Dicen que un equipo desconectado de la red es un equipo seguro, pero según las situaciones esto puede ser cierto, o no serlo. En el caso de Stuxnet, el ataque se produjo por una conexión basada en la conexión de un USB, algo que podríamos llamar una conexión intermitente. En todos esos casos, al final, el equipo estaba desconectado de la red... pero no lo suficiente. De hecho, hace tiempo en este blog se habló de lo que se llamaron los Hidden-Links de las redes de una organización, muchas de ellas formadas por conexiones USB, enlaces Bluetooth, modems 3G/4G conectados a equipos, discos duros externos o enlaces a puntos de acceso WiFi.
Figura 1. Cómo controlar un troyano en un equipo desconectado de la red usando SSIDs WiFi maliciosos
Visto esto, la pregunta que quería responderme a mí mismo era, ¿hasta que punto podríamos estar expuestos estando fuera de Internet o de cualquier otro tipo de red? Pues no tan seguro ni tan aislado como se podría pensar. Si tenemos en cuenta los trabajos que se hacen con las técnicas Tempest, la información podría ser sacada con que alguien toque el equipo o, como se ha visto en el último trabajo de la Universidad Ben-Gurion en Israel hasta con un móvil antiguo y obsoleto que esté cerca es posible detectar cambios electromagnéticos de baja potencia producidos en la memoria del equipo para tener una comunicación que envía datos desde el equipo hacia otro destinatario remoto.
Un conexión de red inalámbrica sin conectar a ninguna red WiFi
Para probar un escenario similar, es decir, a tener una conexión de red sin llegar a establecer ninguna conexión de red WiFi decidí hacer mi propio experimento de comunicación entre un equipo troyanizado pero no conectado a ninguna red y un atacante externo. Es decir, supongamos que alguien en el caso similar al de StuxNet hubiera infectado un equipo que está desconectado de toda red, pero ahora quiere enviarle comandos al malware que está en el equipo. ¿Cómo hacerlo? Pues sencillo, la idea es la siguiente:
Se infecta a un equipo con un malware especialmente creado. Por ejemplo vía USB.
Este troyano utilizará las herramientas de red del equipo para buscar redes WiFi cercanas.
Con este módulo se leerán la lista de nombres SSID que hay cercanos.
Los comandos irán directamente en el SSID de las redes cercanas.
Esta técnica no solo puede estar utilizada por atacantes externos para hacer una control remoto de un RAT sin que haya ninguna conexión en el equipo, sino que puede ser utilizado también para, por medio de un programa que genere APs virtuales, sacar datos desde el equipo infectado hacia otro equipo controlado por el atacante.
Para esta Prueba de Concepto he dado el siguiente formato a las SSIDs, para que a través de sencillas expresiones regulares y utilizando las herramientas de red de nuestros sistemas - lo pongo en plural, porque el troyano está escrito en Java, y funciona en Linux, Windows y OS X -, el troyano obtenga una entrada de datos/comandos. Ejemplos usados en las demostraciones:
Figura 2 : Lista de comandos utilizados en las SSID
Gracias al troyano que hemos programado para este experimento - al que he llamado “TroWiSSID” -, podemos utilizar una nomenclatura especial en los SSIDs que tenemos ya prediseñadas, para poder ejecutar código de manera remota y pasiva por medio de comandos. A continuación os pongo un vídeo en el que se puede ver como un equipo troyanizado, el cual a la hora del ataque no tiene red, le ejecutan el primer y segundo comando de la tabla de más arriba por medio de SSIDs con comandos.
Figura 3: PoC de troyano controlado por SSIDs maliciosos en Linux, OSX y Windows
La tabla de comandos expuesta, es una pequeña muestra de lo que se puede hacer, pero el límite es la imaginación.
Las instrucciones más atractivas para un atacante serían el envío de comandos multi-línea, ya que por ejemplo, hubiéramos tenido troyanizado un OS X - como se ve en el vídeo -, podríamos ejecutar el exploit de conseguir la elevación de privilegios y haber obtenido acceso root para hacer lo que nos plazca, inclusive sin que este hubiera tenido red. Como resumen, os dejo aquí algunos pros y contras de este experimento:
- Podemos controlar un objetivo sin que este esté conectado a ninguna red.- Se pueden sacar datos de un equipo usando APs virtuales y SSIDs
- No se requiere una buena cobertura WiFi sobre el objetivo, pero sí una cierta cercanía.
- Usando antenas de gran potencia, se pueden controlar equipos o transferir datos desde muy lejos.
- Si alguien visualiza los SSIDs sería necesario implementar técnicas para que no secuestren el troyano.
Conclusión
Tras este experimento, habría que tener claro que tener una tarjeta WiFi escuchando SSIDs es exactamente igual que tener el equipo conectado a la red, por lo tanto no está desconectado 100% y en el mapa de Hidden Links de una red habría que añadir todos los SSIDs cercanos a los equipos con tarjeta de red WiFi. Para ello, lo mejor es controlar muy bien el espacio de red WiFi que se tiene en la zona geográfica en la que están los equipos que se quieren tener "desconectados". Con un simple dispositivo móvil es posible tener el control de los SSIDs con comandos y sacar datos o enviar órdenes a los equipos infectados de una red. En tus proceso de fortificación de Linux o de fortificación de Windows, acuérdate de apagar la WiFi si no la usas.
Un saludo, Autor: Christian Prieto, escritor del BlogX86.NET
Otra de las conferencias que van a ser presentadas en Black Hat Vegas este año tiene tintes de ser de las más impactantes, sobre todo en un país como el de Estados Unidos dónde el amor a las armas es tal, que te la pueden regalar solo con abrir una cartilla en un Banco. Además de la presentación de los detalles de StageFright y del hacking de los coches remotamente que os comenté en el post de "Hacker, you can drive my car [and maybe I'll love you]", la siguiente conferencia que sin duda hay que ver es la que explica Cómo hackear un rifle de un francotirador para hacer que dispare contra un objetivo distinto al fijado.
Figura 1: Un hacker puede modificar el objetivo de un rifle
Si estuviéramos en otros años, tal vez esta charla pudiera explicar el gran número de agujeros que hizo la famosa bala en el asesinato de JFK, pero estamos en 2015 y de lo que se trata es de un rifle que tiene conexión WiFi, con vulnerabilidades en el software que incorporan, y esto permite a un hacker interactuar con el arma de un francotirador... remotamente.
Figura 2: Los investigadores con el rifle hackeado en la revista Wired
Como se puede ver en el vídeo de demostración, el atacante...digo... el francotirador selecciona con el software del rifle el objetivo, mientras que el atacante [o el que se defiende del francotirador] es capaz de cambiar el objetivo seleccionado. En el vídeo se apunta a una diana, y después se impacta contra otra. Es decir, vas a darle a un ciervo y matas a otro... o a una persona que esté cerca, quién sabe.
Figura 3: Demostración de cómo se consigue hacer errar el tiro de un rifle
Los investigadores Runa Sandvik y Micahel Auger, han descubierto las vulnerabilidades en rifles de gama alta (valen 13.000 USD cada uno) de la empresa Tracking Point, en concreto el modelo TP750 que lleva un software basado en Linux para apuntar de forma automática. En la foto se ve cómo lo abrieron para hacerle ingeniería inversa al software.
¿Y ahora cualquiera podrá hackear un rifle de estos?
Por supuesto, con la cantidad de rifles y armamento con software para fijar el tiro que existen en el mercado, estos investigadores acaban de abrir una nueva Caja de Pandora en el mundo de la búsqueda de vulnerabilidades. El número de escenarios en el que una persona, organismo, ejercito o gobierno puede querer configurar el disparo de un rifle o anularlo puede ser muy alto y muchos de ellos para dar comienzo a una película de Hollywood.
Figura 4: El rifle TP750 de 13.000 USD que reversearon
Por si acaso, los investigadores no van a liberar los exploits con el objeto de no ayudar a un posible "script-kiddie" o "rifle-kiddie" a hacer algún destrozo, pero con la información que darán en la charla seguro que para los profesionales será más que suficiente. Miedo++.
Con la llegada de BlackHat y Defcon todos los años la actualidad en el mundo de la seguridad informática y el hacking se acelera. Tanto, que casi no llegamos a tiempo de procesar todas las noticias que van surgiendo para entender los detalles de cada una de ellas. En esta ocasión le toca el turno a StageFright, nombre molón que ha recibido este bug - no tanto porque los investigadores hayan querido buscar un alias cool a su investigación sino - porque es la librería de Android que se ve afectada por los bugs que explotarán en su próxima presentación en Las Vegas. Eso sí, logo tenemos uno guay.
Figura 1: StageFright ¿Alguien necesita los MMS en Android?
Para hacer corta la explicación, el bug permite la ejecución arbitraria remota de código en cualquier dispositivo Android no parcheado por medio de un mensaje MMS malicioso. Esto, para los que no entienden la sutileza de los eufemismos en seguridad informática, viene a significar que cualquier atacante te puede enviar un mensaje MMS a tu dispositivo Android y, sin que tú hagas nada, el atacante va a poder ejecutar un programa que será un software de control remoto de tu dispositivo (una R.A.T. "Remote Administration Tool") que le servirá para que tu Android sea parte de una botnet o para meterte una shell y ejecutar comandos a gusto, o para meter un software de espionaje del dispositivo.
El bug de StageFright en Android
Dicho esto, aunque los investigadores han hecho un Responsible Disclosure y han comunicado todo antes a los ingenieros de Google para que lo solucionen - ya están parcheadas las últimas versiones -, aún se han hecho públicos los detalles técnicos para sacar un exploit que pueda ser utilizado en frameworks como Metasploit y, lo que va a ser peor, en plataformas de spyware com Hacking Team RCS o FinSpy de FinFisher, es lo que tiene.
Sin embargo, no habrá que esperar mucho y seguro que ya alguno ha dado con ello, pues se sabe que la librería está escrita en C++ y se trata de un problema en la gestión de la memoria - como no -, algo que los que se dedican a hacer exploiting de Linux sabrán como localizar en breve.
Proteger tu Android contra StageFright
La fragmentación que hay en Android hará que al final, muchos de las versiones de los sistemas operativos quedarán sin parche oficial, así que tendrás que tomar medidas para solucionarlo. Algunas de ellas pasan por buscar una alternativa como CyanogenMod para conseguir actualizar el dispositivo móvil a pesar de que no exista una distribución oficial del fabricante y las otras... por matar el MMS en tu dispositivo.
Al final, la felicidad es saber valorar lo bueno que hay en una relación y no dejar que lo que no tienes te impida disfrutar de todo lo que sí que tienes. En Android tienes infinidad de formas de comunicarte con mensajes, como WhatsApp, SMS, Facebook Messenger, Line, WeChat, Kik Messenger o SpotBros por citar algunos, por lo que ... ¿quién va a echar de menos al MMS?
Figura 3: Deshabilitar carga automática de MMS en Android Messaging
Si tienes un terminal Android tienes que conseguir desactivar los MMS, desactivar la carga automática de MMS - para que sí que haya necesidad de que sea manualmente la cargar de los mismos -, desactivar la recepción de envío de MMS desde remitentes desconocidos o si no... quitar las apps de mensajería que uses y poner la clásica Android Messaging que sí que lo permite, tal y como explican en Naked Security.
Figura 4: Deshabilitar carga automática de MMS en Hangouts de Android
Ten por seguro que, en cuanto se publiquen los detalles del bug, habrá muchos haciéndose botnets de Android con este exploit. ¿Estás listo para vivir sin MMS y disfrutar del resto de cosas que existen para enviar y recibir mensajes en Android? El bug es crítico pero el punto dónde se produce es prescindible.
Figura : Fake App de Dubsmash v2 que solo muestra fotos (y hace Click-Fraud)
Los dominios de la infraestructura, como ya os conté, están registrados a nombre de un correo de un desarrollador de apps turco que incluso tiene asociada una cuenta de Facebook - siguiendo una de las malas prácticas que citaba yo a la hora de subir apps, pero en este caso para registrar servidores que van a hacer cosas malas.
Figura 3: Cuenta Facebook asociada a e-mail de registro Whois de servidores usados para Click-Fraud
En la lista que publicó ayer nuestro compañero Sergio de los Santos, había 24 apps que habían sido descubiertas por medio de nuestra plataforma Tacyt, creando búsquedas de singularidades con las nuevas muestras descubiertas.
Muchas de ellas simulan ser juegos y lo único que muestran son fotos mientras que por debajo realizan la estafa. Muchos de los comentarios de los usuarios que la instalan - lejos de pensar que están infectados, solo se quejan de que hay fotografías.
Pero no solo esas apps son maliciosas, como ya conocéis, una vez que se detectan apps la verdadera potencia de Tacyt es crear filtros con las singularidades de estas apps y localizar nuevas muestras que vayan apareciendo y que pertenezcan a la misma familia. Así fue como cuando revisé yo por la tarde la lista de apps apareció aún otra más que no habíamos descubierto porque había sido modificada por la mañana en Google Play. La app simula ser Prison Break: Escape.
Figura 6: Prison Break: Escape es una fake app que también forma parte de la campaña de click-fraud
La app utiliza el mismo truco, simular ser un juego relativo a la serie, para de nuevo solo mostrar fotografías, generando de nuevo el cabreo entre los que se la descargan. Pero, por detrás, sigue siendo una aplicación de la campaña de este clicker. Este gancho hará caer a los fans de la serie, al igual que si lo hubieran hecho con TRON hubiera podido caer yo mismo, que TRON está, dónde está mi corazón.
Figura 7: Mismos comentarios en los primeros que se la descargaron
Figura 8: Fechas de la app. Fue creada el 21 de Julio y el apk final el 27 de Julio de 2015
Visto todo esto, parece que está en plena campaña de generación de dinero a través de Fake Apps, por lo que iremos actualizando el artículo con al lista de nuevas apps que descubramos con Tacyt. Al mismo tiempo está claro que los controles de Google Play no están siendo ninguna barrera para él. Ten cuidado con la que instalas en tu Android.
Tras ya más de un año jugando con nuestra plataforma de investigación en el mundo de las appsTacyt, hemos realizado muchos informes de seguridad a empresas sobre las amenazas en el mundo de las apps de Android. Una de las cosas que hacemos es generar una documento con las debilidades que vemos a sus apps publicadas, donde como os podéis imaginar la lista de cosas que nos hemos ido encontrando es larga.
Figura 1: Cómo elegir un "mal desarrollador" para publicar tu app
Hoy quería comentaros unos detalles sobre la cuenta de publicación de a las apps en Google Play. En este apartado quería recalcar que al final, la cuenta que tiene acceso a la plataforma es la autentica dueña de las apps, y es por tanto importante que se tenga muy controlada, en todo momento, esa identidad. Al acceso de esa cuenta se debe poner un segundo factor de autenticación, para que ningún atacante que se haga con la contraseña pueda utilizarla en ningún momento, algo que es evidente, pero además hay que elegir la identidad correctamente para la cuenta de Developer:
- Cuentas gratuitas para instituciones: La verdad es que una de las cosas que llama más la atención es encontrarnos como cuenta de developer para un banco, una empresa multinacional o una gran organización, que el desarrollador es una cuenta de Gmail, Hotmail o iCloud. En todo momento, una persona con algo de cuidado tiende a sospechar de este tipo de apps cuando se buscan apps oficiales, lo que hace que se pierda confianza y por tanto baje el número de apps descargadas. Si tienes una de esas, pon un 2FA y ten cuidado no te la estén espiando.
Figura 2: Apps con la palabra Bank en el Título de la app y cuenta de desarrollador de Gmail
- Cuentas de desarrolladores personales: Otra de las cosas curiosas es que, cuando encuentras una cuenta de correo electrónico para el desarrollador que no es genérica, y parece que es personal, como por ejemplo lucas.martin@miorg.lol también suceden problemas, que hay que tener presentes:
Figura 3: John King era el desarrollador de esta app del South Bank
- La cuenta ya no existe: Si la app tiene un poco de tiempo, basta con enviarle un mensaje de correo electrónico para ver si esa cuenta sigue existiendo o no. Si no existe, tenemos un problema a corto, pero es que además puede que el empleado ya trabaje para otra empresa.
- La cuenta no se puede tocar: Esa cuenta pertenece a una persona, y en muchos casos va a ser totalmente imposible meterle mano sin el permiso de esa persona. Re-crear la cuenta o cambiar la password para poder acceder a sus mensajes puede suponer un problema legal para la organización.
- La cuenta tiene perfiles de redes sociales: La imagen es más divertida si la cuenta del desarrollador es una cuenta personal que tiene asociados perfiles en redes sociales, como Facebook, Twitter, etcétera, lo que puede ser muy útil para saber más del desarrollador y la imagen de la empresa. Acabas de crear un portavoz de la organización sin pensarlo.
Figura 4: Cuenta de Gmail personal para una app del Everest Bank
- Objetivo claro de APT: Por supuesto, si hay una organización enemiga que quiere hacerte un APT, acabas de apuntar con dedo a la persona clave a la que hay que atacar, así que más vale que le hayas puesto un buen entrenamiento de seguridad para evitar problemas.
- Cuentas de desarrolladores de empresas terceras: Esta es otra de las cosas que nosotros miramos. Muchas de las apps están subcontratadas, por lo que es fácil saber qué empresa es la encargada del desarrollo con este tipo de cuentas. Esto puede generar:
- Salir en listas no deseables: Esto puede dar situaciones cómicas, donde el desarrollador hace apps de muy diverso ámbito y la empresa puede aparecer listada en lugares poco deseables en el futuro. Una empresa que es capaz de cuidar sus referencias en proveedores al extremo, pierde el control total al utilizarse una cuenta que delata su procedencia.
Figura 5: Todas las apps creadas por la misma empresa. Todas son cuasi-iguales
- Riesgo de seguridad asumido: Además, se acaba de asumir en el plan de riesgos la seguridad las políticas de seguridad y los fallos que tenga esa empresa, así como se ha extendido la superficie de exposición de la compañía.
Lo ideal es que se controle totalmente esa cuenta de developer y se tenga protegida dentro de la compañía para evitar cualquier problema de imagen y/o seguridad asociada a la app. Es algo fácil de controlar y que no requiere grandes esfuerzos - solo organizativos -, así que revisa cuáles son los desarrolladores de tus apps y toma medidas.
Decía la canción de los míticos Beatles eso de "Baby, You Can Drive My Car", en una poesía para la posteridad que cuenta la historia de una chica que quiere ser una estrella de Hollywood y que se enamora de un hombre al que ofrece ser su chófer... [aunque aún no tuviera coche] para completar con un "...and maybe I'll love you". Preciosa. A mí no me gusta conducir en el monótono trayecto de atascos yendo a la oficina o en esos momentos en que lo hago pensando en trabajo, pero sí que me gustan los coches y conducir de vez en cuando en viajes largos escuchando Spotify. Uno de mis sueños siempre ha sido hacerme la Costa Oeste de Estados UnidosNorte a Sur por la carretera del Pacífico mientras suenan los grandes éxitos de Bon Jovi. Dormir en hoteles al borde del océano y terminar en Santa Mónica o San Diego para bañarme en la playa. Mola. Ójala lo consiga hacer pronto.
Figura 1: Hacker, you can drive my car
Me gustan los coches, y por eso pongo mimo y cuidado cuando me compro un nuevo Maligno-Móvil, ya que lo voy a disfrutar durante años y quiero algo diferente siempre. Por desgracia, no soy muy buen conductor y los días en que estoy presionado por estrés, agobiado de trabajo o con muchas preocupaciones personales tiendo a despistarme y tener algún que otro sobresalto. Alguien me dijo que en el último año y medio había tenido el coche más tiempo en el taller que en circulación, y es que he tenido algún que otro "cambio de aerodinámica no deseado" con él. Necesito un chófer yo también para esos días de trabajo, donde conducir no es un placer sino una necesidad, pero cuando me compré mi último Maligno-Móvil, la ciencia no había puesto los coches que conducen solos como en Yo, Robot en el mercado. Ahora, todo parece diferente.
Las declaraciones de Bill Gates en 1997 sobre la industria del coche
En el año 1997 Bill Gates hizo una referencia en una conferencia a cómo la industria de la informática había avanzado de rápido en los últimos 20 años. En esa referencia, para que la gente pudiera darse cuenta de los avances tecnológicos que habían existido desde los primeros computadores de los años 50, para pasar por los minis, los PC, el nacimiento del Internet de consumo y la multimedia, decidió compararlo con la industria automovilística diciendo algo como:
"Si la industria de la automoción hubiera mantenido el ritmo en evolución al que va Silicon Valley en el desarrollo de la informática, los conductores podrían comprar a día de hoy vehículos con motores V30 que alcanzasen las 10.000 millas por hora o coches que consumieran 1 galón cada 1.000 millas, y por un precio de menos de 50 USD"
En esta comparativa Bill Gates quería hacer notar que la evolución, tanto del hardware como del software, había sido a un ritmo exponencial, nunca visto en ninguna otra industria a lo largo de la historia, pero a la gente le llamó mucho la atención y empezó a correr el bulo de que el presidente de General Motors le contestó - algo que no es cierto -. Lo que sí que pasó es que en el año 1999 se empezó a contar la historia con un chiste en el que se recogía una supuesta nota de prensa de General Motors que decía cosas como:
Si General Motors hubiera desarrollado la tecnología como lo hace Microsoft, nosotros conduciríamos hoy día coches con las siguientes características:
1.- Sin ninguna razón, tu coche se estrellaría dos veces al día.
2.- Cada vez que se pinten las líneas de la carretera deberías comprarte un nuevo coche.
3.- De vez en cuando, al ejecutar una maniobra como girar a la izquierda causaría que tu coche se apagase y se negase a arrancar y tú tendrías que re-instalar el motor.
4.- Cuando tu coche se apagase en mitad de la autopista sin ningún motivo, tú lo aceptarías, rearrancarías y seguirías conduciendo. [..]"
La falsa nota que se creó para generar un chiste que se contó durante años tenía más puntos, todos ellos pensados para generar humor en las personas por lo irrisorio y absurdo de lo allí contado. Pero esos tiempos ya terminaron y hoy esos 13 puntos no parecen ni imposibles, ni improbables, ya que hace ya tiempo que la industria del software y la industria automovilística se unió.
Los pasos tecnológicos de la industria de automoción
Lo cierto es que desde hace muchos años la industria de la automoción sí que fue acelerando su evolución tecnológica y sacando mucho más del desarrollo de soluciones para el control del vehículo y la conducción que necesitaban de mucho software y hardware específico. Siempre suelo contar en este punto cómo los ingenieros-hackers que trabajan en la dura competición de la Formula 1, las carreras Indy o los SuperTurismos se dejan los ojos para hackear las normas y la tecnología con nuevos inventos.
Descubrimientos que como el ABS, el ESP, el efecto suelo, la suspensión inteligente, la tracción Quattro, el Kerts o el F-duct, pasan de un entorno de competición al mundo del consumo con los años, adaptados eso sí, a la normativa vigente.
Figura 3: Patrick Depallier conduciendo el Tyrrell P34 con 6 ruedas en Montecarlo.
Ganó hasta que lo prohibieron.
En el entorno de consumo, a día de hoy, los vehículos cuentan con un sistema informático completo dentro de ellos, con una unidad centralita que configura la funciones principales del vehículo - llamada ECU "Engine Control Unit", una serie de unidades de control distribuidas por todo el coche y unos interfaces de usuario muy definidos que van desde el sistema de entretenimiento, pasando por los pedales, palancas de cambio y volantes, hasta llegar a los sensores internos que detectan situaciones en las que aplicar ABS, ESP o el control de tracción a las cuatro ruedas.
Algunos hackeos del coche: Arranque, Configuración y Conducción
Supongo que muchos conoceréis los primeros hacks en los coches, que tuvieron lugar con los sistemas de llaves. Códigos de cerraduras que eran copiados o robados y empleados en abrir un coche y llevárselo. En Septiembre de 2012, ya como colofón a una década de hacks con las cerraduras electrónicas, llegó el hackeo de las llaves de los BMW 1, que con un dispositivo de unos 30 USD más o menos, podrías copiar cualquier llave y llevarte cualquier coche.
Figura 4: Gadget para robar los BMW 1
El caso de los BMW 1 era especial, ya que llamaba la atención al ser uno de los primeros coches masivos en los había un botón de arranque y apagado y no había que meter la llave, así que estaba claro que toda la lógica tenía que estar allí. Yo la primera vez que me subí a uno - que he de decir disfruté mucho - fue algo de lo que más me llamó la atención. Lo mejor de todo es que años después BMW lo volvió hacer con un sistema de control remoto que no tenía HTTPs y que permitía a cualquiera robar el coche con una simple app. Esto obligó a la compañía a parchear 2.2 Millones de coches.
En el caso de las centralitas, sucede algo similar. Cuando has llevado tu vehículo a un taller habrás visto que los mecánicos conectan un aparato de control de la centralita para sacar la información de los errores. Esto no es nada nuevo, y desde hace décadas los vehículos reportan sus fallos y se configuran vía estas centralitas.
Figura 5: Hacking de ECU en DefCON 21
En la DefCON 21, dos investigadores españoles contaron cómo era posible configurar diferentes valores en los parámetros con que se comercializa un vehículo a través de un hardware construido por ellos mismos con Arduino que implementaba el protocolo K-Line. Podrías utilizar el mismo coche pero hacerle una especie de "overclocking" para ponerlo a tu gusto... pero también podrías hacer cosas mucho más peligrosas.
Figura 6: Charlie Miller y Chris Valasek en DEFCON 21
En esa mismo año, Charlie Miller y Chris Valasek contaron también en DefCON 21 cómo habían hackeado un Toyota Prius para conducirlo desde un ordenador personal, tal y como se puede ver en su presentación en Las Vegas.
Figura 7: Charlie Miller y Chris Valasek quitan frenos a Ford Escape
Estos dos investigadores llevan años investigando y haciendo ingeniería inversa de los protocolos utilizados en los coches, y sus vídeos son muchos en la red sobre esta materia. En este otro caso podéis ver cómo desde el asiento de al lado, Chris Valasek le quita los frenos desde el ordenador al Ford Escape que conduce Charlie Miller, configurando en tiempo real el coche. ¿Miedo? Pues era de esperar que llegara el Connected Car.
El Google Car: Los accidentes y el coche como plataforma
Con el conocimiento de que se podía controlar el coche directamente desde la ECU, los ingenieros de Google comenzaron a trabajar en la idea de hacer un coche que condujera solo. Para ello, dentro de los laboratorios de Google X destinaron a un montón de ingenieros a trabajar en justo lo que habéis visto en el vídeo superior, controlar la conducción del vehículo constantemente para, por medio de inteligencia artificial, hacer que el vehículo condujera solo.
Yo monté en uno de los prototipos de Googlecuando visité Google X y tuve la suerte de conocer a Sergey. El coche iba controlado por un conductor de emergencia y un ingeniero que monitorizaba el ordenador desde el asiento de copiloto para ver si todo iba bien. El ordenador iba mandando las órdenes al sistema informático del vehículo para que acelerase, frenase o moviera la dirección, todo muy chulo, pero solo se podía utilizar en algunas zonas del estado de California que se habían habilitado para eso. Muestra esto de lo alineados que están los gobernantes con la innovación en Silicon Valley.
Figura 8: Cómo ve un coche sin conductor la carretera
Estando en el coche, que era un Toyota como en el caso de los hackeos iniciales de Charlie Miller y Chris Valasek, le pregunté a los ingenieros muchas cosas. Les pregunté si habían recibido los manuales del fabricante de coches o habían hecho ingeniería inversa, a lo que me comentaron que los habían "hackeado" ellos, además de algo que me vino a la cabeza en ese instante:
- "Oye, ¿habéis implementado algoritmos para tratar con accidentes no evitables?"
- "No, los coches no tendrán accidentes, están programados para ello", contestó uno de los ingenieros con cara de sorpresa.
- "No creo yo que eso sea así, habrá situaciones que no se pueden predecir, como un humano cometiendo un error, un gato que salta o un fallo de cualquier tipo que obligue al conductor a tomar una decisión lo más rápido posible para salvar vidas", le argumenté.
No habían contemplado nada de eso en aquellos momentos, porque inicialmente los vehículos estaban pensados para que condujeran solos en un entorno donde todos los coches conducirán solos, pero hasta que eso llegue - e incluso llegando - harán falta esos algoritmos. De hecho, el Google Car ya se ha visto envuelto en muchos accidentes - siempre por culpa de terceros -, pero que tal vez podrían haberse evitado, o limitado su impacto, de existir esos algoritmos. ¿Quién sabe? De hecho, Google ahora publica los informes de los accidentes de sus coches sin conductor, para evitar que se corran rumores sin información.
Lo cierto es que Google está haciendo a la industria del coche conectado algo similar a lo que hizo Apple a la industria del teléfono. En lugar de ser una empresa de teléfonos la que construyó el SmartWatch, fue una empresa tecnológica. Tal vez por lo que dijo Bill Gates en 1997 de la velocidad a la que se trabaja en Silicon Valley, y ahora parece que en el mundo de la automoción Google quiere hacer lo mismo.
Es su industria, ha puesto el pie sobre ella y es a a la que va a aplicar disrupción de la buena. Tiene ya mucho por avanzado en ese camino. Ya tiene Google Maps, Google Street View, el sistema operativo Android para construir sobre él, Waze para tener más información del tráfico y parte de Uber a través de Google Ventures. Todo eso, para dar soporte a su proyecto del coche conectado de conducción autónoma. Apple parece que va por detrás, y los rumores - que no dejan de ser rumores - son que comprará alguna casa como Tesla o similares, para revolucionar esta industria, aunque Google parece que va muy por delante.
Figura 10: ¿Apple Car con Tesla?
No pasa nada, ya veremos quien se queda con las próximas industrias, como la de la gestión de los hogares o, la más e importante de todas. ¿Quién construirá Matrix y "dirupcionará" el Connected Human?
El Connected Car y los hackeos remotos
Lo cierto es que, si los coches están conectados a Internet, existe una posibilidad de que cualquiera remotamente consiga hacer algo de lo que han hecho los hackers o los sistemas de inteligencia artificial que hemos visto, pero ahora desde la red. Es decir, configurar el freno, la dirección y la velocidad a la que va un coche. Pero podrían hacerse cosas más sutiles, como cambiar los parámetros del ABS, ESP o la tracción a las cuatro ruedas. Mil detalles que, si alguien de forma maliciosa pudiera hacerlos, podría convertirse en una gran catástrofe. Y se puede hacer.
En el año 2014, Jaime Andrés Restrepo presentó en la Campus Party México cómo era posible ejecutar comandos remotamente a partir de un fallo en el sistema Chevistar de Chevrolet. Aquí el vídeo de la presentación.
Figura 12: Charlie Miller (izda) y Chris Valasek (derecha) controlado el Jeep Cherokee para Wired
En su demostración lo han hecho con un Jeep Cherokee para conseguir pararlo en mitad de la autopista, tal y como decía la leyenda urbana que pasaría en 1999 si la industria de los automóviles hiciera tecnología como Microsoft. El círculo se cierra. La ironía en el futuro será tener un accidente en un coche sin conductor por culpa de un bug en el driver.
Lo cierto es que hace unos años, tras ver las demos de hacking de aviones, un hacker en Alemania en el año 2013 me contó que ya había reportado varios bugs remotos como estos, pero nunca vi ninguna noticia pública de esto. Ahora es público, ya se sabe que se puede, y lo que no sabemos es si se ha usado ya en el pasado. ¿Quién sabe? Yo, sigo colgado con los billetes listos y preparados para hacer ese viaje por la costa del Pacífico, así que si quieres venir conmigo solo tienes que decir "Hacker, You Can Drive My Car".
A día de hoy Latch cuenta con más de 250.000 usuarios, lo que hace que cada día la comunidad de personas que protegen sus identidades con esta tecnología sea mayor. El número de integraciones y plugins que vamos viendo nos llenan de alegría, y cuando veo algún trabajo de implementación como el que os vengo a contar hoy tengo que dedicarle una entrada para compartirlo.
Figura 1: Integración de Latch en Phpost ¡explicado paso a paso!
Figura 2: Integración de Latch en un sitio con Phpost
En el artículo que ha publicado, se ha preocupado en explicar con minucia todo lo que ha ido realizando en el código fuente de PHPost, qué ha ido modificando, qué ha ido añadiendo y qué cambios ha realizado en el motor de base de datos de MySQL para que funcione todo bien.
Para que podáis ver el resultado, tenéis este vídeo que explica cómo funciona la integración de Latch con PHPost una vez terminada, para dotar a los usuarios de un Segundo Factor de Autorización que les ayude a controlar mucho mejor el uso de su identidad en cada uno de los sitios que tienen implementado este mecanismo de seguridad. Si tienes un sitio con Phpost te puedes animar a hacerlo tú también. Espero que David se anime y cuelgue todo el plugin empaquetado en algún repositorio de GitHub para que todo el mundo pueda utilizarlo.
Figura 4: Vídeo demostrativo de cómo funciona la protección de Latch en Phpost
Existen muchas personas que, sabiendo que la víctima utiliza WhatsApp, usan técnicas para monitorizar la actividad de su víctima, con el objetivo de sacar información de su vida personal en todo momento en base a horarios de uso de WhatsApp, a las fotografías y mensajes que pone y a si está o no agregado un determinado número de teléfono en la agenda de contactos de la víctima. No todas esas opciones se pueden bloquear, porque algunas son intrínsecas al funcionamiento de la tecnología detrás de WhatsApp, pero otras se pueden controlar un poco. Vamos a ver algunas de las que sí se pueden controlar.
1.- Privacidad de tu número de teléfono: Bórralo de Internet
Probablemente tu número de teléfono lo cambies pocas veces en tu vida, así que procura que su difusión sea limitada. Es más que probable que en tu tarjeta de visita lleves tu número personal y que lo hayas asociado como segundo factor de autenticación a muchas cuentas, así que extrema las precauciones por donde lo publicas, ya que también es tu número de WhatsApp.
Figura 2: ¿Quién puede consultar tu número de teléfono en Facebook?
Si tienes un iPhone con Siri activado con el teléfono bloqueado y has puesto tu información personal en iOS, cualquiera puede preguntarle a Siri ¿Quién soy yo? y le dará tu número de teléfono personal asociado a ese dispositivo, así que asegúrate de si quieres tener Siri activado o no con el dispositivo bloqueado o no.
Figura 3: Abajo a la derecha sale información de las opciones de privacidad de foto y estado
Estos fallos parece que aún no han sido subsanados, y herramientas como WhatsSpy-Public se aprovecha de ellos para sacar esa información de la persona vigilada, así que no pienses en ningún momento que porque no tengas a la persona en tus contactos y hayas configurado la privacidad de la foto y el estado ya no va a poder ver esos datos, así que asume que tu foto y tu mensaje de WhatsApp son públicos.
Figura 4: Configuración en WhatsApp de quién puede ver foto y estado
En el caso de las empresas, el que un atacante pueda conseguir fácilmente el número de teléfono de todos tus empleados, puede ser utilizado para convertir WhatsApp en una fuente de datos OSINT para su ataque. Ya vimos en el pasado como una persona, monitorizando esta información una herramienta como WhatsApp Intelligence, puede crear una base de datos para saber quién y cuándo, y lo que es más importante, qué está pasando.
Informa a tus empleados de que la información que pongan por WhatsApp puede estar siendo monitorizada por un atacante, para que intenten no dar ningún dato que pudiera ser usado en contra de la empresa.
3.- Control de las horas de conexión en WhatsApp: Cuentas borradas, cuentas bloqueadas
Esta es una de las cosas más difíciles de evitar ya que hay diferencia entre si una cuenta está bloqueada o si una cuenta NO está en la agenda de contactos, y en cualquier caso siempre van a poder saber a qué horas estás conectado a WhatsApp o no. Esto es usado por muchos acosadores cruzándolo con datos de varias personas, es decir, intentan sacar patrones y horarios de conexión entre dos personas cruzando sus estados de conexión. Herramientas como WhatsSpy-Public y WhatsDog permiten monitorizar en todo instante a qué horas está conectada una persona y es difícil evitar esto bloqueando en WhatsApp la cuenta del stalker.
Figura 6: WhatsDog monitoriza las conexiones de una cuenta de WhatsApp
Cuando una persona usa WhatsApp Dog para monitorizar los horarios de conexión de otra persona puede utilizar su cuenta habitual de WhatsApp. Si la víctima sabe cuál es esa cuenta y la bloquea, entonces el espía NO podrá:
- Ver la foto de perfil de contacto: No verá la fotografía - Ver el estado de la persona: Verá un estado vacío - Ver el horario de última hora en línea: No saldrá - Saber si está online ahora mismo: No saldrá la información de "online" nunca
El atacante, entonces, podrá hacer varias pruebas para saber si está bloqueado o simplemente le han borrado de la agenda de contactos. La primera de ellas sería saber cuál es la configuración de privacidad de la cuenta de su víctima usando una nueva cuenta de WhatsApp para intentar ver:
- Si tiene acceso a la foto - Si tiene acceso al estado - Si tiene acceso la última hora en línea
Estas tres características de privacidad las puede tocar cualquier usuario en WhatsApp y se pueden sacar un buen montón de conclusiones al respecto con estas pruebas:
- Si tiene acceso a la foto desde esta nueva cuenta: Eso quiere decir que la víctima tiene configurada la foto para "Todo el mundo" y que él está bloqueado en su cuenta de WhatsApp habitual.
- Si tiene acceso al estado desde esta nueva cuenta: Esto quiere decir que la víctima tiene configurada el estado para "Todo el mundo" y que él está bloqueado en su cuenta de WhatsApp habitual.
- Si tiene acceso a "Last Seen / Última hora en línea" desde esta nueva cuenta: Esto quiere decir que la víctima tiene configurada la opción para "Todo el mundo" y que el atacante está bloqueado en su cuenta de WhatsApp habitual.
Ahora bien, si desde esta nueva cuenta no se puede ver nada de eso, entonces puede ser que la víctima haya configurado que esos datos, es decir, Foto, Estado y Última Hora En linea, estén solo para sus contactos. Sin embargo, hay algo que no puede configurar, y es si está Online o no.
Figura 7: Configuración de comparticiíon de Última hora en línea
Si con la cuenta habitual del atacante sale online o no periodicamente entonces es simplemente que no está en los contactos, pero si nunca sale online en la monitorización con WhatsApp-Spy o WhatsDog, entonces es que la víctima ha bloqueado esa cuenta. Al atacante le basta con usar otra cuenta de WhatsApp y podrá monitorizar si se conecta o no, porque:
- Cuando una cuenta está bloqueada, esta no puede ver si está online o no otra cuenta. - Cuando una cuenta no está en los contactos siempre puede saber si otra cuenta está o no online.
Como consecuencia de esto, aunque la víctima haya establecido el valor de "Última hora en Línea" para nadie, o solo para sus contactos, como el atacante utiliza una cuenta que periódicamente monitoriza si está online o no, siempre puede saber cuándo fue la última vez que se conectó, que será la última vez que estuvo online. Lo curioso es que, si configuras que nadie vea cuándo fue la última vez que estuviste online, tú no serás capaz de ver la última vez que alguien estuvo online, con lo que ganas poco de privacidad y pierdes usabilidad.
Dicho esto, WhatsApp no permite bloquear que se consulte o no si estás online para gente que no es tu contacto, y debería permitirlo en futuras versiones, ya que como se ve, usando una nueva cuenta siempre te pueden controlar. De hecho, puedes estar controlado ahora mismo sin saberlo.
4.- Doble check azúl: Configurar si has visto el mensaje o no
Desde que salió la opción de ver si se ha visto el mensaje o no, hay una presión brutal por parte de muchas personas que se ven agobiados con esto. A día de hoy es posible deshabilitar el doble check azul, perdiendo la posibilidad de ver el doblecheck azul de otras personas, pero existen algunos trucos para tenerlo activado y que no se manden los checks.
Figura 8: Deshabilitar el envío de la confirmación de lectura del mensaje
Muchos de los trucos anteriores, como deshabilitar Internet o usar tweaks en dispositivos con jailbreak/rooting ver los mensajes y apagar la app pueden funcionar, pero es cuestión de tiempo que WhatsApp lo arregle y dejen de funcionar. Sin embargo, se pueden usar las opciones de previsualización dentro de la app y un truco que me contaron - mil gracias, vales un millón de Bitcoins - que ayuda ver todos los mensajes en iPhone sin que se muestre el doble check azul y es utilizar el Notification Center de iOS.
Figura 9: Mostar 10 mensajes en el Notification Center de iOS
Para ello, hay que configurar la aplicación de WhatsApp para mostrar los últimos 10 mensajes en el Notification Center de iOS y listo. Se podrán leer los mensajes sin que llegue ninguna alerta, y así no se está sometido a ninguna presión de "has leído el mensaje, contesta".
Un último truco que sí que funciona muy bien para poder ver todos los mensajes, e incluso los contenidos multimedia, consiste en enviar la conversación por e-mail. La app de WhatsApp enviará toda la conversación en un fichero TXT adjunto, junto con los archivos que se hayan enviado por el chat sin enviar el doble check azul.
Ahora, en la nueva versión de WhatsApp ya se pueden marcar como No leídos los mensajes - además de silenciar a un contacto - por lo que tendremos una nueva experiencia de usuario con estos mensajes y el doble check azul.
5.- Guardar fotos y vídeos en el carrete automáticamente
Otra de las opciones que me gusta recordar es que si descargas automáticamente el contenido multimedia en tu carrete, y este está sincronizado para hacer backup en alguna carpeta con alguna herramienta, entonces no vas a tener control de que lo se está guardando. Es mejor dejar el contenido en el chat y manualmente guardarlo en el carrete.
Figura 13: Opción de guardar archivos multimedia en el carrete
Además, me gustaría recordad que las fotos que se ponen en los perfiles de WhatsApp tienen metadatos, pero no los originales, ya que WhatsApp pone sus propios metadatos a todas las fotografías, así que nunca podrás sacar de ahí algo válido. También se borran los metadatos de las fotos que se envían por el chat, pero esto no garantiza que se eliminen los metadatos de todos los tipos de documentos, así que ten cuidado con qué información envías.
6.- Utilizar una conexión con VPN
El uso de una conexión VPN no solo ayuda a evitar que te capturen los mensajes que se envían en aplicaciones de WhatsApp antiguas vulnerables al descifrado de la comunicación como vimos en la segunda parte. Además, ayuda a evitar cuando los mensajes son de grupo, que se conocen ciertas limitaciones en el protocolo de cifrado que se usa, y a que alguien te pueda capturar el número de teléfono cuando te registras.
Estas opciones tiene más que ver con caer en trucos de ingeniería social que en ser unas opciones de privacidad pura y dura, pero quería incluirlas también para que la gente lo tuviera presente. En WhatsApp es posible manipular las fechas y el contenido completo de los mensajes, así que no hay porque tomar por segura ni fecha ni el contenido de un mensaje.
Figura 15: Creación de mensajes falsos de WhatsApp
Las opciones de privacidad que tú quieras añadir a la visualización de los mensajes son decisión tuya, pero si alguien te enseña un mensaje de WhatsApp, este puede haber sido manipulado.
8.- Actualizar la app para evitar que localicen tu dirección IP
En la última parte de este artículo quiero volver a hacer notar la importancia de actualizar las apps de WhatsApp. Existe una versión en concreto de WhatsApp para Android en la que se activó la pre-carga de contenido automático para hacer una previsulación de icono en la URL. Esto fuerza una petición desde el cliente de WhatsApp del receptor del mensajes que hace que el atacante pueda averiguar la información de su dispositivo y la dirección IP dónde está conectado.
Figura 16: Previsualización de icono en URL enviada por chat de WhtasApp
Esto es un grave problema de seguridad, además que se puede forzar a la víctima a realizar ataques contra cualquier servidor. WhatsApp quitó esta versión y la característica. Si tienes una app de WhatsApp para Android en la que se te carga la previsualización de una imagen en una URL, entonces tienes esta versión y deberías actualizarla cuanto antes.
9.- No te confundas al enviar un mensaje a un desconocido
Tal y como está integrado hoy en día Facebook con WhatsApp, si tienes agregado tu número de teléfono a Facebook puede que le aparezcas como recomendaciones de amigo al desconocido y te haga un doxing. Ten cuidado a quién le envías el mensaje siendo "anónimo". Ahora puedes deshabilitar esta compartición de datos.
Si compartes con Facebook tu información de WhatsApp, la red social tomará datos de tus conversaciones y amigos para sugerilos dentro de tus círculos de amistad. Esto puede hacer que incluso desconcidos comiencen a estar cerca de ti. Esto ya se vio que era algo que Facebook estaba haciendo, pero tras estar sujeto a la investigación de la FTC Americana, es probable que empiece a hacer de manera selectiva solo para aquellos que no quiten la opción de compartir.
Con esta entrada doy por finalizada esta serie dedicada a Proteger WhatsApp a prueba de balas. Espero que os hayan sido útiles y si tenéis cualquier sugerencia, iré añadiéndola al artículo. Ten mucho cuidado, que hay mucha gente que quiere espiar WhatsApp, así que si crees que nadie está buscando cómo hacerlo con el tuyo, puede que estés equivocado.
Figura 18: Jugando con la seguridad de aplicaciones de mensajería
Os dejo aquí una charla de mis compañeros de ElevenPaths en la que explican cómo funcionan algunas de las opciones de seguridad en WhatsApp, además de en otras plataformas de mensajería.