clave pública :).

    ResponderEliminar
  12. Maligno, a ver si vas ahora y nos sorprendes recomendando en alguno de los siguientes artículos usar un protocolocon soporte para cifrado, como Jabber/XMPP. :O

    ResponderEliminar