Día Internacional de la Internet Segura


Si, bueno, eso dicen...

Pero todos sabemos que nadie esta seguro si alguien de verdad quiere fastidiarte.

Hace no mucho hablábamos de que las redes WPA ya no eran nada seguras, y ayer mismo se cerro por fin una web mediante la cual se hizo un importante ataque de phishing a la red social de Tuenti.

Bueno, una vez inactiva la web os lo relato brevemente.
Había una web alojada en el típico servicio subdominiobonito.dominiogratis.com a esta ademas enlazaban 2 dominios de primer nivel mas "fiables" que redirigían a la web final para cojer y conseguir mas métodos de entrada.
Los dominios de primer nivel cayeron hace unos días, la pagina web final cayo ayer mismo.

Ahora a continuación os explicare como funcionaba.


Propagacion
Como se propagaba esta, bueno, efecto viral simple para usuarios torpes.
Te pedían simple y llanamente poner un texto que difundía la web y lo que se conseguía con ello pidiéndote luego de ponerlo exactamente en 20 sitios distintas cualquiera que introdujeras en su web maliciosa tu usuario y contraseña de tuenti.
Esto claro incluía foros, blog y claro esta, multitud de eventos en Tuenti.
Esta empresa con una seguridad casi nula y poca supervision... no tienen filtros apropiados, no monitorizan tampoco las invitaciones de cuentas falsas tampoco pues tampoco los eventos claro esta, solo el lucro y publicidad les interesa como a todas estas redes sociales empresariales.

Así claro, se propagaba entre mucha gente y encima iba recopilándose información de las cuentas.
¿La supuesta recompensa que se podría obtener?, ver quien te visitaba en la red social, otro bulo muy usado como el de cambiar el color de Tuenti (posible localmente mediante extensión) o como activar la cam antes de su salida.

Tecnologia
El mayor problema es que no tenia ni una simple base de datos donde almacenar los datos obtenidos de forma segura, sino que se almacenaban en una carpeta accesible vía web donde creaba un fichero con cada correo obtenido y dentro la contraseña, así para que cualquiera con 2 dedos de frente pudiera verlo.

Yo por ejemplo tarde menos de 10 min en verlo y descargar automáticamente mas de 1000 cuentas de usuario, pero se conoce que ha llegado a almacenar mas de 3500 a la vez. Y no perdi ni media hora de mi tiempo en enterarme, localizar la web y conseguir pleno acceso a ella, sin requerir ningun conocimiento especial de nada, solo algo de logica y saber usar algunas utilidades basicas (google para bsucar y gestor de descargas para que se descargara todo solo).

No señores, no fue ningún superhacker ni nada, era una simple web que no costaba ni 10€ desplegarla y que cualquiera con 2 horas libres sin ni idea de programación ni diseño web podría haber desplegado. Tal vez fuera obra de un niño de 13 años, posiblemente de vez de un aburrido estudiante sin mucho conocimiento, pero aun asi miles de personas fueran afectadas.

Resumiendo...
También mediante ingeniería social ha caído una importante empresa que perseguía a Anonymous en las garras de sus perseguidores... pero eso señores... es ya otra historia.
El caso de las WPA fue un fuerte estudio del algoritmo de generacion de las claves, el de ingeniera social especifica una ardua labor de una gigantesca comunidad.
El caso de Tuenti..., el mas vulgar y sin objetivo especifico, quien caiga, cayo, pero que como habeis visto, era algo muy facil de desplegar, mantener y sin necesidad de grandes conocimientos.

Id tomando conciencia, Internet es un lugar seguro, tan seguro o mas que ir por la calle, pero no deis vuestras llaves a desconocidos y cuidado por que callejones oscuros andáis.
Así que os recomendaría, que por favor, preguntéis antes a alguien u os informéis un poco.

Al fin y al cabo... el mayor riesgo de seguridad esta entre el monitor y el sillon, TU

Entradas populares

Imagen

M4A1 ICS-021 Full metal