Microsoft ha presentado MSN Messenger como un servicio de mensajería vía
Internet que viene a proporcionar contacto inmediato con nuestros amigos.
Es decir, nos encontramos ante la versión Microsoft del archiconocido ICQ,
y al igual que ocurre con éste último, todo parece indicar que no estará
exento de problemas de seguridad.
Permite saber cuando otros usuarios, que utilicen MSN Messenger o AOL
Instant Messenger, están en línea. Enviar y recibir mensajes en tiempo
real, chats, decidir quien puede detectarnos, notificación de nuevos
mensajes a través de una cuenta de correo en Hotmail e integración con
Outlook 5.
MSN Messenger Service 1.0 puede bajarse ya desde Microsoft, aunque
a día de hoy no existe aun versión en Español, mediante un ejecutable
de 324kb. Nada más proceder a la instalación, en la segunda pantalla de
configuración se nos comunica que necesitamos una cuenta en Hotmail, en
caso de no tenerla invita mediante un botón enlace ir a la citada web a
conseguir una.
Ya en el sitio web de Hotmail, rellenamos el formulario correspondiente
para proceder a dar de alta nuestra cuenta de correo gratuita. Nos
encontramos con algunos controles a la hora de aceptar la password, tales
como rechazar aquellas que tengan menos de 8 caracteres, e impedir que
sean el nombre de usuario u otros elementos tales como el apellido.
Tras cumplimentar debidamente el formulario, se nos notifica que tenemos
nuestra cuenta disponible, así como que tenemos un periodo de diez días
para hacer uso de ella por primera vez, en caso contrario será anulada.
También informa que se dará de baja si nuestra cuenta permanece inactiva
durante un periodo superior a 90 días.
En este punto, además de una interesante estrategia de marketing
pro-hotmail, ya encontramos el primer problema. Si se nos da de baja
nuestra cuenta, por inactividad, alguien podrá registrarse reutilizando
nuestro nombre de usuario, con lo que recibirá nuestras notificaciones
del MSN en su buzón.
Siguiendo con la instalación/configuración del MSN, se nos pide en la
siguiente pantalla que introduzcamos la dirección de correo en hotmail
y su password. En este punto nos encontramos con una casilla de
verificación que podremos activar para que el software guarde nuestra
password para no tener que escribirla cada vez que queramos hacer uso
de la cuenta.
Hasta aquí todo bien, pero veamos donde almacena la password. Haciendo
uso del editor del registro (regedit.exe), nos situamos en la entrada:
HKEY_USERS\[.Default]\Identities\[codigo]\Software\Microsoft\MessengerService
donde nos encontramos las variables «UserMSN Messenger Service» que almacena
la dirección de correo en Hotmail y «PasswordMSN Messenger Service» que
almacena unos datos en hexadecimal, como por ejemplo:
64 57 35 68 63 48 4a 31 5a 57 4a 68 00
A simple vista hemos podido observar en HispaSec como se trata de un
sistema de cifrado fijo, de longitud variable en grupos de tres, y que
a todas luces resulta insuficiente contra un criptoanálisis simple.
Más información:
Microsoft: http://messenger.msn.com
Bugtraq: http://www.securityfocus.com/
Deja un comentario