Rompiendo cifrados: PPTP y WPA-Enterprise

Hoy vengo a hablaros de algo que, si bien no lo he inventado yo (evidentemente), me ha resultado interesante guardarlo en este rinconcito:

FUENTE: www.defcon.org

Un señor, llamado Moxie Marlinspike, que es un investigador de seguridad, de los que mas vale ser amigo que enemigo en este ámbito, ha logrado crear una herramienta para romper el cifrado de cualquier PPTP. ¿Qué es un PPTP? Pues un Protocolo Punto a Punto  mediante Tunel, creado por Microsoft para redes privadas. ¡Ah! Y también ha logrado descifrar encriptados con WPA-Enterprise, que es lo mismo pero wi-fi…en ambos casos, siempre y cuando se utilice tecnología MS-CHAPv2)

¿Cómo lo ha hecho? Si ya de casa, dicho protocolo, el MS-CHAPv2, usado comunmente en VPN sobre PPTP, era facilmente rompible a base de fuerza bruta, con diccionarios, ahora, el señor Marlinspike, ha desarrollado ChapCrak, que permite capturar el tráfico entre los dos puntos, si si, los del punto a punto. Con esta herramienta lo que hace es, capturar el “saludo” (handshake) entre los puntos (PPTP / WPA) y reduce la seguridad a una clave DES. Otro palabro: DES,  Data Encryption Standard, osea, encriptación de datos… cosas de los americanos.

Pero… ¿cómo romper la seguridad DES? David Hulton tiene la solución, el anuncio sería mas o menos… “rompa claves DES legalmente en cloudcraker.com, úselo para auditorias, haga siempre el bien con cloudcraker.com. En menos de un 1 día y por el módico precio de 0€ tendrá su clave DES-cifrada” Imagínalo con voz de teletienda… Mola ¿eh?

Bueno, que nos dispersamos. Tenemos, un PPTP o WPA-Enterprime (recordemos, con seguridad MS-CHAPv2). Entre ellos, para establecer la conexión, se hacen un saludo, como un apretón de manos. Capturamos ese saludo. Lo pasamos a clave DES y descodificamos esa clave…. ¡Qué grande!

Desde mi humilde conocimiento… yo dejaría de usar PPTP y buscar alternativas. Buscando, buscando, he encontrado OpenVPN… es que, ahora verás, que te pirateen un túnel no es, para nada, gracioso. Este tipo de conexiones privadas, se usa en universidades, sedes de empresas… Y como tales, manejan grandes cantidades de información que, si se transmiten por VPN, es porqué son privadísimas… ¿Qué pasaría si piratearan un VPN entre el despacho de Obama y… no se, el despacho de un gobernador? pues imagínate…

Si alguien sabe más alternativas, que me lo diga. Es por saber.

Que pasada esto de las redes, oye…

FUENTE: www.defcon.org

 

 

Share

Informática utópica... tanto que me gustaría que los que mandan no fueran los que son... que el dolar empapelara paredes y las sonrisas llenaran bolsillos...

¿Alguna duda? ¿Sabes de algo relacionado? Gracias =]

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *