FON no es segura. Casos de phishing

April 8th, 2007 13 comments

FON no es segura, o al menos, los puntos de acceso de FON no lo son. Trasteando un poco con la Fonera pude observar que cuando me conectaba a la red pública me permitía acceder sin autentificarme (ni como alien, linus o bill) a una serie de sitios web como Skype, Google, …, la mayoría empresas inversoras en el proyecto FON. Al principio pensaba que era un fallo o algo iba mal, sin embargo mirando por encima el interior de la Fonera pude investigar el proceso de autentificación el punto de acceso. La Fonera usa ChilliSpot, que es un proyecto libre que nos permite crear un portal cautivo, así como la autentificación y autorización manejada por nuestro propio servidor. Actualmente hay binarios disponibles para las distribuciones RedHat, Fedora, Debian, Mandriva y OpenWRT, y también cabe decir que su código está publicado bajo una licencia GPL y está disponible para otras plataformas.

Si accedemos a la Fonera mediante SSH podemos buscar archivos de relacionados con ChilliSpot

root@OpenWrt:/# find . -name "*chilli*"
./etc/chilli.conf
./etc/init.d/N50chillispot
./usr/lib/ipkg/info/chillispot-fon.list
./usr/sbin/chilli
./usr/sbin/chilli_radconfig
./jffs/etc/chilli.conf
./rom/etc/chilli.conf
./rom/etc/init.d/N50chillispot
./rom/usr/lib/ipkg/info/chillispot-fon.list
./rom/usr/sbin/chilli
./rom/usr/sbin/chilli_radconfig

De esta lista nos interesa principalmente el archivo /etc/chilli.conf que contiene lo siguiente (varía según la versión del firmware que estemos usando).

##########################################################
#
# Fon ChilliSpot configuration file
# Powered by FON (www.fon.com)
#
##########################################################
radiusserver1 radius01.fon.com
radiusserver2 radius02.fon.com
radiussecret garrafon
uamserver https://login.fon.com/cp/index.php
uamsecret garrafon
uamallowed www.fon.com,www.google.com,www.paypal.com,www.skype.com
uamanydns

En la sexta línea podemos observar como se permite acceder a una serie de sitios web con uamallowed. Cuando un usuario se conecta a un punto de acceso FON sin estar autentificado previamente e intenta navegar, ChilliSpot le redirecciona hasta un portal cautivo (éste precisamente) donde puede autentificarse como linus o bill según el tipo de usuario FON, o comprar un pase de un día (alien). El caso es que nosotros podemos configurar ChilliSpot como nos plazca. Esto puede ser bueno si se usa con buenas intenciones, pero también puede ser malo para usuarios que deseen conectarse a FON en un puntos de accesos malignos. Me explico:

  • Ventajas que nos puede aportar: Podemos crear nuestro propio portal cautivo y cobrar independientemente de FON por ofrecer nuestra conexión a cualquiera que desee usarla. Aún así se supone que vender o incluso compartir nuestra conexión es ilegal según los contratos que se establece con las ISP. Sin embargo no estoy muy puesto en ese temal
  • Puntos de acceso malignos: Al igual que podemos crear nuestros propios portales cautivos, cualquiera puede falsear un portal de FON y aprovecharse de la buena fe de los usuarios para obtener datos de cuentas FON o incluso apoderarse de datos bancarios (puro phishing). En este caso no nos podemos fiar ni de la URL que nos proporcione el punto de acceso, ya que se pueden usar máscaras para engañar al usuario.

¿Pensáis que FON es seguro? ¿Nos invadirá el phishing en estos casos?

13 Responses to FON no es segura. Casos de phishing

  • quetzal
    April 8, 2007 at 04:38

    Si no estoy equivocado, hoy en día en España para ser un ISP bsata con notificarlo al ministerio de fomento. Es decir, si yo tengo una conexión ADSL en casa y quiero a través de ella dar servicio a terceros puedo hacerlo siempre y cuando se lo notifique previamentre a la CMT. Y ojo, que no es lo mismo notificar que pedir permiso.

    Saludos

  • Alfonso Jiménez
    April 8, 2007 at 08:23

    Buenas quetzal. Yo como he comentado en el post no estoy muy puesto en esos temas, ni siquiera me he leído el contrato que tengo (en mi caso con ONO).

    Saludos!

  • Miquel
    April 8, 2007 at 09:34

    Juas que bueno!!

  • Paco
    April 8, 2007 at 14:01

    ¿Datos bancarios? Ya nos explicarás a tus lectores cómo. ¿Vas a adquirir un certificado VeriSign en nombre del BBVA? :-)

  • Alfonso Jiménez
    April 8, 2007 at 14:11

    No, ¿para qué? :S Con un falso formulario puedes hacerlo…

  • Joan
    April 9, 2007 at 05:39

    Esta bien lo que dices peor vamos todos los sistemas de cobro por wifi usan portales cautivos, ademas podrías crear el tuyo propio diseñarlo como el de FON e intentar robar las contraseñas.

    En ese sentido FON no es mucho mas inseguro que un banco. Ademas no necesitas la fonera para hacer eso te puedes instalar chillispot en cualquier linux, poner poner la tarjeta wifi en modo ap y esperar a que se conecten.

  • Alfonso Jiménez
    April 9, 2007 at 05:57

    “ademas podrías crear el tuyo propio diseñarlo como el de FON e intentar robar las contraseñas”

    Eso es lo que me refería con falsear el punto de acceso

    “Ademas no necesitas la fonera para hacer eso te puedes instalar chillispot en cualquier linux, poner poner la tarjeta wifi en modo ap y esperar a que se conecten.”

    Exacto :)

  • felix moreno
    April 9, 2007 at 15:02

    Hola, yo he hablado tambien sobre el tema de seguridad en mi blog :
    http://www.felixmoreno.com/2007/02/09/fon-segunda-...
    http://www.felixmoreno.com/2007/01/23/fon-wifi-soc...

  • Tomy
    April 10, 2007 at 10:58

    ¿No te parece logico que empresas que han puesto tanto dinero en FON como Google o Skype obtengan el beneficio de que cualquier usuario pueda acceder a ellas?En google solo puedes buscar,si clickar cualquier enlace es necesario ser fonero.En cuanto a skype,personalemnte me parrece logico que no tengas que ser fonero para poder usar un telefono wifi…¿porque si no va a poner Skype ese dineral en FON?De hecho si tienes una fonera la misma FON te deja que pongas una direccion por la que puede navegar cualquiera gratis (yo de hecho tengo mi blog)

    Por otra parte la obsesion por la seguridad es relativa.¿Son seguras las claves WEP?Cualquier usuario medio-avanzado se la puede saltar.¿Phising?Hay miles de correos mucho mas avanzado que un portal cautivo.

    Saludos

  • bruno
    April 12, 2007 at 16:37

    Justo andaba hoy peleandome con la fonera (mas por mi conexion que por culpa del aparatillo) pero me ha llamado la atencion lo que comentas y de hecho pienso probarlo (sin malas intenciones)

  • Hackuno
    July 7, 2008 at 20:28

    Muy Bueno el articulo, desde luego no es nada seguro, para el que le interese encontré este articulo que habla de como ignorar el logueo de la Fonera para poder navegar por la web sin meter usuario y contraseña de fonero.

    http://www.busindre.com/saltarse-logueos-en-redes-...

    Bye!

  • ovskbmpg wxlcf
    August 9, 2008 at 22:46

    myspgf zviepn cibhz nwbxsvm nfbuors aszgepoij nimkcerw

  • appovapreew
    September 2, 2008 at 18:52

    hey ))
    its very interesting article.
    Good post.
    realy good post

    thank you ;)

Leave a Reply