¿Qué tan seguro puede estar en una máquina que no es de confianza?

Navega tus respuestas
3

Creo que la mayor parte de lo que se escribe sobre seguridad web supone que estás usando una PC confiable / segura.

Me gustaría considerar lo contrario: está utilizando una PC (por ejemplo, en un cibercafé) que se sabe está registrando pulsaciones de teclas y está grabando todo lo que se muestra en el navegador. Supongamos que necesita acceder a un documento en una wiki personal que se ejecuta en su propio servidor privado.

Me gustaría preguntar a la comunidad qué podemos lograr aquí.

Obviamente, vamos a tener que renunciar a algunas cosas:

  • El atacante podrá ver cualquier documento que vea en el wiki.
  • El atacante podrá ver las modificaciones que realice en el wiki.

Sin embargo, creo que todavía podemos lograr una seguridad limitada:

  • Podemos evitar que el atacante pueda iniciar sesión en la wiki (después de haber salido del café) y acceder a cualquier documento que les guste / realizar las ediciones.

Esto significa que lo que podemos lograr es esto: podemos acceder a cualquier documento que no nos importe que el atacante espíe (por ejemplo, recetas de lasaña), pero podemos evitar que realicen un inicio de sesión y soliciten documentos confidenciales adicionales. (por ejemplo, registros financieros).

Creo que podemos lograr esto utilizando solo la segunda mitad de la autenticación de 2 factores:

  • El wiki tiene una página de inicio de sesión especial desde la que puede solicitar una contraseña de un solo uso que se entrega por SMS.

Este mecanismo está limitado de la siguiente manera:

  • La interfaz para solicitar la contraseña de un solo uso no debe aceptar números de teléfono arbitrarios (usted ingresa su nombre de usuario y la wiki usa el número de teléfono asociado con su cuenta).
  • La contraseña de un solo uso se mantiene para un solo intento de inicio de sesión. Si realiza un error tipográfico, tendrá que solicitar otra contraseña de un solo uso.

Esto parece ofrecer las siguientes garantías:

  • Si inicia sesión correctamente, sabe que un atacante no lo hizo (solo se permite una sesión por contraseña de una sola vez).
  • Si un atacante de alguna manera interceptó la contraseña de un solo uso e inició sesión, lo sabrá, porque su intento de inicio de sesión fallará.
  • Si tu wiki tiene una fuerza bruta, lo sabrás (recibirás cientos de mensajes de texto).

Me encantaría recibir comentarios sobre esta idea, ¡especialmente si hay algún agujero deslumbrante que no haya visto!

    
pregunta Jason Pepas 31.01.2016 - 02:35
fuente

4 respuestas

3

En primer lugar, quisiera señalar que la contraseña de un solo uso no reemplaza a su contraseña, es una función de seguridad adicional, además de su contraseña.

Segundo, pero lo más importante. Has olvidado que estás usando una computadora que no es de confianza. Tome el siguiente escenario, vaya a Wikipedia e inicie sesión, con su contraseña y contraseña de un solo uso. El atacante roba sus cookies de la computadora mientras navega (recuerde que tiene el control total sobre la computadora que está usando). Luego usa la cookie para acceder a su cuenta en su computadora.

Para evitar que cierre la sesión de wiki, luego agrega una secuencia de comandos a su navegador, de modo que cuando presiona cerrar sesión, en realidad no se desconecta, en cambio, parece que sí.

Wikipedia es un buen ejemplo, ya que utiliza el cifrado TLS de extremo a extremo, hay muchos más y peores ejemplos, especialmente en los casos en que los datos se transmiten en texto claro. En tales casos, el atacante también tiene la capacidad de controlar el tráfico de su red.

Tomemos un ejemplo: inicie sesión en example.com con su contraseña y contraseña de un solo uso. El atacante (que está en el centro) detiene el paquete de datos que contiene una contraseña de un solo uso y la usa para iniciar sesión en su computadora. Pero también envía una contraseña aleatoria de una sola vez al servidor, por lo que recibe un error y tiene que solicitar una nueva contraseña de una sola vez.

    
respondido por el BufferOverflow 31.01.2016 - 03:01
fuente
0

Hay algunos agujeros obvios. 1) Debe evitar que el spamming de mensajes SMS desde un script hostil llegue a esa página una y otra vez.

2) ¿Cómo se impide el acceso por única vez, una vez que se autentica y se elimina de su control, el acceso a los datos financieros? Recuerde, el atacante puede hacer al menos todo lo que puede hacer una vez que haya iniciado sesión, si no más a través de exploits.

3) Como se mencionó, una vez que se ha activado, la máquina no confiable (hostil) también se ha activado, y luego puede bloquear el acceso desde el teclado / mouse en el que se encuentra mientras continúa el acceso desde esa misma máquina u otra máquina. con las credenciales robadas, edite maliciosamente cada documento que pueda encontrar, intente la inyección SQL y otros ataques en cualquier lugar que pueda encontrar, intente cambiar su contraseña, el número de teléfono en el archivo, la dirección de correo electrónico, etc., etc., etc. todo el tiempo presentando su propio navegador en su máquina, ya sea un mensaje de error genérico o lo que espera ver.

Creo que lo que en realidad quiere es llevar consigo algún dispositivo que garantice que el puerto 2 esté únicamente conectado mediante VPN a su concentrador / firewall VPN de su hogar, y luego simplemente use su acceso (hostil) a Internet .

Alternativamente, lo mismo, pero el puerto 2 solo va a su VPN a través de Tor, para ocultar la IP de su servidor doméstico (solo ven tráfico de Tor).

    
respondido por el Anti-weakpasswords 31.01.2016 - 05:01
fuente
0

Puedes mejorarlo un poco, si

  • enviar el parámetro de solicitud que denota, lo que desea acceder a enlace (ahora puede ir solo a las páginas con la tecla = LAS, no FIN )
  • el servidor le envió una contraseña de 1 vez a su teléfono (123AGN); ahora sabe que se le pidió a la página de lasaña del servidor, no financiera
  • usted ingresa la contraseña dada en la página 456ALA que le permite editar una página sobre lasagALAsagna

Ahora supongamos que usted no usa contraseñas de texto plano (LASAGNALASAGNA aquí, pero otra cosa MOUNTEVEREST, por ejemplo, o mejor 12 $% @ 2fsw4! @ $%, que ha escrito con seguridad en su bolsillo. también esa respuesta a 123 es 456 (otra vez algo más aleatorio)

Si el atacante se interpone en tu camino, lo mejor que puede hacer es robar el último resultado y leer / editar esta página con lasaña.

Más sobre si está editando, repita el procedimiento con Enviar (donde el servidor le solicita alguna transformación del texto editado como parte del formulario) (tal vez se mostraría FINGERS y se completó con la respuesta 5. mundo editado transformado por algo) si el par no coincide con el servidor, el envío no se produce y se le advierte por teléfono que la cuenta está bajo ataque y se bloqueará (quizás después de 3. intentar durante 3 horas aproximadamente)

Entonces el atacante no podría guardar sus ediciones, incluso si finge que usted es una página de edición válida, ya que su palabra 5. editada sería diferente. (Depende de los cambios realizados, por lo que difiere para su edición y la de los atacantes)

Nuevamente, todas las preguntas y respuestas de seguridad están codificadas en su lista de papel de bolsillo.

Ahora solo necesitas tener el papel de bolsillo lo suficientemente aleatorio y oculto del atacante, y él podrá leer sobre tu hombro, cancelarte las ediciones, pero nada más. Especialmente no acceda a las páginas FINANCIERAS, ya que ni siquiera abre su libro de bolsillo en la página de finanzas, que es diferente.

    
respondido por el gilhad 31.01.2016 - 10:38
fuente
0

La mayoría de los sitios le pedirán que ingrese su contraseña nuevamente si está cambiando la configuración precisamente porque los sitios saben si sus cookies han sido robadas, entonces las actividades de baja calificación pueden ser detenidas. Por otro lado, cambiar las contraseñas tendría una cookie crítica de tiempo utilizada. Piensa en cuándo se produjo este cambio en el desarrollo web. 2004-5?

    
respondido por el m2kin2 31.01.2016 - 15:46
fuente

Lea otras preguntas en las etiquetas

Actualización automática ejecutable del cliente Administrador de contraseñas: ¿se debe almacenar el archivo clave en un dispositivo diferente al de la contraseña db (incluso si se usa el pw maestro)?