Secuestro de cuentas Hotmail

Esta es la primera vez que le dan prensa en todo caso. En Argentina es bastante común que se realizen estas acciones, solo que dudo que alguien haya pagado.

Ya recuerdo cierta vez que alguien se aprovechó de mi cuenta de Hotmail (siendo que no la uso, ni la usé para más que dar de alta una cuenta de MSN en su momento...)

Sea que sea de Hotmail, Gmail, o cualquier otra cuenta, el problema pasa por el usuario dueño de la cuenta. Si este no sabe como proteger sus datos (caso del 99%, el resto son friki's como nosotros), entonces se encuentra con este tipo de cosas.

Por otro lado, muchos cybers no quieren que veas la lista de procesos corriendo, lo cual deja mucho que desear, ya que uno está pagando por un servicio y en realidad pueden estar espiándolo.

¿HTTPS? ¿SSH? ¿SSL? ... si, todas estas cosas se aplican cuando el usuario conoce la máquina local (y tiene posesión de lo que en ella sucede).

El futuro está en la erradicación de los cybers cafés, o simplemente dejarlos como terminales bobas en donde uno inserte una memoria y se cargue 'su sistema operativo', con 'sus datos', de modo que nadie desconfie de nadie... y se pague por el tiempo de uso de la máquina regulado por el inicio de envío de paquetes (cuando la máquina se conecta a la red), hasta el final del mismo (cuando el usuario apaga la máquina).

Saludos

Mientras el acceso se haga desde el teclado, no hay solución, sin importar el software.

Si usas tu propio sistema operativo, pero en una máquina ajena, siempre te expones a que te hayan instalado esto:

http://www.thinkgeek.com/gadgets/security/5a05/

O esto:

http://www.thinkgeek.com/gadgets/security/7af2/

Para los que no quieran tomarse el trabajo de traducir la explicación, ambos son dispositivos keylogger por hardware. Se conectan en el puerto PS/2 o el USB donde vaya el teclado, y almacenan cientos de miles de teclas presionadas. Para leer la información ni siquiera hace falta un software especial. Basta con teclear una clave especial y listo.

Ejemplo de uso:

Vas a un cibercafé. Discimuladamente desenchufas el teclado, y pones el dispositivo entre medio. Es chiquito y aparanta un adaptador así que nadie lo notará.

Vuelves una o dos semanas después, abres tu cuenta de correo, te envías un nuevo correo a tí mismo, y como texto escribes la clave del keylogger. Inmediamente el dispositivo comienza a insertar como si fueran teclas todo lo que tiene grabado. Cuando termine le das a enviar y listo, con tranquilidad puedes analizar lo que haya acumulado y lo dejas para que siga trabajando. Basta con volver periódicamente a "cosechar" la información.

Totalmente independiente del software, así que incluso los cibercafés que todas las noches reinstalan la imágen original el software de sus estaciones estan a salvo de esto.

Bueno, hay una sencilla solución. Comenzar a introducir la contraseña, seleccionar otra ventana, pulsar teclas aleatoriamente, otra ventana, pulsaciones aleatorias, ventana del login, seguir introduciendo la contraseña...

Así, del log que obtenga el delincuente será complicado extraer la contraseña.

Eso sí, hace poco he estado un mes sin internet y no he tenido huevos a meterme en mi banco on-line desde un "cyber". Mal asunto.

mced: una excelente recomendación la tuya. Debería agregarse a los documentos de recomendaciones para tomar medidas de seguridad. Basta con enfocar cualquier otro lugar que no sea el campo de la clave y presionar algunas teclas para despistar a los keyloggers.

Supongo que el siguiente paso, cuando la gente empiece a tomar esas precauciones, será parchar el windows, reemplazando alguna dll para que el programa sepa exactamente en qué campo se está introduciendo cada cosa. O tal vez simplemente reemplazando o interceptando el motor de html para atrapar los datos que se envían antes de que sean cifrados por el ssl.

Alejandro Nestor Vargas

Lo ideal sería que las cuentas del email, banco... tuvieran un sistema de contraseñas de un solo uso desechables.

La cosa sería llevar impresa una hoja con una lista de contraseñas e ir tachándolas según se usen. Asi si alguien llega a pillar alguna le será inútil. Me suena que hay sitios que lo hacen, pero nunca lo he probado.

Y ahora que lo pienso, ¿no habría alguna forma de meter un ordenador intermedio entre el terminal público y el servicio web para que comprobara las contraseñas desechables y dar acceso o no al servicio? No sé si me explico, pero tener eso estaría de cine.

Lo adecuado sería que todo "cyber" permitiera arrancar el sistema con nuestro propio sistema operativo (por ejemplo, una live-CD). Así al menos nos olvidaríamos de las vulnerabilidades del software y podríamos centrarnos en evitar los ataques vía hardware como el que has mencionado.

Como siempre, la lucha entre delincuentes y usuarios sigue entretenida. Aunque en mi opinión la escena vírica está bastante dormida en los últimos meses (incluso años), en lo que a novedades se refiere.

e introducir una clave con el raton? pulsando sobre un teclado en pantalla.

mas vale pagar cara la leche...

Lo de los teclados virtuales usables con el ratón tambiés está ya superado por "los malos":

http://www.hispasec.com/unaaldia/2873

Eso dice en el foro de Autohotkeys hay muchos que dice que les resulto.

 www.autohotkey.com/forum/topic14759.html

Si no sabes que es el autohotkey miren la home del site, es un editor de Scripts muy bueno, lo uso a menudo para algunas tareas aparte de poder compilar en un .exe el script que creemos.

Adios! 

e introducir una clave con el raton? pulsando sobre un teclado en pantalla.

En ingdirect ya lo hacen. Para empezar de tu clave de 6 digitos nunca pones todos los caracteres (a veces te pide el 1º y el 3º, o el 4 y el 6º o los dos últimos), además, tienes botones donde hacer click con los números de manera que un keylogger no podría jamás (al menos los actuales) obtener tu contraseña.

Sería genial que esto se estandarizase...