martes, marzo 25, 2014

Cuentas robadas y bloqueos en Yahoo!, Gmail y Hotmail

Gestionar la seguridad de cualquier servicio online que sea ofrecido por Internet sin poner un ojo en los rincones de la red donde se encuentran las guaridas de los ladrones de identidad es imposible. Es por eso que para todas las empresas que precien la seguridad de sus sistemas su CPD hace tiempo que se convirtió en un Mundo Sin Fin. Con estas cosas en mente fui a probar a ver cuánto tardan las cuentas identidades robadas de los servicios de Hotmail, Yahoo! y/o Gmail en ser bloqueadas o qué medidas de seguridad tenían después de ser expuestas en algún rincón de Internet, y la verdad es que ha sido un resultado curioso que os cuento por aquí.

Buscamos un dump fresco

Para hacer la prueba me dediqué a buscar en Pastebin algunos ficheros con dumps de passwords que no llevaran mucho tiempo publicados. La idea es tan sencilla como filtrar los resultados por fecha y hacer las búsquedas adecuadas para que aparecieran los dumps. Alguno con varios miles de claves, otros con solo algunos cientos, pero en todos ellos con cuentas de Microsoft, Yahoo! y/o Hotmail, que es lo que quería probar y que seguramente habrían sido robadas por medio de algún malware in the browser.

Figura 1: Dump con 3708 cuentas con 24 horas de antigüedad

Pruebas con los sistemas de protección "autenticación adaptativa"

En el caso de Gmail lo cierto es que si las cuentas tenían más de 24 horas no parecían funcionar ninguna de ellas, pero en algún caso llegué al segundo factor de verificación. Este segundo filtro de seguridad salta debido a que la huella digital de la conexión de esa cuenta no le encajaba a Gmail, y por tanto - con buen criterio - se asumía que había posibilidad de que no fuera una conexión legítima.
Figura 2: Segundo factor para una cuenta robada de Gmail.

La huella digital de la conexión se genera para conocer el patrón de conexión habitual de un cliente, como su región geográfica, su navegador, y la configuración del entorno de completo, algunas veces con técnicas de fingerprinting del navegador exhaustivo. Con estos datos, si se nota un cambio radical lo que debe hacerse es bloquear la conexión con un segundo desafío.

En el caso de Microsoft Hotmail las cuentas tampoco parecían bloqueadas, pero si protegidas por alguna capa extra debido al "número" de conexiones simultáneas desde diferentes zonas geográficas, y de nuevo aparecía un desafió de segundo factor.

Figura 3: Cuenta con protección, pero la password parece funcionar

En el caso de Yahoo! de nuevo apareció un comportamiento similar. Primero un captcha doloroso que obliga a afinar tu humanidad para reconocer los números y las letras, y luego una verificación extra cuando la contraseña era correcta para poder continuar.

Figura 4: Segundo factor en Yahoo! para una cuenta robada. Contraseña funciona.

En todos los casos el haber realizado las pruebas desde la red TOR sumado a la huella digital de las conexiones parece que genera alertas extras de seguridad, lo que tiene más que todo el sentido del mundo. Es por eso que yo me "quejé" de que el comportamiento de algunos bancos en su banca online no detectarán un cambio de conexión en la huella digital tan brutal como conectarse a la cuenta por medio de la red TOR cuando antes nunca se había realizado.

Para terminar, también probé alguna cuenta de Facebook, pero al salir por un nodo en la red TOR situado en alguna dirección IP de algún país remoto, acabé topándome con una barrera idiomática. 

Figura 5: Cuenta de Facebook ...¿?

Lo cierto es que con las cuentas de Facebook, a veces puedes saber mucho sobre la víctima, ya que con las búsquedas en el propio Facebook es fácil saber a quién le han robado la cuenta en cada momento.

Rompiendo la barrera geográfica

Por supuesto, también hay dumps con la dirección IP de la víctima, lo que ayuda a que sea más fácil saltarse la validación de "ubicación extraña" si controlas algún equipo cerca de esa ubicación geográfica.

Figura 6: Dump con usuarios, passwords y direcciones IP

Dicho esto, os recomiendo a todos que pongáis un second factor authentication tipo Google Authenticator a tu cuenta Gmail, una verificación en 2 pasos para Apple o asociar un número de teléfono para poner un OTP en Hotmail, o poner un Latch en los servicios que ya puedas... just in case.

Saludos Malignos!

9 comentarios:

  1. Buenas,
    justamente hoy lo hecho en Google... XD! pero no avía caído en Hotmail... :( una vez mas¡
    muchas gracias, Salu2¡

    ResponderEliminar
  2. Pues no me parece bien. No me gusta tener que dar otra cuenta de correo, ni recuperación ni leches, no tienen porque tener otra cuenta de correo mía y mucho menos, el número de mi móvil. Eso ya me parece indignante, si le parece también les dejo unos calzoncillos. Con la excusa de que es "por nuestro bien" y en pos de la seguridad, no sólo quieren tener la cuenta del correo, sino el móvil y todas nuestras otras cuentas de correo y perfiles de servicios y... pues yo paso.

    Y me fatidia porque una vez en un viaje no me permitiron entrar legítimamente en mi cuenta... y lo peor es que no puedo desactivar ese servicio, porque yo no quiero ninguna de esas patochadas y es mi decisión.

    ResponderEliminar
  3. Buenas,
    La verdad es que algunos bancos si que deberían mejorar en la seguridad de la web.
    Por ejemplo PayPal si que tiene esta clase de seguridad de "huella digital de la conexión". Por ejemplo si sales por un proxy fuera de tu país de origen(donde tienes creada la cuenta)y realizas una transferencia o una transacción en seguida te llaman para preguntarte si tu estas realizando esta transacción o no.

    Anónimo: Si no quieres dar tu nº de teléfono real, puedes usar perfectamente un nº de teléfono virtual, así con esto consigues tu privacidad y que nadie pueda saber tu nº de teléfono real.
    Un Saludo

    ResponderEliminar
  4. Me ha parecido entender que se puede configurar Lath en gmail y hotmail?

    ResponderEliminar
  5. Joder con Latch.

    Hasta en la sopa!

    ResponderEliminar
  6. No entiendo como es posible que aparezcan las contraseñas en claro. ¿Hotmail no hasea las contraseñas? ¿Por qué en los dump nunca aparecen los tokens TOTP?

    ResponderEliminar
  7. @Anónimo, en Hotmail están hasheadas. Lo que hacen es usar troyanos que las capturan cuando las teclean.

    Saludos!

    ResponderEliminar
  8. @Anónimo, en Hotmail están hasheadas. Lo que hacen es usar troyanos que las capturan cuando las teclean.

    Saludos!

    ResponderEliminar