¿Y qué hay de la seguridad…? Siendo en lo personal un amante de la seguridad y a modo de siempre estar ofreciendo un mejor servicio a nuestros clientes, me gusta cada cierto tiempo analizar cómo viaja la información de los usuarios en distintos sitios de alto tráfico.
En esta ocasión el sitio elegido para el experimento es: movistar.cl
Los clientes de Movistar sabrán de un portal llamado “Club Movistar“, también conocido como “Oficina Virtual”, en donde los usuarios del servicio pueden ver, modificar y contratar diferentes servicios, además de ver el detalle de las llamadas, facturas y equipos.
Ok, vamos al punto…. ¿qué es lo que se pide para ingresar al portal?, una credencial virtual (nombre de usuario y contraseña) es aquà en donde encontramos la primera falencia… la contraseña es SÓLO numérica y de 4 dÃgitos. Para los no muy entendidos, cabe destacar que el método más utilizado para un hacker que no tiene acceso directo a bases de datos en donde se almacenan contraseñas de un sitio en particular es el método conocido como “ataque por fuerza bruta“, en el cual se prueban claves aleatorias hasta dar con la correcta. No es muy difÃcil darse cuenta que con 4 caracteres y poniendo hasta 10 dÃgitos en cada uno de ellos se pueden formar solamente 10.000 claves (es por eso que la recomendación de Topo a los lectores de éste artÃculo es de utilizar al menos números y letras para sus contraseñas, es importante que sepan que ninguna contraseña es inhackeable, sin embargo lo que se puede regular es el tiempo que se puede demorar alguien en encontrarla y el costo asociado que se puede tener).
Segunda falencia, a pesar de que lo que se tiene es un entorno en FLASH (swf para ser más especÃfico), con un decompilador de FLASH (i.e. Flash Decompiler Trillix) es muy simple ver las funciones a las cuales llaman los diferentes botones, a tal punto de poder también entender cuáles son las acciones que se realizan al hacer click en algún lugar.
Tercera falencia (y la más grave a mi juicio), la información no viaja encriptada y se reciben variables de una página a otra, nuevamente, sin encriptar. Esta falencia se puede explotar desde 2 puntos de vista: 1.- basta con un sniffer (i.e. wireshark) para escuchar lo que pasa por una red local y se podrán ver las peticiones que están siendo realizadas por otros equipos (cercanos al que tiene el sniffer) al servidor de movistar con la credencial virtual del usuario, viendo al igual que como se lee un texto cualquiera el nombre de usuario y contraseña que se está enviando; 2.- se pueden utilizar herramientas (add on) para el explorador Firefox, con las cuales se pueden ver los mensajes que se transmiten de una página a otra, y luego de eso simular peticiones con algún lenguaje de programación y asà probar todas las combinaciones posibles (fuerza bruta) hasta encontrar la correcta (recordamos que en este caso son 10000: desde el 0000 hasta el 9999).
Finalmente, después de intentar vulnerar la seguridad del sitio durante no más de 4 horas, logré crear un software sin aplicar grandes técnicas de programación, al cual se le entrega un número de teléfono perteneciente a movistar y devuelve la clave del “club movistar” como máximo en 300 minutos aproximadamente (utilizando una conexión de 1Mbits/seg).
De todas formas me gustarÃa destacar que hace tan sólo unos meses en el mismo sitio de movistar.cl la credencial virtual viajaba por la URL, es decir por algunos segundos el número de teléfono y contraseña aparecÃa visible en la barra de direcciones del explorador. Por lo que ver el sitio hoy, ya genera una satisfacción porque si bien no es de lo mejor, podemos decir que de a poco se están poniendo más puristas en temas de seguridad.
Twitter
Facebook
RSS
JAJAJA me huele a que el gerente de TI movistar se va de buen reto (si es que no mas)
September 1st, 2008 at 22:07“Finalmente, después de intentar vulnerar la seguridad del sitio durante no más de 4 horas, logré crear 2n software sin aplicar grandes técnicas de programación, al cual se le entrega un número de teléfono y devuelve la clave como máximo en 300 minutos aproximadamente (utilizando una conexión de 1Mbits/seg)”
Serà realmente cierto?
September 27th, 2008 at 22:37me gustarìa ver
Estimado Claudio,
Soy el autor del artÃculo.
Detallo claramente cómo se puede hacer (fuerza bruta), y cuáles son las técnicas que en lo personal utilicé para hacerlo.
SerÃa muy fácil que tú me entregaras tu número de teléfono y yo te diera la clave, sin embargo eso no serÃa correcto por varios puntos que detallo a continuación:
1.- ¿cómo asegurar que el teléfono es realmente tuyo?
2.- no es necesario realizar un testeo individual, con algunos conocimientos de informática (no muy avanzados) serÃa más que suficiente para replicar lo que expongo en el artÃculo.
3.- (y el más importante) Topo, en éste artÃculo lo que hizo fue buscar y mostrar grandes falencias de un sitio web en particular, y lo que tú estás “pidiendo” es que se explote dicha falencia, a lo cual Topo se niega rotundamente, ya que nuestra visión es aportar constructivamente al crecimiento tecnológico de nuestro Chile, y creemos que explotar dichas falencias serÃa contraproducente.
Sin otro particular y atento a tus comentarios.
Alejandro Romero E.
September 30th, 2008 at 12:07I+D Topo Ltda.
Señor, me parecio interesante su analisis de vulnerabilidad de este sitio. Qusiera hacerle algunas consultas mas bien en privado. Podria escrbirme al mail proporcionado o bien indiqueme donde puedo enviarle un mensaje. Quedo atento a sus comentarios.
November 27th, 2008 at 9:51Cristian.
Pocho,
Creo totalmente en lo que estás mencionando, te comento que en tres oportunidades han utilizado mi celular y clave para cargar $ 5000 a un par de celulares que no conozco, yo jamás pierdo de vista mi celular y menos entrego mi clave de acceso a movistar, pero como muy bien tu dices la página es vulnerable y por lo tanto consiguen la información necesaria para realizar esos movimientos.
Adjunto reclamo realizado en la página de movistar:
Señores,
Hoy 24-11-2008 me llegaron los siguientes mensajes de texto del n° 5690, dicen lo siguiente:
17:48:27
Gracias por suscribir el celular 99500665 al servicio de recarga con cargo a su boleta.
17:49:41
Gracias por suscribir el celular 83294494 al servicio de recarga con cargo a su boleta.
17:50:09
Se han recargado $5000 al teléfono 83294494. Todos los meses, en este dÃa, se recargará automáticamente el monto indicado.
En primer lugar no conozco el número de celular 83294494 y nunca he realizado alguna gestión para suscribir un celular con el servicio de recarga.
Por lo tanto necesito se me aclare la finalidad de estos mensajes.
Además, hace un par de meses me llegaron los mismos mensajes y efectivamente se me cargó en la factura. En esa oportunidad reclamé y me dijeron que debÃa bloquear el servicio, supuestamente llamando al 103, pero por lo visto no dio resultado.
Quiero dejar claramente establecido que yo nunca voy a utilizar ese servicio de recarga, sólo necesito que se aclare la procedencia de dichos mensajes.
Por lo visto claramente es una estafa.
Saludos,
Eduardo
y la respuesta de movistar:
Estimado Eduardo:
Junto con saludar, agradecemos por preferir este medio de contacto con nuestra CompañÃa e informamos de acuerdo a lo solicitado por usted, con fecha 24-11-08, que no es posible verificar su boleta debido ha que aun no ha sido emitida, por lo cual indico que nos contacte una ves emitida su boleta y aparezcan los cobros para realizar los respectivos descuentos si corresponde, por lo demás se sugiere cambiar su clave de oficina virtual.
cuando se emite la boleta y uno se contacta con Movistar se pasa un mal rato ya que se tienen que seguir dando explicaciones que uno no utiliza ese servicio.
encontré otro caso similar en http://WWW.RECLAMOS.CL
Atento a comentarios.
December 11th, 2008 at 21:40Eduardo
Estimado,
February 1st, 2009 at 0:26muy bueno su articulo, me gustaria contactarme contigo de forma privada para conocer.
mi correo esta en el post.
Saludos
No se como (con que programa) alguien que conozco, obtuvo mis datos de llamada. O sea obtuvo mi contraseña para entrar a la página, me imagino que con un programa que ataca las combinaciones ya que son demasiado limitadas. Lo encuentro el colmo.
May 12th, 2009 at 10:43