13 abr. 2012

Teclados virtuales ¿son seguros?

Desde hace un tiempo, se ha notado que la mayoría de los que disponen páginas web, no tienen en cuenta la importancia de la protección de los datos.

Páginas con contenido confidencial, como por ejemplo, los bancos, o webs de e-commerce, son objetivos de los atacantes a la hora de seleccionar los "futuros ingresos".

Debemos considerar tres escenarios posibles:
  • Del lado del usuario, nos conectamos a un banco o a una web de compras, ¿acaso con una "pequeña tranquilidad" viendo el "candadito"?
  • Del lado del proveedor de ese servicio, ¿damos por asentado que los usuarios estarán seguros, porque disponen del último antivirus, parche o cumplieron con la ISO 1.000.001?
  • Del lado del atacante, están contentos porque instalaron el último keylogger antidetectable, y pueden saber si el usuario sale con la secretaria que trabaja en el proveedor
Un sinfín de preguntas y todas las respuestas están basadas en una dos palabras: cero seguridad

Uno puede notar una cierta sinceridad en estos comentarios, dado que de cada 10 sitios webs que visito, y en el cual estén trabajando tanto con "HTTPS" o con teclados virtuales, noto que siguen habiendo fallas que un atacante no perdonaría.

Hablemos de los teclados virtuales:

Un teclado virtual es una aplicación por lo general escrita en JavaScript que nos muestra una pagina web, y en el cual, mediante clics del mouse, podremos mandar nuestro o "clave", sin utilizar el teclado y así poder tener acceso al servicio ofrecido.

Encontramos también, teclados que no obedecen ningún orden de aparición de teclas, esto significa que no están ordenadas como los teclados originales, y también tenemos teclados virtuales de números solos, o hasta con gráficos (este es muy bueno, ¡recomendable usarlo!).

De antemano, sabemos que es importante no acceder desde lugares públicos, (llámese ciber, aeropuerto, hoteles, etc) a cualquier sitio en el que se deba ingresar información sensible, dado que desde allí es más sencillo un ataque.

No siempre la seguridad de teclados virtuales es la mejor, algunos llegan al punto de guardar en "campos ocultos" los datos digitados sin cifrar, para luego ser enviados en métodos GET o POST, otros guardan una cookie en texto plano con esta información, sin contar con los que guardan toda la información digitada en la cache del navegador.

Existen métodos como la suplantación del teclado en la cache del navegador, que permiten a un atacante, sin modificar la página de la entidad bancaria o el sitio que contenga el teclado virtual, reemplazarlo con otro que además de enviar la información al sitio donde debería ir, también envía una copia de la misma a ellos y para esto solo es necesario que el usuario visite un sitio malicioso, para después acceder a la pagina legitima de la entidad.

Los atacantes casi siempre están un paso adelante, keyloggers indetectables, troyanos que graban videos, y aplicaciones que utilizamos para manejo de proxys, las cuales son de utilidad en el traslado de los paquetes hacia el destino, no se habla de sniffing, sino que se habla de la traslación de esos paquetes, que  no están cifrados en el momento que los utilizamos en nuestro ordenador.

La clave ingresada, sea ingresada por el teclado físico o por teclado virtual, en su mayoría no es cifrada (al menos de cada 10 bancos que probee, sólo 2 estaban cifrados), y pude capturar lo ingresado por teclado virtual, en ¡texto plano!, en otros bancos, capture el hash que realizo el teclado virtual, pero no hay como un buen traductor (Hash Online).

Oscar Banchiero par Segu-Info (@banchiero)

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!