El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

• Se aprovecha de una vulnerabilidad en Windows de la que hasta ese momento no se tenía conocimiento: La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo” por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

• Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek Semiconductor y JMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

• Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

• Orientado a sistemas SCADA: La primera muestra de malware estaba orientado a atacar sistemas de propósito específico del fabricante Siemens los cuales son usados para controlar y administrar procesos industriales críticos como por ejemplo la infraestructura de energía eléctrica.

Hasta este punto, la amenaza parecía ser muy puntual que no afectada masivamente a las personas aunque quedaba descubierta la vulnerabilidad esperando por una solución. Sin embargo, el 18 de julio la vulnerabilidad fue publicada en Internet. Lo anterior provocó que el SANS cambiara su indicador de amenaza de verde a amarillo debido a que aún no se contaba con la solución y, por el contrario, la forma de explotar la vulnerabilidad había sido publicada. Incluso, el famoso software Metasploit implementó un módulo con el exploit lo cual incrementaba las posibilidades de un despliegue de ataques aprovechando dicha vulnerabilidad.

Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality y hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Es en este punto en donde se da la respuesta al titulo de este post: Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un  futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche, fuera de ciclo, que Microsoft que publicó el día de hoy: MS10-046.

PD: En caso de haber seguido el procedimiento propuesto por Microsoft en donde se deshabilitan los iconos en Windows, en éste enlace se encuentra la herramienta para reversar la modificación realizada.

PD2: Un ejemplo del uso del módulo de Metasploit

Windows LNK vulnerability (CVE-2010-2568) in action from hardez on Vimeo.

Fuente: Fortinet

La imagen anterior corresponde a  una queja formal de un cliente de telefonía en China en la cual expresa su descontento por una serie de mensajes cortos (SMS) enviados a un número premium que generaron unos costos adicionales (31 yuans) en la factura mensual del proveedor de telefonía celular. Según el reclamo, los mensajes de texto no fueron realizados por el cliente por lo que se abre la posibilidad de que se hayan efectuado de forma automática mediante el uso de un código malicioso instalado en el teléfono celular.

El causante del anterior comportamiento es el malware SymbOS/Album.A!tr, el cual ha sido analizado por la compañía Fortinet, la misma que descubrió el código malicioso Yxes que fue objeto de análisis en el trabajo de investigación presentado en el concurso de ESET 2009 para determinar si podía ser considerada la primera Botnet Móvil.

En efecto, SymbOS/Album.A!tr comparte varias características con su hermano mayor Yxes. Una de las más importantes es que utilizan la misma técnica para obtener el certificado de firma digital que exige Symbian para que las aplicaciones puedan ser instaladas en dicho sistema operativo: Los desarrolladores se registran en el sitio web https://www.symbiansigned.com/ con una dirección de e-mail corporativa válida (no se acepta gmail, yahoo, hotmail etc…) y, previo pago de USD $20, reciben la aplicación firmada.

De otra parte, SymbOS/Album.A!tr cuenta con la funcionalidad de enviar mensajes cortos SMS de forma silenciosa (sin que lo note el usuario).  Lo más interesante de esta característica es que los mensajes de texto no quedan registrados en la bandeja de entrada (inbox) del celular por lo que son completamente invisibles para el usuario. La única forma de detectar éste comportamiento es leer el log interno del teléfono (c:\101f401d\logdbu.dat):

Fuente: Fortinet

El archivo anterior muestra que el teléfono celular intentó enviar dos mensajes de texto cortos: Uno al número 10665xxx con el texto “1*1#” y otro al número 13410252xxx enviando el IMSI. Efectivamente el primer número corresponde al reclamo del usuario chino que se comentó al comienzo del artículo por lo que se concluye que los mensajes fueron enviados automáticamente por el malware  SymbOS/Album.A!tr.

El ejemplar fue enviado a Fortinet por la compañía de seguridad informática NetQuin la cual, el 5 de julio de 2010, comentó en su blog sobre el descubrimiento de una Botnet móvil de aproximadamente 100.000 dispositivos móviles lo cual demuestra que la amenaza en dispositivos móviles sigue en aumento, por lo menos en los países asiáticos en donde Symbian es bastante popular.

El día de ayer, 28 de junio de 2010, comenzó “el mayor evento de tecnología, creatividad, ocio y cultura digital en red del mundo: Campus Party Colombia 2010. Este encuentro, que se viene realizando desde 1997, reúne durante siete días a miles de participantes con el fin de “compartir inquietudes, intercambiar experiencias y realizar todo tipo de actividades relacionadas con el computador, las comunicaciones y las nuevas tecnologías”.

Este año Alberto Gil, coordinador de la nueva sección del evento “Seguridad y Redes”, me extendió una invitación para participar en esta versión del Campus Party Colombia con el fin de compartir en una conferencia el trabajo de investigación realizado para el concurso de ESET 2009 relacionado con seguridad informática en dispositivos móviles. Dicha invitación la acepté con gusto por lo que la conferencia “Botnets conformadas por dispositivos móviles: Una amenaza global” será presentada el sábado 3 de julio a las 10:30 a.m. con una duración aproximada de 1 hora y 30 minutos.

A continuación la introducción de la presentación que se encuentra en la página oficial de Campus Party: “Desde hace varios años los teléfonos celulares dejaron de ser dispositivos electrónicos utilizados únicamente para comunicarse como si de un teléfono tradicional se tratara. Actualmente, los denominados teléfonos inteligentes son genuinas máquinas de cómputo las cuales, en procesamiento, pueden ser comparables con los computadores de escritorio que utilizamos en la oficina o en el hogar. Adicional a esto, los dispositivos móviles cuentan con una característica que hasta hace pocos años se creía algo de ciencia ficción: Conectividad a Internet de alta velocidad (3G) en cualquier lugar donde exista cobertura de la red celular la cual cada vez es mayor gracias a tecnologías como LTE (Long Term Evolution) y WiMAX. Si a lo anterior se le suma que actualmente el número de suscripciones de Internet inalámbrico exceden los 1.000 millones y que cada vez más personas en el mundo utilizan los dispositivos móviles para realizar transacciones bancarias y utilizar redes sociales que revelan información confidencial de las personas, se puede vislumbrar una amenaza latente que viene evolucionando en el campo de la seguridad informática: Redes de dispositivos móviles controlados remotamente por delincuentes informáticos los cuales pueden ser utilizados para realizar los ataques típicos que se efectúan con computadores tradicionales: Ataques de denegación de servicio, envío de correos no deseados, envío de ataques de phishing, infección de otros dispositivos o sistemas entre otros. El objetivo principal de la conferencia es recorrer el inicio del código malicioso en dispositivos móviles mostrando los primeros indicios de las “Botnets móviles”, siguiendo con la evolución de dicha amenaza y finalizando con una visión a futuro del campo de la seguridad informática enfocada a la computación móvil”.

Quedan todos cordialmente invitados para que asistan al evento y conozcan el contenido del trabajo presentado y la evolución de dicha amenaza un año despúes de realizada la investigación.

Update:  A continuación la presentación la cual también está publicada en el sitio de Campus Party Co.

Recientemente surgió en el mercado una novedosa alternativa para reducir el riesgo de que un delincuente informático intercepte una transacción electrónica en tiempo real mediante un ataque de man-in-the-middle. Se trata del dispositivo ZTIC (Zone Trusted Information Channel) de IBM el cual se encuentra actualmente implementado en UBS (Union Bank of Switzerland), el segundo mayor banco en el mundo en la administración de activos privados y el segundo banco de Europa, tanto en capitalización del mercado como en costo/beneficio.

El ZTIC es un lector de tarjetas inteligentes (lo que se conoce como tarjetas chip en Colombia) que se conecta al puerto USB desde donde se va a realizar la transacción electrónica. En el momento de realizar esta acción, se despliega tanto en el dispositivo como en el computador, el mensaje “Start Online Service” con lo cual comienza el proceso de autenticación y autorización con el sitio web transaccional. Luego de que el ZTIC se ha instalado, se procede a insertar la tarjeta inteligente en el dispositivo y se ingresa la clave personal bancaria en el sitio web del banco. Hasta este punto, el cliente solamente puede realizar consultas sobre sus saldos y su historial transaccional, sin embargo, para poder realizar transferencias o pagos en necesario diligenciar unos datos en la web entre los que se encuentra el número de cuenta bancaria. Al confirmar la transacción, en el ZTIC debe aparecer el mismo número de cuenta proporcionado realizando de esta manera un tercer paso de autenticación. Finalmente, un mensaje de confirmación debe aparecer en el sitio web transaccional del banco.

Lo importante de esta tecnología es que ofrece un tercer factor de autenticación el cual previene de ataques que intercepten la transacción (como por ejemplo los que es capaz de efectuar el famoso y difundido troyano Zeus con su ataque man-in-the-browser) mostrando en el dispositivo el número de la cuenta real a al cual va a ser transferido el dinero.

Probablemente la desventaja más notoria del ZTIC es que actualmente cuesta 65 CHF (francos suizos) que al cambio equivale a 56 USD o 110.000 COP lo cual es bastante costo para la mayoría de personas en Latinoamérica.

Para un mayor entendimiento de cómo funciona el ZTIC, a continuación les comparto un video de su uso:

Para nadie es un secreto la popularidad con la que actualmente cuenta la red social Facebook: En febrero 4 de 2010 festejaron su sexto año de existencia celebrando que contaban con aproximadamente 400 millones de usuarios. Más impresionante aún: El pasado 7 de marzo Facebook superó a Google en número de visitas entre semana (exceptuando Navidad y Año Nuevo) en Estados Unidos por primera vez en su historia :

Adicional a la popularidad, una de las características más llamativas de Facebook son las llamadas aplicaciones (o “apps”) entre las que se encuentran: Juegos de todo tipo, horóscopos, la común foto diaria, las frases de X personaje, las famosas “Galletas de la fortuna” (y todas sus variaciones conocidas) entre otras. Una de las aplicaciones que más llama la atención es “Quién visitó tu perfil ayer?”:

Lo importante para resaltar en este simple “click” es que con este procedimiento se le está proporcionando a la aplicación acceso a información confidencial del perfil de la persona como bien lo expresa en la advertencia inicial: “Esta aplicación podrá obtener información de tu perfil, fotos, información de tus amigos y otros contenidos que necesite para funcionar”. En este caso específicamente Facebook advierte que no es posible saber quién miró el perfil de determinada persona por lo que recomiendan a los usuarios a que ayuden a luchar contra estas aplicaciones falsas reportándolas siguiendo este procedimiento.

Ahora bien, la situación puede empeorar si no se tiene cuidado con estas falsas aplicaciones. Un ejemplo de ello son las seis aplicaciones maliciosas detectadas por TrendMicro el año pasado: “Stream”, “Posts”, “Your Photos”, “Birthday Invitations”, “Inbox (1)”, “Inbox (2)” las cuales estaban orientadas a robar credenciales (nombre de usuario y contraseña) mediante el envío de mensajes no deseados a los amigos de la víctima utilizando la modalidad phishing (fucabook.com):

Desde luego que estas amenazas ya fueron eliminadas de Facebook y el dominio de phishing dado de baja, sin embargo, como se nota en el mismo blog de TrendMicro, la aparición de nuevas aplicaciones maliciosas es bastante rápida cambiando básicamente el nombre y el ícono y utilizando ingeniería social para atraer cada vez más victimas. Un ejemplo de esto es lo que le faltaba a la red social: ¿Un antivirus dentro de Facebook? . En realidad este es otro ejemplo del uso de ingeniería social para engañar a las personas con el fin de que instalen este tipo de aplicaciones maliciosas. En este caso en especial (“F’acebook Antivirus” y “Antivirus in Focebook”) la aplicación apenas se instala le coloca un tag a cada uno de los amigos de la víctima en la siguiente foto:

Luego de esto, la aplicación publica la foto en el muro del perfil para que todos los contactos de la víctima se den cuenta de la “novedad” y a su vez instalen de nuevo la aplicación en sus perfiles.

Para finalizar es importante recordar que en mi opinión este tipo de amenazas van a ir en aumento debido en gran parte a la gran popularidad de Facebook, a la calidad y cantidad de información disponible en los perfiles de los usuarios y a la facilidad que existe en la red social para desarrollar y publicar nuevas aplicaciones. Es por esto que, mientras Facebook no cuente con controles más estrictos para por lo menos filtrar este tipo de aplicaciones antes de que lleguen al usuario final, las personas usuarias de este tipo de redes sociales deben tener mucho cuidado al seleccionar cuál aplicación instalar teniendo siempre presente que “Esta aplicación podrá obtener información de tu perfil, fotos, información de tus amigos y otros contenidos que necesite para funcionar”.

Hasta hace apenas aproximadamente un año, las redes de dispositivos móviles infectados con malware controlados remotamente era tan solo un mito el cual intentaba convertirse en realidad mediante el descubrimiento del gusano Yxes.A (también conocido como Sexy View) para Symbian S60 por parte de Fortinet el 18 de febrero de 2009. En resumen, el malware presentaba los siguientes síntomas en el dispositivo: Anormal aumento en el valor de las facturas de telefonía al enviar mensajes cortos SMS, rápida pérdida de batería e imposibilidad de ejecutar algunas aplicaciones del sistema operativo (AppMgr, TaskSpy, Y-Tasks, ActiveFile, TaskMan).  Adicionalmente, intentaba silenciosamente conectarse a Internet enviando un HTTP request con el modelo del teléfono, número serial, número de subscripción y la versión del gusano colocando dicha información en un servidor remoto. En esa época, Guillaume Lovet, senior manager del Fortinet’s Threat Research Team afirmó: “We’re really at the edge of a mobile botnet here” .

Unos meses después apareció iKee, la primera red de iPhones controlados de forma remota a través de una red 3G gracias a el conocimiento de una contraseña por defecto del servicio de consola remota SSH. Al parecer los delincuentes informáticos se estaban dando cuenta del incremento de la banca móvil y del creciente uso de los dispositivos móviles a nivel mundial. Con respecto a esto, un estudio reciente  afirma que el mercado de aplicaciones móviles para teléfonos inteligentes crecerá un 807% hasta el año 2013 y se espera que para esa época existan 970 millones de terminales denominados inteligentes lo cual es un mercado bastante apetecido para atacar, sobretodo si entre esas aplicaciones que se desarrollan existen las que encajan dentro de la categoría de “Banca Móvil”.

Ahora bien, luego de conocer el gran impacto que tuvo este malware en la comunidad iPhone y del gran potencial que tienen las aplicaciones móviles en el mercado, unos investigadores del TippingPoint’s Digital Vaccine Group desarrollaron una aparentemente “inofensiva” aplicación de información del clima (WheaterFirst) para dispositivos Android y iPhone. Lo que no sabían las personas que instalaron el malware es que en realidad estaban infectando sus dispositivos para hacerlos parte de una botnet de más de 8.000 dispositivos los cuales enviaban constantemente las coordenadas GPS de los usuarios a Internet. La distribución del software fue realizada a través de mercados de aplicaciones de terceros como Cydia, SlideME y Modmyi para que pudiera ser instalada en dispositivos liberados con permisos para ejecutar aplicaciones generalmente no aprobadas por iPhone y Android. Para probar el peligro de una Botnet Móvil, crearon una versión maliciosa de la aplicación llamada WeatherFistBadMonkey la cual es muy similar a la original solo que antes de efectuar su función principal (enviar coordenadas GPS a Internet para mostrar información del clima), se encarga de realizar actividades características de un dispositivo zombie (robar información confidencial y enviar spam).

Por último, como muestra fehaciente de la constante evolución de esta amenaza, el 4 de marzo de 2010 de nuevo el equipo de Fortinet descubrió una nueva variante del gusano para Symbian Yxes. Este nuevo malware contacta servidores remotos, los cuales contienen páginas JSP (Java Server Pages), y envía “atractivos” mensajes cortos SMS que incluyen una URL maliciosa para provocar la infección en los contactos que tiene el dispositivo de la victima.  La novedad más notoria de esta versión es que ahora utiliza páginas JSP para enviar la información robada de la siguiente forma:

http://XXXX/Jump.jsp?Version=2.0&PhoneType=…&PhoneImei=…&PhoneImsi=…&Source=..

El argumento Source aún no se ha podido determinar qué información lleva, sin embargo, se sospecha que sea el nombre del sitio web malicioso que fue usado para infectar el dispositivo. Lo realmente preocupante, tanto de esta versión como de las anteriores, es que cuenta con un certificado de Symbian legítimo el cual no ha sido revocado por lo que cualquier dispositivo que soporte la aplicación puede instalar Yxes debido ésta se encuentra firmada digitalmente. Con lo anterior se confirma que los delincuentes informáticos continúan trabajando en Yxes desde finales de 2008 realizando cada vez más mejoras en el código malicioso sin que exista control por parte de Symbian.

En conclusión, el mercado de la inseguridad en dispositivos móviles va en aumento y es cada vez más apetecido por los delincuentes informáticos. Si bien estoy de acuerdo con Graham Cluley de Sophos  quien afirma que no era necesario realizar el experimento de WeatherFist para probar que una aplicación maliciosa podía ser distribuida e instalada por una gran cantidad de usuarios sin que se dieran cuenta de la amenaza, si pienso que los controles que ejercen Apple, Android y Symbian (cada uno en su medida) en sus medios de distribución de aplicaciones ayudan a filtrar esas aplicaciones que pueden tener comportamiento malicioso. Esto ayuda bastante a mitigar el riesgo de infección con malware debido en gran parte a que actualmente dicha infección requiere en un gran porcentaje de las veces de la interacción del usuario. Entonces, ¿Qué falta para que este problema se masifique en los dispositivos móviles a nivel mundial? Como dice Mikko Hypponen, Chief Research Officer de F-Secure, “Tarde que temprano, veremos el primer ataque mediante exploit y, cuando eso suceda, todo cambiará”.

La imagen anterior corresponde a un mapeo de infecciones (en un periodo de 18 días) realizadas por una de las redes de computadores “zombies” que más enviaban correo no deseado (spam) a nivel mundial: Waledac. Precisamente ésta red fue el objetivo de la “Operación b49” ejecutada por Microsoft el pasado 22 de febrero del presente año. Para entender la importancia de este hecho y sus futuras implicaciones, es necesario primero revisar en qué consiste esta amenaza y su acelerada evolución en los últimos años a nivel mundial.

Una Botnet consiste básicamente en una serie de computadores infectados con malware bajo el control remoto de uno o más delincuentes informáticos. El origen de esta amenaza se remonta al año 1993 cuando Jeff Fisher creo el software Eggdrop bot para realizar mantenimiento de red. Esto demuestra que, originalmente, las Botnet no fueron pensadas para fines maliciosos, sin embargo, debido a su gran tamaño (puede llegar incluso a millones de máquinas), actualmente constituyen una de las amenazas, en términos de seguridad de la información, más importantes actualmente.

Entre los usos que le dan los delincuentes informáticos se encuentran: Ataques de denegación de servicio distribuido, envío de correo no deseado, captura de tráfico, captura de teclado, infección de otras máquinas con malware, instalación de publicidad no deseada, robo de identidad siendo el envío de spam (y por ende también de malware y phishing lo cual conlleva a fraude electrónico y espionaje industrial) uno de los usos más preocupantes.

Ahora bien, la principal pregunta que surge es: ¿Cómo reducir el nivel de impacto de esta amenaza? Desde luego que una de las primeras medidas es el uso de un antivirus que permita detectar y, si es posible, eliminar el malware permite la conexión del atacante remoto. Otro control que reduce el riesgo de ser parte de una Botnet es mantener actualizado el sistema operativo y las aplicaciones instaladas en la máquina con el fin de prevenir que gusanos de Internet se aprovechen de vulnerabilidades conocidas (como en el caso de Conficker) e infecten la máquina sin la intervención del usuario.  Hasta ahora los esfuerzos se habían concentrado en estos dos controles tecnológicos, sin embargo, aún no se había contemplado utilizar una vía que usualmente es bastante eficaz pero que en el mundo digital aún se duda de su aplicabilidad: la legal. Tras varios meses de investigación, y de la aplicación de una cuidadosamente diseñada estrategia legal, en febrero 22 Microsoft logro dar de baja 277 dominios de Internet con lo cual desactivaron en gran parte una de las 10 más grandes Botnets en Estados Unidos la cual era la encargada de enviar aproximadamente 1.5 billones de correos electrónicos no deseados al día. La efectividad de esta acción se sintió en un periodo corto de tiempo al reducir con gran rapidez el número de direcciones IP que se reportaban a los servidores de comando y control de Waledac:

Desde luego cabe aclarar que con este procedimiento lo único que se logró es cortar la comunicación entre el atacante remoto y la máquina infectada por lo que es posible que el delincuente informático pueda instalar un nuevo servidor de comando y control con lo cual podría volver a tomar control de los computadores infectados por lo que se recomienda efectuar un proceso de desinfección para mitigar este riesgo de reincidencia.

Por otro lado, y siguiendo con el mismo enfoque legal y judicial, la guardia civil Española en colaboración con el FBI y Panda Security, desmanteló la Botnet Mariposa compuesta por más de 13 millones de computadores infectados. El método utilizado: la captura de tres ciudadanos españoles pertenecientes al grupo DDPTEAM que controlaban la red obteniendo datos de acceso a cuentas de correo electrónico, servicios de banca electrónica y redes corporativas.

Con estos dos ejemplos queda demostrado que el esfuerzo no debe ser solamente tecnológico (realizando los respectivos análisis de las Botnets objetivo sino también legal y judicial invirtiendo tiempo y recursos tanto por parte de los gobiernos como de entidades privadas críticas en cuanto a la infraestructura de la red de redes: Los proveedores de Internet.

Es este enfoque en donde me parece que se encuentra una de las medidas más efectivas contra el malware y el crimeware a nivel mundial. Un ejemplo de la implementación exitosa de este control se encuentra en Japón con el funcionamiento del “Cyber Clean Center” por parte del JP-CERT en conjunto con 76 ISP’s los cuales cubren el 90% del tráfico de Internet en este país. El propósito de este organismo es analizar, en conjunto con Trendmicro, las diferentes características de una Botnet las cuales son identificadas mediante el análisis de tráfico que transita a través de los ISP. En caso de detectar un usuario infectado, se le envía un correo electrónico o incluso a veces un correo físico informándolo sobre la infección y sugieriéndole que ingrese al sitio web principal del organismo para descargar la herramienta de limpieza dispuesta por Trendmicro.

Ahora bien, complementario a esta estrategia, Scott Charney de Microsoft propuso el día de hoy en la RSA Security Conference una medida más radical: Que los ISP’s coloquen en cuarentena los computadores que detecte el ISP como infectados por malware y, por tanto, que sean parte de una Botnet. Si bien es una medida estricta que limita la libertad en Internet como es el caso de las descargas ilegales por redes P2P, si se implementa puede que reduzca en gran parte el fraude electrónico, el robo de identidad, el correo electrónico no deseado entre muchas otras amenazas que afectan Internet actualmente a nivel mundial.

En conclusión, el panorama del malware en cuanto a la forma de combatirlo está cambiando. Por un lado, los antivirus no son 100% efectivos debido a que cada día se generan miles de ejemplares sospechosos diferentes para analizar por lo cual la industria antivirus no da abasto. Si a esto le sumamos los cada vez más frecuentes ataques de 0-day, los prolongados tiempos de respuesta para los respectivos parches por parte de los fabricantes de las aplicaciones y el constante aumento de la piratería en Windows lo cual no permite la oportuna aplicación de parches críticos, vemos que en realidad los controles tecnológicos actuales no son suficientes para reducir la amenaza y es necesario complementar esta estrategia con procedimientos y métodos jurídicos y judiciales los cuales, en conjunto con los pilares de Internet, ayudarán a reducir el impacto del crimen organizado en el mundo digital.

La tarjeta que ven en la parte superior reemplazará en Colombia dentro de poco la tradicional banda magnética que ha reinado durante aproximadamente 50 años. Forrest Perry, ingeniero de IBM, inventó en 1960 la tarjeta de banda magnética bajo el auspicio del gobierno de los Estados Unidos. El único mecanismo de seguridad que tenía el estándar era una “firma” embebida (MagnaPrint, Magne Print o BluPrint) en la tarjeta que le permitía al dispositivo lector validar la identidad de la tarjeta junto con otro factor de autenticación para validar al usuario el cual es desde luego es una clave personal. La tecnología avanzó y actualmente es muy frecuente el fraude electrónico a través de la técnica llamada comúnmente “Skimmer” o “clonación de tarjetas” la cual consiste básicamente en esconder un dispositivo lector de banda magnética el cual se encarga de copiar toda la información (incluyendo la firma) para posteriormente colocarla en otra tarjeta y realizar transacciones desde prácticamente cualquier parte del mundo. La técnica es bastante conocida y, desde luego, Colombia no es la excepción.

Varios años después, Marc Lauss, uno de los pioneros de las tarjetas inteligentes en Francia visitó en 1988 a Datacard Corp, el gigante de las tarjetas de crédito en Estados Unidos en ese tiempo. La idea era implementar las llamadas “tarjetas con chip” en el sistema bancario y reducir en un alto porcentaje la clonación de tarjetas. La reunión en ese entonces no surtió efecto, sin embargo, en 1995 hubo un giro inesperado y la empresa de Lauss (Gemplus SCA) adquirió las operaciones internacionales de manufactura de Datacard, logrando que gigantes como Visa y Mastercard centraran su atención en esta nueva tecnología la cual tiene un principio realmente simple: incorporar mayor almacenamiento de información en las tarjetas y proporcionar mayor seguridad contra fraudes.

Ya en el 2008, el Banco AV Villas fue la primera entidad financiera en arriesgarse a implementar las nuevas tarjetas inteligentes distribuyendo 3.000 de estas entre sus empleados. El cambio más significativo con esta nueva tecnología consiste en que la tarjeta queda dentro del dispositivo lector MIENTRAS DURE LA TRANSACCIÓN por lo que si se intenta sacar antes de tiempo, se corre el riesgo de dañar el chip. En Colombia, las entidades que le siguen a AV Villas son Bancolombia y Banco de Bogotá las cuales ya están adelantando actualizaciones en cajeros automáticos y datafonos para la nueva tecnología.  Actualmente, en el 2010, se estima que 6.000 millones de tarjetas inteligentes se estarán usando en todo el mundo las cuales “permiten, entre otros aspectos, almacenar firmas digitales, datos encriptados, características biométricas como la huella digital o el iris, entre otras aplicaciones que evitan las posibilidades de fraude”.

Me llama la atención la afirmación del director de Mercadotécnica de Gemalto, Dimas Goméz, al asegurar que “Hasta el día de hoy no habido un caso de clonación con este chip. Disminuye a cero la probabilidad de clonación”. Primero que todo, no es posible asegurar un 0% de posibilidad del mismo modo que no existe un nivel de seguridad del 100%. Por otro lado, ¿Y si no fuera necesario clonar la tarjeta para realizar el fraude? Esto fue lo que descubrieron investigadores de la Universidad de Cambridge al realizar un ataque de hombre en el medio (man-in-the-middle) aprovechándose de una vulnerabilidad contenida en el estándar EMV (Europay Mastercard Visa) de las actuales tarjetas inteligentes. El fallo consiste en que el subprotocolo de negociación de cómo el usuario de la tarjeta debe ser verificado (PIN, firma o ningún método) no es autenticado por lo que es posible engañar a la tarjeta haciéndola pensar que está haciendo una transacción Chip-Firma cuando en realidad está haciendo una transacción del tipo Chip-PIN:

Lo más relevante sobre este ataque es que:

1. El ataque aplica tanto a tarjetas usadas en línea (con conexión a la entidad bancaria) como con tarjetas que se utilicen en datafonos sin red
2. El ataque funciona para cualquier monto de dinero que se desee (no tiene límite)
3. El ataque no funciona una vez el banco cancela la tarjeta
4. El ataque no funciona en cajeros automáticos
5. La falla aplica para esquemas de tarjetas de crédito basados en el estándar EMV (Europay – Mastercard – Visa) el cual es el caso de Colombia

En conclusión: El protocolo EMV tiene una falla en el método de autenticación del código PIN (o clave secreta como la llamamos en mi país) por lo que es posible realizar transacciones débito en un datafono sin la necesidad de proporcionar la clave correcta.  La solución al problema se encuentra en la misma definición del protocolo EMV por lo que se requiere de bastante esfuerzo para migrar los sistemas que soportan las aproximadamente 730 millones de tarjetas en el mundo que utilizan el estándar.

Por otro lado, actualmente se requieren varios dispositivos de hardware para realizar el fraude por lo que es necesario contar con una tarjeta robada lo cual le da tiempo al cliente de evitar el ataque cancelando la tarjeta en la entidad bancaria. Adicionalmente pienso que, a pesar de los hallazgos encontrados, el nivel de sofisticación de un ataque a una tarjeta inteligente es mucho mayor que el que se puede llevar a cabo en una tarjeta de tecnología antigua con banda magnética por lo que lo recomendable es seguir las recomendaciones de seguridad que proporcionan las entidades bancarias debido a que, si bien no existe un 100% de protección contra el fraude, si se puede tomar medidas y controles para minimizar ésta posibilidad.

Finalmente una pregunta abierta: ¿Deberíamos empezar a pensar en autenticación mediante métodos biométricos para realizar transacciones financieras? (Huella dactilar, Iris, Facciones etc…)

PD: Si desean profundizar en el tema en este link pueden encontrar el paper técnico en donde se explica en detalle el tema.

PD2: Un video de la BBC en donde muestran y explican el ataque:

]]> http://www.carlosacastillo.com/2010/02/fraude-electronico-con-tarjetas-chip/feed/ 3 http://www.carlosacastillo.com/2010/02/atms-con-windows-una-amenza-latente/ http://www.carlosacastillo.com/2010/02/atms-con-windows-una-amenza-latente/#comments Tue, 09 Feb 2010 03:32:51 +0000 Carlos Castillo http://www.carlosacastillo.com/?p=152

Luego de varios días de ausencia, debido en gran parte a que cambié de trabajo y estuve bastante ocupado entregando mis funciones en un lado y recibiendo el nuevo cargo en mi nueva posición laboral, vuelvo a escribir para ustedes motivado porque el fin de semana pasado capturé un interesante, pero preocupante, mensaje de error en una máquina automática de pago de parqueadero en un concurrido centro comercial de la ciudad de Bogotá.

Lo anterior me recuerda una polémica bastante mencionada el año pasado sobre código malicioso corriendo en cajeros automáticos. Todo comenzó con el reporte de la empresa Trustwave de mayo de 2009 en donde analizan un ejemplar de código malicioso instalado en un cajero automático de Europa del Este en julio de 2005. Básicamente el malware se encarga de “capturar datos de la banda magnética y claves digitadas en el PIN pad” lo cual es suficiente para realizar cualquier acción con la cuenta robada debido a que se ha violado la autenticación de dos factores: Algo que se tiene (tarjeta) y algo que se sabe (la clave). Lo más inquietante del asunto es que el código malicioso fue encontrado en cajeros automáticos que corren el sistema operativo WINDOWS XP (es correcto, el mismo sistema operativo que se ve en la imagen superior).

Desde luego la respuesta del mayor fabricante de cajeros automáticos, Diebold, no se hizo esperar. En junio del mismo año el fabricante publicó una actualización crítica a sus sistemas y aprovechó para anunciar que la amenaza se encontraba aislada en Rusia y que el incidente requería de acceso físico al dispositivo (alguna persona de mantenimiento por ejemplo) por lo que una fuga de datos a través de la red no era posible (eso sin tener en cuenta que en el 2003 ya se había presentado un incidente relacionado con un famoso gusano Windows infectando cajeros automáticos)

Luego de revisar los últimos incidentes relacionados con la seguridad de las transacciones en cajeros automáticos, concluyo que es estrictamente necesario empezar a pensar en un cambio radical en cuanto al diseño e implementación de estos dispositivos los cuales son bastante críticos debido a que son el punto de acceso a las finanzas de millones de personas en el mundo. Lo ideal sería volver las condiciones dadas en los sesentas en donde los ATM contaban con sistemas operativos propietarios (como por ejemplo RMX) de único propósito los cuales estaban conectados mediante una línea dedicada directamente a un procesador de transacciones.

Si bien esta solución es muy posible que no sea viable (debido a factores económicos y de compatibilidad), si se deben implementar controles adicionales que refuercen la seguridad de la información en estos dispositivos como por ejemplo realizar la instalación de agentes de monitoreo en las redes de los ATM , procurar instalar Windows Embedded en vez de XP, incluir en los cajeros automáticos en la gestión de aplicación de actualizaciones para evitar infecciones de gusanos a través de la red y desde luego reforzar los controles de acceso del personal que realiza el mantenimiento a los cajeros. Finalmente, y no menos importante, se debe procurar NO INSTALAR WINDOWS XP PIRATA EN UN ATM:

Los teléfonos celulares desde hace varios años dejaron de ser un lujo y pasaron a ser una necesidad: Permite que cualquier persona que conozca nuestro número se pueda comunicar con nosotros en cualquier parte desde que el dispositivo de comunicación tenga recepción de señal de la red celular. Si bien este es el uso normal de un teléfono celular, desde luego no es el único ni el más innovador y una muestra de ello es Taxi – 911.

En el primer trimestre de 2009 (aproximadamente en marzo) se lanzó al público un servicio en Colombia que pretende “crear redes de información digital para la seguridad ciudadana” mediante el envío de un mensaje corto (o SMS) al número 911 con la placa de un taxi para:

1. Verificar que la placa del vehículo se encuentre registrada ante las autoridades
2. Guardar de forma confidencial datos de la carrera (número de celular, hora de envío del mensaje y placa del vehículo) por si en caso de un siniestro las autoridades lo solicitan
3. Confirmar el acceso a un seguro de vida y por gastos médicos (el titular de la línea o el usuario de la línea corporativa)  en caso de que suceda algún evento de inseguridad durante el viaje en el taxi (2 horas en caso de accidente y 24 horas en caso de desaparición)

El servicio protege a la persona contra el llamado “paseo millonario” el cual existe en tres sabores diferentes :

1. Clásico: Se sube el pasajero, un momento después se suben otras personas y con amenaza y violencia someten al pasajero para que vaya retirando el dinero en cajeros electrónicos.
2. Novedoso: Incluye el escaneo de frecuencias de las compañías de taxi para interceptar el servicio de solicitud de taxi por radioteléfono.
3. Secuestro Express: Incluye la extorsión a la familia del pasajero mientras lo privan de la libertad.

El valor del mensaje de texto es de $383 (IVA incluido) y se puede enviar a través de una línea Comcel, Movistar o Tigo.  El servicio está funcionando actualmente en Bogotá, Medellín, Cali, Cartagena, Armenia, Pereira, Manizales, Bucaramanga, Valledupar, Sincelejo, Florencia, La Calera (Cundinamarca), La estrella (Antioquia) y Caldas (Antioquia).

Si bien no es un servicio nuevo (ya casi va a cumplir un año), si me parece que es una buena medida de seguridad en caso de ser victimas de un paseo millonario debido a que queda el registro de la información de la carrera en caso de que suceda cualquier incidente por lo que, en un futuro proceso investigativo, es más probable que se de con los perpetuadores de la acción delictiva. Por otro lado, pienso que es una forma inteligente de utilizar una tecnología que está al alcance de la mayoría de personas con el fin de velar por la seguridad de la ciudadanía.

Para finalizar, encontré un tip bastante útil para el uso de este servicio el cual consiste en que si se recibe el mensaje con el resultado de que el taxi es ilegal, se debe continuar con tranquilidad para no alertar al conductor. “La idea es que el pasajero encuentre una buena excusa para ponerse a salvo y evitar que lo hagan victima del “paseo millonario”. Una de las recomendaciones es que el pasajero cambie con naturalidad el destino que le había dicho al taxista por uno mas corto, para así bajarse del taxi cuanto antes. Una buena excusa seria decirle al taxista que se deben devolver al lugar, donde se tomó el taxi, pues “se me olvidaron unos documentos y debo recogerlos”. Me pareció interesante este consejo debido a que conozco un caso de una persona cercana que alertó al conductor y éste empezó a realizar llamadas por celular sospechosas. Afortunadamente el taxista lo dejó bajar antes de llegar a su destino.

PD: ¿Alguno de ustedes ha utilizado el servicio? ¿Qué tal le ha parecido? Si recibió el mensaje de que el taxi era ilegal ¿Le comentó al conductor? Si usó alguna excusa para bajarse antes, ¿Cuál usó?