domingo, junio 23, 2013

¿Qué podría capturar la operación Tempora del GCHQ?

Tras saltar la noticia de que el Global Communications HeadQuarters podría estar intentando Mastering the Internet por medio de la operación Tempora por la que podrían haber hecho un pinchazo de 200 cables de fibra óptica en el Reino Unido el debate recayó sobre qué es lo que podrían tener con ese pinchazo de cables y qué es lo que no podrían tener. Supongo que los más iniciados en el mundo de la seguridad y el hacking tenéis la mente llena de cosas que se podrían hacer desde esa posición privilegiada, pero voy a intentar resumir algunos puntos importantes para el que se haya hecho esta pregunta.

Conexiones entre Europa y América
En primer lugar, hay que hacer entender a la gente dónde está exactamente la situación del Reino Unido en Internet. Aunque Internet es una red global, la distribución de las conexiones no es ni mucho menos tan distribuida como la ubicación de los servidores. Si echamos un ojo a este mapa del año 2011 de Anson Alex se puede ver cómo los cables que conectan Europa y America por debajo del mal, principalmente están entre Inglaterra y Estados Unidos, siendo casi residuales el resto.
Figura 1: Mapa de conexiones submarinas de Internet
Esto le confiere a ambos una posición de supremacía para controlar las comunicaciones que se enrutan entre ambos continentes, por lo que podrían acceder a mucho tráfico que por ellos circulan, especialmente si hablamos de los servicios de las principales empresas tecnológicas americanas.
Correo Electrónico
Lo primero que se viene a la mente es el acceso a los mensajes de correo electrónico que no vayan cifrados extremo a extremo con S/MIME o PGP, ya que los mensajes se envían normalmente cifrados entre el cliente y el servidor saliente, y entre el servidor entrante y el destinatario, pero la comunicación entre servidores de correo electrónico aún sigue haciéndose por el puerto 25 sin utilizar SMTP-S o el famoso Mutual-TLS de los servidores Microsoft que permite el cifrado entre ellos. 
Figura 2: Opción de Mutual-TLS en MS Exchange Server 2010 
Esto permitiría obtener el contenido, los archivos adjuntos y un registro de comunicaciones entre cuentas que podría ser analizado para conocer las personas con las que te relacionas.
Contraseñas de servicios no cifrados
Si el servicio no cifra el envío de credenciales, por supuesto que estas quedarían al descubierto ante cualquier inspección de tráfico que se produjera. A día de hoy este tipo de cuentas son muy pocas, pero aún quedan muchos servicios que reciben los tokens de autentificación sin utilizar ningún tipo de criptografía.
Secuestro de sesiones
Una de las peores cosas que pueden hacerse es robar las cookies de las sesiones de los servicios online. Aún hay un montón de servicios online que utilizan tokens en parámetros GET o cookies no cifradas para el mantenimiento de las sesiones, lo que conferiría a alguien con la capacidad de capturar el tráfico la posibilidad de entrar en las cuentas de todos esos cientes con un ataque de hijacking.
Peticiones de salida en nodos TOR
Si alguien se conecta a través de la red TOR a un nodo de Internet, la última conexión y el contenido que se envía entre el nodo de salida de la red TOR y el servidor en la red Internet estaría desprotegida por el cifrado y podría ser interceptado por un sniffer que estuviera escuchando en ese cable.
Figura 3: La conexión de salida va sin cifrar
Si se monitorizan las salidas, se puede saber mucho de lo que se está haciendo desde la red TOR
Conexiones de actividad desde una huella digital
Si es posible identificar la huella digital de una conexión, se podría conocer la actividad de una determinada cuenta en todo momento, sabiendo a qué se conecta, qué busca en las resoluciones DNS o qué envía a cada servidor.
Llamadas de teléfono VoIP no cifradas
Al igual que el resto de servicios de Internet, las llamadas de Voz sobre IP puede utilizar protocolos cifrados y sin cifrar. Si se usa SIP y RTP sin utilizar ninguna capa de cifrado, todas esas llamadas podrían ser reconstruidas. Esto se explica de maravilla en el libro de hacking y seguridad VoIP de Pepelux.
Figura 4: Arquitectura VoIP común de SIP & RTP sin cifrado

Cracking de conexiones VPN
Por supuesto, si están realizando interceptación de tráfico, podrían capturar todas las conexiones VPN, registrando el proceso de handshake de conexiones PPTP que utilizasen MSCHAPv2, y crackearlo después con ataques de diccionario o con con el servicio de cracking online que se presentó en DefCON20 de CloudCracker.com, para reconstruir todo el tráfico de una conexión VPN, lo que te dejaría totalmente desprotegido aun con una conexión VPN.
Todo esto más mucho más se podría hacer sin hacer un ataque Man in the Middle o ataques de red en IPv4 o iPv6, es decir, solo escuchando el tráfico. Si ya se empezaran a establecer ataques de interceptación y manipulación del tráfico, la cantidad de cosas que se puede hacer se dispara, así que deberías ponerte las pilas con el cifrado de comunicaciones digitales.

Saludos Malignos!

3 comentarios:

  1. futuroingeniero23/6/13 3:17 p. m.

    Bueno... El futuro de la próxima generación de profesionales de la información, sin duda va a ser diseñar un nuevo sistema de comunicaciones que sea casi imposible de espiar...

    A rediseñar internet se ha dicho!Que es libre y que siga siendolo

    ResponderEliminar
  2. El resumen es:"como si tuvieras una MiM LAN" o "Como si te crackearan el DSLAM o el encaminador del ISP".

    ResponderEliminar
  3. Un mapa interactivo de cables submarinos:
    http://www.submarinecablemap.com/

    ResponderEliminar