Las recomendaciones de seguridad en Internet de ISIS no son para paranoicos de la privacidad #OpISIS #OpParis

La revista Wired ha publicado una guía de 34 páginas en las que recoge la información de seguridad que se está a dando a los miembros de ISIS para estar más seguros en Internet. Es una lista de recomendaciones a la hora de utilizar los servicios de comunicaciones y las redes sociales para estar más seguros y ser más difícil de ser investigados por las fuerzas y cuerpos de seguridad del estado. Hay algunos detalles curiosos, pero tras ver la guía mi opinión es que es una guía asequible de implementar, pero lejos de ser unos paranoicos en seguridad. Los temas que tocan están bien, pero faltan muchas más cosas que deberían tenerse en cuenta para tener el punto de paranoia de seguridad que recomendaba Edward Snowden para evitar el espionaje. Os dejo un pequeño resumen.

Figura 1: Las recomendaciones de seguridad en Internet de ISIS
no son para paranoicos de la privacidad

El primer de los detalles interesantes es la recomendación de utilizar Twitter con un segundo factor de autenticación basado en la app oficial de Twitter instalada en el teléfono. De hecho, hacen especial hincapié en que se debe controlar la cuenta de correo electrónico asociado además del terminal para evitar cualquier robo de cuenta.

Figura 2: Recomendación sobre Twiter y 2FA

Sin embargo, viendo la cantidad de información que recolecta Twitter de una cuenta instalada en un terminal móvil no sé si parece la forma más segura utilizar Twitter para no ser localizado. De hecho, hablan incluso de activar la publicación de tweets vía mensajes SMS, lo que aún daría más información aún.

Figura 3: Cuidado con Metadatos y manipulación de GPS

Para las fotografías que se publican, vistos todos los incidentes en el pasado con los metadatos, recomiendan deshabilitar la información GPS de localización y, lo que es mejor aún, falsificar esta información mediante alguna app que manipule los metadatos EXIF para engañar a cualquiera que los esté utilizando.

Figura 4: Sobre el servicio VPN de Freedome

Para navegar por Internet, recomiendan utilizar Tor, como ya se suponía, pero además también recomiendan utilizar servicios VPN concretos, como Freedome, para evitar que sus comunicaciones en redes WiFi sean interceptadas y además ocultar la dirección IP de origen. 

Figura 5: Servicio ProtonMail recomendado

La lista de recomendaciones en cuanto a servicios de correo también es larga y se apunta al uso del ya conocido ProtonMail para evitar la inspección de los mensajes de correos, aunque también se habla de otros proveedores e incluso de métodos de uso de los mismos. Sistemas de correo como Gmail cuenta con filtros automatizados de correos en transito. También se referencia a Mega para el envío de archivos pesados, evitando servicios como OneDrive o similares que también se sabe que tienen capacidades de inspección del contenido.

Figura 6: Recomendación del uso de iMessages

En el uso de los sistemas de mensajería, la lista de plataformas es altísima. Wickr, Signal, Telegram, PQChat, etc... Son muchos los sistemas de mensajes que a día de hoy ofrecen capacidades de cifrado end-to-end. Lo curioso, y es lo que centra el debate en Estados Unidos hoy en día es que iMessage, a pesar de que unos hackers demostraron que si Apple quisiera podría interceptar estos mensajes, se recomienda su uso.

Figura 7: PoC de monitorización de horas de uso de Telegram

También que se recomiende Telegram es llamativo, ya que hemos visto que se podrían recuperar los mensajes borrados de Telegram, que se podría sacar el número de teléfono en que está instalado un Telegram desde otra app en Android con el permisos GET_ACCOUNTs, y que se podría monitorizar en todo momento el estado de la cuenta.

Figura 8: Demostración de cómo Apple podría interceptar iMessages

En el caso de iMessage, además, no solo se podría hacer la interceptación por medio de una manipulación de las claves tal y como demostraron los investigadores, sino algo mucho más sencillo aprovechando las capacidades de iMessage de enviar los mensajes a todos los dispositivos vinculados. Bastaría con que se vinculara un nuevo dispositivo a la cuenta de iMessage a investigar, anulando el aviso del mismo, algo que Apple se ha negado a hacer por el momento. En esa misma línea, en el manual también se apunta al uso de FaceTime para los sistemas de llamadas de voz y vídeo conferencia.

Figura 9: Recomendación de uso de FaceTime

La lista de herramientas es grande, y también en el area de cifrado de almacenamiento, tanto del terminal de teléfono donde se recomienda usar Criptophone o BlackPhone, como en el almacenamiento de pendrives o discos duros de equipos, donde se recomienda usar TrueCrypt o VeraCrypt, entre otros.

Figura 10: Descripción del programa PRISM de la NSA

Vistas las recomendaciones, parecen recomendaciones hechas por gente que conoce bien las herramientas de seguridad y los posibles ataques, pero sin llegar a caer en un modelo hiper-paranoico, porque como se ve, se apunta al uso de sistemas Apple - a pesar de que salieron en la foto de los documentos filtrados de Edward Snowden de la NSA -, confían en ciertas empresas como F-Secure y su Freedome - aun sabiendo que un servicio VPN de terceros es un man in the middle como un servidor proxy - , en software como TrueCrypt, del que se especuló largo tiempo con que tuviera puertas traseras, en la red TOR - a pesar de todos los hacks que se han hecho sobre ella - y se confía en el uso de SMSs y dispositivos móviles generalistas como Android o iPhone - de los que se conocen muchas formas de hackeo -

Saludos Malignos!

Blaster versus Welchi: Modelado del malware competitivo

Normalmente cuando leemos un documento que analiza malware, solemos ver que se describe el comportamiento de un determinado virus de manera aislada. Es decir, se describe su efecto, las vulnerabilidades que usa, impacto sobre el rendimiento del sistema, etcétera, como si el virus estuviera aislado en un solo equipo. Y esto no es así siempre. Una misma vulnerabilidad puede ser utilizada por diferentes tipos de malware e incluso un sistema que no está correctamente protegido o actualizado puede presentar diferentes vulnerabilidades, y por lo tanto ser infectado por varios virus.

Figura 1: Blaster vs Welchi

Típicamente, el malware se mueve en un ecosistema cuya dinámica es similar a la que tienen los los virus biológicos. Compiten entre sí por los recursos, se crean asociaciones de malware que hacen más efectivo el ataque, o bien, al competir entre sí - a veces en autenticas guerras de bots - , minimizan su capacidad de propagación o hacen más evidente su presencia, facilitando su detección. Esto ha inspirado varios trabajos de investigación en los que se analizan diferentes modelos que permiten predecir el comportamiento de este tipo de colaboraciones o de competiciones. Para éste artículo, hemos analizado el comportamiento de dos virus reales Welchi y Blaster que responden a este patrón de comportamiento.

Figura 2: The Ecology of Malware. En este paper se describen
comportamientos competitivos en el malware.

Welchi infecta usando una vulnerabilidad de los nodos asociada al puerto 135 en sistemas opertivos Microsoft Windows sin parchear. Cuando infecta el equipo hace varias cosas, entre las que está inmunizar al sistema con cierta probabilidad (¡más eficiente que algunos antivirus!), bajándose el parche. Además busca a otro virus e intenta acabar con él, en concreto el Bláster. Éste, por otro lado, usa esa vulnerabilidad, pero no inmuniza. Sí que produce un efecto llamativo, y reinicia la máquina varias veces. Este comportamiento se acaba notando, y desencadena que los encargados de la monitorización terminen por detectar la infección y cierren ese puerto, inmunizando el nodo para los dos virus. La probabilidad de inmunización total es más pequeña que la anterior.

En nuestro trabajo estamos describiendo un modelo matemático que permite realizar simulaciones, y lo mejor de todo, descubrir qué parámetros permiten ralentizar o destruir la propagación de un virus. Basándonos en éste comportamiento, hemos diseñado varios modelos - Javier Galeano, Sara Cuenda y yo - basados en modelos de propagación de infecciones SIR modificado y usando técnicas de redes adaptativas. En estos modelos hay una estructura espacial en la que cada nodo representa un equipo o un sistema y los enlaces relaciones entre esos nodos. Cada uno de los nodos puede estar en varios estados, en nuestro caso, Susceptible a la infección del Virus 1, Susceptible para el Virus 2, Infectado por Virus1, Infectado por Virus2 y Recuperado. Una vez el nodo se encuentra en estado recuperado, el nodo está inmunizado.

Figura 3: Modelado de comportamiento competitivo del malware

Para el modelo, consideramos que hay una misma probabilidad de infección por Blaster o Welchi en primera instancia. Una vez infectado por Welchi, hay una probabilidad de inmunización total, pero si se ha infectado por Blaster, hay otra probabilidad de inmunización total distinta. Se asocia al nodo una cierta probabilidad de recuperación, que es igual para ambos. Y hay una probabilidad adicional de recuperación respecto sólo a Blaster, Welchi lo destruye. Pero es independiente de la inmunización.

En la simulación, en cada paso se analiza si un nodo es susceptible al Virus1, si los vecinos conectados directamente con este nodo están infectados por Virus1, y se calcula si se infecta o no en función de las probabilidades definidas; y si es susceptible a Virus2, y está conectado a vecinos con esa infección de la misma manera. Se analiza también la recuperación, y en concreto si está infectado por ambos, existe una probabilidad de que el Virus2 desaparezca, gracias a las propiedades del Virus1 que busca y destruye al competidor.

Figura 4: Evolución de comportamiento de los virus en el modelo

Los resultados son bastante interesantes, sobre todo porque permiten definir un modelo general, que vale para todo tipo de pared de malware. Sólo hay que caracterizar las probabilidades de infección y de recuperación. Esto permite realizar predicciones, establecer planes de diseño de redes más resistentes a propagación de malware, reconcimiento de los nodos críticos, etcétera.

Autor: Rafael Vida

Security Researcher en Telefónica