.

Computación

Tapando la Fuga de Claves

1

Cómo un simple arreglo ha hecho más seguros los administradores de claves.

  • por Rachel Kremen | traducido por Rubén Oscar Diéguez
  • 20 Diciembre, 2008

Desde la perspectiva de la seguridad del ordenador, las mejores claves para Internet deben ser largas, constar de una mezcla de letras, números, caracteres especiales y deben utilizarse cada una para un lugar. Lamentablemente, cumplir con estas pautas puede transformar la entrada a distintas páginas en una prueba desafiante de memoria. Las herramientas de administración de claves son una solución para personas que no pueden recordarlas todas, pero estas herramientas pueden presentar sus propios riesgos de seguridad. Ahora los investigadores han encontrado una manera para hacer que algunos de estos sistemas sean más seguros.

Los investigadores han centrado su trabajo en un tipo de administradores de claves pequeño pero cada vez más popular que se crea usando bookmarklets. Estos son marcadores del navegador que incorporan el código JavaScript para realizar una tarea compleja. En este caso, ingresar a un usuario automáticamente a una página en la Red. Después de estudiar seis bookmarklets que están a la venta, los investigadores identificaron un fallo importante: un atacante podría burlarse de las herramientas de modo que le revelen todas las claves del usuario.

“Es un problema serio que necesita ser tratado seriamente”, afirma Ben Adida, un socio de investigación en el Centro para Investigación sobre Computación y Sociedad en Harvard. Adida investigó el problema junto con Adam Barth, un socio de postdoctorado en ciencias de la computación en la Universidad de California, Berkeley, y Collin Jackson, un candidato al doctorado en ciencias de la computación en la Universidad de Stanford. Jackson pronunció un discurso recientemente en el MIT esbozando el problema de la seguridad y la solución del equipo.

Típicamente, un administrador de claves basado en el bookmarklet, almacena en un servidor central que está en alguna parte las claves para que el usuario las use en sus páginas favoritas. La próxima vez que el usuario visita alguna de esas páginas, simplemente clickea en el bookmarklet para ingresar. “Cuando el usuario clickea en el bookmarklet, está indicandole al navegador que quiere liberar una clave. La pregunta es ¿cuál?", explica Jackson.

El bookmarklet generalmente determina qué página estamos visitando cotejando el URL de la ventana del navegador utilizando JavaScript. Entonces el administrador de claves utiliza esa información para determinar qué clave le debe dar al navegador, y el usuario ingresa automáticamente.

Adida, Barth y Jackson descubrieron que si bien cada bookmarklet trataba con los detalles de la operación de un modo diferente, todos compartían un problema fundamental: no se podía confiar plenamente en que supieran qué lugar estaba visitando realmente el usuario. Con unas pocas líneas de código, se podía tender una trampa a la máquina para que creyera, por ejemplo, que el usuario estaba en la página de su banco, cuando estaba, realmente, en la página del atacante.

Jackson dice que “los ataques que encontramos trabajaban de una forma ligeramente diferente para cada administrador de claves”. Pero las seis herramientas analizadas podían manipularse para revelar las claves almacenadas del usuario.

Afortunadamente, Adida y su equipo hallaron una solución al problema que también fue fácil de implementar. En vez de cotejar la ubicación de la ventana del ordenador, sugirieron que se cotejara otro atributo: el “referrer header” (*). Mientras que el boomarklet utilice un protocolo de transferencia de datos estándar conocido como capa de conexión segura (SSL), no se puede falsificar al “header” tan fácilmente.

De las seis empresas de bookmarklet contactadas por el equipo de investigación, cinco decidieron implementar la solución: Verisign, My Vidoop, Clipperz, Pass Pack, y Meshed Life. La sexta empresa optó por advertirles a sus clientes al respecto del problema en vez de arreglarlo como sugirieron los investigadores.

“Fue un arreglo muy sencillo. Sólo costó unos pocos minutos de tiempo a los que lo desarrollaron”, dice Scout Blomquist, funcionario en jefe técnico para MyVidoop, de Pórtland, OR. Bloomquist describe la vulnerabilidad como “marginal”, destacando que sólo pocas personas utilizan la versión bookmarklet de su administrador de claves y que el ataque necesitaría de tiempo y pericia para poder realizarse.

De todos modos, podría potencialmente exponer a los usuarios a una pérdida financiera importante. Adidas agrega que “es poco probable que algún atacante realmente lo haya hecho, pero de ser así, ni siquiera lo sabrías”. Un usuario podría notar que su cuenta bancaria está sin saldo, pero sería difícil saber cómo perpetraron el ataque. “Al final del día, este tema de la seguridad se termina pareciendo un poco a los seguros de vida. La mayoría de los usuarios no están lo suficientemente paranoicos”.

Los investigadores creen que en el futuro, habrá una solución todavía mejor para el problema del bookmarklet: una prestación nueva del navegador llamada postMessage. Barth dice que la prestación postMessage está diseñada para permitir que la ventana del navegador transmita información de ida y vuelta de un modo seguro, mientras que confirma, con precisión, el origen de cada mensaje. Jackson dice que una vez que se implemente esta prestación en la mayoría de los navegadores, podría utilizarse para transmitir claves entre las ventanas o marcos del navegador de un modo seguro.

(*) Referrer header; Información que envía el navegador indicando cuál ha sido el último clic que hicimos para llegar a la página actual.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. Cómo el 'phishing' explota nuestro cerebro para engañarnos

    La autoridad del supuesto emisor del mensaje, su carga emotiva e incluso la propia felicidad del internauta disminuyen su capacidad de alerta ante este tipo de ciberataque, que cada vez resulta más efectivo y popular. Pero para solucionarlo hace falta implantar una doble autenticación 

  2. El telescopio de mejor calidad-precio usaría la atmósfera como lente

    Bautizado como "terrascopio", este dispositivo teórico podría equiparar la potencia de un telescopio terrestre de 150 metros de diámetro por una fracción de su coste. Con el planeta actuando como lente, la luz enfocada se amplificaría por un factor de 45.000 durante un tiempo de exposición de 20 horas

  3. La diminuta empresa de cohetes que inspiró a Elon Musk

    Esta es la historia de Masten Space Systems, cuyo cohete Xombie fue el primero capaz de despegar y aterrizar en vertical. A pesar de los apuros que ha pasado esta diminuta compañía, los nuevos programas de la NASA podrían ayudarle a competir con los grandes