17 - Escucha de mensajes privados - 06/10/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Hace tiempo, dije que ciertos datos sensibles de ciertos servicios (el e-mail) viajan en texto plano al ser enviados a la red. En esta oportunidad extenderé un poco mas este comentario con una breve demostración de como nuestras acciones pueden ser monitoreadas y capturadas con algunos pasos sencillos. Para ello nos "armaremos" con una placa de red (disponible en cualquier PC) y con un programa de sniffing (disponible gratuitamente en Internet).

Ante de lo realmente jugoso, y como siempre, un poco de teoría sobre sniffing.

Lo que hacen estos programas es "oler/husmear" (sniff en inglés) la red para capturar paquetes de datos.

Cuando nos encontramos en una red (coaxil, UTP, óptico, wifi, etc.) cada paquete de datos es enviado desde un origen a un destino determinado. Cada placa de red involucrada en el proceso verifica si es la destinataria del paquete y si no lo es el paquete continúa "viajando" hasta encontrar el destinatario correcto. Por supuesto existen redes en donde lo anterior no se cumple y por ende el sniffing no se puede realizar, pero no nos ocuparemos de ellas en esta entrega.

Gráficamente:

Gráfico 1

Ahora, si "C" captura los paquetes destinados a "D" entonces obtendría información cuyo destinatario no es él. Este proceso se llama "sniffing" y se logra poniendo la placa de red en modo "promiscuo", para lo cual por supuesto, hay aplicaciones.

El gráfico ahora es el siguiente:

Gráfico 2

¿Por qué viajan en texto plano los datos sensibles?

Esto sucede porque el grupo de protocolos que rigen Internet fueron creados en los '70, años en los cuales el objetivo principal era lograr comunicarse sin pensar en la protección y la seguridad como elemento fundamental en dicha comunicación.

Estos protocolos hoy pueden ser reemplazados por otros estándares logrando un nivel de protección adecuado a cada caso. Así, seguridad fue el principal objetivo al crear IPSec que es un estándar que proporciona cifrado y autentificación a los paquetes IP y es de aplicación obligatoria dentro del estándar IPv6 (reemplazante del actual IPv4).

Ahora bien, como dije, a mediados de los '70 nadie pensaba en seguridad pero en 2005 aún existen empresas y aplicaciones que siguen aplicando el mismo principio. Por eso esta demostración se basa en protocolos muy conocidos:

  • los primeros, y antiguos, SMTP y POP que nos permite enviar y recibir correo respectivamente. Los datos son enviados sin cifrar.
  • luego, y muy nuevos, el Microsoft Messenger, el Yahoo Messenger y Google Talk, tres de los protocolos de mensajería instantánea mas utilizados. Estos protocolos nos permiten "escuchar" conversaciones ya que las mismas también viajan sin cifrar. Aquí es importante remarcar que si bien la contraseña es cifrada al momento del login, luego el resto de la información no se protege.

Para la demostración usaré Ethereal, un paquete gratuito y multiplataforma, considerado uno de los mejores analizadores de protocolos actuales.

Una vez instalado el programa se debe definir sobre que interfase (placa de red) se capturan los datos (Img_01_interfaces).

Luego se comienza la captura sobre la interfase definida y puede verse que se comienza a obtener paquetes para distintos protocolos (Img_02_captura). Por ejemplo si comenzamos a navegar en la web se puede ver la utilización del protocolo TCP.

Para visualizar la "conversación" que mantiene nuestra computadora y el servidor basta con detener la captura y "armar" los paquetes como se puede ver en la imagen Img_03_stream

Ahora, si abrimos nuestro cliente de correo favorito y descargamos mails se puede capturar el tráfico y luego armar los paquetes para observar que el nombre de usuario y la clave viajan en texto plano sin cifrar como venimos sosteniendo hasta el momento (Img_04_pop).

Si repetimos los pasos para una cuenta POP3 de gmail vemos que esto no sucede ya que se utiliza un certificado digital para el intercambio de datos (Img_05_popgmail) por lo que los mismos viajan cifrados.

En lo que respecta a los mensajeros instantáneos observamos que en los tres casos estudiados lo único que viaja encriptado es la clave (Img_06_loginmsn) permaneciendo los demás datos en texto plano.

Estos datos incluyen:

Si nos preguntamos que impide a estas tres empresas cifrar los datos, para dar una mayor seguridad a sus usuarios, creo acertar si digo que nada. Ya no es una cuestión de madurez en la tecnología y los protocolos como ocurría en los '70... es una cuestión de respeto.

Mientras tanto debemos conformarnos con saber lo que sucede y pasa por nuestros cables; o bien podemos optar por no utilizar estos productos, cifrar nuestras comunicaciones por otros medios o crear nuestros protocolos y dejar que los usuarios elijan.

Buenos Aires, 22 de octubre de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto