Español | English
rss facebook linkedin Twitter

Por el mismo precio, me llevo una más

Hablamos de credenciales. Todos lo sabemos y es la mayor preocupación de mucha gente. los troyanos roban credenciales. Pero, ¿qué roban? ¿solamente credenciales?

La respuesta no es simple, puesto que cada troyano tiene sus objetivos concretos y su propio programador con su visión de lo que necesita, pero está claro que los nombres de usuario y contraseñas son su bien más preciado. De esta manera, el robo directo de credenciales mientras las tecleamos es lo más evidente, pero no es el único tipo de datos robados.

Es muy común encontrarnos con troyanos que realizan capturas de pantalla para, por ejemplo, almacenar una pequeña área de la misma centrada en el punto en que hemos hecho clic, pudiendo robar las contraseñas introducidas mediante teclados virtuales.

Pero hay más. Disponiendo del control absoluto de la máquina, ¿qué más puede resultar interesante? Si tengo credenciales bancarias de mucha gente, estaría bien saber el saldo disponible en cada cuenta, por lo que puedo bien capturar la pantalla o grabar el texto de la página en el momento de mostrarlo... Los troyanos lo hacen.

También es habitual que las credenciales robadas no sean solamente referentes a las entidades/aplicaciones directamente atacadas, ya que las mismas pueden ser vendidas al peso o, igualmente peligroso, reutilizadas para los servicios que se pretenden atacar. El inconveniente de esto es que se requiere un testing (manual o no) para comprobar si realmente se está utilizando la misma contraseña para diferentes servicios.

En el caso de la venta de credenciales de correo, antes de venderlas, siempre se puede realizar una búsqueda dentro de la misma, ya que es muy habitual almacenar correos con credenciales para todo tipo de servicios.

Relacionado con esto, tenemos otra práctica muy común de los usuarios (noveles o no), que consiste en utilizar un esquema o plantilla para la generación de contraseñas. Por ejemplo, podemos tener diferentes cuentas de correo y que nuestras contraseñas sean del tipo p4ssword-super#seguradegmail, p4ssword-super@seguradehotmail, y queramos la contraseña de este usuario para su cuenta en yahoo, ¿cuál probamos? Esto se utiliza menos en el robo indiscriminado de credenciales, ya que requiere trabajo manual, pero quién sabe si en época de vacas flacas no se le dedica un tiempo a este tema...

Por último, también se pueden encontrar troyanos que monitorizan las preguntas secretas utilizadas para recuperar contraseñas. Por supuesto, si la gente reutiliza contraseñas, cómo no va a reutilizar preguntas secretas...

Ya sabemos: contraseñas fuertes, cuidado con las preguntas secretas, y cuidado con las plantillas para las contraseñas.

Mikel Gastesi
S21sec e-crime

2 comentarios:

eduardo abril dijo...

Hola,

Lo de las plantillas para las contraseñas creo que lo tenía que haber leído D.Kaminsky ... jeje ...

Y sí, ahora en serio, es algo muy común en las empresas. Tienen tropecientos servidores y hay que recordar las passwd de algún modo. Así que, normalmente, si sacas una o dos puedes sacar todas.

Saludos,
Eduardo.

S21sec e-crime dijo...

Hola Eduardo,

Tal y como dices, es algo común, y la gracia está en que la gente sabe esto y a pesar de todo lo hace. Kaminsky es un ejemplo, jeje.

Saludos,
Mikel


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login