domingo, 12 de febrero de 2012

Wikipedia, querida. ¿Por qué no te preocupas por mi privacidad?

Lo veo y no me lo creo. Por Diox![1]...

Página de login de la www.wikipedia.org. Se accede des del link que aparece en la parte superior derecha que reza algo así como Log in / create account. Si nos fijamos en el tooltip de dicho botón pone: You are encouraged to log in; however, it is not mandatory. [alt-shift-o]

Oh. Resulta que incluso tenemos un shortcut para ir a la página de login: alt-shit-o. Curioso.

Pongo el nombre de usuario, pongo la contraseña y.... oh! Wait. Me fijo antes de darle al botón Log in que no estoy en una página segura. O sea, que no estoy con HTTPS. ¿Será posible? Miro los opciones de la página dándole al logo de la wikipedia, justo a la izquierda de la URL en firefox y me dice: "Your connection to this website is not encrypted". Mecagonlaputa.

Le doy a "More information" y me encuentro con esto:



Jumm.... parece que está claro. La página no está cifrada. Bueno, como todavía tengo la esperanza de que la propiedad "action" del form vaya a una URL segura (esto es posible? tendré que probarlo[2]). Hago una prueba simple:

Pongo enmarcha el "wireshark" capturando todo el tráfico. Le doy a "login" en la página de la Wikipedia y.... e voilá. Esto es lo que ha capturado el wireshark:


POST /w/index.php?title=Special:UserLogin&action=submitlogin&type=login&returnto=Main+Page&campaign=ACP1 HTTP/1.1
Host: en.wikipedia.org
[...] # Borradas las demás cabezeras por no tener releváncia en este caso

wpName=jcarreras&wpPassword=ilovemiami&wpLoginAttempt=Log+in&wpLoginToken=c7b2dc6fc071c5fe3b6f96efb8ef6122


Que bonito! Si señor! Un POST de toda la vida que contiene dos variables llamadas wpName y wpPassword. Todo viajando en claro a través de la red. Con dos cojones.

Fijándome un poquito mas veo que justo debajo del login hay un apartado que pone: "Secure you account". El primer punto pone: "Consider logging in on the secure server." y tiene un enlace que te lleva a la misma página pero usando HTTPS. Mi pregunta es: ¡¿por que carajo éste no es el modo de hacer login por defecto?! Un login que mande una contraseña en claro SIEMPRE debe ir a través de un canal cifrado/seguro. Siempre.

Después continua tocando otros puntos sobre seguridad como:
  • If your password only contains letters or only numbers [...] consider changing it. Para qué? Si el password viaja en cleartext?! No tiene importancia la longitud de la misma si la contraseña viaja en texto plano.
  • To avoid becoming a victim of phishing, always verify that you are viewing Wikipedia's login page [...] Ummm... exactamente PARA ESTO sierve HTTPS y los certificados SSL. Aparte de cifrar todo el canal de información, verifican que el servidor és quién dice ser.
  • Do not give out your password to anyone. Jejeje, les falta decir: "nosotros lo haremos por tí, majo".

Pues vaya, esto simplemente haciendo un MITM con arpspoof+tcpdump o con Ettercap directamente y, ale, regalando tu contraseña a toda la gente que se encuentra en tu red local! Yuhuuu! Felicidad!

Un saludo, Jan.

[1] http://www.frikipedia.es/friki/Diox
[2] Me refiero poner en el action de un form, una url que sea algo así como https://foo.bar/login

No hay comentarios:

Publicar un comentario