Fallos en el Protocolo de Comunicación SS7

Investigadores alemanes han descubierto que una tecnología de los 80 puede ser empleada por hackers para espiar llamadas y mensajes de texto. Su nombre es Signaling System 7 (SS7), una red que a día de hoy sigue en uso y que enlaza tráfico (entre otras funciones) en la red de telefonía móvil.

Signaling System 7 utiliza una serie de protocolos para enrutar llamadas, mensajes de texto y servicios similares en las redes móviles. Sin embargo los investigadores Tobias Engel, de Sternaute, y Karsten Nohl, jefe científico de los laboratorios de investigación en seguridad, han descubierto algunos fallos en la red.

Ni siquiera las redes móviles que utilizan las más avanzadas técnicas de cifrado se libran de los fallos descubiertos, ya que estas tienen que comunicarse a través de SS7, posibilitando a los hackers localizar llamadas, escucharlas o grabar conversaciones cifradas para usarlas más tarde. 

A principios de este año se informó de una serie de países que habían comprado sistemas de vigilancia que usan la red SS7, esto podría ser un indicio de que el fallo de seguridad se conoce desde hace tiempo.

El paso a las redes 3G ofrece cifrado mucho mejor, pero las técnicas de hacking reveladas Nohl y Engel socavan esa posibilidad. Los Carriers pueden potencialmente vigilar sus redes para dificultar los esfuerzos de los atacantes, pero no está claro cuántos lo han hecho y sin duda esto posibilita el espionaje por organismos estatales. Por ejemplo red que opera en Alemania, Vodafone, recientemente comenzó a bloquear dichas solicitudes maliciosas después que que Nohl informara el problema a la compañía hace dos semanas.

Hay dos métodos principales que se utilizan para interceptar llamadas telefónicas a través de SS7. En la primera los atacantes secuestran la función de reenvío del teléfono,  redireccionando las llamadas hacia ellos antes de enviarlas al verdadero destinatario. Esto permite a los hackers escuchar las llamadas desde cualquier parte del mundo. 

El segundo método consiste en utilizar antenas de radio para recoger todas las llamadas y mensajes de texto de una zona. Los hackers pueden incluso solicitar una clave de cifrado temporal a través de la red SS7, en caso de tener la información transmitida alguna seguridad adicional. Esta técnica tiene el inconveniente de que se necesita estar más cerca de las víctimas, pero lo compensa con su capacidad de afectar a muchas más personas a la vez.

Los investigadores alemanes mostrarán sus descubrimientos en el Chaos Communication Congress de Hamburgo que comezó el 27 de diciembre pasado, curiosamente el mismo donde Trammel Hundson explicará la vulnerabilidad de los MacBooks a través del puerto Thunderbolt y que puede verse en live stream.

Fuente: Betanews

Uso del Pentesting, una realidad un riesgo. Parte 1/2

Unos de los principales desafíos de las grandes organizaciones es proteger la información que día a día maneja, en la actualidad existen muchas amenazas a las que están expuestas las grandes empresas y muchas veces son generadas por los mismos empleados. 

Las compañías se ven afectadas principalmente por ataques externos, por intentos de robo de información que se generan por personas expertas en encontrar brechas de seguridad desde fuera de las organizaciones. Sin embargo existen herramientas y expertos que pueden apoyar en soluciones de mitigar las brechas de seguridad que mantienen las empresas dentro de su plataforma.

Normalmente los consultores de seguridad usan herramientas de Pentesting para realizar evaluaciones de las plataformas e identificar las debilidades o posibles brechas de seguridad, sin embargo este mecanismo a pesar de ser efectivo y ofrecerte la información sobre el estado de salud de tu plataforma son poco practicos a la hora de conocer y entender el mundo cambiante que vivimos.

Los ataques que se generan por aquellas personas que intentan ingresar a nuestra plataforma par realizar comunmente robo de información es producto de las debilidades de los software y hardware que conforman cada componente de las infraestructuras de la red, sin embargo es instrusivo y deficiente, y esto se debe a la rápida tendencias


El pentesting es un mecanismo de protección, es la simulación de un ataque a los sistemas de una empresa, por qué se dice que se debe hacer sin aviso, porque a tu empresa los atacantes no te mandan un correo diciendo la hora y el día en que van a atacar tu organización, sino que preferiblemente realizan un ataque en el momento que sepan que estás más descuidado, una noche, una madrugada o un fin de semana; es cuando van a lanzar los ataques aprovechando una de tus vulnerabilidades.

El pentesting realmente lo que emula es eso, simular un ataque de un ciberdelincuente, realizar un tipo de pruebas que puede hacer un atacante desde afuera para poder identificar qué vulnerabilidades tiene tu empresa, qué brechas de seguridad tienes, por donde puede un atacante acceder a tu información o poner en riesgo tus datos, lo que se busca es identificarlos para poderlos mitigar y poderlos controlar y no dejarlos visibles a los ciberdelincuentes.

Hay que hacerlo de forma permanente porque la seguridad no es estática y los riesgos que encuentras hoy no son los mismos que encuentras mañana, porque resulta que en el transcurso de las dos horas o tres horas después del ataque encuentras 15 o 20 vulnerabilidades más en cualquiera de las soluciones digitales que tiene tu empresa.

Lista de ciberataques y brechas de seguridad de 2014

 Enero
1 Enero, 2014 – 1.1 MILLION customers’ credit card data was swiped in Neiman Marcus breach  
20 Enero, 2014 – Credit Card Details of 20 Million South Koreans Stolen 
21 Enero, 2014 – Microsoft blog hacked by Syrian Electronic Army  
24 Enero, 2014 – CNN website, Twitter and Facebook hijacked by Syrian Electronic Army 
25 Enero, 2014 – Michaels Stores confirms payment card information compromised in breach   

Febrero
5 Febrero, 2014 – Texas health system attacked, data on more than 400K compromised  
14 Febrero, 2014 – Forbes.com Hacked by Syrian Electronic Army Because of “Hate for Syria”  
16 Febrero, 2014 – Kickstarter hacked: Passwords, phone numbers, and phone numbers stolen  
24 Febrero, 2014 – YouTube ads spread banking malware  
25 Febrero, 2014 – Mt. Gox exchange goes dark as allegations of $350 million hack swirl
 
Marzo  
10 Marzo, 2014 – Hackers steal 12 million customer records from South Korean phone giant  
14 Marzo, 2014 – Credit Card Breach at California DMV  
17 Marzo, 2014 – Morrisons employee arrested following data breach involving details of 100k staff  
20 Marzo, 2014 – EA Games website hacked to phish Apple IDs from users 
28 Marzo, 2014 – Malware in 34 Spec’s stores, payment data compromised for 550K  

Abril 
7 Abril, 2014 – Germany suffers biggest ever data breach in its history 
8 Abril, 2014 – The Heartbleed bug: serious vulnerability found in OpenSSL cryptographic software library  
15 Abril, 2014 – German space centre endures cyber attack 
15 Abril, 2014 – Welsh Councils break DPA 2.5 times a week  
22 Abril, 2014 – Iowa State server breach exposes SSNs of nearly 30,000  
29 Abril, 2014 – Security breach at AOL. Users told to change passwords
 
Mayo 
8 Mayo, 2014 – Orange Suffers Data Breach Again, 1.3 Million Affected  
9 Mayo, 2014 – WooThemes users notified of payment card breach, 300 reports of fraud 
21 Mayo, 2014 – eBay Suffers Cyber Attack, Users Asked to Change Passwords  
27 Mayo, 2014 – Avast Suffers Cyber Attack; 400,000 users affected
 
Junio  
14 Junio, 2014 – P.F. Chang’s Confirms Credit Card Breach  
17 Junio, 2014 – Hackers Takeaway Domino’s Pizza Customer Data; More Puns Inside  
19 Junio, 2014 – Hacker puts Code Spaces out of business  
19 Junio, 2014 – Sun and Sunday Times Websites Hacked by the Syrian Electronic Army 
22 Junio, 2014 – British Gas Help Twitter account hacked, customers pointed towards phishing sites  
23 Junio, 2014 – ‘Most sophisticated DDoS’ ever strikes Hong Kong democracy poll  
25 Junio, 2014 – European Bank Hit by Cyber Attack; £400,000 stolen
 
Julio  
1 Julio, 2014 – Energy Firms Hacked by Cyber Espionage Group ‘Dragonfly’  
4 Julio, 2014 – $3.75 Billion Brazilian Boleto Malware Attack  
8 Julio, 2014 – HotelHippo.com Closes after Data Leak  
15 Julio, 2014 – CNET Hacked, One Million Users’ Data Stolen  
16 Julio, 2014 – Information Commissioner’s Office Suffers Data Security Breach  
23 Julio, 2014 – eBay has suffered a security breach for the second time this year  
31 Julio, 2014 – Gizmodo Brazil hacked, fake Adobe Flash download opens backdoor  
31 Julio, 2014 – Massive Paddy Power hack: nearly 650,000 customers’ records stolen
 
Agosto  
5 Agosto, 2014 – Goodwill and FBI Investigate Possible Security Breach  
15 Agosto, 2014 – Supervalu supermarket chain begin investigating possible data breach  
19 Agosto, 2014 – US Cyber Crime Goes Nuclear: NRC Computers Hacked THREE Times  
21 Agosto, 2014 – Over 50 UPS franchises hit by data breach  
27 Agosto, 2014 – Norwegian oil industry under attack by hackers  
27 Agosto, 2014 – Records of 25,000 Homeland Security Employees Stolen in Cyber Attack 
28 Agosto, 2014 – FBI Probes Possible Hacking Incident at J.P. Morgan
 
Septiembre  
4 Septiembre, 2014 – Home Depot suffers breach that may be larger than Target’s  
5 Septiembre, 2014 – 800k Payment Cards Compromised in Goodwill Industries Breach  
5 Septiembre, 2014 – ObamaCare Website Hacked  
18 Septiembre, 2014 – Home Depot: 56M Cards Impacted, Malware Contained  
23 Septiembre, 2014 – 880,000 Affected by Viator Payment Card Breach  
25 Septiembre, 2015 – Payment card data stolen in Jimmy John’s data breach  
29 Septiembre, 2014 – Hundreds of US Stores Affected as POS Provider is Hacked  
30 Septiembre, 2014 – SuperValu compromised again – for the second time in three months
 
Octubre  
3 Octubre, 2014 – JPMorgan suffers data breach affecting 76 million customers  
10 Octubre, 2014 – Dairy Queen data breach hits 395 stores 
14 Octubre, 2014 – ‘Big K’ raided by hackers: Kmart warns customers after malware discovered  
21 Octubre, 2014 – Staples stores investigated: suspected payment card breach  
23 Octubre, 2014 – POODLE attack digs up downgrade flaw in TLS  
29 Octubre, 2014 – White House unclassified network hacked
 
Noviembre  
7 Noviembre, 2014 – Home Depot admits 53 million email addresses stolen in data breach  
13 Noviembre, 2014 – Data breach affects 2.7 million HSBC Turkey cardholders  
17 Noviembre, 2014 – US State Department network shut amid reports of cyber breach  
18 Noviembre, 2014 – Staples confirms POS malware attack  
25 Noviembre, 2014 – Sony Pictures Entertainment hacked  
27 Noviembre, 2014 – Syrian Electronic Army attack on Gigya affects Telegraph, Independent, Evening Standard…
 
Diciembre  
4 Diciembre, 2014 – Possible credit card breach at Bebe Stores  
11 Diciembre, 2014 – Union Station parking lot suffers suspected data breach  
11 Diciembre, 2014 – Electronic payment company CHARGE Anywhere suffers five-year breach  
15 Diciembre, 2014 – Personal information leaked in University of California, Berkeley, data breach 19 Diciembre, 2014 – KeyPoint cyber attack compromises 48,000 federal employees  
22 Diciembre, 2014 – Staples confirm details of six-month breach, 1.16 million cards affected


Fuente: Lista de ciberataques y brechas de seguridad de 2014

Privacidad en la Nube

En los últimos años el término más nombrado dentro de la red de redes es la privacidad y eso surge a raíz del caso de Edward Snowden y la Agencia Nacional de Seguridad de los Estados Unidos (NSA) que influyeron en el incremento de la preocupación de la privacidad en Internet. Se puede afirmar que la preocupación por privacidad, es un buen punto de partida por garantizar que su información se mantenga resguardada, pero es controversial con el aumento de los usuarios por almacenar información en la red.

Si antes era común ver que las personas compartían información a través de medios ópticos (CD/DVD), dispositivos de almacenamiento extraíbles USB, disco duros externos u otros, en la actualidad es posible observar una clara tendencia hacia el uso masivo de la nube en detrimento de otros medios “tradicionales”. Las ventajas que ofrece la nube son considerables porque, facilita el acceso a la información ya que los archivos están disponibles en cualquier lugar que cuente con conexión a Internet. Asimismo, en caso de realizarse un respaldo, no será necesario tener que elegir un lugar físicamente seguro en donde guardar el soporte de respaldo. Todas esas ventajas han provocado que la nube sea una tecnología cada vez más popular entre las empresas y los usuarios. En este sentido, Gartner aseguró que en 2012 solo un 7% de la información de los usuarios finales fue almacenada en la nube, sin embargo, se espera que para el año 2016 dicho porcentaje aumente a un 36%

Tal como una persona guardaría un secreto profesional o personal, en el mundo real también existe información confidencial que no debe ser accedida por terceros no autorizados. Si alguien necesitara proteger escrituras legales o cualquier objeto de valor, lo más probable es que pensara en una caja fuerte u otro lugar seguro, como el caso de un banco, sin embargo en Internet no es así.

La preocupación de los usuarios consiente de la privacidad ha conllevado a utilizar mecanismos más seguros para resguardase de aquellos ataques que comprometan la información, tal es el caso de utilizar mecanismo de autenticación más seguros como el uso de claves complejas, mecanismo de cifrado de la información antes de subirla a la nube y la validaciones que realizan las empresas de estos servicios para garantizar que los usuarios que tiene el acceso es probablemente la personas correcta.

La preocupación por la información que se almacenan de las empresas en medios no seguros han puesto a los Directores de Seguridad a pensar en nuevos mecanismos que garanticen que la privacidad de la información, de los datos procesados y que la información debe de estar segura y resguardada de personas no autorizadas.

La seguridad de las tarjetas de crédito en entredicho

Se ha presentado un estudio que demuestra la vulnerabilidad de los
sistemas de seguridad utilizados por los cajeros automáticos para la
validación de los PIN asociados a las tarjetas de crédito. Este estudio
se ha visto empañado por los intentos que está realizando Citibank para
ocultar esta información.
En un estudio titulado "Decimalisation table attacks for PIN cracking",
dos investigadores de la universidad de Cambridge (Reino Unido)
presentan un estudio de las debilidades existentes en los dispositivos
hardware para el almacenamiento seguro y la validación de los PIN
asociados a las tarjetas de crédito comúnmente utilizado por las
instituciones financieras.
Las tarjetas de crédito son un clásico ejemplo de un sistema de
autenticación de doble factor, ya que se combina un elemento físico que
es necesario poseer (la tarjeta de plástico con su banda magnética) con
un elemento que teóricamente sólo conoce el titular de la tarjeta de
crédito (el PIN, un código numérico habitualmente de cuatro caracteres)
que físicamente no reside en ningún sitio. Para poder utilizar la
tarjeta de crédito en un cajero automático es necesario disponer de
estos dos elementos al mismo tiempo.
Obtener el plástico tarjeta de crédito es una tarea relativamente
simple. Son un elemento de libre distribución y comercialización.
Falsificar la banda magnética también es una operación no demasiado
complicada, como hemos leído infinidad de veces en las noticias sobre
estafas que, periódicamente, publican los medios de comunicación.
Lo que, en teoría, ya no es tan fácil obtener o identificar es el PIN
que el usuario ha seleccionado para la tarjeta de crédito. En teoría, la
única forma de identificar este PIN es o bien obligando al titular de la
tarjeta a que lo revele o utilizando técnicas de fuerza bruta para su
identificación.
En el caso de la fuerza bruta, la teoría conocida hasta la fecha es que
para identificar el PIN asociado a la tarjeta son necesarios, de
promedio, unos 5.000 intentos.
El estudio publicado este mes muestra que en realidad, una persona con
los conocimientos adecuados de los mecanismos de seguridad utilizados y
acceso a los sistemas criptográficos que se utilizan en los bancos,
únicamente necesita un máximo de 15 intentos para identificar cualquier
código PIN de cualquier tarjeta de crédito.
La vulnerabilidad utilizada se encuentra en los dispositivos hardware
utilizados para la realización de las operaciones criptográficas. Se
trata de unos procesadores especialmente diseñados para esta acción,
capaces de realizar un gran número de operaciones por segundo.
Una vez más, la teoría indica que estos equipos están especialmente
protegidos para la realización de cualquier ataque. No sólo disponen de
protecciones especiales para evitar su manipulación, sino que las
funciones que ofrecen a los programas están diseñadas para devolver un
valor booleano (verdadero o falso) a cualquier petición, para evitar la
divulgación de información que sirva para confeccionar ataques basados
en el estudio estadístico de los errores reportados.
Estos sistemas criptográficos realizan la validación del PIN realizando
un cifrado de los dígitos introducidos, utilizando una clave secreta.
Del resultado de la operación de cifrado se extraen una serie de
dígitos, expresados en base hexadecimal. Como el PIN de la tarjeta
utiliza únicamente números de base decimal, se hace necesaria la
conversión.
La conversión de hexadecimal a decimal no se realiza de forma
matemática, sino que se aplica una tabla de conversión, donde se expresa
la conversión a realizar para cada dígito hexadecimal. Por ejemplo, una
tabla de conversión puede ser

0123456789ABCDEF
9876543210987654

Utilizando esta tabla, el valor hexadecimal 67F4 se convertiría en el
valor decimal 3245. Este seria, en definitiva el PIN que debería
cotejarse para determinar si la operación debe realizarse o no.
Es en este punto donde se encuentra la vulnerabilidad del protocolo.
Estas tablas de conversión no son un valor sensible, sino que es posible
facilitar una tabla de conversión arbitraria, conjuntamente con el
número de cuenta y el PIN, en el momento de solicitar al sistema
criptográfico la validación de la información.
Por tanto, un empleado del banco con acceso al sistema dispone de la
capacidad de manipular las tablas de conversión para determinar los
dígitos que forman el PIN. Por ejemplo, utilizando esta tabla de
conversión

0123456789ABCDEF
0000000100000000

con el código PIN 0000 es posible identificar si el PIN contiene el
número 7.
Por tanto, básicamente lo que demuestra el estudio, una vez más, es que
utilizar como medida de seguridad el desconocimiento ("security by
obscurity") no es efectivo, especialmente cuando se hace referencia a
cuestiones relacionadas con la criptografía.

El lado oscuro de esta historia
Un problema de este tipo, que requiere una situación muy específica para
poder ser utilizado, probablemente hubiera pasado más o menos
desapercibido fuera de los círculos de interés sobre criptografía y
seguridad informática. De hecho, como se deduce de lo publicado
anteriormente, las únicas personas que podrían aprovecharse de esta
vulnerabilidad para obtener los PIN de las tarjetas de crédito son
algunos empleados de los bancos que disponen del acceso necesario a los
sistemas criptográficos.