Keyloggers y protecciones de credenciales en banca online (I)Sergio De Los Santos 19 julio, 2013 Los keyloggers o registradores de teclas han supuesto un problema de seguridad desde el principio de los tiempos. Todavía son usados y su capacidad para capturar contraseñas sigue siendo muy considerada por atacantes. Más aún cuando los métodos de pago y la banca online son tan populares (y siguen protegidos fundamentalmente por contraseñas y sus variantes). A pesar de su veteranía y de los distintos métodos aplicados para combatir el malware que recoge lo escrito en el teclado, ¿siguen suponiendo un problema? ¿Los hemos superado? Los keyloggers funcionaron en los 90 de una forma sencilla: interceptaban las funciones del sistema operativo que recogían las pulsaciones de teclas. Las escribían en un fichero, se imprimían en pantalla y se le enviaban al atacante. Fueron tremendamente populares y consiguieron robar contraseñas de correo y otros servicios a pesar del cifrado web. A principios de la década pasada, con la explosión de la banca online hubo que combatirlos con ideas más ingeniosas. Teclados virtuales Teclado virtual que cambia de posición y reordena las letras Fue una de las primeras reacciones de la banca contra los keyloggers. Si recogían las pulsaciones de teclado, qué mejor que evitar que el usuario tecleara. Pulsaría sobre una animación en pantalla. Esta medida es ahora casi un estándar en la banca online. Pero pronto supieron eludirla. El malware comenzó a capturar pequeños trozos de pantalla como imágenes alrededor del ratón cuando se hacía “click”, que se almacenaban en orden temporal y permitían al atacante saber la secuencia de tecleo en el teclado virtual. La contramedida de los programadores (en aquellos tiempos, bancos brasileños y rusos) fue ocultar las teclas en cuanto se pulsaban. El número era sustituido por un asterisco, y la secuencia que obtendría el atacante entonces sería una serie de imágenes con teclas sin información útil. ¿La reacción de los atacantes? Grabar en vídeo el movimiento de ratón. Secuencia de imágenes grabada por un troyano ante un teclado virtual Contraseñas incompletas Algunos bancos decidieron entonces que con solo dar una parte de la contraseña al banco, bastaba. El atacante no podría obtener la contraseña por completo. Esta medida fue también invalidada. Bien porque el malware podría simplemente esperar varias conexiones hasta completar la contraseña, bien porque podía modificar la página legítima para que realmente pidiera toda la secuencia de números o letras… o coordenadas. Todavía hoy es habitual que phishing y troyanos pidan toda la tarjeta completa. El usuario medio piensa que, a más coordenadas (más contraseñas), más seguridad. Troyano que modifica una web de banca online para pedir toda la contraseña en vez de solo una parte Gestores de contraseñas Para los usuarios más avanzados que se manejan con gran cantidad de contraseñas, los gestores permiten almacenarlas todas de forma segura. Cuando se va a utilizar una contraseña, se hace doble click sobre la deseada y esta queda en el portapapeles esperando a ser pegada en el campo correcto. Pero contra los gestores de contraseñas el malware también sabe qué hacer. Obviamente, caza el contenido del “clipboard” cuando el usuario visita el banco. Esto es menos habitual, pero ocurre. Pero el juego no acabó aquí. Existían otros vectores de ataque que aprovechar y otras contramedidas que implementar que veremos en la siguiente entrega. * Keyloggers y protecciones de credenciales en banca online (y II) Sergio de los Santos ssantos@11paths.com @ssantosv Espiar las comunicaciones móviles por 300 dólaresFallo en la criptografía e implementación Java de las tarjetas SIM permite su clonación remota
