viernes, junio 04, 2010

GTalk: Riesgos de Seguridad [I de III]

***************************************************************************************
- GTalk: Riesgos de Seguridad [I de III]
- GTalk: Riesgos de Seguridad [II de III]
- GTalk: Riesgos de Seguridad [III de III]
***************************************************************************************

Soy usuario de toda la vida de Windows Messenger, lo uso personal y profesionalmente así que me preocupa su seguridad. En el año 2006 o 2007, hicimos una gira por toda España en la que hablabamos de los riesgos de seguridad. En ella aprovechábamos para capturar las conversaciones sin cifrar e hicimos una tool que reconstruía los ficheros que se transmitían por la red.

Para protegerse contra estos riesgos escribí un artículo que fue publicado en la PCWorld de Enero de 2008 y que os dejé publicado aquí: Riesgos de Seguridad y Medidas de Protección en Windows Live Messenger.

Desde hace muy poco tengo instalado Gtalk, y la verdad es que me siento como si hubiera retrocedido atrás varios años en funcionalidad, y echo en falta muchas de las opciones de seguridad que ya conozco de Windows Messenger, aquí van las cosas que no me gustan.

Inicios de Sesión Múliple

Esta es una característica que a mí me descoloca que no exista. Supongamos que alguien consigue robarte una sesión o la contraseña de la cuenta. Eso es ya de por sí malísimo, pero... supongamos que es un, como definía Ben Feinstein, APT (Advanced Permanent Threat) es decir, alguien que está espiandote constantemente y que no tiene un objetivo a corto plazo, y quiere controlarte o hacer un ataque dañino.

Con Windows Live Messenger, en el momento que alguien intente iniciar una sesión en el sistema de chats en cualquier otro ordenador, ya sea en el servicio de Webmessenger o en otro Windows Live Messenger, tú vas a recibir una alerta como esta:


Figura 1: Inicio de sesión múltiple

Esto en Gmail no funciona ni parecido. Supongamos este entorno donde me he creado dos cuentas temporales de Gmail. En una de ellas he iniciado sesión en Gtalk y en el correo con Gmail usando Internet Explorer, mientras que la otra cuenta la he usado para iniciar sesión en Gmail usando Firefox.

Como se puede ver en la Figura 2, en el chat de la derecha aparece conversando Yo y chemai64, pero realmente hay dos Chemai64 distintos conectados al chat.


Figura 2: Dos cuentas conectadas como una

Lo peligroso de esto, es que el usuario Chemai64 legítimo NO ha recibido ninguna alerta de seguridad que confirme este hecho como en Windows Live Messenger.

A partir de ahí, el funcionamiento es trivial. Cualquiera de los dos Chemai64 puede enviar mensajes a Chemai64.luser y el no notará la diferencia.


Figura 3: Envío de mensajes desde distintas máquinas

Y, por supuesto, las respuestas de Chemai64.luser llegarán a los dos.


Figura 4: Mensajes enviados a todas las sesiones

Esto implica que alguien que usurpe una sesión podrá ver toda la conversación sin que el dueño de la cuenta legítima haya podido darse cuenta de que ha iniciado sesión en dos sitios distintos.

***************************************************************************************
- GTalk: Riesgos de Seguridad [I de III]
- GTalk: Riesgos de Seguridad [II de III]
- GTalk: Riesgos de Seguridad [III de III]
***************************************************************************************

27 comentarios:

Jordi Prats dijo...

Que no lo hayas encontrado no significa que no exista ;)

Last account activity: 1.5 hours ago on this computer. Details

-->

Browser * Germany (1.2.3.4) 10:07 am (0 minutes ago)
Browser * Germany (1.2.3.4) 8:34 am (1.5 hours ago)
Browser * Germany (1.2.3.4) 7:40 am (2 hours ago)
Mobile Spain (5.6.7.8) 6:53 am (3 hours ago)

Maligno dijo...

@Jordi, eso es un log, no una alerta en tiempo real.

Saludos!

Anónimo dijo...

skype tiene el mismo comportamiento que Gtalk con logins simultáneos con el mismo usuario.

Anónimo dijo...

Si no permitiera tener sesiones simultáneas, no podrías tener gtalk en varios sitios a la vez. Ej: Yo lo tengo en el móvil, pero cuando entro en GMail, prefiero utilizarlo desde allí. No necesito terminar la sesión del móvil para iniciar la otra y luego tener que volver a abrirla.

¿No es más normal asegurarte de cerrar la sesión cuando ya no lo utilizas, y tener una política de cambio de contraseñas correcta?

Un saludo.

Maligno dijo...

@anónimo, sí, y una bonita alerta de seguridad como la de Windows Live Messenger vendría muy bien.

Saludos!

kabracity dijo...

Y con skype además al iniciar sesión puedes recuperar parte de la última conversación (si no recuerdo mal, llevo tiempo sin usarlo).

No sé, todo esto me recuerda al mecanismo que usaba antes Terra para recuperar contraseñas: Si acertabas la pregunta secreta, te enseñaba la contraseña:

- Si topabas con alguien que usa la misma pass para todo estabas de enhorabuena.
- Podías estar toda la vida entrando en su correo sin que se de cuenta.

Anónimo dijo...

Pero mira que eres sensacionalista..
como se dijo que google no va a utilizar windows.. pues ale, a atacar! ;)

Es por todos conocido el messenger. Es un cliente de mensajería instantánea cojonudo, tiene un montón de características buenas, es seguro y tal, y lo del inicio de sesión, pues la verdad.. tienes razón en que como mínimo debería avisar de "oye, que estás conectado en dos sitios, es correcto? ¿si? ok."
pero también míralo un poco por otro lado, es un cliente de mensajería a través de web. Que lo han modificado para que lo puedas instalar, claro, de ahí que sea más cutre.

luego.. lo de que alguien usurpe la sesión.. ponte a usurpar sesiones de gmail.. porque en hotmail pasa exactamente lo mismo. Puedes tenerlo abierto en casa y en el trabajo, y no te dice nada...

Una preguntilla, ¿no ibas a escribir los posts en inglés?
un saludo!

Maligno dijo...

@anónimo, jaja, me ha gustado tu comentario. Pero Windows Live Messenger sí avisa.. }:))

Scan dijo...

Maligno,

Si tú estás online en el Messenger y yo entro en tu correo vía web no te da ningún aviso.

Ya se que no es lo mismo, pero también es un fallo de seguridad. Y creo q un tanto grabe, ya que por ejemplo mi cuenta de Hotmail valida otros servicios de Microsoft...

¿Hay alguna manera de ver un log de conexiones en hotmail como en gmail?

Saludos

ZioNa dijo...

Pues a penas uso el messenger, me canse! Ahora solo uso el gtalk o el skype! Ya te diré si me usurpan y me entero que taL es el delincuente! xDD

Grifo dijo...

Aunque es cierto que el poder recibir una alerta no vendría mal, en mi caso sería un infierno, cada vez que abro gmail una nueva alerta, en el cliente de escritorio y en la web? sería peor que los avisos del UAC :P (pinchando un poco)

En cualquier caso, otros clientes como gajim, sí dan información visual de todas las cuentas conectadas.
Al lado del nombre (incluyéndote a ti mismo) aparece el nº de sesiones abiertas, por lo que sin que te salte una alerta que puede llegar a resultar molesta, puedes ver si tienes otras sesiones abiertas, junto a información como si es desde gmail, gtalk, un teléfono android...

En mi opinión ésta es la mejor solución, no molesta, es visible, y además puedes chatear con tus otras sesiones xD (hoyga, hesta uste rovandome mi jemail?)

Saludos!

Maligno dijo...

@Scan, si tu entras en el chat desde cualquier otro sitio, sale una aviso en messenger. Es el que se vé en la figura1. En gmail. no.

Danariel dijo...

La solución que propone @Grifo creo que es más correcta que un aviso emergente.
En Gmail aparece (en el pie de página, eso sí :S ) un mensaje que te dice: Esta cuenta está abierta en x ubicaciones con IP xxx
Tienes un enlace de "Información detallada" donde aparece el log y un botón muy bonito de "Cerrar las demás conexiones"
No he usado el GTalk de escritorio pero si este mensaje no aparece, creo que sería bueno añadirlo.

Un saludo

Adrián dijo...

Cuando te dejas el chat de gmail abierto los mensajes no llegan por defecto a todas las ventanas abiertas.

No he hecho pruebas a conciencia, pero la sensación que yo tenía es que llegan a las dos ubicaciones, hasta que respondes desde una de ellas, momento a partir del cual sólo se reciben allí. Lo digo porque yo soy de los que se deja el gtalk abierto en el sobremesa y luego desde el salón me da pereza y lo abro en el portátil. Cuando voy al sobremesa nunca están las charlas completas.

Dicho esto, alguna alerta visual no estaría mal, aunque también preferiría algo que no fuera ventana emergente.

Maligno dijo...

@Adrián, como se puede ver en la última imagen, los mensajes llegan a todas las ventanas abiertas...

Saludos!

Adrián dijo...

@Maligno, no sé, puede que tenga que ver con cómo gestiona pidgin/adium las conexiones, por el tiempo de inactividad de una de ellas o por cualquier otra cosa, pero ya te digo que a mí me pasa :P

Mauro dijo...

Hola maligno, vengo siguiendo tus post y me parecen muy interesantes, pero creo que a veces haces una persecucion o analisis exaustivos a productos que no sean de MS, pero bueno.
Yo no defiendo al gtalk, pero cuando pones el link de la actividad de la cuenta dice claramente, desde que lugar esta/estuvo logueado el usuario, incluso la IP y el pais de donde se conecto, cosa que ni el msn ni hotmail hace.
Vengo usando el gtalk hace bastante y la verdad es un servicio barbaro junto con todos los de google.
En fin.. la critica me parece un poco demasiado.. vamos a ver los proximos post a ver que otro riesgo descubriste.. saludos desde arg

Anónimo dijo...

@Maligno, no sé ni cuántas veces habré abierto GMail a toda prisa para iniciar o capturar por allí una conversación que me han iniciado contra el teléfono antes de que las alertas sonoras, cortesía del típico pesao de palabra por línea, me vuelvan loco.

Parece que si es cierto que no nos tomamos tan exhaustivamente los análisis que no tocan, no?

Permitir iniciar sesión en diversas ubicaciones es una ventaja del protocolo Jabber, la mayoría de clientes te permiten ver qué recursos de una cuenta están online, incluso de la tuya como ya te han señalado.

Maligno dijo...

@mauro, de Windows Live Messenger escribí hace mucho, de hecho, hasta hicimos una tool hace más de 2 años para recomponer los ficheros transmitidos en ataques MTIM. Que haya log, no quiere decir sea igual que una alerta. La alerta sale en el momento que sucede la doble conexión, el log sólo tiene impacto cuando se visita. Esa alerta la tengo en Windows Live Messenger y me parece que debería estar en Gtalk.

Saludos!

Maligno dijo...

@Anónimo,

en Windows Live Messenger también se puede uno conectar desde distintas ubicaciones, pero te da la alerta para que lo sepas y te da la oportunidad de desconectar la otra ubicación remótamente. Me parece mucho mejor por si te has dejado una sesión abierta.

Saludos!

Johan dijo...

Estoy de acuerdo con @Adrian. A mi tampoco me pasa :P
tiempo de inactividad? IP? Solo a través de gmail?

Estoy de acuerdo con la notificación pero sin pasarse que tengo gtalk en tres sitios a la vez!!

Maligno dijo...

@Johan, no, sólo es pq hay que enviar primero un mensaje desde esa sesión y a partir de ese momento se envía tb el mensaje a esa sesión.

Saludos!

Sirul dijo...

En gtalk, cuando hay múltiples sesiones abiertas, se "personifica" quien recibe los mensajes como bien dices en tu último comentario al escribir, pero esa es la sesión que se lleva la palma si escribe. No se como lo has probado pero da la sensación que no tan a fondo como en otros análisis de los que haces. De todo, lo único cierto es que quizá algún aviso o popup estaría bien, pero puede que sea demasiado UACoñazo como ha comentado ya alguien. Además, lo grave es que ya tienen tu contraseña, no tienen mas que tocar la etiqueta de chats y ver todos tus chats, espiar justo el de ese momento no es una ventaja especial.

Por como funciona gtalk, si tienes 5 sesiones simultáneas en "stand by" un mensaje nuevo que te envían llegará a las 5, y así todos los que te vayan escribiendo hasta que de repente contestes desde una de esas sesiones, a partir de ahí, sólo esa sesión recibe los mensajes al personificarse.

Si te cambias de sesión, puede que una o 2 frases aún lleguen a la nueva en la que estás y la anterior, pero lo normal es que automáticamente los mensajes sólo lleguen a la nueva sesión que estás usando y dejen de llegar al la sesión que los estaba recibiendo.

Y no es una prueba de una tarde a ver como va eso, son años de gtalkear entre el pc de sobremesa, el portatil y el móvil android, y la conversación te sigue al sitio en el que estás activo sin tener que cerrar ni tocar las otras.

Maligno dijo...

@sirul, a lo mejor cuando caduque la sesión dejará de enviarla a los otros, pero en mis pruebas, llega a todos. Si quieres grabo un video. Lo cierto es que si un atacante quisiera que no le caducase le bastaría con meter mensajes repetidos o insulsos para seguir recibiendo los mensajes.

Saludos!

Anónimo dijo...

De que hablan gtalk es una maravilla o no???' XD.
-Primero te guarda los chat por defecto. vs hotmail tiene por defecto habilitado el pop y el imap
-Segundo tienen las mismas opciones de recuperacion de otros correos.
-Tercero siguen la misma filosofia de seguridad universal..... si pueden ver mi pass, si la pueden robar si la pueden adivinar entonces mejor no usarlo.

hace 8 meses aproximadamente estabamos en casa de un amigo su sesion estaba abierta abajo y se conecto arriba no hubo mensaje de alerta y tampoco se cerro la otra sesion(se supone que aparte del alerta de seguridad msn te bota, por lo menos cuando uso pidgin )
era una conexcion de telefonica y un router wifi por ke paso ni idea pero paso.

a mi lo que siempre me da vueltas es como saber si la persona del otro lado es la que dice ser, ya que hasta se pueden colocar videos manipulando la camara web (en youtube hay un video de esa broma.)

Anónimo dijo...

Hasta hace poco ocurria lo mismo en facebook

agux dijo...

Me he cansado de leer todos los comentarios.
Gmail ha implementado un paso... ¿ intermedio?

Creo que es un labs que hay que habilitar en el que si se realiza una conexión desde un punto (creo que país) que es el habitual, sí te da un aviso. Pero... ¿Y si es desde uno que sí es el habitual?

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares