"Evil never Sleeps" o cómo un malware tipo PEGASUS en tu iPhone podría funcionar incluso después de apagar el terminal

Este mes de Mayo se ha publicado un paper más que interesante, y que recomiendo que lo leáis con calma, que se ha titulado "Evil Neve Sleeps: When Wireless Malware Stays On After Turning Off iPhones" donde un equipo de Security Researchers se ha dedicado a estudiar la taxonomía de posibles ataques que se pueden realizar cuando un terminal iPhone esta apagado por su dueño, y piensa que está seguro contra cualquier malware o proceso de spyware en él. Error.

Figura 1: "Evil never Sleeps" o cómo un malware tipo PEGASUS

en tu iPhone podría funcionar incluso después de apagar el terminal

Es decir, el artículo explica en detalle todas las posibilidades por las que un malware, utilizando los servicios de iPhone & iPad con el sistema operativo iOS en modo desconectado - que siguen funcionando incluso cuando apagas el terminal - podrían seguir trabajando en pro del malware persistente en tu terminal que te estuviera espiando todo el rato y conectándose con su C&C.

Figura 2: "Evil Neve Sleeps: When Wireless Malware Stays On After Turning Off iPhones" 

Este artículo recoge un estudio completo de cómo un malware instalado en un terminal iPhone usando algunas vulnerabilidades que pudieran existir, tanto en iOS como en el firmare, podrían ser utilizadas para que un malware controlara tu terminal incluso cuando lo tienes apagado. 

Figura 3: Diseño de cómo sería el funcionamiento de Introspection en SmartPhone

Esto, que parece ciencia ficción no lo es para nada, y ya tiempo atrás - hace muchos años - Edward Snowden contaba cómo la NSA estaba trabajando en este tipo de aplicaciones espía, y que para evitar esto, la única solución es crear un dispositivo de análisis físico de señales, que él llamó "Introspection". 

Figura 4: Recomendaciones de protección física de comunicaciones en iPhone

En el artículo, explica cómo se debe utilizar una solución como Introspection que evite la comunicación de un malware latente que utilice las funciones LPM (Low Power Mode) de un terminal iPhone que se activan con el terminal OFF, como son las comunicaciones del servicio Find My o Digital Card Key (DCK) 3.0, basadas en los nuevos chip BlueTooth que soportan comandos BlueTooth Low Energy (BLE) y Ultra WideBand (UWB), como evolución de las comunicaciones Near Filed Communications (NFC)

Figura 5: Protocolos que quedan activos en modo LPM cuando iPhone está OFF

Este artículo analiza las posibilidades por las que, si un malware consiguiera un control total de uno de los tres elementos principales de la cadena en un terminal iPhone que mantienen la seguridad completa del sistema, como son:

• Apps privilegiadas con acceso a funciones LPM en modo OFF
• Firmware del terminal iPhone
• Hardware del terminal iPhone

Entonces, ese malware, podría seguir comunicándose incluso con el terminal apagado. Para ello, como podéis imaginar, no es nada sencillo, pero ya hemos visto ataques en el pasado que han tomado ventajas de vulnerabilidades en todos los niveles para hackear el terminal iPhone o iPad, como hemos visto muchas veces.

Figura 6: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Desde los primeros Jailbreak de los primeros iPhone, como fue el que uso el exploit limera1n que explotaba vulnerabilidades en el firmware y que no podía ser parcheado vía OTA, lo que lo hacía más que persistente, hasta los ataques de NAND Mirroring clonando el hardware y atacando el passcode para evitar el borrado de los datos, pasando por la infinidad de bugs en el sistema operativo iOS y sus apps que han permitido accesos privilegiados y Jailbreak. 

Figura 7: Modelo de Adversario que modifica el firmware del iPhone

Esto, que parece harto complicado, se puede realizar sin embargo mediante un proceso por el cual se aprovechan de una debilidad que ha incluido Apple en sus terminales, al permitir el patch de los nuevos chips de Bluetooth que se metan patches sin firmar, lo permite a los autores del artículo hacer una actualización del firmware de manera maliciosa, al estilo de los antiguos ataques de EvilGrade de Francisco Amato.

Figura 8: Modificación del firmware de Bluetooth con patches "unsigned"

Además, auditando en profundidad apps privilegiadas para el uso de funciones LPM en modo OFF, como es el caso de Find My, parece que no cumple promesa de seguridad que ofrece, dejando de funcionar el envío de paquetes de advertisement, y haciendo que el terminal se "pierda", lo que sería otra debilidad del sistema.

Figura 9: Malfuncionamiento de Find My

Todo este largo análisis que hace este artículo, al final abre un poco la paranoia del espionaje que abrió Edward Snowden en su momento. Si existen estas capacidades, y no hay forma de garantizar que alguien ha manipulado el hardware o que ha manipulado el software, o que hay un bug en una app con acceso privilegiado a las funciones LPM en modo OFF, entonces no hay forma de garantizar que no te hayan metido, por ejemplo, un PEGASUS. Y la siguiente derivada, ... ¿y si alguien ha dejado un bug a propósito en esas puertas para siempre tener acceso a todos los datos de todos los usuarios que tengan un terminal iPhone o iPad? 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Snowden Doc Search: Una Base de datos con todos los documentos filtrados por Edward Snowden

Hace unos días, a través de mis amigos de Cyberhades, me enteré de la existencia de un buscador un tanto especial que se ha construido alrededor de las filtraciones de Edward Snowden. Dicho buscador, alojado en el dominio EdwardSnwoden.com, cuenta con la base de datos de todos los documentos filtrados, catalogados e indexados, además de estar completados con los enlaces a los artículos de los periodistas que los analizaron.

Figura 1: Snowden Doc Search: BBDD con docs filtrados por Edward Snowden

El sitio, que está hospedado en los servidores DNS de Wikileaks, viene a ofrecer un lugar de investigación para todos los especialistas de seguridad, con un potente motor que permite buscar por etiquetas, texto libre, agencias e incluso países afectados. En el siguiente ejemplo una búsqueda de los documentos relativos a GSM, temas de los que hemos visto varios escándalos de espionaje.

Figura 2: Buscador de documentos. Resultados para GSM

Para cada documento el sitio guarda una descripción, la lista completa de los temas tratados en él, el documento en sí mismo y los enlaces a los artículos de referencia, para que a los investigadores les sea mucho más cómoda su lectura.

Figura 3: Ficha con datos relativos a un documento filtrado por Edward Snowden

Para analizar todo lo que hemos descubierto de la NSA, el GCHQ y otras agencias, recordad que también se creo una Wiki llamada NSA PlaySet para analizar, no ya los documentos, sino las herramientas técnicas descritas - como las publicadas del grupo ANT -, explicando cómo se podrían reconstruir muchas de ellas. Sin duda un documento que merece la pena consultar cuando se quiera profundizar en cualquier tema como IPv6, hacking web, criptografía, malware, exploiting, reversing, etcétera.

Saludos Malignos!

RAPTOR - El anonimato en la red TOR (Deep Web) comprometido desde los Sistemas Autónomos

Las dos características principales que dan soporte a la red TOR (The Onion Routing) son el cifrado de los datos entre los nodos de la red (para garantizar la privacidad) y el anonimato de las comunicaciones, haciendo que el cliente no sepa en qué dirección IP se encuentra realmente el servidor y que el servidor no sepa en qué dirección IP se encuentra el cliente. Esta red es una de las que dan soporte principal a la Deep Web y por eso ha estado bajo ataque desde su concepción. Para romper este anonimato se han visto muchos técnicas en el pasado - algunas haciendo reconocer al proyecto que había sido roto el anonimato por completo - , como comprometer los nodos de entrada y/o salida de la red, o realizar ataques de correlación estadística de tráfico para poder localizar qué dirección IP se encuentra en cada una de las direcciones de la red TOR. Ahora, investigadores han publicado Raptor, un paper que explica cómo romper el anonimato de la red TOR controlando un Sistema Autónomo completo.

Figura 1: RAPTOR - El anonimato en la red TOR (Deep Web) comprometido desde los Sistemas Autónomos

Para atacar el anonimato de la red TOR, los investigadores se plantean un escenario en el que el atacante controle un Sistema Autónomo, lo que le da una posición relevante sobre el tráfico de la red. Al final, cada sistema autónomo es eso, una red de gran tamaño que se comporta de forma autónoma en cuanto a su enrutamiento interno, y controla el encaminamiento de tráfico hacia y desde otros sistemas autónomos por medio de protocolos de enrutamiento de frontera llamados BGP (Border Gateway Protocols).  

Figura 2: Descripción del paper de RAPTOR

Teniendo esta posición, los investigadores se basan en cuatro escenarios en los que un atacante que controle el tráfico y enrutamiento de un sistema autónomo puede romper el anonimato y conocer entre qué dos pares se está produciendo la comunicación. En el primer de los casos, aprovechándose de la escala y teniendo acceso al tráfico de datos que se envía desde el cliente TOR al nodo de entrada y desde el nodo de salida al servidor publicado en la red TOR. En todo momento se trata de ver las direcciones IP de las conexiones y no el contenido de la conexión.

Figura 3: Escenario de ataque 1- Se ve el tráfico de entrada y salida de los nodos

En un segundo escenario, los investigadores fueron capaces de romper el anonimato de la conexión si eran capaces de acceder al tráfico de entrada del cliente y a las respuestas TCP ACK enviadas desde el servidor web. Hay que tener en cuenta que las rutas en TOR son cambiantes en cada caso.

Figura 4: Escenario 2 - Se ve el tráfico de la conexión de entrada y las repuestas TCP ACK

De igual forma, en un tercer escenario, desde el sistema autónomo, accediendo al tráfico de que va del nodo de salida TOR al servidor publicado y a las respuestas TCP ACK que van hacia el cliente TOR, también fueron capaces de romper el anonimato.

Figura 5: Escenario 3 - Se accede a los datos de la conexión de salida y las respuestas TCP ACK al cliente

El último escenario se basa solo en tráfico TCP ACK, permitiendo que se pueda acceder a las direcciones IP tanto del servidor como del cliente solo correlando los mensajes de acknowledge de la comunicación TCP.

Figura 6: Escenario 4 - se accede solo al tráfico de las respuestas TCP ACK

Para hacer este experimento utilizaron un sistema autónomo con 50 clientes TOR y 50 servidores web que publicaban un fichero de 100 MB. Correlando el tráfico, obtuvieron según sus datos, un porcentaje de éxito que osciló entre el 94% y el 96 %.  Tal y como describen en el paper, un atacante controlando un sistema autónomo de gran tamaño podría llegar a romper el anonimato de más del 90% de las conexiones, dejando TOR bastante tocado.

Saludos Malignos!

Detekt: ¿Hay alguien espiándome en mi ordenador?

Ya hace mucho tiempo que salieron a la luz pública casos de espionaje de gobiernos a ciudadanos por medio de software especialmente creado para espionaje gubernamental. Ahora Amnistía Internacional, Electronic Frontier Foundation y otras organizaciones pro-derechos civiles ha lanzado Detekt, una herramienta creada por Claudio Guarnieri para ayudar a encontrar software de espionaje utilizado en equipos de personales.

Figura 1: ¿Hay alguien espiándome en mi ordenador?

Dentro del desarrollo de soluciones R.A.T. (Remote Administration Tools) existen algunas que son más del mundo underground hechas por hacktivistas para sus acciones de reivindicación, otras que son generadas por grupos de cibercrimen que pueden ir desde soluciones amateurs hasta bots profesionales que se comercialización, algunas hechas a medida para operaciones A.P.T. contra objetivos concretos - famosos son los ataques contra los grupos pro-Tibet y el Dalai Lama - y otras que se hacen para comercializar en gobiernos y cuerpos de seguridad del estado.

El software de espionaje comercial

Este último, el software de espionaje gubernamental es un sector en el que se posicionan algunas empresas para cubrir las necesidades que en algunos países tienen los gobiernos que han legalizado este tipo de técnicas, como por ejemplo en Holanda y Alemania donde los cuerpos de seguridad del estado puede utilizar estos programas baja la supervisión judicial. Por supuesto, como denunció Reporteros sin Fronteras, también acaban siendo utilizados por gobiernos totalitarios que persiguen a disidentes sin ningún control. De las empresas que hacen este tipo de software hay algunas que se han hecho muy populares por incidentes y filtraciones recientes.

Figura 2: Funcionamiento de FinFisher/FinSpy Mobile

El primero que saltó a los medios de comunicación masiva fue el caso de FinFisher y su software de monitorización móvil FinSpy que desarrolla la empresa Gamma International. Este software fue descubierto en las revueltas de la primavera árabe en Egipto, y desde entonces ha estado en el centro de la noticia. En un análisis posterior de la herramienta se descubrieron paneles de control en 25 países por todo el mundo, lo que dejaba al descubierto más o menos qué organizaciones y/o países estaban utilizando dichos programas.

Figura 3: Ubicaciones en las que se encontraron paneles de FinFisher

Por supuesto, en el mundo de la seguridad se le sigue la pista a FinFisher & FinSpy desde hace tiempo, ya que el truco de Masque utilizando provisioning profiles - no suplantando apps, pero si metiendo fake apps - para infectar terminales iPhone con software de espionaje ya lo usaban ellos hace tiempo, y en los equipos Windows llegaron a utilizar a Mozilla Firefox para colarse dentro de los sistemas.

Figura 4: Panel de análisis de Hacking Team RCS 9

Otro de los software comerciales posicionados como R.A.T.s gubernamentales es el famoso RCS de Hacking Team, que recientemente ha sufrido una filtración de su documentación permitiendo saber exactamente cómo funciona este software. Entre los trucos que usan este último están los ataques de fake AP en redes WiFi para infectar equipo o el último de hacer Jailbreak a los terminales iPhone desde un equipo Windows pareado para poder infectarlo con el bot de RCS.

Por supuesto estos no son los únicos programas espías que se venden, ni las únicas empresas que los desarrollan. Ya vimos hace tiempo cuando Anonymous hackeó la empresa HBGary como ellos desarrollaban herramientas como 12 Monkeys o Task.B para troyanizar equipos infectados.

¿Qué hace Detekt?

Detekt es un software desarrollado en Python para buscar los rastros de FinFisher/FinSpy & Hacking Team RCS dentro del equipo, además de algún otra R.A.T. popular como DarkComet, Por supuesto, después de toda la información que se ha hecho pública de ambas familias se conoce mucho de ellos ya que de FinFisher se filtró el código completo y de HackingTeam RCS toda la documentación, así que si se lanza en un equipo infectado, entonces es posible que sepa si hay alguno de ellos actualmente instalados en el equipo.

Figura 5: Funcionamiento de Detetk. Te recomienda hacerlo offline

La pregunta que mucha gente se hace es si es fiable o no. La respuesta es que no es 100% fiable, por supuesto. En primer lugar los creadores de los RATs que busca este software están acostumbrados a lidiar con software antimalware desde hace mucho tiempo, y está claro que harán los deberes para primero hacerse indetectables y segundo atacar e inutilizar este software en los equipos en los que se vaya a utilizar. 

No hay que olvidar que este software de espionaje tiene conexión directa con el panel de control y puede mutar a gusto, cambiar los binarios, modificarse en caliente, etcétera. Nada sencillo para detectarlo en un equipo vivo. De hecho, mi solución contra este tipo de casos es la que os propuse en en un artículo que decía que una buena política antimalware y antiAPTs debe mirar en el pasado, analizando instantáneas pasadas de los sistemas informáticos de una organización.

Figura 6: Propuesta de análisis de copias de seguridad para detectar bots mutados

Sea como fuere, esto es un juego del gato y el ratón, así que si tienes un equipo del que sospechas pueda haber sido infectado con FinFisher/FinSpy o Hacking Team RCS mejor que pases un antimalware actualizado y pruebes Detekt antes que no hacer nada, pero lo suyo sería que le hicieras un buen análisis forense a ver qué sale de ahí, y que antes de llegar a ese punto tengas fortificado al máximo tu Windows. A día de hoy Detekt sólo funciona en Windows en versiones anteriores a Windows 8.1.

Saludos Malignos!

Estados Unidos tumba el servicio del troyano StealthGenie

Hace ya un año evaluamos un troyano para espiar Android - también tenía versiones de troyano para iPhone o BlackBerry - llamado StealthGenie. Este fue el que usé para explicar cómo funcionan los troyanos que se usan para espiar en Android la vida y la intimidad de las personas infectadas, pero no quise poner el nombre del mismo en el artículo.

Figura 1: Panel de control de StealthGenie para controlar las llamadas

También fue el mismo que usé para la demostración en la entrevista que me hicieron en el programa de televisión de Salvados a partir del minuto 9 y 5 segundos.

Figura 2: Entrevista en Salvados. Demo de StealthGenie desde el minuto 9:05

Este troyano permite saber en todo momento dónde está una persona, robar absolutamente todos los datos de las apps del terminal, como espiar WhatsApp, Skype, el correo electrónico, Viber, etcétera, e incluso grabar las conversaciones telefónicas o activar el micrófono y usarlo como grabadora bajo el envío de comandos SMS. En Internet es posible encontrar tutoriales de cómo funcionaba Stealthgenie.

Figura 3: Vídeo Tutorial del funcionamiento de StealthGenie

Los servidores del panel de control de este troyano se encontraban en Amazon Web Services, en el estado de Virginia (USA) y el gobierno de Estados Unidos ha actuado con una acusación formal contra la empresa y el dueño de la misma, de origen pakistaní. La acusación formal ha sido puesta en Internet y se puede leer completamente.

Figura 4: Acusación formal al CEO de StealthGenie

En ella se deba claro que se le acusa de ciber-crímenes y se ha procedido a tirar abajo los servidores que estaban en Amazon, por lo que se ha descabezado temporalmente a todas los espías que se han quedado sin forma de poder utilizar este troyano.

Figura 5: Argumentos iniciales de la acusación.

Por desgracia, no es este el único troyano que se comercializa para espiar iPhone o Android, y por supuesto, los creadores de StealthGenie solo moverán sus servidores a otra ubicación menos controlada para volver a empezar de cero, así que ten mucho cuidado con tu terminal, no sea que quién menos te lo esperes te esté espiando y controlando.

Saludos Malignos!

No Seas Así

Desde que escribí el artículo de 0wn3d! (o cómo la NSA acabó con el espíritu de Internet) han seguido sucediendo más y más noticias que tienen como protagonista a la misma Agencia de Seguridad Nacional. Algunas de ellas las he ido recopilando por aquí, como el espionaje en el Vaticano y el intento de capturar el tráfico de Google y Yahoo!,  los documentos filtrados sobre historias en las que los agentes de espionaje utilizaron el poder en su uso personal, el sistema Sinapsis para analizar todos los metadatos o el reconocimiento público del poder sin parangón en temas de ciberespionaje.

Figura 1: "- La NSA no violaría nuestra privacidad, ¿verdad?"
"-Bueno, no a proposito" 
- Así es, sería totalmente por accidente... ups!"

Muchas otras noticias no las he podido tratar por aquí porque si no éste blog se hubiera convertido en un auténtico monográfico sobre las acciones de esta agencia, pero a final del año volvieron a saltar los escándalos referidos a asuntos impactantes.

El primero de ellos es el que tiene como protagonista a Apple y su posible colaboración en el programa DropOutJeep de la NSA que fue explicado por Jacob Applebaum en la ya pasada 30th del CCC en Alemania. En su presentación se hablaba de este sistema para troyanizar el 100% de los terminales iPhone con software de espionaje controlado por la NSA, algo que según el ponente no podría hacerse sin la colaboración de Apple.

Figura 2: Programa de espionaje de iPhones DropOutJeep

Apple respondió que ni lo ha hecho, ni lo hará, ni lo haría en una contestación en la que se le notaba bastante molesto ya con el tema. No hay que olvidar que a las empresas tecnológicas norte-americanas todos estos escándalos les ha costado un autentico dineral en pérdida de negocio por culpa de pérdida de confianza y regulación estatal contraria a sus intereses de expansión.

El segundo de los escándalos tuvo que ver con la supuesta colaboración de la RSA con la NSA para poder meter un backdoor en los algoritmos de cifrados utilizados a cambio de una suma de dinero. La noticia hizo mucho daño a la empresa y una de las conferencias más importantes del sector, la famosa RSA de San Francisco se vio seriamente perjudicada bajo las críticas de profesionales reconocidos del sector.

Mikko Hypponen (@mikko), cabeza visible de F-Secure y reconocido experto en seguridad informática, renunció a participar en las conferencias por este escándalo. Tuve la suerte de tomarme algo con Mikko en una fiesta de la BlackHat USA 2012 y no me sorprendió una respuesta así, que de hecho ha llevado más allá, dando conferencias sobre el derecho a la privacidad, como en la última TEDxBruselas.

Figura 3: Mikko Hypponen "Privacy is not negotiable"

La forma en que la NSA podría haber puesto un backdoor en el código de cifrado de RSA se explica de una manera magistral por Nick Sullivan, ex-ingeniero de Apple especializado en criptografía y miembro actual de CloudFlare dentro de un artículo titulado "How the NSA (may have) put a backdoor in RSA's Cryptography: A technical primer".

En su artículo - que se entiende mucho mejor si has leído el libro de Criptografía: de la cifra clásica a RSA - explica cómo se puede introducir un factor de error el uso de cifrados de curva elíptica haciendo que los dos números base estén relacionados entre sí, haciendo que sea prácticamente indetectable, y al mismo tiempo factible, descifrar cualquier código cifrado.

Figura 4: Esquema básico de generación de números pseudoaleatorios

La demostración feaciente de que una falta de aleatoriedad puede ayudar al descifrado de las claves tiene su exponente en el ejemplo del bug en OpenSSL descubierto por Luciano Bello que le hizo merecedor de un Pwnie Award.

Para poder descifrar todos estos códigos la noticia final de esta historia es que la NSA está trabajando en un computador cuántico, algo que lleva décadas siendo algo teórico pero que muchos apuntan a su posible existencia en corto espacio de tiempo. La posibilidad de que se pudiera crear un computador cuántico de estas capacidades supuestamente permitiría a la NSA romper cualquier sistema de cifrado actual, debido a la potencia de cálculo, aunque sin embargo, como explican en detalle en el Whashington Post, esto aún no es realidad.

Estas tres noticias, más todos lo demás trucos que se han ido publicando con backdoors en firmware, faxes con troyanos, cables infectados, BIOS controladas con software de espionaje, troyanizar satélites según los Emiratos Árabes, etcétera, etcétera, hacen que las películas de ciencia-ficción necesiten pensar en cosas que a día de hoy no hayan sido implementadas, ya que muchas de las cosas que hemos visto en los últimos meses han sido, cuanto menos, sorprendentes.

Figura 5: Edward Snowden recibiendo un premio en Moscú

Por último, no me gustaría terminar este artículo sin hablar de la transformación que han sufrido durante los últimos meses las imágenes públicas de la NSA - que tuvo el valor de ponerse delante de los expertos de seguridad para decir que hacían lo correcto - y de Edward Snowden - que partía como el enemigo del pueblo de los EEUU número 1 -. A día de hoy, hasta el presidente Barack Obama ha sido claro al decir que la NSA debe cambiar y no espiar todo solo porque pueda hacerlo, y Edward Snowden comienza a tener una vida pública recibiendo premios y reconocimientos a su valor por una gran parte del público de Internet.

Saludos Malignos!

¿Vivimos constantemente espiados?

Este domingo a las 21:00 parece que es la fecha elegida para la emisión del programa de Salvados en la cadena de televisión de La Sexta, en el que yo colaboré, titulado "¿Vivimos constantemente espiados?". Fue una entrevista que grabé en la Terminal T4 del Aeropuerto de Barajas, con el periodista Jordi Évole (@jordievole).

Si eres de España, no conocer a Jordi Évole es casi imposible, pero si eres de fuera, habría que decir de él que sus entrevistas son temidas por cómo pone el dedo en la llaga. En la entrevista estuvimos durante un par de horas hablando de cosas genéricas de hacking, de ciberespionaje, y demás asuntos de actualidad. Nada de lo que si has estado leyendo este blog con normalidad no conozcas.

Figura 1: Vídeo promocional del programa con parte de la entrevista

Para ilustrar la charla hicimos un par de demostraciones, con entornos controlados. Una de ellas fue un ataque SLAAC con la Evil FOCA  - por eso de no tirar de SSLStrip y ARP-Poisoning - haciendo un poco de Bridging HTTPS(IPv4)-HTTP(IPv6) a través de los resultados de búsqueda. En lugar de utilizar Kali para montar un fake AP, ya que la demo iba a realizarse con una víctima localizada, utilicé un simple iPhone al que bauticé como Free WiFi, pero puse una contraseña en la red con el objetivo de que no se conectara ninguna persona sin querer. El resto, pues nada, robar unas contraseñas de Facebook y correos web tal y como visteis en la DEFCON 21 o en la pasada - y aún reciente Ekoparty 2013 en Buenos Aires -.

La segunda de las demos que realicé fue la de enseñar cómo un troyano en un Android puede acceder a toda la información, grabando las conversaciones telefónicas,  o las llamadas emitidas y recibidas. Entre las opciones, además de la posibilidad de espiar WhatsApp se encontraban las de controlar remotamente el teléfono y utilizarlo para grabar el entorno o robar las fotografías que con él se hicieran.

Figura 2: Fotos robadas del terminal infectado el día de la entrevista con Jordi Évole

Por supuesto, use un terminal mío, con Android, que preparamos en Eleven Paths para la ocasión. No íbamos a infectar a nadie sin su conocimiento, pero para que la gente entendiera lo fácil que es esto, utilizamos un troyano comercial.

No he visto el corte final de la entrevista, y ni he podido ver por supuesto el programa, pero conociendo el tipo de programas que suelen realizar, seguro que están bien. A ver cómo sale el domingo por la noche...

Saludos Malignos!

Yes, we can! (O el poder sin parangón de la NSA espiando)

Supongo que para nadie es nueva la campaña de las primeras elecciones presidenciales del actual mandatario Barack Obama. La famosa frase dio la vuelta al mundo, y para todos es fácil recordar el "Yes, We Can!" como algo relativo a él. Es parte ya de la Historia Norte-Americana. En la Historia de Internet - y por tanto de nuestra sociedad - habrá que contar con la referencia temporal de las revelaciones de Edward Snowden como un antes y un después.

Figura 1: Vídeo de la entrevista en Hong-Kong de Edward Snowden

Las reglas del juego no parecen haber cambiado demasiado en fondo, pero si en la magnitud de la forma, pues el poder cuasi ilimitado parece haber excedido la imaginación de cuasi-todos los guionistas de Hollywood. En esa pequeña lista de excepción habría que dejar a David Marconi y su película "Enemy of the State" donde un grupo de agentes de la NSA persiguen a un abogado por haber descubierto algo malo de un político utilizando todos los mecanismos de espionaje del mundo.

Solo otro, un miembro "disidente" de la NSA le ayuda. Quién diría que esta película en la que se utiliza cualquier sistema informático o electrónico del año 1998 pudiera estar tan cercana a una realidad plausible en 2013.

Figura 2: Enemy of the State. Perseguido por los sistemas de la NSA

En la sociedad actual, tras conocerse todos los programas de espionaje que la NSA tiene desplegados por el mundo, que salieran casos como el de que había espiado el teléfono de Angela Merkel o de 35 dignatarios políticos más como cuenta The Guarding era solo cuestión de tiempo. Al fin y al cabo, ya contaban con entrega de datos en PRISM, la captura del tráfico de los cables de Internet con la operación Tempora, un sistema de almacenamiento para Data Mining como X-KeyScore desplegado por todo el mundo o un sistema de catalogación de metadatos sociales como Sinapsis. El resto sería solo saber cuáles son las cuentas de correo electrónico, los nombres de usuario o los números de teléfono de los dignatarios.

Figura 3: Petición a los agentes de consecución de los datos de contacto

Sería cuestión de saber a qué números de teléfono se ha llamado desde el número de teléfono de Angela Merkel buscando en los registros de PRISM, o buscar las llamadas en los protocolos de comunicación SS7 que enlazan el tráfico entre la red de telefonía normal y la transmisión por Internet de las señales de VoIP, que hubieran caído en el canasto de las chufas de Tempora. Si luego hubiera algo de cifrado integrado, habría que perder un poco de tiempo en crackearlo.  

En la Ekoparty de 2009, si no recuerdo mal, Philippe Langlois ya contaba todas estas cosas en una presentación que podéis ver online en otros conferencias también. Por ejemplo, contó todo esto en este vídeo de la Source Barcelona de 2010. Pueden hacerlo. Tienen la capacidad de hacerlo. Y lo hacen.

Figura 4: Interconexión IP & SS7

Las respuestas desde USA son que todos los demás también lo hacen, tal y como recogen en el New York Times, pero que ellos tienen una capacidad incomparable con el resto del mundo. Algo que todos ya hemos descubierto gracias a la publicación de todos los documentos de Edward Snowden, pero que antes solo podía sospecharse como un guión de una película de ciencia ficción como la citada al principio de este artículo.

Figura 5: Lisa Mónaco informando al presidente Barack Obama

Lisa Monaco, secretaria del presidente Barack Obama para asuntos de Homeland Security escribía en USA Today el jueves una columna de opinión para tranquilizar a los aliados y amigos, en la que decía cosas tan interesantes como:

 "We want to ensure we are collecting information because we need it and not just because we can."

Yes, we can!, le faltó añadir a la frase del final, algo que ya sabemos, pero veremos si se pueden asegurar de eso en el futuro. Eso sí, todo esto lo sabemos después de las revelaciones, porque antes los malos eran los chinos, que según los informes de ciberseguridad enviados al gobierno, el Informe Mandiant sobre APT 1 y las declaraciones tras todos los incidentes de ciberguerra entre países, eran los apuntados como culpables. Los chinos malos, malos, malos, decían ellos.

Figura 6: Los Chinos eran los malos... y poderosos

Lo que más me apena es que los propios miembros de la NSA, que ya habrán terminado de sobra la investigación para saber de dónde fueron copiados todos los documentos que se han ido publicando, han anunciado que esperan aún miles de revelaciones más. Revelaciones que servirán para que los dirigentes de todo el mundo vayan a hablar con el presidente, reclamen la presencia del embajador de EEUU en el país y le digan algo como un lastimoso "¡jooo!", pues ellos tienen los secretos, ellos tienen el poder.

Saludos Malignos!

Paneles de control de FinFisher localizados en 25 países

El kit FinFisher es una herramienta profesional que ha aparecido en muchos incidentes de ciberespionaje. Se vende como una solución para ayudar a los cuerpos de seguridad para controlar a los malos, pero lo cierto es que acaban siempre por aparecer en regímenes dictatoriales en los que se coartan libertades, como por ejemplo en Egipto, donde fue localizado tras la revolución ciudadana.

La versión para terminales móviles de FinFisher se llama FinSpy, y utiliza sistemas de infección de terminales usando las propias operadoras de comunicaciones, tal y como se puede ver en este anuncio viral usado para promocionar el producto.

Figura 1: Anuncio promocional de FinSpy mobile

La versión de FinSpy, para terminales iPhone, tiene soluciones para malware que se va a instalar en equipos que tengan realizado el jailbreak - es decir, sin la validación de code signing de Apple - lo que le permite instalarse como los troyanos al uso que se venden para uso "domestico" tipo iKeyGuard o FlexiSpy, o para instalarse en equipos sin jailbreak por medio de ataques dirigidos, usando los famosos provisioning profiles de los desarrolladores de Apple.

Este software utiliza unos paneles de control con unas características especiales que están siendo monitorizados por Citizen Lab, la misma organización que analizó FinSpy en su primera aparición para terminales iPhone. En su análisis, han descubierto que estos paneles de control de esta herramienta comercial de espionaje se pueden encontrar ya en 25 países, tal y como han reflejado en este mapa.

Figura 2: Los paneles de control de FinSpy aparecen en 25 países

Como se puede ver en el mapa, Indonesia y Estados Unidos es donde más paneles de control hay, aunque se puede encontrar en países como Qatar, Malaysia, Canada, México o Alemania, por citar algunos de los países donde hay algún grupo o persona que se ha gastado el dinero en montar la infraestructura que requiere este software de espionaje.

Hace tiempo que los ataques dirigidos a grupos de presión utiliza las herramientas de ciberespionaje, como en el caso del acoso de malware dirigido que sufren los grupos Pro-Tibet y el Dalai Lama, que día tras día sufren ataques dirigidos con nuevas versiones de malware, así que es difícil imaginar un mundo donde no haya alguien con recursos y poder que quiera utilizar este tipo de herramientas para conseguir sus objetivos.

Saludos Malignos!