Tuesday February 10, 2004
Humanética
Tuesday February 10, 2004
Seguridad en Internet
En esta ocasión me refiero basicamente a los correos basados en web (tipo hotmail, yahoo, latinmail, etc.) y al uso de mensajeros instantáneos (igualmente msn, yahoo, aol -messengers- etc.) aunque el problema es mucho más extenso, por supuesto.
Y es que justamente ayer un amigo (al que llamaremos M) me pregunta si es posible que una persona ingrese a tu correo de hotmail, desarrollándose más o menos un diálogo como el siguiente:
M: Es posible que alguien que no esta en tu red interna (LAN) entre a tu messenger (se refería al uso de msn messenger en internet).
Yo: Sí.
(otro amigo al que llamaremos F llega en ese instante)
F: He escuchado que si se puede ...
Yo: Claro.
M: ¿Y cómo?
Yo: No estoy seguro, porque la verdad nunca he investigado al respecto, pero sé que no es muy difícil que digamos, al menos habían algunos trucos (fallas de seguridad) que hacían que sea relativamente sencillo, tal vez ya corrigieron el problema, no sé. Con un par de horas en internet, o a lo sumo 1 día seguramente podrían encontrar información sobre eso. Pero como les digo no he investigado al respecto, y además como le dije a otro amigo cuando me preguntó algo parecido así lo supiera, no lo enseñaría (caras de sorpresa), y no lo enseñaría porque no me parece ético (como comentario, decir que en realidad han sido muchas mas personas que me han hecho esta pregunta quien sabe con que fines. Al final me ha comenzado a interesar el tema como una forma de entender cuales son los agujeros de seguridad, y no cometer los mismos errores si alguna vez tengo que hacer algo parecido).
M: ... Si ya sé que no es ético, pero ¿se puede?
Yo: Sí
F: He escuchado que dicen que entran por detrás (risas maliciosas) ... no, en serio.
Yo: ¿Y cómo es eso?
F: No sé, yo no entiendo, pero eso es lo que he escuchado.
M: Preguntaba porque justamente ayer unas amigas me dicen que yo les he enviado un correo insultándolas ...
Yo: Glup ...
M: ... Y, nada que ver pues. Y lo peor es que no me creen.
Yo: Es mejor que cambies la cuenta de correo ...
M: ¿Pero cómo?
Yo: Crea una nueva.
M: Pero tengo todos mis contactos ahí.
Yo: Pásalos a la nueva cuenta.
M: ¿Todos?
Yo: Sí, todos. ¿Hace cuanto tienes esa cuenta?
M: Hace como un año.
Yo: Pues no recuerdo desde cuando, pero los correos creados en el msn antes de una fecha tienen fallas conocidas de seguridad y es mejor cambiar la cuenta. Parece que luego de eso han corregido el problema.
Al día siguiente, es decir hoy, M me comenta que estaba chateando con el msn y le apareció un mensaje de que se había desconectado porque había iniciado sesión en otro equipo. Le pidió a otra persona de la misma intranet que intentara enviarle mensajes para ver si le respondían y efectivamente chateó con un desconocido que estaba usando la cuenta de M. La sensación de ultraje (según sus propias palabras), al ver que algunas cosas consideradas personales (e íntimas) puede ser accedido por alguien extraño (tal vez conocido o desconocido) no podía ser mayor.
Justamente también una de mis cuentas de hotmail fue usada por un desconocido hace algún tiempo enviando mensajes en mi nombre (en uno de los grupos de msn) diciendo a los usuarios que borren una serie de archivos y cosas por el estilo. Para rematar me botaron del grupo por conducta inapropiada .. jajajajaja ... pero por supuesto, volví a ingresar con otra cuenta ;).
La cuenta de yahoo, no se salvan de estas dificultades (hasta lo que supe). Por ejemplo, un amigo me dijo que enviando un correo a una dirección con una clave (que supuestamente él tenía y que era la misma tanto para hotmail como para yahoo) se podía averiguar cualquier contraseña. Me ofreció darme la clave y el correo, pero yo lo rechacé: no gracias, no lo necesito, le dije; aunque tal vez pude haber visto si era verdad lo que decía.
Sea como fuere, es una noticia confirmada por la misma Microsoft que en alguna ocasión ingresaron a su red passport y obtuvieron contraseñas y otra información importante de la misma (creo que hasta números de tarjetas de crédito incluidas). Por lo cual la idea, aceptada por el público en general, de que se trata de redes seguras me parece sin fundamento. Más bien yo recomiendo no guardar ni trasmitir información importante en estos lugares, al menos cosas que se presten a un mal uso.
¿Y qué tal será Jabber en este aspecto?.
Posted at 05:06PM Feb 10, 2004 by Ricardo in Informática | Comentarios[3]
Subscribe!
El problema en la mayor parte de los casos no es del sistema, sino de los usuarios: eligen contraseñas fáciles, las apuntan en post-it que pegan en el monitor, usan la misma contraseña para todo, ... etc.
<br><br>
Acceder a la password de Hotmail mediante métodos "técnicos" ahora es realmente dificil, ya que desde hace unos 3 meses, el nuevo protocolo MSNP versión 9 soporta cifrado SSL. Antes, colocando un sniffer podría averiguarse la contraseña.
<br><br>
Aún así, siempre puede haber sido algún gusano que haya encontrado esa información en local y la haya enviado al exterior, o un troyano que reporte todas las pulsaciones de teclas de ese PC.
<br><br>
Pero yo creo que sin duda el método de más éxito es lo que se conoce como "ingeniería social", sobre todo porque las técnicas anteriores no están al alcance de cualquiera el llevarlas a cabo.
<br><br>
Conozco gente (que, por cierto, estudia 4º de informática) que les han quitado la contraseña porque les mandaron un correo "anónimo" que decía:
<br><br>
<i>Si quieres saber la contraseña de cualquiera de tus contactos, manda un mail a esta dirección con el mail del contacto, y tu contraseña para poder validarte</i>.
<br><br>
Evidentemente, tenía truco. Hay tener en cuenta que la red de MSN es impresionantemente grande, con muchísimos usuarios que tienen conocimientos de informática nulos, y la cantidad de usuarios que pueden caer en engaños de este tipo es muy grande.
<br><br>
El problema viene de base, y es que la sociedad se empeña (y Microsoft tiene mucha culpa de esto) en que cualquiera pueda hacer de todo con un ordenador, cuando en realidad no se puede. Se puede crear la ilusión de que es así, pero es imposible hacerlo sin conocimientos. Yo no veo en los kioskos fascículos de "Diseña tus edificios", para luego ir haciendo casas por ahí pensando que soy arquitecto ...
Enviado por mariscal en February 11, 2004 a las 06:09 AM EST #
Hola necesito k me digas como poder averiguar las cleves de mis contactos
porfa
ya chau
Enviado por camila en November 29, 2006 a las 12:37 PM EST #
hola necesito saber la contraseña de este correo michaelrtk@hotmail.com plz ayudenme
Enviado por lina en December 26, 2007 a las 11:25 AM EST #