FON no es segura. Casos de phishing

08 abril 2007 at 03:53

Fecha Posted in Computers
Tags Tags: , , ,

FON no es segura, o al menos, los puntos de acceso de FON no lo son. Trasteando un poco con la Fonera pude observar que cuando me conectaba a la red pública me permitía acceder sin autentificarme (ni como alien, linus o bill) a una serie de sitios web como Skype, Google, …, la mayoría empresas inversoras en el proyecto FON. Al principio pensaba que era un fallo o algo iba mal, sin embargo mirando por encima el interior de la Fonera pude investigar el proceso de autentificación el punto de acceso. La Fonera usa ChilliSpot, que es un proyecto libre que nos permite crear un portal cautivo, así como la autentificación y autorización manejada por nuestro propio servidor. Actualmente hay binarios disponibles para las distribuciones RedHat, Fedora, Debian, Mandriva y OpenWRT, y también cabe decir que su código está publicado bajo una licencia GPL y está disponible para otras plataformas.

Si accedemos a la Fonera mediante SSH podemos buscar archivos de relacionados con ChilliSpot

root@OpenWrt:/# find . -name "*chilli*"
./etc/chilli.conf
./etc/init.d/N50chillispot
./usr/lib/ipkg/info/chillispot-fon.list
./usr/sbin/chilli
./usr/sbin/chilli_radconfig
./jffs/etc/chilli.conf
./rom/etc/chilli.conf
./rom/etc/init.d/N50chillispot
./rom/usr/lib/ipkg/info/chillispot-fon.list
./rom/usr/sbin/chilli
./rom/usr/sbin/chilli_radconfig

De esta lista nos interesa principalmente el archivo /etc/chilli.conf que contiene lo siguiente (varía según la versión del firmware que estemos usando).

##########################################################
#
# Fon ChilliSpot configuration file
# Powered by FON (www.fon.com)
#
##########################################################
radiusserver1 radius01.fon.com
radiusserver2 radius02.fon.com
radiussecret garrafon
uamserver https://login.fon.com/cp/index.php
uamsecret garrafon
uamallowed www.fon.com,www.google.com,www.paypal.com,www.skype.com
uamanydns

En la sexta línea podemos observar como se permite acceder a una serie de sitios web con uamallowed. Cuando un usuario se conecta a un punto de acceso FON sin estar autentificado previamente e intenta navegar, ChilliSpot le redirecciona hasta un portal cautivo (éste precisamente) donde puede autentificarse como linus o bill según el tipo de usuario FON, o comprar un pase de un día (alien). El caso es que nosotros podemos configurar ChilliSpot como nos plazca. Esto puede ser bueno si se usa con buenas intenciones, pero también puede ser malo para usuarios que deseen conectarse a FON en un puntos de accesos malignos. Me explico:

  • Ventajas que nos puede aportar: Podemos crear nuestro propio portal cautivo y cobrar independientemente de FON por ofrecer nuestra conexión a cualquiera que desee usarla. Aún así se supone que vender o incluso compartir nuestra conexión es ilegal según los contratos que se establece con las ISP. Sin embargo no estoy muy puesto en ese temal
  • Puntos de acceso malignos: Al igual que podemos crear nuestros propios portales cautivos, cualquiera puede falsear un portal de FON y aprovecharse de la buena fe de los usuarios para obtener datos de cuentas FON o incluso apoderarse de datos bancarios (puro phishing). En este caso no nos podemos fiar ni de la URL que nos proporcione el punto de acceso, ya que se pueden usar máscaras para engañar al usuario.

¿Pensáis que FON es seguro? ¿Nos invadirá el phishing en estos casos?

Comments (ADD YOURS)

  1. Avatar
    quetzal
    08 abr 2007 11:38:03

    Si no estoy equivocado, hoy en día en España para ser un ISP bsata con notificarlo al ministerio de fomento. Es decir, si yo tengo una conexión ADSL en casa y quiero a través de ella dar servicio a terceros puedo hacerlo siempre y cuando se lo notifique previamentre a la CMT. Y ojo, que no es lo mismo notificar que pedir permiso.

    Saludos

  2. Avatar
    Alfonso Jiménez
    08 abr 2007 15:23:23

    Buenas quetzal. Yo como he comentado en el post no estoy muy puesto en esos temas, ni siquiera me he leído el contrato que tengo (en mi caso con ONO).

    Saludos!

  3. Avatar
    Miquel
    08 abr 2007 16:34:38

    Juas que bueno!!

  4. Avatar
    Paco
    08 abr 2007 21:01:51

    ¿Datos bancarios? Ya nos explicarás a tus lectores cómo. ¿Vas a adquirir un certificado VeriSign en nombre del BBVA? :-)

  5. Avatar
    Alfonso Jiménez
    08 abr 2007 21:11:26

    No, ¿para qué? :S Con un falso formulario puedes hacerlo…

  6. Avatar
    Joan
    09 abr 2007 12:39:52

    Esta bien lo que dices peor vamos todos los sistemas de cobro por wifi usan portales cautivos, ademas podrías crear el tuyo propio diseñarlo como el de FON e intentar robar las contraseñas.

    En ese sentido FON no es mucho mas inseguro que un banco. Ademas no necesitas la fonera para hacer eso te puedes instalar chillispot en cualquier linux, poner poner la tarjeta wifi en modo ap y esperar a que se conecten.

  7. Avatar
    Alfonso Jiménez
    09 abr 2007 12:57:25

    "ademas podrías crear el tuyo propio diseñarlo como el de FON e intentar robar las contraseñas"

    Eso es lo que me refería con falsear el punto de acceso

    "Ademas no necesitas la fonera para hacer eso te puedes instalar chillispot en cualquier linux, poner poner la tarjeta wifi en modo ap y esperar a que se conecten."

    Exacto :)

  8. Avatar
    felix moreno
    09 abr 2007 22:02:40

    Hola, yo he hablado tambien sobre el tema de seguridad en mi blog :
    http://www.felixmoreno.com/2007/02/09/fon-segunda-parte/
    http://www.felixmoreno.com/2007/01/23/fon-wifi-social-o-algo-asi-p/

  9. Avatar
    Tomy
    10 abr 2007 17:58:57

    ¿No te parece logico que empresas que han puesto tanto dinero en FON como Google o Skype obtengan el beneficio de que cualquier usuario pueda acceder a ellas?En google solo puedes buscar,si clickar cualquier enlace es necesario ser fonero.En cuanto a skype,personalemnte me parrece logico que no tengas que ser fonero para poder usar un telefono wifi…¿porque si no va a poner Skype ese dineral en FON?De hecho si tienes una fonera la misma FON te deja que pongas una direccion por la que puede navegar cualquiera gratis (yo de hecho tengo mi blog)

    Por otra parte la obsesion por la seguridad es relativa.¿Son seguras las claves WEP?Cualquier usuario medio-avanzado se la puede saltar.¿Phising?Hay miles de correos mucho mas avanzado que un portal cautivo.

    Saludos

  10. Avatar
    bruno
    12 abr 2007 23:37:59

    Justo andaba hoy peleandome con la fonera (mas por mi conexion que por culpa del aparatillo) pero me ha llamado la atencion lo que comentas y de hecho pienso probarlo (sin malas intenciones)

  11. Avatar
    Hackuno
    08 jul 2008 03:28:09

    Muy Bueno el articulo, desde luego no es nada seguro, para el que le interese encontré este articulo que habla de como ignorar el logueo de la Fonera para poder navegar por la web sin meter usuario y contraseña de fonero.

    http://www.busindre.com/saltarse-logueos-en-redes-wi-fi-tipo-fon-mediante-tuneles-icmp/

    Bye!

  12. Avatar
    ovskbmpg wxlcf
    10 ago 2008 05:46:46

    myspgf zviepn cibhz nwbxsvm nfbuors aszgepoij nimkcerw

  13. Avatar
    appovapreew
    03 sep 2008 01:52:54

    hey ))
    its very interesting article.
    Good post.
    realy good post

    thank you ;)

Write a comment



OpenID Sign In with OpenID