En este pequeo artculo voy a exponer cmo se podra realizar un ataque contra los sistemas de recuperacin de contraseas de la UCM pudiendo llegar a obtener el control de la cuenta atacada.


La clave del ataque se encuentra en resetear la contrasea del objetivo, por lo que ste no podr acceder a los servicios que utilicen dichos credenciales. Por lo tanto, cabe destacar que el acceso que se consigue no es transparente y seguramente tengamos limitado el intervalo de actuacin.


Comencemos!

Disclaimer:
No me hago responsable del mal uso que pueda darse a esta informacin. En ningn momento la intencin del artculo es el incitar a que se produzcan ataques sobre las cuentas de los alumnos de la UCM, ms bien su finalidad es la de concienciar al alumno/universidad de lo fcilmente explotables que son estos sistemas si no se toma, por ambas partes, todas las medidas de seguridad.




Para poder resetar la contrasea del Campus Virtual lo nico que se nos pide, en realidad en un primer acercamiento, es el DNI del alumno.


La primera pregunta que me hago cuando me encuentro con ste tipo de sistemas es: ser vulnerable a un ataque por Fuerza Bruta (de ahora en adelante FB)? En este caso s, lo cual posibilita la realizacin de un ataque aleatorio.


A pesar de lo "cantoso" que es un ataque de FB, podemos utilizarlo para realizar un filtrado de los DNIs pertenecientes a alumnos de la UCM y posteriormente realizar un ataque sobre sus cuentas (o utilizar dicha informacin para cualquier otro propsito).


Y si no queremos realizar un ataque de FB? En el caso de que sea un ataque dirigido hacia un objetivo especfico todo se simplifica pues podramos saber ya desde un principio su DNI o, en caso contrario, buscarlo en Google (CV, listas pblicas, etc) o bien acudiendo al registro.


Otra opcin podra ser el atacar a un grupo de personas (por ejemplo una clase, etc), y entonces podramos sacar partido, p.e si se trata de enfermera (entre otras), a las listas que publica la UCM con los turnos de las prcticas en los hospitales universitarios, las cuales contienen nombres, apellidos y DNIs completos!


Bien, ya tenemos el DNI del objetivo pero aun queda un segundo paso, el desafo.


Qu es el desafo? Bueno pues no es ms que la tpica pregunta secreta de siempre. Es un buen sistema si la implementacin es correcta y los usuarios estn lo suficientemente concienciados como para no facilitar el proceso.


Implementacin? Me refiero a que el sistema no sea vulnerable a un ataque por FB, por desgracia, es el caso. Concienciacin? La mayora de las veces el ataque se reducir a un listado de palabras muy comn, por qu? pues porque muchos usuarios no se toman en serio ste tipo de peticiones al realizar el registro y nos encontramos que la pregunta y la respuesta es la misma o que la pregunta es del tipo mi fecha de nacimiento?, el nombre de mi perro?, mi color favorito?, etc, teniendo respuestas muy fciles de sacar.


Por lo tanto, si unimos una mala implementacin con unos usuarios que se toman poco en serio los desafos, nos encontraremos con cuentas extremadamente vulnerables, siendo ambos los culpables.
En s el sistema no es un desastre, a pesar de que est mal implementado.


Como opinin personal decir que estos sistemas encargados de manejar reseteos de credenciales tan crticos, como los del Campus Virtual de la universidad, los eliminara y obligara a rellenar una instancia y evitando que se pueda hacer online (como hacen en la UAH).


Cmo se podra hacer sin realizar modificaciones en los datos que se piden? En primer lugar sera eliminar cualquier intento de FB restringiendo el nmero de peticiones por IP e implementando un sistema de bloqueo preventivo de la cuenta (ya sea un bloqueo temporal o que haya que acudir a la escuela/facultad a restablecer el servicio).


En segundo lugar sera evitar las dos fases del proceso (DNI y desafo) unindolas en uno mismo y en caso de error devolviendo un mensaje del tipo DNI/Desafo incorrecto evitando dar informacin de qu dato es el incorrecto. Por desgracia en este caso no se puede pues el desafo no es una pregunta establecida, sino personalizada por usuario, por lo que se obtiene tras validar el DNI.




ste ataque solo se puede llevar a cabo sobre una cuenta que no haya sido activada, por lo que los objetivos han de ser alumnos de nuevo ingreso, lo cual es perfecto para stas fechas.


Cmo podemos obtener el DNI de un alumno de nuevo ingreso? El formulario de consulta de las notas de las pruebas de acceso es vulnerable a FB por lo que podemos realizar utilizar dicho servicio para realizar el filtrado. Para activar la cuenta se nos pide el DNI del alumno y el cdigo de activacin. Para obtener el DNI bastara con utilizar cualquiera de los mtodos anteriormente comentados. Con respecto al cdigo de activacin, si atendemos a la ayuda del sistema de recuperacin de contrasea veremos que ste sigue una estructura fija dependiente de la diplomatura/licenciatura que eligi el alumno en primera opcin y el cdigo postal del mismo. La estructura en s es la siguiente:


XXX‐XXXXX (CESTUDIO‐CPOSTAL).


Podemos utilizar las redes sociales para obtener ambos datos y reducir mucho el ataque de FB (pues nuevamente es vulnerable a este ataque).


Para la diplomatura podramos tener suerte y que la haya aadido ya a su perfil de, por ejemplo, Tuenti. En tal caso, bastara con utilizar los filtros del buscador para averiguarla (a pesar de tener el perfil privado hay demasiada informacin pblica). Si no tenemos suerte deberamos de aadir esta parte al ataque de FB (seran 103 combinaciones).


Para el cdigo postal bastara con delimitar su ciudad (al igual que anteriormente, es informacin accesible por cualquier miembro de la red social), localizar el identificador postal de la misma (se podra utilizar la pgina de Correos) y aadir al ataque 103 combinaciones de la terminacin.


De sta forma podemos ver que el cdigo de activacin podra quedar con una estructura similar a:


‐ Solo hemos obtenido la ciudad: XXX‐28XXX
‐ Hemos tenido suerte con la diplomatura/licenciatura: 050‐28XXX


Como hemos podido ver, el eslabn ms dbil es el cdigo de activacin siendo recomendable que ste no siguiera un patrn, sino que fuera aleatorio y se le entregara al futuro alumno (por ejemplo en la carta de admisin) o que ste tuviera que ir a recogerlo a la secretara de su centro.


Hasta aqu todo! Ya para terminar...


A lo largo del artculo se ha explicado cmo podran ser atacados los credenciales de la UCM. En muchos casos se ha explicado como atacar a un objetivo aleatorio para demostrar que las cuentas son vulnerables sin tener que conocer al alumno en cuestin. A pesar de esto, el tener un objetivo simplifica mucho el proceso, llegando a ser preocupante el tiempo que se tarda en conseguir acceso a su cuenta.


Como he dicho antes de empezar, no me hago responsable del uso que se haga de sta informacin, la intencin del artculo es concienciar a los usuarios y obligar a las universidades a prestar verdadera atencin a todos los servicios que ofrecen y que stos han de estar bien implementados pues los datos que manejan no son ninguna tontera.


(Artculo cortesa de Luis Delgado J @ldelgadoj )