Seguridad en protocolos de mensajería


Pese al paso de los años y los nuevos conceptos que se van inventando, el chat mediante protocolos de mensajería sigue teniendo una amplia cuota de protagonismo en las actividades online.





Con la transición del PC en casa a los dispositivos de tipo portátil y smart*, pasamos de entornos 'seguros' a entornos potencialmente mas peligrosos como Wifis públicas o centros de trabajo, donde es realmente fácil interceptar comunicaciones.

Existen muchos mitos sobre 'que te pueden hacer' si haces login en el MSN o Gtalk desde un lugar donde haya ojos curiosos, por eso vamos a explicar como funciona cada protocolo y el tipo de riesgos potenciales de cada uno.

Empezamos por 'el rey':

MSN / Messenger

Sin duda el protocolo mas empleado y con mas cuota de usuarios en España. El protocolo MSN no es un protocolo estático, va mutando periódicamente y Microsoft va sacando actualizaciones en las que varia ligeramente su funcionamiento. Dado que sus internals no son públicos, toca 'reversear' y deducir como funciona. A día de hoy la última especificación de la que se cuenta con información es esta y la parte que mas nos interesa es la que concierne a como se realiza la autenticación.

A grosso modo:
El cliente lanza la petición de login al servidor MSN,
El servidor MSN facilita un 'reto' (un montón de caracteres aleatorios para generar entropía) y un servidor 'de tickets'
El cliente envía el Login + Password + Reto mediante una conexión SSL al servidor de tickets y, en caso de ser válida, obtiene un ticket
El cliente envía ese ticket al servidor MSN

MSN

Una vez completada esta secuencia, el resto de la comunicación se realiza en texto plano sin codificación alguna

Gtalk (cliente oficial)

Como es bien sabido, Google para implementar su sistema de mensajería se ha decidido por una implementación basada en XMPP / Jabber. El problema es que Jabber aun siendo un protocolo estandarizado admite mil y una forma de hacer las cosas (algunas mas seguras, otras mas inseguras). En concreto, Google en su implementación ofrece como formas de hacer auth dos posibilidades, una llamada Google-Token (totalmente fuera de especificación y propietaria de Google) y otra basada en TLS. El cliente oficial, como es lógico, emplea Google-Token y ciertamente debilita mucho la seguridad del sistema. Funciona de la siguiente manera:
El cliente se conecta vía SSL a Google para hacer el auth
Google entrega un token al cliente
El cliente usa ese token como método de autenticación

gtalk

Terminada esta fase, el resto de la comunicación va en texto plano

Gtalk (clientes XMPP / Jabber alternativos)

Si obviamos el cliente oficial de Google y nos decantamos por alternativas como Gajim o Pidgin (necesario si empleas una plataforma como Linux), la cosa cambia radicalmente. El método empleado está completamente basado en TLS.
El cliente inicia la comunicación con el servidor XMPP
Se negocia un túnel TLS
Se envían las credenciales

google

A partir de ahí toda la comunicación va cifrada

Facebook

Recientemente Facebook ha abierto su chat públicamente mediante una plataforma basada en XMPP / Jabber. Como ya decía anteriormente, las formas en las que se puede hacer auth en XMPP son increíblemente versátiles. En el caso de Facebook han optado por un método basado en Digest SASL. SASL es un protocolo ampliamente utilizado para autenticación en servicios como IMAP o SMTP. Para hacerlo aun mas divertido, SASL soporta tres modos de autenticación en función de la seguridad que se quiera aplicar. El primero llamado 'auth' únicamente sirve para intercambiar credenciales de forma segura basado en retos, el servidor genera una cadena aleatoria y el cliente debe responder con un hash de sus credenciales + el reto. El segundo modo 'auth-int' añade una capa de integridad añadiendo a cada intercambio un 'código de integridad' empleando HMAC. El tercero, 'auth-conf' añade a todo eso una capa de cifrado. ¿Cual método ha elegido Facebook? auth normal.

FAcebook

Después de eso la conversación continua en texto plano

Conclusiones

Una vez explicado como funciona cada protocolo, a modo resumen una tabla con los riesgos potenciales que podemos sufrir si una sesión de chat es interceptada.

Los criterios de evaluación han sido

[ ] Crackeable: La posibilidad de que un atacante que capture la autenticación pueda aplicar fuerza bruta sobre lo interceptado para averiguar la contraseña
[ ] Usuario deducible: Se evalúa si durante la fase de autenticación un atacante podría averiguar el login / dirección de correo ej: fulano@hotmail.com
[ ] Sniffing conversación: El hecho de que los mensajes de chat intercambiados sean susceptibles de leerse en texto plano

** En el caso de Gtalk solo se contempla en formato 'cliente alternativo'

cc

Fuente:
por Yago Jesus
http://www.securitybydefault.com



Otras noticias de interés:

La privacidad en Internet será un derecho
Expertos y autoridades de 25 agencias de protección de datos, reunidosel 16/04/2010 en Granada, han puesto las bases de lo que será una carta de derechos de privacidad en Internet. En la reunión se han presentado una serie de conclusiones que, una...
Casa Blanca no apoyará la SOPA
El gobierno del presidente Barack Obama no apoyará ninguna ley contra la piratería en Internet, sí esta fomenta la censura, socava la seguridad o altera la estructura de la red....
Panda Software informa de la aparición del gusano Sober.A
PandaLabs ha detectado la aparición de un nuevo gusano denominado Sober.A (W32/Sober.A.worm), que ya ha comenzado a provocar algunas incidencias entre los equipos de los usuarios. Se trata de un código malicioso diseñado para propagarse r...
La Web 2.0 reduce considerablemente la seguridad
Según una encuesta de Check Point en colaboración con el Instituto Ponemon, el 82 por ciento de los CISOs consideran que el uso de redes sociales, aplicaciones de Internet y reproductores dentro de las empresas reducen en demasía la seguridad de s...
Windows 7 podría bloquear programas y contenido pirata
Según informan distintos blogs tecnológicos, Windows 7 tiene la capacidad para bloquear programas piratas....
Crimen organizado mayor responsable de robo de datos corporativos
Las amenazas internas y la ingeniería social son otros dos factores que marcan las brechas digitales de las empresas según asegura un estudio de Verizon en colaboración el Servicio Secreto de EEUU....
Knoppix 5.0 en Castellano disponible
Knoppix 5.0 LiveDVD en castellano ya está disponible. Sus novedades incluyen: Kernel 2.6.15.4, KDE 3.5.1, GNOME 2.12, OpenOffice 2.0.1, Xorg 6.9......
I Encuentro Nacional de Comunidades del Software Libre
El Grupo de Usuarios de Gnu/Linux de Aragua (LUGMA) está invitando al I Encuentro Nacional de Comunidades del Software Libre, el cual se estará celebrando los días 30 de Junio y 1° de Julio de este año en la ciudad de Maracay del Estado Aragua....
El mundo de la Informática Forense
La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaud...
Aumentan los ataques vía Telnet
Un nuevo informe de Akamai Technologies revela que los hackers parecen están utilizando cada vez más el protocolo de acceso remoto Telnet para atacar los servidores corporativos sobre redes móviles....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mensajeria
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • protocolos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra