Conexión Segura: Cómo activar la protección de tu conexión y revisar las amenazas @movistar_es @elevenpaths

Hace ya un tiempo que lanzamos para los clientes de Movistar un servicio en el que habíamos estado trabajando mucho en ElevenPaths, se trata de un servicio que intenta mitigar el número de amenazas a las que te conectas desde tu ordenador personal y dispositivos móviles, ya sea mediante la conexión WiFi que va por tu router a la red de Fibra Óptica, como a través de las redes de datos móviles 3G/4G, se llama el servicio Conexión Segura.

Figura 1: Movistar Conexión Segura
"Cómo Activar la protección de tu conexión y revisar las amenazas"

Este servicio, como os dije, está incluido en todos los paquetes de Movistar Fusión y Lineas de Contrato Móvil de forma gratuita, así que solo debes activarlo, algo que puedes hacer desde diferentes puntos. Uno de ellos, desde la web de Movistar Conexión Segura, donde solo debes entra y activarlo, sin ningún coste por hacerlo.

Figura 2: Web de Activación gratuita de Conexión Segura

También lo puedes hacer desde la app de SmartWiFi en tu dispositivo móvil, así que descárgate la app de SmartWifi para iOS o la app de SmartWiFi para Android y lo podrás activar. Y en breve, también lo vas a poder hacer desde la Living App de SmartWiFi en tu televisión Movistar+.

Figura 3: Conexión Segura en SmartWifi iOS

Tienes un paso a paso de cómo activarlo en este vídeo que se hizo para explicar con detalle los clics que tienes que hacer, y disfrutar de este servicio de protección extra para todos los clientes de Movistar Fusión o Líneas de Contrato Móvil sin ningún coste adicional, activándolo desde la web.

Figura 4: Vídeo explicativo sobre cómo activar Conexión Segura

Una vez que lo activas, ya no hay mucho más que hacer, el sistema funciona analizando las conexiones que realizas a sitios de Internet y bloquea aquellas conexiones que están dirigidas contra sitios que están descargando malware, lanzando exploits o ataques de phishing.

Figura 5: Protección de Conexión Segura desde la red

Esto es especialmente útil para cuando hay campañas de malvertising que hacen que, por navegar por una simple web que pone anuncios puedas verte afectado por uno de esos anuncios en un ataque de malware. Y contra esos ataques, la protección manual es imposible, porque si han conseguido que navegues a un servidor con un kit de exploits que te afecta, se va a ejecutar automáticamente.

Figura 6: Cuando navegues a una web peligrosa Conexión Segura la bloquea

Por eso, los equipos de seguridad revisan los ads que se meten, por eso los equipos de seguridad en los Security Operation Center denuncian y marcan como maliciosas las URLs que descubren con este tipo de actividades, por eso tener un servicio que compruebe las URLs contra las que te conectas de manera automática es la mejor opción, y por eso Conexión Segura es algo que te ayuda sí o sí.

Revisar las amenazas paradas por Conexión Segura

Pero otra cosa fantástica que te da Conexión Segura, es que aprendes de qué te has librado, o cuáles son tus malos hábitos, o que tienes algo mal en tus equipos y forma de utilizarlos, cuando revisas las amenazas que han sido bloqueadas. Para ello, debes ir a la web de Conexión Segura y hacer login con tus credenciales de Mi Movistar. 

Figura 7: Resumen de amenazas de la línea fija (WiFi + Fibra Óptica)

Una vez allí, puedes elegir la línea de teléfono que desees revisar - que será la fija con la conexión de fibra óptica y tu WiFi - o las líneas móviles de tus terminales de teléfono, y ver las estadísticas de amenazas bloqueadas. Es decir, de las que Conexión Segura se ha encargado sin que tuvieras que preocuparte tú en tu equipo.

Figura 8: En la web de Conexión Segura puedes ver las amenazas
que han sido bloqueadas en tus conexiones fija y móvil

 

Además, puedes ver en concreto los sitios, que como os decía pueden venir de sitios a los que navegas de manera involuntaria por un redirect en un anuncio, o por un enlace pulsado en el momento equivocado. Por último, el servicio, permite que configure tus listas blancas a sitios, por si lo necesitas.

Figura 9: Añadir URLs a la lista blanca de Conexión Segura

De los datos que tengas en tu lista de amenazas bloqueadas, seguro que consigues una buena información para cambiar tus hábitos, para mejorar tus herramientas de protección personal, y, sobre todo, para que entiendas que esos sitios bloqueados por Conexión Segura habrían llegado a tu terminal, y al de tu familia, si no activas este servicio. Y remarco: Es gratuito si eres de Movistar.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Cómo evitar que Google utilice tu red WiFi en sus servicios de localización

Este no es un tema nuevo, pero he de reconocer que a mí, personalmente, me pasó desapercibido y quería compartirlo con vosotros. Se trata de "cómo evitar que Google utilice tu red WiFi en sus servicios de localización". Algo que no es nuevo, pero que en su momento tuvo su impacto en los medios de comunicación y que hoy en día, tras la aprobación del GDPR en Europa se ha quedado en una zona gris.

Figura 1: Cómo evitar que Google utilice tu red WiFi en sus servicios de localización

Para los que no conozcáis la historia, hay que volver atrás en el tiempo a cuando Google quería mejorar los servicios de localización de sus plataformas móviles. Es decir, cómo saber dónde se encuentra un teléfono Android con mucha más exactitud. Para ello, se decidió utilizar un sistema basado en las bases de datos de Wardriving.

Wardriving y el Google Street Car

Hace ya tiempo, el Wardriving se convirtió en una diversión de los hackers muy extendida. La idea era meter en un mapa todas las redes WiFi de la ciudad para que cualquiera que quisiera, pudiera conectarse a Internet.  Es decir, el concepto era geoposicionar redes WiFi por toda la ciudad. Eso se podía hacer andando, en coche o en bicicleta.

Figura 3: Iconografía para redes WiFi descubiertas

Se creó una iconografía completa que se ponía en forma de pegatinas, dibujos pintados en las paredes o apps que te decían en qué lugares de la ciudad podrías encontrar redes WiFi con las que te pudieras conectar a Intenet, ya fuera porque eran redes abiertas, o inseguras con WEP, o con contraseñas fáciles de WPA o WPA2. 

Figura 4: Iconografía de Wardriving por las ciudades

De hecho, la competición en muchos de los congresos y conferencias de hackers era conseguir el máximo posible de redes WiFi con la información de conexión a la red para la base de datos de Wardriving. Congresos tan importantes como DefCON o EkoParty, tenían sus secciones específicas dedicadas solo al Wardriving.  Debido a esto, yo os recomendaba hacer esto antes de ir a hacer un Ethical Hcking a una empresa porque los empleados suelen conectarse a muchas redes WiFi cercanas a sus oficinas.

Figura 5: Memes con el asunto de Google Steet Vier Car y el sniffig de redes WiFi

Siguiendo esta misma idea, Google comenzó en el año 2010 a hacer Wardriving geoposicionando todas las redes WiFi que veía con sus coches de Google Street View. Es decir, al mismo tiempo que pasaba el coche de Google Street View tomando fotos de las calles de la ciudad, iba capturando las redes WiFi que veía - e incluso datos en abierto -. Esto generó un gran escándalo, con denuncias en muchos países y un arduo debate.

Figura 6: Noticias del escándalo del escaneo de Google Street Car

Aquello se cerró, no sin que hubiera un lío en muchos países, e incluso Google tuvo que compartir los datos que había ido escaneando en cada uno de los países con los cuerpos de seguridad que tuvieron que revisar la información que había capturado de esas redes abiertas para ver, si en algún caso, habían capturado conexiones a Internet de los usuarios de la red sin cifrar que llevara información sensible y que, Google, hubiera almacenado sin conocimiento de los usuarios. Google borró los datos, y dijo que había sido culpa de una librería estándar mal usada.

Lo mismo, pero en Android

Por supuesto, la idea de copiar el concepto del Wardriving de la comunidad hacker para ir escaneando desde el Google Street Car todas las redes WiFi de la ciudad estaba bien, pero no era comparabale para nada si utilizaban los terminales smartphone con Android, que cada vez empezaban a tener más cuota de mercado frente a los líderes en el mundo móvil, donde iPhone, Motorola, Nokia o BlackBerry comenzaban a dejar paso a Android cada día más. En el libro de Hacking y Seguridad de Comunicaciones Móviles (2ª Edición) se hablan de estas técnicas para todo tipo de conexiones.

Figura 7: Libro de Hacking y Seguridad en comunicaciones móviles
GSM/GPRS/UMTS/LTE (2G,3G y 4) 2ª Edición

Así, los terminales Android (y también los terminales iPhone) utilizan un sistema de mantenimiento de los servicios de localización construido de la siguiente forma. Por un lado, aprovechándose los cada vez mejores servicios de GPS de los terminales reportan las potencias de señales capturadas  por cada terminal móvil de todos los elementos que emiten señales, ya sean BlueTooth, conexiones a redes de telefonía 2G, 3G y 4G, o redes WiFi. La idea es guardar de cada uno de ellos:

- El identificador físico que lo define de forma unívoca: BSSID, SSID, MACs, etc... 

- La potencia de la señal con que llega al terminal móvil. 

- La posición GPS que se puede obtener del servicio puro GPS. 

- Timestamp de cuándo se hace la captura de datos. 

- Información del terminal smartphone que hace la captura de datos.

Todos estos datos llegan a una base de datos donde se almacenan en Google. Con esos datos, utilizando algoritmos de triangulación y calibración,  permiten a Google saber:

- Dónde se encuentra realmente cada terminal móvil más allá de lo que marque el servicio GPS. 

- Saber dónde se encuentra cada terminal incluso si el sistema GPS falla. 

- Saber dónde se encuentra cada terminal con un servicio de menor latencia que el GPS. 

- Alimentar la base de datos con dónde se encuentra cada antena de telefonía exactamente. 

- Saber exactamente donde se encuentra cada red WiFi - incluida la tuya - del mundo.

Sin esta base de datos que da soporte a los servicios de localización de Google, aplicaciones tan populares como Waze o Google Maps funcionan regular. Puedes hacer la prueba tú mismo de forma sencilla. Basta con que pongas una ruta de tu casa a al trabajo en cualquiera de estas dos aplicaciones y quites la WiFi - la apagas en tu terminal iPhone o Android - y verás como, usando solo el GPS, los servicios de localización  funcionan regular y tienen márgenes de error muy altos.

Pero a muchas personas esto no les gusta, ya que también se guarda información de horarios de encendido y apagado del Access Point, de la seguridad de la red, de los fabricantes detrás de los dispositivos, y un buen número de insights que se podrían sacar.

Cómo sacar tu red WiFi de la bae de datos de Google Location Services

Esos datos también se utilizan para alimentar la ubicación en caso de anuncios mostrados por ubicaciones geográficas, o para otro tipo de servicios basados en ubicación. Es decir, gracias a la información que mantiene de las redes WiFi que captura usando los terminales Android como sensores, las conexiones a Internet de estos para enviarlos a sus servidores, y que tú tienes una red WiFi en tu casa, disfrutan de unos servicios de localización mejores que los que tuvo la industria de navegadores GPS para coches en su momento.

Figura 8: Gracias las bases de datos WiFi, Google Maps tiene
una precisión y velocidad mucho mayor que un GPS "tradicional"

Pero claro, Google (y Apple) no han pedido permiso a nadie para capturar esos datos tuyos. Supongamos que tú no quieres tener nada que ver con Google y no quieres que usen tu infraestructura tecnológica para hacer sus negocios. Pues entonces, tal y como está el panorama hoy en día, tienes que ser tú el que haga Opt-Out de su base de datos haciendo algo que no es muy sencillo para todos lo usuarios:

- Debes cambiar el nombre de tu red WiFi para que se den por enterados

Es decir, debes llamar a tu red WiFi de una forma especial, ya que Google se compromete a eliminar de sus bases de datos todos los datos asociados a redes WiFi cuyo nombre SSID acabe en _nomap. Es decir, debes entrar y cambiar tú el nombre de tu red WiFi si no quieres que Google lo utilice para sus servicio de localización con los que desarrolla su negocio en el mundo Android.

Figura 9: Página de ayuda en Google para explicar _nomap

No sé si este es el mecanismo más correcto o no. Y lo cierto es que si fuera un Opt-in, es decir, que Google indexara solo la información de las redes WiFi acabadas en _map, probablemente no tendría suficiente densidad de redes WiFi para construir unos servicios de localización potentes, pero lo cierto es que a día de hoy, Google y Apple se han construido la red de localización más potente del mundo gracias a que utilizan todos sus dispositivos, y cuando digo todos me refiero a todos - smartphone, SmartTVs, smartWatches, etc... -, en sensores para capturar información del espectro de señales a su alrededor y almacenan esa información para explotarla en su beneficio.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

Viernes con "V" de Vídeos: Trucos para presentar, seguridad en 2G/3G, criptomonedas y más

Después de una semana intensa de trabajo, para hoy viernes he decidido dejaros en le blog algunos vídeos que tenía pendientes. No son nuevos, pero no os había avisado de ellos por el blog, así que os los dejo por si os apetece verlos.

Figura 1: Viernes con "V" de vídeos

El primero es  realmente un podcast. Es una charla que tuve con mi amigo Gonzalo Álvare Marañón de El Arte de Presentar sobre algunas de las cosas que uso yo para dar las charlas. A mucha gente hablar en público le resulta difícil - en mi caso concreto, yo sufría pánico al principio - pero todo el mundo puede hacerlo perfectamente.

Figura 2: Entrevista con El Arte de Presentar

Sobre este tema, Gonzalo y yo escribimos un pequeño artículo sobre las cosas que creemos que no se deben hacer en una presentación técnica, titulado: "17 errores y medio en una presentación técnica". Por cierto, esta charla la puedes escuchar y descargar también en formato podcast.

Figura 3: Podcast de entrevista en El Arte de Presentar

El segundo vídeo es de una presentación que dieron David y José de Layakk - entonces de Taddong - sobre la seguridad en las comunicaciones GSM/UMTS/GPRS/2G/3G, allá por el año 2010, más o menos.

Figura 4: Seguridad en comunicaciones móviles

Como sabéis, David y José son los autores del libro de 0xWord "Hacking y Seguridad en Comunicaciones Móviles", y en esta charla hablan de algunas cosas de las que se habla en el libro.

También, hace un par de semanas estuve en la radio de Onda Cero participando en una pequeña charla en la sección de Madrileños Ilustres. Dura media hora y la podéis escuchar en este vídeo.

Figura 5: Entrevista en Onda Cero

Y el último vídeo que os dejo es una ElevenPaths Talk hecha en formato conversación entre los CSA se ElevenPaths, donde Rames, Jorge Rivera, Felix y Yaiza hablan de Criptografía, Criptomonedas y otras hierbas.

Figura 6: Criptografía, Criptomonedas y otras hierbas

Y esto es todo, que la semana haya sido provechosa de trabajo y tengáis un buen viernes que os lleve a un mejor fin de semana.

Saludos Malignos!

Introspection: (@Snowden) Edward Snowden diseña un dispositivo de seguridad para saber si te espían el móvil

Así se llama el dispositivo que Andrew ‘bunnie’ Huang y Edward Snowden han presentado al mundo. Introspection. Un dispositivo de seguridad que se acopla a tu terminal móvil para monitorizar si en cualquier momento está emitiendo señales de comunicación a bajo nivel que no deberían estar realizándose. Es decir, para ver si tu terminal móvil está enviando información en contra de tu voluntad, y para evitar capas de software que pudieran estar controladas, y software corriendo en los chips que pudiera estar controlado - recordad el escándalo con los chips Intel que está bajo estudio ahora mismo - directamente monitoriza las señales en los buses a nivel físico.

Figura 1: Introspection. Edward Snowden diseña un dispositivo
de seguridad para saber si te espían el terminal móvil.

Como digo, el dispositivo se acopla a nivel físico para poder medir las señales de los buses de comunicación del hardware que son utilizados por los elementos de comunicación de un terminal, como son las conexiones WiFi, BlueTooth, las comunicaciones GSM, 2G, 3G, 4G, las conexiones RF o el mismo GPS. En esta imagen se ve cómo se conecta físicamente a la circuitería del terminal iPhone para monitorizar los buses con unos cables que salen debajo de la zona de la SIM.

Figura 2: Conexión cableada de Introspection en un iPhone

En cada terminal hay que hacer una serie de conexiones y debería hacerse por gente especializada. Monitorizar los buses es la única forma que es 100% de fiar, según explican, para poderse fiar de un terminal que ha sido puesto en modo avión y del que no se espera ninguna conexión. Para ello, miran los buses utilizados de todos los elementos de comunicación. La siguiente tabla recoge la lista de sistemas de comunicación y buses monitorizados por su sistema. Como curiosidad, la tabla publicada tiene las típicas marcas del corrector ortográfico de Microsoft Word (una de "metadata leakage" en el post).

Figura 3: Lista de señales monitorizadas

A partir de ese momento, Introspection auditará todas las señales para detectar tráfico en los buses de estas señales que se produzcan cuando no deberían producirse porque el terminal está en modo avión. Esto garantizaría que durante los instantes que el usuario quiera, el terminal no emite ninguna señal lo que evitaría que se pudiera localizar por medio de los múltiples caminos que existen: GPS, trilateración de antenas de comunicación, trilateración de redes WiFi, etcétera.

Figura 4: Señales de bus FE1 en modo avión y en modo comunicación.

En la figura superior se puede ver cómo los buses de comunicación dejan de emitir señales cuando están en modo avión, así que si están emitiendo significaría que no está en modo avión de verdad y alguien podría estar recibiendo la información del terminal, y por tanto la ubicación del mismo en el mundo.

Figura 5: Diseño de cómo sería el funcionamiento de Introspection

El objetivo es que fabricantes, operadores, o personal cualificado pueda inspeccionar el software que corre en Introspection, que puedan analizar el hardware con que se construye y que puedan instalarlo ellos sin necesidad de contar con los fabricantes que proveen los teléfonos. Para ello, el diseño se presenta como un recargador de batería extra, tal y como se ve en la fotografía.

Figura 6: Conexión externa e interna en un iPhone

La conexión se podrá hacer a través de un nexo entre las conexiones físicas que se hacen internamente en el dispositivo y los circuitos de Introspection. Aquí la conexión que es necesaria en un iPhone, que es uno de los dispositivos de los que Edward Snowden no se fía por haber aparecido también en el programa PRISM. Al final la propuesta que hace Introspection es meterse en las capas más bajas posibles para saber si te están monitorizando e ir a por las señales físicas parece que es lo más fiable a día de hoy, porque lo demás todo se puede troyanizar por una capa inferior.  Eso sí, esto no protegerá de todo el hacking de comunicaciones móviles que se produzca desde fuera.

Saludos Malignos!

Fallos en la seguridad de SS7 permiten la grabación de llamadas, el robo de SMSs y la localización a gran escala

Los detalles no los he visto públicos aún, pero visto la demostración que han hecho un grupo de hackers alemanes la cosa es bastante preocupante. Para hacerlo corto, las llamadas de teléfono y los mensajes SMS basan el enrutamiento a través de las redes utilizando un protocolo llamado SS7. De este protocolo se sabía que puede ser capturado cuando pasa por Internet, permitiendo que alguien pudiera acceder a las llamadas telefónicas si estaba en el medio, pero ahora se ha comprobado que la seguridad no es buena, y cualquier persona puede hacer que el enrutamiento de las llamadas pase por una ubicación concreta.

Figura 1: Fallos en la seguridad de SS7 permiten la grabación de llamadas,
el robo de SMSs y la localización de personas a gran escala.

Esta ubicación concreta, lógicamente, es la máquina de la persona que quiera grabar las llamadas, interceptar los mensajes SMS o saber exactamente en qué ubicación se encuentra en todo momento una determinada persona. En el programa 60 minutos de la televisión Australiana hay un vídeo que explica y muestra cómo funcionan estos ataques.

Figura 2: Programa Bugged, Tracked, Hacked que explica los bugs en SS7

Aunque no se dan los detalles, al final queda claro que es una reconfiguración de rutas de llamadas abusando de SS7, es decir, igual que si alguien hiciera un ataque de ARP Spoofing en IPv4, un ICMP Redirect o un RA Spoofing en IPv6, pero utilizando el IMSI de las víctima para poder crear una regla de enrutamiento especial. Es decir, igual que el ataque selectivo con IMSI Captcher que nos contaban los compañeros de Layakk, pero a gran escala y usando las estaciones base de la operadoras de telecomunicaciones.

Figura 3: Configuración de una conexión de un terminal móvil a la red SS7

En las pasadas conferencias CCC, el investigador Tobias Engel explicó en detalle los fallos que hay detrás de estas demostraciones. Puedes ver en el siguiente vídeo la conferencia completa.


Figura 4: Conferencia de Tobias Engle SS7: Locate, Track, Manipulate

Estos ataques permitirían que de cualquier persona de la que se conozca su IMSI se puede conseguir toda la información, como por ejemplo su IMEI, su ubicación, datos de su operadora, etcétera. No es de extrañar que existan empresas que ofrecen aparatos para poder espiar la ubicación de cualquier número de teléfono a nivel mundial, como el caso de Geomatrix.

Figura 5: Especificaciones de Geomatrix

Lo que es mejor, es que ofrecen esta plataforma de "vigilancia de personas por todo el mundo as a service", con lo que una vez que se captura el IMSI de la víctima con un IMSI Captcher, el resto es seguir por donde va esa persona por todo el mundo y escuchar cualquiera de las llamadas que realice cómodamente.

Figura 6: Vigilancia de dispositivos móviles conectados a la red con Geomatrix

Por supuesto, esta es una de las técnicas sospechosas de ser utilizadas por la NSA y esperemos que se mejore cuanto antes la seguridad de estos protocolos, que abren una agujero en la privacidad de todo el mundo al alcance de cualquiera con unos pocos recursos.

Saludos Malignos!

Clonado de SIMs utilizando técnicas de Differential Power Analysis en algoritmos MILENAGE de 3G & 4G

Ayer viernes noche, revisando las charlas de BlackHat USA 2015 topé con una que me llamó la atención más que las demás. Tal vez no ha tenido tanta repercursión en los medios de comunicación como el caso del bug de Stagefright en Android, el control remoto del Jeep Cherokee o la modificación del disparo de un rifle mediante una conexión remota, pero que quizá vaya a tener mucho impacto en el futuro de nuestras vidas. Se trata del trabajo de extracción de datos de la zona segura de las USIM (Universal SIMs) utilizadas hoy en día aprovechándose de la implementación de algoritmos para 3G y 4G, utilizando para ello un side-channel, lo que abre nuevos ataques a sistemas de comunicaciones móviles.

Figura 1: Clonado de SIMs utilizando técnicas de Differential Power Analysis
en algoritmos MILENAGE de 3G & 4G

El trabajo, que ha sido titulado "Small Tweaks do Not Help: Differential Power Analysis of MILENAGE Implementations in 3G/4G USIM Cards" lo que hace es extraer de la zona seguridad de la SIM, los datos necesarios para poder clonarla, haciendo un análisis de las diferencias de energía que existen para los diferentes datos de entrada. Esta aproximación es totalmente distinta a los ataques por medio del ataque COMP128: A Birthday Suprise que se han hecho en las antiguas SIM basadas en COMP128(v1).

Figura 2: clonadores de SIM COMP128(v1)

Tras aumentar el nivel de seguridad de las tarjetas, las nuevas COMP128(v2), COMP128(v3) y COMP128(v4) no habían sido vulnerables a estos ataques que pudieran extraer la Master Key K, y los nuevos valores OPc (Clave de Operador) y los secretos de operación que se agregaron a las USIM.  Con este nuevo enfoque, lo que se hace es aprovechar que en 3G y 4G se implementan los algoritmos MILENAGE con AES 128, para lograr sacar la Clave Maestra K, la Clave de Operador OPC, y las secretos de operación definidos por el operador r1,c1.. r5, c5. El proceso es introducir valores conocidos y medir el side-chanell de energía para reconocer las variaciones.

Figura 3: Paper que explica cómo extraer la información privada de la SIM con un DPA

En el trabajo se explica en detalle cómo basta con un osciloscopio para poder realizar las mediciones de energía y aplicar el estudio DPA haciendo ejecutar sucesivas veces el algoritmo MILENAGE con el objeto de conseguir ir sacando los bits de las claves K, OPc inicialmente.

Figura 4: Equipo de laboratorio. Un lector de SIM creado por ellos y un osciloscopio.

Una vez conseguido sacar la Master Key K y el Secreto de Operador OPc, sacar el resto de los secretos de realiza de forma análoga, tal y como se puede ver en las diapositivas de la presentación que han dado.

Figura 5: Explicación de la fase 2 del algoritmo para recuperar K y OPc

En sus pruebas de laboratorio, con SIMs de 8 diferentes operadores y de distintos fabricantes, fueron capaces de extraer los datos en tiempos inferiores a menos de hora y media, debido a la ausencia de protecciones contra la medición externa de la energía.

Figura 6: Resultados de experimentación con USIMs de varios fabricantes y operadores

Con este trabajo se abre una puerta a que aparezcan los famosos clonadores de tarjetas SIM que tan populares se hicieron con las SIM antiguas que utilizaban Comp128v1, pero ahora para cualquier tarjeta que no tenga una protección extra contra la medición de este side-channel. Según los investigadores, esto está comunicado a los fabricantes de tarjetas SIM y puede que alguna haya empezado a aplicar medidas de protección y mitigación, pero por supuesto, todas las SIMs desplegadas seguirán siendo vulnerables a estos ataques durante años, así que habrá que vigilar el acceso físico a tu SIM en todo momento.

Saludos Malignos!

Las escuchas telefónicas de la NSA a Angela Merkel, Helmut Kohl y Gerhard Schröder

Hace poco Wikileaks realizó la clasificación y publicación de documentos filtrados por Edward Snowden relativos al espionaje de la NSA a los presidentes de la República de Francia. Ahora ha realizado ese mismo trabajo relativo a los Primeros Ministros del gobierno de Alemania, clasificando y ordenando los documentos que detallan las escuchas a Angela Merkel, Helmut Kohl y Gerhard Schröder, además de todo los miembros de su oficina.

Figura 1: Las escuchas teléfonicas de la NSA a Angela Merkel, Helmut Kohl y Gerhard Schröder

Los documentos están filtrados desde el departamento de Global SIGINT de la NSA, que es el área dedicada a la Inteligencia de Señales del gobierno de los Estados Unidos de América, o lo que es lo mismo, a generar inteligencia a partir de escuchas de señales de comunicaciones.

Figura 2: NSA Signals Intelligence

En la filtración, se recogen datos como los selectores que utilizan para rastrear las llamadas de teléfono a través de Internet de todos y cada uno de los miembros del gobierno para poder capturar las llamadas telefónicas.

Figura 3: Números de teléfono usados como selectores de búsqueda

Esto ya se había filtrado con anterioridad y probablemente utilizaban el trabajo de interceptación de tráfico que habían implantado con el GCHQ británico y que se detallaba en el proyecto TEMPORA. o directamente con captura de señales móviles y hacking de estaciones base como se detallaba en el proyecto de AURARAGOLD. En la filtración, lo que aparece es una recolección de las transcripciones hechas por "agentes de inteligencia" que explican el contenido de la captura de teléfono hecha por la NSA.

Figura 4: Detalles de la filtración publicada por Wikileaks

Las llamadas que se han descrito tienen que ver con conversaciones privadas entre los presidentes alemanes con otros presidentes o dirigentes europeos hablando sobre diversos temas. Algunos tan actuales hoy en día como la Crisis de Grecia en el año 2011, donde Angela Merkel mostraba sus dudas sobre la solución.

Figura 5: Un documento filtrado por Wikileaks sobre el espionaje a Angela Merkel relativo a la crisis de Grecia

Esta clasificación de Wikileaks es un trabajo de ordenación y clarificación de informaciones que ya se sabían, y alargan ya las filtraciones de Edward Snowden por tres años. Todo el mundo ya sabe lo que ha estado haciendo la NSA durante la última década, todo el mundo se ha escandalizado, pero en los Estados Unidos, aprovechando la aparición de cualqueir Joker, y gestionando una campaña de comunicación adecuada a la población - declarando hasta el Estado de Emergencia -, consiguieron que el Patriot Act se les fuera aprobado otra vez durante este mes de Junio, así que todo sigue igual.

Saludos Malignos!

Hacking y Seguridad en comunicaciones móviles GSM, GPRS, UMTS & LTE

Hoy sábado os traigo otra conferencia que merece la pena ver con calma. También está dentro del XI Ciclo de Conferencias TASSI 2015 como la conferencia de Malware en Android y Google Play de nuestro compañero, pero en este caso está centrada en el Hacking y Seguridad de las Comunicaciones Móviles GSM, GPRS, UMTS & LTE, y está impartida por David Pérez de la empresa Layakk, y uno de los autores del libro de 0xWord que escribió sobre esta misma temática hace no mucho tiempo.


Figura 2: Hacking y Seguridad en comunicaciones móviles GSM, GPRS, UMTS & LTE

La charla es larga, de casi dos horas de duración, pero es de lo más interesante para entender los ataques a los sistemas de comunicaciones móviles que hemos visto en los últimos tiempos. Os dejo algunas referencias de artículos que merece la pena que tengáis presentes si vais a ver esta conferencia:

- Estaciones base falsas espían las llamadas telefónicas
- Regin: Plataforma de ciberespionaje que controla GSM
- Ataque selectivo con estación base falsa GSM/GPRS
- Localización física de personas usado GSM
- Hacking de comunicaciones móviles GSM con RTL-SDR
- Cómo te pueden robar tu Gmail con un ataque RTL-SDR
- Hacking y Seguridad en comunicaciones móviles GSM, GPRS, UMTS & LTE

Saludos Malignos!

Regin: Plataforma de ciberespionaje que controla GSM

Esta semana pasada la noticia a destacar ha sido la aparición de Regin, una de esas ciberarmas que son atribuidas a grupos de espionaje controlados por gobiernos, debido a la complejidad técnica de los mismos exige de un presupuesto, unas habilidades, y la capacidad de tener un desarrollo a largo plazo que no siempre está disponible para cualquier enemigo. Es del tipo de software que da sentido a la A de A.P.T. (Advanced Persistent Threat) y por eso merece que todos los que trabajan en la industria de la seguridad se paren a analizarlo cuando aparece la oportunidad de diseccionar alguna muestra.

Figura 1: Regin, una plataforma de ciberespionaje que controla GSM

Según el informe de Kaspersky sobre Regin, hablar de un malware en concreto sería impreciso, ya que el número de módulos es grande y la arquitectura compleja y distinta para cada versión del sistema operativo, así que parece más una familia de productos modular que se mantiene y evoluciona. Todas para plataformas Microsoft Windows.

Figura 2: Descripción de la familia de Regin y el flujo de fases

Las fases de infección de Regin

Como puede verse en este gráfico de Symantec, el software de espionaje funciona en fases y para evitar ser detectado en todo momento, cada vez que se va a pasar de una fase a otra el código necesario que se va a ejecutar se descifra y se ejecuta. Lo único que no se conoce aún es cómo se distribuye y comienza la infección.

Figura 3: Fases de infección. Todos los módulos van cifrados

Además, nunca se guardan los datos que se van a utilizar a la vista, así que utilizan en las versiones de 32 bits los Atributos Extendidos de NTFS o en el Registro de Windows, mientras que en los sistemas operativos de 64 bits se guardan en espacio sin utilizar en el tabla de ficheros, para que no se pudieran localizar. Ahí se guardan los datos, como se ha dicho cifrado.

Figura 4: Certificados falsos usados por Regin para instalarse

Después, el sistema se carga en las plataformas de 32 bits al estilo de los rootkits como una driver firmado por unos certificados falsos suplantando a Microsoft, para lo que también instalan en el almacén de Entidades de Certificación de Confianza la clave pública de la emisora del falso certificado. En los sistemas operativos de 64 bits se queda funcionando en User Mode, debido a la arquitectura de seguridad de los sistemas operativos Windows y el programa de drivers firmados a partir de Windows Vista y el Secure Boot para evitar Bootkits.

Figura 5: Algunos de los módulos que lleva Regin. Son decenas los que tiene.

A partir de ese momento se cargan los módulos, como plugins, dentro de un sistema de ficheros virtual en el que se gestiona el almacenamiento del código de cada uno de ellos para permanezca cifrado y lejos de los ojos de cualquier analista forense que esté mirando el disco.

Los Módulos de Regin para espiar GSM

Mirando la lista de plugins que tiene disponible esta plataforma de ciberespionaje hay para todo. Desde utilidades de sniffing, de gestión de funciones del equipo de red, de cracking de credenciales, de uso de WinSockets para interceptar conexiones, hasta quizá una de las más llamativas, el control de estaciones de telefonía GSM con comandos BTS.

Figura 6: Regin tiene módulos para comunicaciones GSM

Alguien que controle una estación BTS podría hacer todos los ataques que se describen en el libro de Hacking de Comunicaciones Móviles, como interceptación de llamadas, suplantación de números de teléfono, o ataques de man in the middle en tráfico de datos que circule por la estación. Esta potencia de poder interceptar el tráfico de las comunicaciones GSM ya hace tiempo que despertó el interés del mundo del espionaje. Se podrían configurar para que fueran sin cifrado y los terminales móviles más modernos no lo detectarían, se podría interceptar el envío de mensajes SMS que fueran con códigos OTP, se podrían capturar las llamadas e incluso hacer ataques dirigidos.

Figura 7: Estructura de una red GSM con conexión a Internet

Según reportan en el informe, parece ser que una de las víctimas era una operadora de telecomunicaciones y que desde un equipo infectado de la red de ordenadores estaban controlados por un equipo infectado por Regin. En la siguiente captura se pueden ver comandos de comunicación con una estación BTS.

Figura 8: Comandos GSM descubiertos en módulos descifrados de Regin

En el pasado hemos visto como han aparecido estaciones base falsas por diferentes lugares de Estados Unidos e incluso recientemente hemos visto acusaciones de que se estaban utilizando estaciones base en los aviones para espiar determinadas zonas de Estados Unidos.

Figura 9: Programa de espionaje con fake BTS del Departamento de Justicia. Publicado en WSJ

Con este tipo de programas, sería posible realizar ataques dirigidos a números de teléfono concretos conocidos, por ejemplo de fugitivos en fuga o de objetivos localizados.

Los Metadatos en la atribución

Una vez más, la atribución de quién puede estar detrás de este tipo de plataformas de ciber-espionaje de la - que parece está viva desde el año 2003 - sigue siendo una de las grandes cuestiones. Los paneles de control que se descubrieron en algunas de las muestras estaban en China e India, pero lo más curioso es el estudio de que se ha hecho de los metadatos para poder averiguar la franja horaria en la que están creados los archivos.

Figura 10: Fechas de desarrollo de Regin sacadas de los metadatos

El análisis se ha hecho mirando algunas cosas tan curiosas como las fechas de los ficheros firmados digitalmente - como buscamos hacer nosotros para intentar localizar la ubicación de los creadores de apps maliciosas en nuestro sistema Path 5 y que por supuesto usamos para analizar ShuaBang Botnet.

Figura 11:Países atacados por Regin según Kaspersky

Al final, como siempre, nada es 100% seguro en términos de atribución e incluso los casos que parecen más claros, como el de Stuxnet o el de APT1, siempre son negados ad infinitum por quien es señalado con el dedo, pero lo que sí parece claro son quiénes han sido los objetivos conocidos hasta ahora.

Saludos Malignos!