La motivación para escribir el artículo de investigación fue Geinimi, un código malicioso descubierto a finales de diciembre de 2010 en app markets no oficiales (principalmente en China) que fue catalogado por la empresa Lookout como el malware para Android más sofisticado visto hasta ese momento. Esa afirmación llamó mi atención por lo que empecé a investigar sobre malware para Android anterior a Geinimi para ver en realidad la evolución del código malicioso en esta plataforma, apenas emergente, pero con un gran potencial de crecimiento en el corto plazo.

La primera parte del artículo trata sobre la historia del malware para Android que se remota  (exceptuando los clásicos software espías que son considerados programas potencialmente no deseados) al primer troyano para Android, FakePlayer, descubierto en Agosto de 2010 el cual era una aplicación bastante simple que pretendía ser un reproductor multimedia (incluso tenía el logo de Windows Media Player) pero que en realidad tenía implementado un código para enviar mensajes de texto (SMS) a números premium los cuales generaban costos no deseados a los usuarios y a la vez producían ganancias para los delincuentes informáticos. Desde FakePlayer se produjo un gran salto en sofisticación hasta llegar a Geinimi. La gran innovación de este malware fue el método de distribución: Fue la primera vez que se detectaron aplicaciones legítimas que fueron “troyanizadas” con el código malicioso. Esto quiere decir que, a diferencia de FakePlayer, Geinimi no era una aplicación completamente maliciosa sino que en realidad obtenían una aplicación legítima (en general juegos y wallpapers), le adicionaban el código malicioso y la re-empaquetaban de nuevo para distribuirla mediante sitios no oficiales.

La limitación hasta ese momento era que este malware se encontraba en foros, páginas web y app markets no oficiales en países como China o Rusia, sin embargo, esa situación estaba a punto de cambiar. En marzo de 2011 descubrieron Droid Dream, un código malicioso presente en más de 50 aplicaciones disponibles en el Android Market oficial (el que se encuentra instalado por defecto en la mayoría de dispositivos Android). Este malware, además de llegar a más usuarios alrededor del mundo (se estima que a más de 100.000), contenía dos exploits que permitían obtener permisos de administrador en el dispositivo e instalaba una aplicación completamente maliciosa que se encargaba de descargar más código malicioso en el dispositivo.

Finalmente a comienzos de Junio fue descubierto Plakton, un spyware empaquetado en aproximadamente 10 aplicaciones disponibles en el Android Market oficial que implementaba un nuevo vector de ataque: Es el primer malware que utiliza la carga dinámica de clases Dalvik para extender su funcionalidad y evadir detección. Lo anterior significa que Plakton, mientras se está ejecutando, solicita a un servidor en Internet si hay alguna actualización disponible. En caso afirmativo un archivo jar es descargado y cargado dinámicamente sin intervención del usuario lo cual era novedoso para la época en que fue descubierto este mecanismo.

El resto del artículo expone los fundamentos de Android, las herramientas y las metodologías necesarias para analizar malware en esta plataforma para luego aplicar estos conocimientos en el análisis de FakePlayer y Plankton con el fin de ver la evolución de estos dos tipos de amenazas en un periodo corto de tiempo (aproximadamente 1 año). Al final se expone una visión propia del futuro del código malicioso en Android el cual de seguro irá en aumento a medida de que la plataforma sea cada vez más popular y desde luego que la sofisticación será también cada vez mayor a medida que las herramientas de protección como los programas antivirus sean cada vez más efectivos para detectar este tipo de amenazas.

Un ejemplo de estos “keyloggers” es el uso de camaras térmicas para obtener la clase secreta (PIN) de un cajero automático. La investigación fue presentada a comienzos de Agosto en el USENIX Security Symposium por investigadores de la Universidad de California. La idea consiste en detectar el calor residual dejado en cada tecla presionada mediante el uso de una cámara térmica. Lo interesante es que, aunque aún no se ha detectado la implementación de esta técnica, en realidad es factible obtener el PIN mediante el calor residual:

Fuente: Thermal Camera-Based Attacks Whitepaper

Entre las “ventajas” de este ataque está que permite evadir el mecanismo de seguridad de tapar con la mano el teclado mientras digitamos el PIN, sin embargo, es casi imposible que esta técnica funcione en un teclado metálico. De todas formas, según los investigadores, en teclados plasticos es bastante efectivo (80% en una ventana de tiempo de 10 segundos despues de que la persona presionó las teclas) permitiendo obtener las teclas e inclusive el orden en que fueron presionadas.

Un segundo ejemplo de keyloggers creativos es Touchlogger: Un keylogger que funciona haciendo uso de los datos capturados por el acelerómetro presente en casi cualquier teléfono inteligente. Investigadores de la Universidad de California Davis afirman que este keylogger funciona debido a que cada tecla tiene asociado un movimiento del dedo único que permite identificar cuál tecla se está presionando:

Fuente: TouchLogger Whitepaper

Según las pruebas realizadas por los investigadores, la efectividad promedio de esta técnica es del 71.5% y desde luego la precisión depende de la sensibilidad del acelerómetro, sin embargo, más del setenta porciento no es un número para nada despreciable. De otra parte, esta técnica de seguro pasaría totalmente desapercibida para el usuario debido a que casi cualquier aplicación puede hacer uso de estos datos sin requerir permisos adicionales.

Para mayor información sobre estos keyloggers, recomiendo leer los artículos oficiales disponibles en los siguientes enlaces: (Thermal Camera-Based Attacks  y TouchLogger).

El primero de marzo de este año un usuario de la red social Reddit anunció el descubrimiento de algunas aplicaciones en el Android Market oficial que no correspondian con las versiones originales. Entre los detalles que llamaron la atención fue el cambio del nombre de la aplicación en el Market (por ejemplo una versión de Guitar Solo Lite se encontró como Super Guitar Solo) y la modificación del Manifest para incluir la ejecución en segundo plano de código malicioso imitando el vector de propagación propuesto por Geinimi a finales de 2010:

Threat Propagation Vector – Official Blog – Symantec

Adicionalmente, una vez descargada la aplicación, dentro del .apk (que en realidad es un archivo comprimido que se puede abrir con WinZip, WinRar, 7-zip etc…) se evidenció un archivo llamado “rageagainstthecage” el cual corresponde a un exploit comúnmente utilizado por la comunidad de usuarios de Android para realizar escalación de privilegios y obtener permisos de root (administrador) en el dispositivo. Otro de los archivos que llamó la atención fue una supuesta base de datos (llamado sqlite.db) que en realidad era otra aplicación (DownloadProvidersManager.apk) que era posteriormente instalada por el código malicioso inicial.

A primera vista el único propósito del malware era enviar a un servidor remoto información privada que permite identificar únicamente al dispositivo (y probablemente clonarlo) como el IMEI y el IMSI, sin embargo, su objetivo real tenía un impacto mucho mayor debido a que consistía en ejecutar dos exploits para obtener permisos de root (administrador) en el sistema y con esto poder instalar una shell con la cual podría instalar una nueva aplicación (DownloadProvidersManager.apk) embebida en el paquete inicial. Dicha apk, instalada sin el consentimiento del usuario, se encargaría de descargar nuevas aplicaciones maliciosas las cuales se ejecutarían con permisos de root en el dispositivo pudiendo hacer virtualmente cualquier acción en el dispositivo móvil.

En marzo tuve la oportunidad de participar en el Hacking Exposed Live! en donde compartí una corta presentación sobre análisis de código malicioso en Android y realicé una demostración analizando Droid Dream utilizando algunas herramientas disponibles en Internet. El Webcast está disponible en http://www.hackingexposed.com en la sección Webcasts (Hacking Exposed Live – March 2011).

Droid Dream es una muestra más de la rápida y constante evolución del código malicioso para Android, un sistema operativo para smartphones cada vez más popular por lo que se espera que esta evolución continúe, al mismo ritmo con el que aumenta el uso de estos dispositivos en todo el mundo.

Xirtem es un código malicioso bastante “ruidoso”, es decir, realiza muchos cambios en el sistema de archivos y efectúa una gran variedad de conexiones de red debido a que uno de los métodos principales de difusión es el envío de correos electrónicos no deseados con un archivo adjunto malicioso. El otro método de difusión que utiliza es la creación de directorios comunes para compartir archivos  en redes P2P (Grokster, LimeWire y Morpheus) y dentro de ellos la creación de archivos maliciosos con nombres sugestivos como “PDF to Word Converter 3.0” o “Grand Theft Auto Episodes From Liberty City 2010”. Finalmente el malware utiliza el clásico método de infección mediante memorias USB o pendrives el cual en la mayoría de casos se puede prevenir deshabilitando el autorun en Windows.

Lo novedoso de Xirtem es que últimamente busca archivos ejecutables en unidades de red que se encuentren conectadas al computador que se encuentra infectado. El resultado es un archivo Win32 Cabinet Self-Extractor como “Dummy.exe” que vemos en la siguiente imagen (suponiendo que nuestro ejecutable limpio se llama también Dummy):

Adicional a que durante la ejecución otro código malicioso es instalado y ejecutado en el sistema (Hiloti), si ejecutamos el archivo Dummy.exe  se instalará el malware y se ejecutará nuestro archivo .exe. Para realizar la limpieza del sistema y recuperar nuestro ejecutable, propongo dos métodos:

1. Ejecutar el siguiente comando en una línea de commandos (cmd): archivo.exe /T:<carpeta temporal> /C /Q (por ejemplo X:\>notepad.exe /T:X:\temp /C /Q). Este comando extraerá los dos archivos (tanto el malicioso como el de nosotros) en la carpeta temp. Luego de esto, podemos ejecutar un escaneo en esta carpeta con nuestro antivirus o simplemente borrar el archivo malicioso.
2. Instalar un programa para descomprimir archivos (winrar, 7-zip) y abrirlo con este software para poder extraer los archivos y recuperar el original. Luego de esto, ejecutar un escaneo general con el software antivirus que se tenga instalado.

Es importante mencionar que para que los archivos sean comprimidos en un CAB/SFX es necesario que la unidad de red se encuentre conectada al computador infectado mediante la opción Mi PC -> Herramientas -> Conectar a Unidad de Red, sin embargo, para evitar infectarse con este tipo de virus es recomendable no descargar/abrir/ejecutar archivos adjuntos de correos no deseados, evitar descargar archivos desconocidos de redes P2P, deshabilitar la funcionalidad de Autorun en Windows y tener un software antivirus actualizado.

Luego de más de dos meses en Chile revisando diariamente varios casos de código malicioso en el trabajo, he querido volver a activar el blog hablando de algo que no está relacionado con malware: los celulares que, en mi opinión, son los teléfonos inteligentes de más alta gama disponibles en este país: iPhone 4, Samsung Galaxy S y Blackberry Torch 9800. Antes de comenzar, ilustraré un poco el por qué la comparación no es a nivel de experiencia de usuario (guerra de sistemas operativos y aplicaciones):

Fuente: C-Section Comics

El siguiente cuadro comparativo fue diseñado haciendo uso de la información disponible en el sitio web GSM Arena, sin embargo, características comunes fueron omitidas para hacer énfasis en las diferencias entre los tres dispositivos:

Click en la imágen para verla mas grande

Como dije al comienzo, a parte de las obvias diferencias entre los sistemas operativos y su público objetivo, tenemos dos dispositivos bastante parejos a nivel de hardware (iPhone y Galaxy) vs el Blackberry que aún no llega a la talla de sus competidores siendo sus debilidades el procesador (@624 MHz), la tecnología de la pantalla (TFT), la falta de acelerómetro y la falta de grabación de video en HD. Como punto a favor se encuentra que tiene teclado físico y pantalla táctil, algo que llama bastante la atención entre los consumidores (las ventas del Motorola Droid son un ejemplo de esto).

Dejando un poco de lado el Blackberry, uno de los puntos de mayor disputa entre el iPhone y el Galaxy es la pantalla. Por un lado tenemos  la tecnología SuperAMOLED de Samsung vs el Retina Display de Apple la cual está basada en tecnología LCD, el ganador es (saquen sus propias conclusiones):

Samsung I9000 Galaxy S, Apple iPhone 4,  iPhone 3G

Fuente: GSM Arena

Las otras grandes diferencias entre estos dos dispositivos son: 1. El iPhone tiene flash para tomas fotos y grabar video lo cual ayuda bastante en espacios con poca iluminación, 2. El Samsung Galaxy S permite video llamadas por Skype vía 3G utilizando la cámara frontal mientras que el iPhone cuenta con una cámara de menos resolución y sólo se puede utilizar para hacer videollamadas vía Wi-Fi, 3. El Samsung Galaxy S incluye radio FM.

Para mi el claro ganador es el Samsun Galaxy S. Si desean conocer más sobre estos dos teléfonos inteligentes, les recomiendo el informe realizado en GSM Arena.

Fuente: S21Sec

Son aproximadamente dos meses desde mi último post en el blog. La razón de esto es que, durante este tiempo se dió una nueva oportunidad laboral: cambié mi trabajo en la Superintendencia Financiera de Colombia por el de Malware Researcher en el nuevo McAfee Labs en Santiago de Chile. Sin embargo, durante estos meses no he dejado de estar enterado del mundo de la seguridad informática revisando diariamente noticias, papers, investigaciones y nuevos descubrimientos de amenazas que pueden estar afectando a las personas que navegan todos los días en Internet. De esta forma, me enteré del post titulado “ZeuS Mitmo: Man-in-the-mobile” publicado en el blog de la empresa española S21Sec el cual anuncia el descubrimiento de la evolución del conocido troyano bancario ZeuS hacia el mundo de los dispositivos móviles.

Antes de comentar la novedad, primero voy a dar una pequeña introducción sobre ZeuS. En realidad, no se trata de un solo ejemplar de malware sino de un kit de herramientas que permite construir y administrar una botnet mediante la generación de código malicioso. El objetivo principal de ZeuS es robar información confidencial que puede ser utilizada por los delincuentes informáticos para realizar fraude electrónico o para efectuar robo de identidad. Una de las últimas novedades de ZeuS era la inclusión de la técnica Man-in-the-Browser la cual permite la captura, en tiempo real, de las credenciales de acceso (nombre de usuario y contraseña) a la banca en línea por lo que la transferencia de fondos hacia la cuenta del delincuente informático se realiza sin que el cliente se de cuenta. Esto es posible debido a que el malware cuenta con un sistema de notificación que le avisa al bot master que el cliente se ha autenticado por lo que, desde ese momento, se cuenta con todos los elementos necesarios para realizar la transferencia bancaria (incluso se puede obtener los one-time passwords que generan los Tokens físicos). Adicionalmente, según SecureWorks, ZeuS también es capaz de capturar certificados digitales (PKCS #12) que son usados por los navegadores de las víctimas para autenticarse en los sitios web transaccionales.

Abarcados estos métodos de autenticación fuerte, ZeuS va un paso más allá: ahora incluye la opción de infectar dispositivos móviles y capturar los mensajes de texto (SMS) que son enviados al teléfono como segundo método de autenticación. Esto es debido a los cada vez más populares tokens de software los cuales utilizan los mensajes cortos de texto para autenticar a los usuarios de la banca en línea.

El principal método de infección consiste en enviar un link, mediante SMS, que permite instalar una aplicación maliciosa encargada de robar el SMS adicional de autenticación. Para ello, ZeuS dispone de un sitio web que permite registrar el modelo y número de teléfono celular al cual se le envía el mensaje de texto con el link mencionado:

Fuente: S21Sec

Importante mencionar que el malware es multiplataforma: al escoger el fabricante, el código malicioso escoge si enviar el link para instalar una aplicación Symbian (.sis) o una aplicación para BlackBerry (.jad). S21Sec analizó el ejemplar para Symbian S60 evidenciando el sistema de Comando y Control implementado en el malware mediante el uso de los mensajes cortos de texto SMS:

Fuente: S21Sec

Básicamente, el código malicioso se registra con el bot master enviando un mensaje SMS con la cadena “App installed ok” y queda a la espera de recibir comandos por el mismo medio. Dichos mensajes son recibidos y enviados por un número predefinido pero puede ser cambiado mediante el comando “SET ADMIN”. ZeuS también incluye la opción de adicionar/eliminar/actualizar contactos con lo cual el envío/recepción de SMS puede ser fácilmente enmascarado.

Con esta nueva funcionalidad de ZeuS, queda demostrado que el crimeware va a la par con los avances en seguridad informática incluyendo, en esta ocasión, los dispositivos móviles los cuales son cada vez más indispensables en la vida cotidiana y, por tanto, seguirán siendo objetivo de los delincuentes informáticos.

Update: Según el blog de F-Secure, el C&C desde donde se administraba la botnet ha sido dado de baja, sin embargo, de seguro se espera que aparezcan nuevas versiones del malware con funcionalidades mejoradas.

El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

• Se aprovecha de una vulnerabilidad en Windows de la que hasta ese momento no se tenía conocimiento: La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo” por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

• Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek Semiconductor y JMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

• Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

• Orientado a sistemas SCADA: La primera muestra de malware estaba orientado a atacar sistemas de propósito específico del fabricante Siemens los cuales son usados para controlar y administrar procesos industriales críticos como por ejemplo la infraestructura de energía eléctrica.

Hasta este punto, la amenaza parecía ser muy puntual que no afectada masivamente a las personas aunque quedaba descubierta la vulnerabilidad esperando por una solución. Sin embargo, el 18 de julio la vulnerabilidad fue publicada en Internet. Lo anterior provocó que el SANS cambiara su indicador de amenaza de verde a amarillo debido a que aún no se contaba con la solución y, por el contrario, la forma de explotar la vulnerabilidad había sido publicada. Incluso, el famoso software Metasploit implementó un módulo con el exploit lo cual incrementaba las posibilidades de un despliegue de ataques aprovechando dicha vulnerabilidad.

Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality y hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Es en este punto en donde se da la respuesta al titulo de este post: Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un  futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche, fuera de ciclo, que Microsoft que publicó el día de hoy: MS10-046.

PD: En caso de haber seguido el procedimiento propuesto por Microsoft en donde se deshabilitan los iconos en Windows, en éste enlace se encuentra la herramienta para reversar la modificación realizada.

PD2: Un ejemplo del uso del módulo de Metasploit

Windows LNK vulnerability (CVE-2010-2568) in action from hardez on Vimeo.

Fuente: Fortinet

La imagen anterior corresponde a  una queja formal de un cliente de telefonía en China en la cual expresa su descontento por una serie de mensajes cortos (SMS) enviados a un número premium que generaron unos costos adicionales (31 yuans) en la factura mensual del proveedor de telefonía celular. Según el reclamo, los mensajes de texto no fueron realizados por el cliente por lo que se abre la posibilidad de que se hayan efectuado de forma automática mediante el uso de un código malicioso instalado en el teléfono celular.

El causante del anterior comportamiento es el malware SymbOS/Album.A!tr, el cual ha sido analizado por la compañía Fortinet, la misma que descubrió el código malicioso Yxes que fue objeto de análisis en el trabajo de investigación presentado en el concurso de ESET 2009 para determinar si podía ser considerada la primera Botnet Móvil.

En efecto, SymbOS/Album.A!tr comparte varias características con su hermano mayor Yxes. Una de las más importantes es que utilizan la misma técnica para obtener el certificado de firma digital que exige Symbian para que las aplicaciones puedan ser instaladas en dicho sistema operativo: Los desarrolladores se registran en el sitio web https://www.symbiansigned.com/ con una dirección de e-mail corporativa válida (no se acepta gmail, yahoo, hotmail etc…) y, previo pago de USD $20, reciben la aplicación firmada.

De otra parte, SymbOS/Album.A!tr cuenta con la funcionalidad de enviar mensajes cortos SMS de forma silenciosa (sin que lo note el usuario).  Lo más interesante de esta característica es que los mensajes de texto no quedan registrados en la bandeja de entrada (inbox) del celular por lo que son completamente invisibles para el usuario. La única forma de detectar éste comportamiento es leer el log interno del teléfono (c:\101f401d\logdbu.dat):

Fuente: Fortinet

El archivo anterior muestra que el teléfono celular intentó enviar dos mensajes de texto cortos: Uno al número 10665xxx con el texto “1*1#” y otro al número 13410252xxx enviando el IMSI. Efectivamente el primer número corresponde al reclamo del usuario chino que se comentó al comienzo del artículo por lo que se concluye que los mensajes fueron enviados automáticamente por el malware  SymbOS/Album.A!tr.

El ejemplar fue enviado a Fortinet por la compañía de seguridad informática NetQuin la cual, el 5 de julio de 2010, comentó en su blog sobre el descubrimiento de una Botnet móvil de aproximadamente 100.000 dispositivos móviles lo cual demuestra que la amenaza en dispositivos móviles sigue en aumento, por lo menos en los países asiáticos en donde Symbian es bastante popular.

El día de ayer, 28 de junio de 2010, comenzó “el mayor evento de tecnología, creatividad, ocio y cultura digital en red del mundo: Campus Party Colombia 2010. Este encuentro, que se viene realizando desde 1997, reúne durante siete días a miles de participantes con el fin de “compartir inquietudes, intercambiar experiencias y realizar todo tipo de actividades relacionadas con el computador, las comunicaciones y las nuevas tecnologías”.

Este año Alberto Gil, coordinador de la nueva sección del evento “Seguridad y Redes”, me extendió una invitación para participar en esta versión del Campus Party Colombia con el fin de compartir en una conferencia el trabajo de investigación realizado para el concurso de ESET 2009 relacionado con seguridad informática en dispositivos móviles. Dicha invitación la acepté con gusto por lo que la conferencia “Botnets conformadas por dispositivos móviles: Una amenaza global” será presentada el sábado 3 de julio a las 10:30 a.m. con una duración aproximada de 1 hora y 30 minutos.

A continuación la introducción de la presentación que se encuentra en la página oficial de Campus Party: “Desde hace varios años los teléfonos celulares dejaron de ser dispositivos electrónicos utilizados únicamente para comunicarse como si de un teléfono tradicional se tratara. Actualmente, los denominados teléfonos inteligentes son genuinas máquinas de cómputo las cuales, en procesamiento, pueden ser comparables con los computadores de escritorio que utilizamos en la oficina o en el hogar. Adicional a esto, los dispositivos móviles cuentan con una característica que hasta hace pocos años se creía algo de ciencia ficción: Conectividad a Internet de alta velocidad (3G) en cualquier lugar donde exista cobertura de la red celular la cual cada vez es mayor gracias a tecnologías como LTE (Long Term Evolution) y WiMAX. Si a lo anterior se le suma que actualmente el número de suscripciones de Internet inalámbrico exceden los 1.000 millones y que cada vez más personas en el mundo utilizan los dispositivos móviles para realizar transacciones bancarias y utilizar redes sociales que revelan información confidencial de las personas, se puede vislumbrar una amenaza latente que viene evolucionando en el campo de la seguridad informática: Redes de dispositivos móviles controlados remotamente por delincuentes informáticos los cuales pueden ser utilizados para realizar los ataques típicos que se efectúan con computadores tradicionales: Ataques de denegación de servicio, envío de correos no deseados, envío de ataques de phishing, infección de otros dispositivos o sistemas entre otros. El objetivo principal de la conferencia es recorrer el inicio del código malicioso en dispositivos móviles mostrando los primeros indicios de las “Botnets móviles”, siguiendo con la evolución de dicha amenaza y finalizando con una visión a futuro del campo de la seguridad informática enfocada a la computación móvil”.

Quedan todos cordialmente invitados para que asistan al evento y conozcan el contenido del trabajo presentado y la evolución de dicha amenaza un año despúes de realizada la investigación.

Update:  A continuación la presentación la cual también está publicada en el sitio de Campus Party Co.

Recientemente surgió en el mercado una novedosa alternativa para reducir el riesgo de que un delincuente informático intercepte una transacción electrónica en tiempo real mediante un ataque de man-in-the-middle. Se trata del dispositivo ZTIC (Zone Trusted Information Channel) de IBM el cual se encuentra actualmente implementado en UBS (Union Bank of Switzerland), el segundo mayor banco en el mundo en la administración de activos privados y el segundo banco de Europa, tanto en capitalización del mercado como en costo/beneficio.

El ZTIC es un lector de tarjetas inteligentes (lo que se conoce como tarjetas chip en Colombia) que se conecta al puerto USB desde donde se va a realizar la transacción electrónica. En el momento de realizar esta acción, se despliega tanto en el dispositivo como en el computador, el mensaje “Start Online Service” con lo cual comienza el proceso de autenticación y autorización con el sitio web transaccional. Luego de que el ZTIC se ha instalado, se procede a insertar la tarjeta inteligente en el dispositivo y se ingresa la clave personal bancaria en el sitio web del banco. Hasta este punto, el cliente solamente puede realizar consultas sobre sus saldos y su historial transaccional, sin embargo, para poder realizar transferencias o pagos en necesario diligenciar unos datos en la web entre los que se encuentra el número de cuenta bancaria. Al confirmar la transacción, en el ZTIC debe aparecer el mismo número de cuenta proporcionado realizando de esta manera un tercer paso de autenticación. Finalmente, un mensaje de confirmación debe aparecer en el sitio web transaccional del banco.

Lo importante de esta tecnología es que ofrece un tercer factor de autenticación el cual previene de ataques que intercepten la transacción (como por ejemplo los que es capaz de efectuar el famoso y difundido troyano Zeus con su ataque man-in-the-browser) mostrando en el dispositivo el número de la cuenta real a al cual va a ser transferido el dinero.

Probablemente la desventaja más notoria del ZTIC es que actualmente cuesta 65 CHF (francos suizos) que al cambio equivale a 56 USD o 110.000 COP lo cual es bastante costo para la mayoría de personas en Latinoamérica.

Para un mayor entendimiento de cómo funciona el ZTIC, a continuación les comparto un video de su uso: