jueves, marzo 13, 2014

SCCAID: Cambio de Contraseñas Automatizado

Cada día se hace más común escuchar noticias del tipo “Se filtran 400.000 contraseñas de Yahoo!”, “2 millones de contraseñas expuestas: Google, Facebook, Twitter…”, “Adobe anuncia el robo de datos de 3 millones de usuarios” o sobre los millones de passwords de LinkedIN publicadas. Como usuarios de estos y otros servicios expuestos a las mismas amenazas, nos encontramos completamente vendidos ante esta situación. Las medidas de seguridad que tomen por nosotros serán nuestra única protección y en caso de incidente pueden ser nuestros credenciales los que se filtren en la red…, pero entonces, ¿de qué manera podemos protegernos?

Es aquí donde Latch aporta un valor añadido como capa de seguridad adicional, porque ¿de qué sirve que te roben la llave si el ladrón se encuentra el pestillo cerrado? Latch permite al usuario controlar la autorización del acceso al servicio, y en caso de encontrarse bloqueado no sólo denegará el acceso al usuario malintencionado sino que además notificará al usuario legítimo de este evento.

Si esto nos ocurre, nuestro siguiente paso será acceder al servicio para cambiar la contraseña ya que la nuestra ha podido ser sustraída de alguno de lo servicios afectados por una de esas intrusiones, y aquí nos podemos encontrar con dos situaciones a tener en cuenta:
a) Contraseñas reutilizadas: Todos conocemos las recomendaciones de seguridad de los expertos sobre no repetir contraseñas o no usar métodos de generación automática de claves que permitan que, conocida la password de un sitio se conozca la de todos los demás. Las conocemos tan bien que a veces nos las saltamos, ¿no estaremos reutilizando esa misma contraseña en más de un servicio
b) Cambiar la contraseña es una dedicación en tiempo importante: iniciar sesión, encontrar el apartado donde se cambia la contraseña (porque todavía conservas la que definiste al crear la cuenta), introducir de nuevo tus credenciales para cambiar la contraseña. Si multiplicáis esta operación por tantos servicios como claves hayáis repetido, podéis haceros una idea del trabajo que tenéis por delante.
El Proyecto SCCAID

Un grupo de alumnos del Máster de Seguridad de la UEM - donde imparte clases Chema Alonso y pone esos exámenes - y dirigidos por Alejandro Ramos (@aramosf), hemos querido trabajar en ese problema del cambio de contraseñas como Proyecto Fin de Máster intentando encontrar una solución al tedio que acompaña a esta gestión que: por un lado hace que no rotemos las claves con la frecuencia que deberíamos; y por el otro nos ahorrará trabajo en caso de un problema como el descrito anteriormente.

Figura 1: SCCAID para Windows

Nuestro proyecto SCCAID que Chema Alonso enseñó en una de las demos de la pasada RootedCON ha consistido en el desarrollo de una herramienta que facilite el cambio de claves en múltiples servicios reduciendo todo el problema a que el usuario introduzca un sólo dato: su nueva contraseña.

)
Figura 2: Funcionamiento de cambio de claves automático en  SCCAID


De este modo y tal y como se puede ver en el vídeo siguiente sería muy fácil cambiar la contraseña en multitud de servicios a la vez en caso de recibir una alerta de intento de acceso no autorizado por parte de Latch.

Trabajando con perfiles y almacenes de claves

Como no sólo tendremos una contraseña o una cuenta en estos servicios, SCCAID permite la creación de almacenes donde a través de perfiles podréis gestionar vuestras cuentas:

Figura 3: Descripción del funcionamiento de los almacenes en SCCAID

De este modo podréis establecer de forma fácil las distintas configuraciones de cuentas y claves que tengáis en vuestros servicios. En el siguiente vídeo se muestra cómo se deben configurar los diferentes almacenes para poder trabajar con ellos.

)
Figura 4: Creación de almacenes en SCCAID

Aprovechando las ventajas de Latch

Además la idea de usar Latch como un mando remoto de control nos pareció muy interesante y pensamos que todavía podíamos sacarle más partido e integrarlo dentro de nuestra solución desde otra perspectiva: ¿Y si a través de SCCAID utilizamos el bloqueo de Latch para “desconfigurar” el acceso a los servicios que todavía no se pueden bloquear directamente con Latch?

Figura 5: Idea de integración de Latch y SCCAID

La idea es sencilla, el usuario puede configurar un pestillo con Latch en SCCAID, de modo que SCCAID quedará a la escucha de si el pestillo está abierto o cerrado y el usuario tendría la posibilidad de gestionar la cuenta de SCCAID desde las opciones que ofrece la app de Latch, con la opción de disponer de un bloqueo constante, una programación y el autobloqueo.

Figura 6: Control de estado del Latch de SCCAID desde la app

Este sistema le permitirá funcionar como un botón del pánico: si se detecta que el Latch del usuario está cerrado, SCCAID se conectará a todos los servicios para establecer una contraseña generada aleatoriamente en ese momento y así evitar el acceso a cualquier servicio configurado con esos credenciales.


Figura 7: Funcionamiento de Latch en SCCAID


Finalmente SCCAID restaurará las contraseñas del usuario cuando se vuelva a abrir el Latch y le permitirá modificar todas las contraseñas.

Limitaciones de esta características

A la hora de implementar estas medidas hemos detectado que en algunos casos entran en conflicto con otras. Servicios como Gmail, Ebay o Facebook no permiten establecer una contraseña que se haya utilizado anteriormente, de modo que este sistema no se puede aplicar a estos servicios ya que el propio servicio impedirá restaurar la clave original después de establecer una aleatoria, por lo que habría que pensar en generar una nueva y comunicarla al usuario de alguna forma. Estamos en ello.

Otros datos de interés sobre SCCAID

Además de la gestión de perfiles y la integración con Latch, la aplicación cuenta con otras características como:
• Backup en sistema de ficheros y vía FTP 
• Gestión de política de contraseñas que te permita establecer avisos cada X tiempo o evaluar la fortaleza de tu clave 
• Importación y exportación con otros sistemas como KeePass y LastPass 
• Idiomas: en Español y en Inglés
Os dejo en el siguiente enlace un ZIP con a la primera versión pública de SCCAID y os invito a seguir el Twitter del proyecto (@ProyectoSCCAID) donde iremos publicando información de nuevas versiones además de recogiendo vuestro feedback para futuras modificaciones.

¡Un saludo!

Autores: Rubén Franco (@FrankNoIdea), Miguel Ángel García (@nodoraiz) y Moisés Llorente (@moisllorente)

8 comentarios:

  1. Me parece una idea genial, veo un proyecto con mucho futuro.

    ResponderEliminar
  2. Yo no sé nada....cada vez que en un servicio me hacían cambiar la contraseña y me decían que no podía ser ninguna de las 5 anteriores la cambiaba a:

    Abc12001
    Abc12002
    Abc12003
    Abc12004
    Abc12005

    Y por ultimo a la que tenia de siempre. Podéis mirar por ahí a ver si de esa forma os deja... ;)

    Por cierto, que buena utilidad.

    ResponderEliminar
  3. Os vi en la presentación del proyecto en la universidad, os felicito, ha sido un gran trabajo y funciona de perlas! Que sigáis cosechando éxitos! Un abrazo compañeros!!

    ResponderEliminar
  4. Chema, está buenisimo!!!

    ResponderEliminar
  5. Teneis en mente un Command Center de Latch para empresa? puede estar cañero para desplegar y controlar Latches en redes corporativas mezclado con el SCCAID para resetearlas y con despliegue en plan silencioso contra active directory por directivas o conectar equipos linux tambien al mismo panel y tener un interfaz de compañía unico para latches con sus schedules iba a molar, quiza una interfaz web para frontend de gestion self service(para users y admins) con DB de backend?

    ResponderEliminar
  6. Javier Sanchez17/4/14 2:29 p. m.

    Hola a todos. Me ha parecido magnífico este proyecto SCCAID. También he estado leyendo de LATCH y estoy poniéndome manos a la obra ahora mismo con él. Quisiera dejarles una inquietud. Tal vez, con la combinación LATCH + SCCAID muchos no consideren necesario el uso de distintas contraseñas en cada servicio. Yo si, mi estimación es que con los tiempos que corren, uno siempre debe estar varios pasos delante(que generalmente es imposible...) en materia de seguridad. Desde ese punto de vista, sería bueno ver esa opción en algún release futuro de SCCAID. De todos modos, me gustaría también conocer sus opiniones al respecto.
    Saludos!

    ResponderEliminar
  7. El problema esta en que si te hackean el soft te averiguan todas las credenciales dichas cuentas.. peor....

    ResponderEliminar