Archivo por meses: enero 2016

Cross Site Request Forgery – CSRF

En seguridad informática, al igual que en la mayoría de parcelas técnicas, se intenta dar nombres concretos a todas y cada una de las técnicas, tanto defensivas como atacantes, que van apareciendo y evolucionando para así, con una categorización clara, poder analizar cada caso y evolución. En este artículo veremos una evolución de los ataques XSS: la Cross Site Request Forgery (CSRF).

Estos ataques están muy ligados a la facilidad de la mayoría de navegadores modernos para gestionar diferentes recursos web, generalmente utilizando pestañas, y de memorizar las claves de acceso y sesión a los servicios web para facilitar al máximo la comodidad del usuario. La mayoría de usuarios se han acostumbrado a acceder a muchos servicios web (correo electrónico, redes sociales, foros, etc.) y que el navegador ya se autentique de forma automática sin que le pida las claves de acceso. Una vez hemos accedido a un servicio web el navegador gestiona una cookie de sesión que nos identificará frente al servicio web hasta que cerremos la sesión.

Con este entorno un atacante podría generar una página web, que podría facilitar a la víctima por ingeniería social, especialmente diseñada para que realizase una acción sobre una segunda página web que, al estar previamente autenticado, se llevaría a cabo.

Ejemplo de CSRF

Ejemplo de CSRF. Fuente imagen: IT College.ee

Ejemplo de CSRF. Fuente imagen: IT College.ee

Intentaremos ilustrar este tipo de ataque con un ejemplo simple si bien no es difícil imaginar situaciones más delicadas.

La víctima suele participar en un foro web (www.forovictima.com) por lo que generalmente abre una pestaña del navegador con ese foro. Una vez hecho esto, probablemente a primera hora de la mañana, se ha establecido una cookie de sesión que el navegador utilizar para autenticarse con el foro hasta que se cierre la sesión (que puede ser al finalizar su horario laboral).

Conociendo este comportamiento (que será muy similar al de la gran mayoría de usuarios activos en ese foro) un atacante prepara una página web maliciosa que tras una apariencia inocente en realidad lanza una petición del tipo www.forovictima.com/perfil?accion=baja

Cuando el navegador ejecuta esa llamada utilizará la cookie de sesión previamente almacenada para autenticarse en el foro y realizar la consulta pedida. En nuestro ejemplo (accion=baja) el resultado podría ser la baja del usuario en el foro.

En este ejemplo se trata de una simple baja de un foro pero este tipo de ataque podría, por ejemplo, obligar a un usuario a comprar un producto en una tienda por lo que no hay que descuidarlo.

Protección frente CSRF

Por parte de los usuarios los consejos que protegerían frente a CSRF sería básicamente cerrar sesión cada vez que terminemos de utilizar un servicio e impedir que el navegador almacene nuestras contraseñas de acceso. Así sólo nos autenticaríamos de forma consciente.

Otro consejo para los usuarios sería utilizar navegadores diferentes para acceder a las aplicaciones de ocio y a las críticas. De esta forma, al no compartirse sesiones entre navegadores diferentes, sería imposible que acceder a una web maliciosa enlazada en un foro afectase a nuestra cuenta bancaria.

Existen librerías que facilitan el desarrollo de aplicaciones seguras. Fuente imagen: Bkcore.com

Existen librerías que facilitan el desarrollo de aplicaciones seguras. Fuente imagen: Bkcore.com

Por parte de los desarrolladores de aplicaciones web hay que tener en cuenta qué acciones son críticas para su sistema, y sus clientes, y reforzar su realización mediante sistemas que obliguen a la interacción con el usuario (captchas, segundos factores de autenticación, identificaciones únicos de peticiones, tokens, etc.).

Wardriving

Concepto Wardriving. Fuente imagen:Flylib.com

Concepto Wardriving. Fuente imagen:Flylib.com

Se denomina Wardriving a la búsqueda y recolección de información sobre redes Wi-Fi realizada desde un coche en movimiento. Seamos claros: la idea es pasearse por una zona que nos interesa con un portátil, o cualquier otro equipo con capacidad de conectarse a una red Wi-Fi, de manera que guardemos toda la información de las redes Wi-Fi que nos encontremos (SSID, protocolos de cifrado, direcciones MAC de los routers, ubicación GPS etc.) por el camino.

Hay que tener en cuenta que la mayoría de routers ADSL instalados por los operadores de telecomunicaciones en España vienen con una red Wi-Fi configurada por defecto que, hasta hace no demasiado, permitía el cálculo automático de la contraseña de acceso. Así pues, un usuario podría utilizar la información recogida para intentar, a posteriori, obtener las claves de acceso a las redes inalámbricas y utilizar así esas redes cuando lo considerase conveniente con las intenciones que fueran.*

Esta técnica puede utilizarse como parte de la fase de recolección de información de un ataque posterior. El hecho de detectar diferentes redes Wi-Fi puede dar información sobre la existencia, o no, de infraestructura de control de redes inalámbricas, la existencia de líneas ADSL independientes que puedan favorecer una infección remota, etc.

Ejemplo de equipo par wardriving. Fuente imagen: Wigle.net

Ejemplo de equipo par wardriving. Fuente imagen: Wigle.net

¡Pero no sólo los malos usan el concepto de wardriving! Resulta que si quieres que tu empresa disponga de un certificado PCI-DSS hay que cumplir muchos requisitos y uno de ellos, el 11.2 ( “Test for the presence of wireless access points and detect unauthorized wireless access points”) obliga a los administradores de red a pasearse por la empresa en busca de redes Wi-Fi desconocidas que puedan suponer una puerta de salida de información privada. Efectivamente. Habréis visto en algunas películas que alguien detecta un pincho USB que emite por Wi-Fi la información que el malo malísimo necesita… y resulta que sí, que los administradores de red buscan estos puntos Wi-Fi dentro de sus instalaciones.

* Como anécdota personal puedo decir que cuando tuve un familiar ingresado durante bastante tiempo utilicé esta técnica (aunque caminando y no en coche) para encontrar una red Wi-Fi con la que conectarme a Internet. Aunque ya nos hemos acostumbrado a la conectividad móvil 4G no hace tanto que las conexiones eran muuuuy lentas y caras 😉

Micropíldora 2 – Protege la red Wi-Fi de tu casa

Fuente imagen: Kaspersky

Fuente imagen: Kaspersky

En esta micropíldora podréis encontrar algunos consejos para fortificar la red Wi-Fi que la mayoría tenemos en casa. Se trata de una lista de consejos básicos para usuarios no profesionales que buscan tener una red más segura pero sin entrar en modo paranóico. Así pues aquí tenéis un listado básico de pequeños cambios que protegerán vuestra red Wi-Fi para que sea más complicada que la del vecino porque en seguridad casera no hace falta correr más que el león sino ser más rápido que otra víctima.

Cámbiale la contraseña

Existen múltiples herramientas públicas para calcular la contraseña por defecto que traen los routers de las principales operadoras por lo que la primera medida de seguridad será cambiar la contraseña de acceso.

Cámbiale el nombre o directamente ocultalo

Todos los routers Wi-Fi de las operadoras incluyen nombre estandarizado (WLAN_0ce, VODAFONE_A345, etc.). Las operadoras incluyen una contraseña por defecto que se calcula en usando este SSID. Como ya hay diversas aplicaciones de móviles que calculan la contraseña por defecto en base al SSID el mero hecho de cambiar el nombre de la red (SSID – Service Set IDentifier) ya es una medida de seguridad a aplicar, aunque como hemos comentado en el primer punto debes cambiarla.

Otra medida de seguridad que evitará los intentos de conexión automatizados es ocultar el SSID. Así la red no se anuncia públicamente y tan sólo se podrán conectar aquellos equipos que conozcan el nombre de la red y su contraseña de acceso. Hay que tener en cuenta que podemos tener equipos que tengan dificultades para conectarse a redes Wi-Fi ocultas: los primeros iPhone no mantenían la conexión en redes ocultas.

Método de cifrado

Aunque muchos routers Wi-Fi incorporan protocolos antiguos por temas de compatibilidad con equipamiento antiguo debemos evitar el uso de éstos ya que sus características en el plano de seguridad están totalmente sobrepasadas. Así debemos elegir el protocolo de cifrado de más seguro compatible con nuestros equipos, a ser posible WPA2.

Fuente imagen:Taringa.net

Fuente imagen:Taringa.net

Controla la potencia de emisión

La calidad de la señal, y con ella la velocidad de transmisión, requiere de una cierta potencia de emisión por parte del router por lo que generalmente se suele configurar dicho equipo para que emita con la máxima potencia posible para tener la mayor zona de cobertura posible. El problema de esta estrategia es que parte de la potencia sale al exterior de nuestra vivienda y permite que cualquier persona cerca (vecinos, gente en la calle, etc.) se pueda conectar a nuestra red. Por ello es inteligente reducir la potencia de emisión a aquella que permita una buena conexión dentro de nuestra casa. Si tenemos zonas de casa con poca cobertura es preferible utilizar extensores de red, ya sea usando repetidores Wi-Fi o equipos PLC, para focalizar la red en aquellas zonas donde nos interesa.

Securización por MAC

Éste quizás sea el punto más controvertido de este artículo. En la mayoría de guías de bastionado de redes Wi-Fi indican que es importante activar la opción de securización por dirección MAC: así nos aseguramos que únicamente los equipos que nosotros demos de alta podrán conectarse aún conociendo la contraseña de acceso. Esto es totalmente cierto y altamente recomendable si tenemos una red muy estable (redes Wi-Fi domésticas) pero se convierte en inviable en el momento que queramos dar un servicio ágil a usuarios temporales (redes en un piso compartido, etc.). Si bien existen técnicas para falsear las direcciones MAC con las que saltarse este punto de seguridad ya estaríamos ante un ataque demasiado profesional para lo que afecta a esta entrada. La securización por MAC es útil si es viable tener controlados e identificados los equipos que se van a conectar a la red (teléfonos móviles, portátiles, televisiones, etc.).

Desactiva WPS

El sistema WPS (Wifi Protected Setup) se creó para facilitar la conexión de equipos en redes Wi-Fi de tal manera que los nuevos dispositivos se autoconfiguraban de forma fácil, sencilla y muy cómoda para el usuario final. El problema es que este sistema de autoconfiguración ha permitido que un usuario malicioso también pueda conectarse de forma sencilla a la red, así pues si no lo necesitas desactívalo. Siempre puedes activarlo cuando quieras conectar esa nueva televisión Wifi 4K.