Por
Xavier Caballé xavi@hispasec.com ¿Son seguras las aplicaciones de mensajería instantánea? Un estudio de Symantec analiza el impacto que tienen las principales aplicaciones de mensajería instantánea en la seguridad así como su creciente utilización para la distribución de malware. La mensajería instantánea se está convirtiendo, cada vez más, en un sistema popular para el intercambio de mensajes. A diferencia del correo electrónico tradicional, la comunicación entre los participantes es en tiempo real y, además, el programa nos informa cada vez que uno de nuestros contactos se conecta. Los diversos productos de mensajería instantánea están basados en una tecnología cliente servidor. Los usuarios utilizan un cliente para conectar con un servidor externo, que centraliza todas las conexiones. Actualmente existen diferentes productos de mensajería instantánea y, por lo general, se trata de aplicaciones totalmente incompatibles. Es decir, los usuarios de un servicio sólo pueden comunicarse con otros usuarios del mismo servicio. Existen algunas utilidades y clientes que disponen de capacidad "multiservicio", aunque se trata de productos desarrollados de forma externa a los principales servicios existentes. Cada usuario del servicio de mensajería electrónico debe disponer de un identificador único que lo identifica ante el sistema y el resto de los usuarios. Por tanto, el usuario al conectar al servicio debe facilitar ese identificador y la contraseña establecida. En líneas generales, el intercambio de mensajes se realiza siempre a través del servidor. Así cuando el usuario A envía un mensaje a B, el proceso esquemático es el siguiente:
Normalmente los programas de mensajería siempre utilizan el servidor central para el intercambio de mensajes; no obstante, existen algunos programas que una vez establecida la conexión establecen una conexión directa entre A y B, de forma que sus mensajes no pasan por el servidor central. Los programas de mensajería instantánea actuales, como el MSN Messenger (también conocido como Windows Messenger), Yahoo! Messenger y ICQ, no se limitan al intercambio de mensajes de texto, también ofrecen la posibilidad de intercambiar cualquier tipo de archivos. Por otra parte, algunos programas también permiten que los usuarios compartan los archivos de una carpeta con sus interlocutores. Esta compartición se realiza a través de la misma conexión establecida para el intercambio de mensajes. Incluso es posible compartir toda la unidad de disco, para que ésta quede a la disposición del interlocutor. Todo esto convierte los programas de mensajería instantánea en potenciales puertas traseras de la seguridad perimetral. Un atacante puede utilizar un programa de mensajería instantánea para enviar un Caballo de Troya que contenga una puerta trasera. Como en el mismo momento en que consigue enviar un archivo el canal de comunicación ya está establecido, el atacante no tiene por que preocuparse en identificar la dirección IP de la víctima... para él, su víctima no es otra cosa que un simple nombre en la lista de contactos. Esto es una gran ventaja cuando se desea obtener el control del ordenador de un usuario que conecta mediante módem o con dirección IP no fija. Aunque su dirección IP en la red cambie, lo más probable es que su identificador continúe siendo el mismo. Durante los últimos meses se han dado a conocer, como hemos recogido en algunos boletines previos de "una-al-día", diversos problemas de seguridad y la existencia de gusanos específicos contra estos servicios de mensajería instantánea. Este hecho es especialmente grave al considerar que todavía ningún programa antivirus controla de forma eficaz las conexiones de los programas de mensajería electrónica, debido básicamente a la dificultad en la monitorización del tráfico y a los frecuentes cambios en los métodos de comunicaciones utilizados. Otro aspecto a considerar es la posibilidad de que nuestro interlocutor no sea realmente quien pensamos que es. Habitualmente los programas de mensajería guardan la configuración de contactos en el servidor, lo que permite la movilidad del usuario. De esta forma, cuando conectamos al servidor desde un ordenador que no es el nuestro, nos aparecen nuestros contactos habituales. Pero esto también significa que si un atacante consigue acceder al servidor utilizando la contraseña de uno de nuestros contactos, a nuestros ojos aparecerá como si fuera nuestro interlocutor legítimo. Si tenemos archivos compartidos, el atacante podrá acceder libremente a los mismos. La obtención de las credenciales de un usuario puede ser una tarea relativamente simple. En muchos casos, es posible que la contraseña asociada al identificador de un usuario sea algo fácilmente asociable, como el teléfono, la fecha de nacimiento, el nombre del perro... Pero incluso si la contraseña es muy compleja, como la mayoría de protocolos utilizados transmiten la información en claro, sin cifrado, pueden realizarse ataques de suplantación que permitan suplantar una conexión establecida. Para algunos programas de mensajería concretos, incluso existen programas que automatizan todo este proceso. Por último, y no por ello menos importante, una aplicación de mensajería electrónica puede ser utilizada para la fuga de información confidencial. A diferencia del correo electrónico, donde se pueden aplicar mecanismos para identificar posibles pérdidas, es muy difícil llegar a identificar cualquier fuga que se realice a través de una conexión de este tipo.
Instant Insecurity: Security Issues of Instant
Messaging Threats to Instant Messaging Secure Instant Messaging Matar el missatger Worms find fertile ground in IM Una-al-día (11-05-02): Grave problema de seguridad
en MSN Chat Una-al-día (06-02-02): Divulgación de información
con MSN Messenger Una-al-día (05-01-02): Grave problema de seguridad
en AOL Instant Messenger Una-al-día (02-05-01): W32/Hello, primer gusano para
MSN Messenger
|
