Mes: noviembre 2020

Cryptografia en AnyDesk

Guido Rosales 12/11/2020

Sin duda también una herramienta muy popular para conexiones remotas. AnyDesk es un programa de software de escritorio remoto desarrollado por Philandro Software GmbH en Stuttgart, Alemania. Provee acceso remoto bidireccional entre computadoras personales y está disponible para todos los sistemas operativos comunes. El software ha estado en desarrollo activo desde 2012

Cifrado

El cifrado protege su computadora del acceso no autorizado. Usamos TLS 1.2, un protocolo que también se usa en banca en línea. Además de eso, utilizamos RSA de 2048 bits o intercambio de claves asimétricas DH de curva elíptica de 256 bits y AEAD para verificar cada conexión.

Por lo tanto, la conexión en sí, el hilo invisible entre usted y el dispositivo remoto, está envuelta en múltiples capas de seguridad.

Pero hay más: si AnyDesk detecta una modificación en la señal de conexión, se desconecta inmediatamente por razones de seguridad. La renegociación está prohibida a priori, lo que no deja lugar para ataques de tipo MITM.

El modo de cifrado actual, el estado de verificación y la huella digital del cliente se pueden ver durante la sesión establecida colocando el mouse sobre el ícono de candado en la barra de estado.

Tiene una gran cantidad de opciones dentro de una sesión. En el lado remoto, puede elegir qué permisos desea otorgar, ya sea para transmitir sonido o permitir que el usuario entrante controle el mouse y el teclado. También puede otorgar permisos adicionales en la pestaña de configuración de seguridad. Por ejemplo: ¿Confía lo suficiente en el usuario entrante como para permitirle reiniciar su computadora?

Configuraciones de seguridad

Si no desea recibir solicitudes de sesión, simplemente desactive el acceso interactivo o establezca una contraseña para el acceso sin supervisión, lo que significa que solo alguien que tenga su contraseña puede acceder al dispositivo. ¡Y no te preocupes por la contraseña! No los guardamos y usamos hash de contraseñas con sal. Esto le permite adaptar el nivel de seguridad a sus necesidades específicas.

Puede excluir su dispositivo para que no sea descubierto y deshabilitar las actualizaciones automáticas. Al incluir los escritorios confiables en la lista blanca de la Lista de control de acceso, puede asegurarse de que solo las personas seleccionadas puedan solicitar y establecer una conexión con usted; todos los demás simplemente serán bloqueados.

Para my.anydesk.com, ofrecemos la opción de autenticación de dos factores como una capa de seguridad adicional, lo que significa que, además de su contraseña, necesita una aplicación de autenticación para iniciar sesión. ¡Solo asegúrese de guardar o imprimir la clave de recuperación!

AnyDesk Enterprise

Si no se establece una conexión directa, sus datos generalmente se ejecutan en nuestros servidores en AnyDesk, por supuesto, con el cifrado mencionado anteriormente. Una opción adicional para la seguridad sería usar sus propios servidores, On-Premise, asegurando que sus datos permanezcan dentro de una red sellada. Si operar dentro de una red sellada (DMZ) es importante para usted, AnyDesk Enterprise es la solución para que trabaje.

Conciencia de seguridad

Finalmente, pero lo más importante, tenemos que crear conciencia. Para garantizar una sesión remota segura, le recordamos constantemente que no comparta información personal con personas que no conoce. Usamos las redes sociales, nuestro blog y todos los demás medios de comunicación para mantener informados a los usuarios sobre temas de seguridad en línea y mantenerlos seguros. Si alguna vez se encuentra con un estafador que intenta utilizar AnyDesk, le recomendamos que nos lo informe para que podamos bloquearlo.

CrYptografia en TeamViewer

Guido Rosales 09/11/2020

Sin duda es uno de los productos para conexión remota y soporte técnico mas utilizado. Sin embargo en los muchos años de Auditoria y evaluación no hemos visto casi nunca la respectiva consideración de seguridad FORMAL, antes de adoptar como parte de la linea base de productos y utilitarios del negocio.

Recomendamos elaborar el respectivo análisis de Riesgos antes de asimilar alguna herramienta. Lamentablemente cuando no se controla el acceso y uso de estas facilidades un funcionario interno podría levantar una conexión de este tipo y dejarla abierta para conectarse al negocio de forma irrestricta.

Cifrado de datos y programas

TeamViewer incluye cifrado basado en el intercambio de claves privadas y públicas RSA 4096 y cifrado de sesión AES (256 bits). Esta tecnología se basa en las mismas normas que https/SSL y cumple con las normas actuales de seguridad. El intercambio de claves también garantiza una protección de datos completa de cliente a cliente. Esto significa que ni siquiera nuestros servidores de enrutamiento pueden leer el flujo de datos. Todos los archivos de programa están protegidos por la tecnología de firma de código DigiCert. Esto le permite comprobar el origen de los ejecutables que ha recibido.

Cada cliente de TeamViewer ya ha implementado la clave pública del clúster maestro y, por lo tanto, puede cifrar
mensajes al clúster maestro y verifique los mensajes firmados por él. La PKI (infraestructura de clave pública)
previene eficazmente los "ataques man-in-the-middle". A pesar del cifrado, la contraseña nunca se envía directamente,
pero solo a través de un procedimiento de desafío-respuesta, y solo se guarda en la computadora local.
Durante la autenticación, la contraseña nunca se transfiere directamente porque la contraseña remota segura
Se utiliza el protocolo (SRP). Solo se almacena un verificador de contraseñas en la computadora local.

Fuente: https://static.teamviewer.com/resources/2017/07/TeamViewer-Security-Statement-en.pdf

Protección de fuerza bruta

Los clientes potenciales que preguntan sobre la seguridad de TeamViewer preguntan regularmente sobre el cifrado.
Comprensiblemente, el riesgo de que un tercero pueda controlar la conexión o que TeamViewer acceda a los datos
está siendo aprovechado es el más temido. Sin embargo, la realidad es que los ataques bastante primitivos suelen ser los más peligrosos.
En el contexto de la seguridad informática, un ataque de fuerza bruta es un método de prueba y error para adivinar una contraseña que está protegiendo un recurso. Con la creciente potencia informática de las computadoras estándar, el tiempo necesario para adivinar contraseñas largas se ha reducido cada vez más.

Como defensa contra ataques de fuerza bruta, TeamViewer aumenta exponencialmente la latencia entre intentos de conexión. Por lo tanto, se necesitan hasta 17 horas para 24 intentos. La latencia solo se restablece después
ingresando correctamente la contraseña correcta.
TeamViewer no solo cuenta con un mecanismo para proteger a sus clientes de los ataques de una computadora, sino también desde varias computadoras, conocidas como ataques de botnet, que intentan acceder a una TeamViewer-ID.

Autenticación de dos factores

TeamViewer ayuda a las empresas a cumplir los requisitos de las normas HIPAA y PCI. La autenticación de dos factores añade una capa de seguridad adicional para proteger las cuentas frente a un acceso no autorizado. Con la autenticación de dos factores, se necesita un código generado en un dispositivo móvil, además de un nombre de usuario y contraseña para iniciar sesión en una cuenta de TeamViewer. El código se genera a través del algoritmo para contraseñas de un solo uso basadas en la hora actual (TOTP).

Transferencia de archivos y protección de acceso invisible para sesiones de soporte técnico

Además del ID de asociado, TeamViewer genera una contraseña de sesión que cambia cada vez que se inicia el software para proporcionar más seguridad frente a accesos no autorizados a un sistema remoto. Las funciones de seguridad como la transferencia de archivos requieren una confirmación manual adicional del interlocutor remoto. Además, tampoco es posible controlar un ordenador de forma invisible. Por razones de privacidad de los datos, el usuario ha de poder detectar si alguien accede al equipo.

Comprobación de dispositivos de confianza y proceso de confirmación

La medida de dispositivos de confianza de TeamViewer ofrece a nuestros clientes una protección aún mayor y ayuda a impedir que cualquier otra persona acceda a la cuenta. Con esta característica se garantiza que, siempre que una cuenta de TeamViewer intente iniciar sesión en un dispositivo determinado por primera vez, nosotros le vamos a solicitar que confirme que el nuevo dispositivo es un dispositivo de confianza antes de iniciar la sesión. Una notificación en la aplicación solicita la aprobación al dispositivo a través de un enlace enviado a la dirección de correo electrónico de la cuenta.

Restablecimiento de contraseña forzado debido a actividad inusual

El sistema comprueba continuamente si una cuenta de TeamViewer presenta un comportamiento inusual (p. ej. acceso desde una ubicación nueva) que pueda indicar que se ha comprometido su seguridad. En ese caso, para salvaguardar la integridad de los datos, las cuentas de TeamViewer se marcan para efectuar un restablecimiento de contraseña forzado. Después se envía un correo electrónico desde TeamViewer con instrucciones para restablecer su contraseña.

Articulos

CrYptografia en Whatsapp

Guido Rosales 06/11/2020

eL PROBLEMA NO ES EL ALGORITMO Y SOLO LA LLAVE, SINO LA CONFIANZA EN EL CARTERO QUE PUEDE VER Y ACCEDER A LAS LLAVES
GRU

Cuando instalas WhatsApp en tu dispositivo, se genera una pareja de claves pública y privada, llamada Identity Key Pair, para usar con un algoritmo de Criptografía de Curvas Elípticas. A continuación, se genera una segunda pareja de claves, Signed Pre Key, firmada con la clave privada de la pareja anterior. Por último, se genera un lote de parejas de claves, One-Time Pre Keys, para su uso posterior, y se irán renovando a medida que se agoten.

Cuando te registras con el servidor de WhatsApp, además de tu información de contacto, le envías la parte pública de tu Identity Key, la parte pública de tu Signed Pre Key y las partes públicas de tu lote inicial de One-Time Pre Keys.

Importante: la parte privada de tus claves nunca abandona tu dispositivo y ni WhatsApp ni nadie tiene acceso a ellas (en principio).

Cuando le envías un mensaje a otro usuario de WhatsApp, se produce el siguiente proceso:

Tu terminal solicita y el servidor de WhatsApp te envía la parte pública de Identity Key, Signed Pre Key y de la primera One-Time Pre Keys del otro usuario.
Tu terminal acuerda con el del otro usuario un secreto maestro derivado a partir de todas estas claves públicas intercambiadas entre ambos. Para ello se utiliza el protocolo de acuerdo de claves ECDH. Esta clave maestra se utiliza para crear mediante un algoritmo de HKDF una Root Key y las Chain Keys para cifrar posteriormente los mensajes intercambiados con un algoritmo de clave secreta.
Cuando al otro usuario le llegue tu primer mensaje, se repetirá el proceso: recibirá la información pública de tus claves, con esa información y la de sus propias claves regenerará el secreto maestro y, a partir del mismo, la Root Key y las Chain Keys. Finalmente, borrará la One-Time Pre Key utilizada en el proceso, ya que, como su nombre indica, estas One-Time Pre Keys se usan una sola vez. A partir de este momento, ya está todo listo para empezar a cifrar la información intercambiada.

Los mensajes y sus adjuntos se cifran mediante el algoritmo AES en modo CBC, con claves de 256 bits de longitud y HMAC-SHA256 para autenticación. Vamos, criptografía robusta donde la haya.

Estas claves son efímeras: se derivan de las Chain Keys, las cuales se actualizan tras cada nuevo mensaje a partir de su valor previo y de la Root Key. Para cifrar cada mensaje intercambiado se crea su correspondiente clave efímera y, una vez usada, ni se reutiliza ni puede reconstruirse. Proporcionan así lo que se conoce como secreto hacia adelante: el compromiso de una clave no compromete la seguridad de las claves usadas con anterioridad y no permite por tanto descifrar los mensajes anteriores.

Cómo protegerse de ataques de hombre en el medio

Aún puede quedar una duda en el aire: ¿y si el servidor de WhatsApp intenta engañarte haciéndote creer que sus propias claves públicas son las de tu interlocutor?

Imagina el siguiente escenario: tu terminal solicita la clave pública de otro usuario para iniciar todo el proceso anterior, pero el servidor de WhatsApp no te envía la clave de tu amigo, sino otra distinta, haciéndose pasar por tu amigo. Con tu amigo hace lo mismo: en lugar de enviarle tu clave pública, el servidor de WhatsApp le envía otra falsa, haciéndose pasar por ti. A partir de este momento, os hace creer a cada uno que él es el otro. Por consiguiente, podrá descifrar todas vuestras comunicaciones y volverlas a cifrar para que no sospechéis nada. Es lo que se conoce como un ataque de hombre en el medio. ¿Cómo protegerse ante este ataque?

WhatsApp te ofrece la opción de verificar las claves de los demás usuarios con los que te comunicas. Si tienes junto a ti a la otra persona, puedes escanear un código QR. Si no está físicamente a tu lado, podéis comparar un número de 60 dígitos.

Para verificar si vuestro chat está cifrado de extremo a extremo, abre el chat y toca el nombre del contacto para ir a la pantalla de información. Tocando “Cifrado” verás el código QR o los 60 dígitos.

El código QR contiene:

Una versión.
El identificador de usuario para ambas partes.
La parte pública de Identity Key de ambas partes.

Cuando os escaneáis mutuamente el código QR, las claves se comparan para asegurar que lo que está en el código QR coincide con la clave de identidad tal y como se ha recuperado del servidor. Si escaneas el código QR y coincide, aparecerá un tic de color verde.

En cuanto al número de 60 dígitos, se calcula concatenando los dos hashes SHA512 de 30 dígitos para la Identity Key de cada usuario. Otra vez, criptografía de la buena.