Carlos A. Castillo L.

Ayer, 29 de noviembre de 2011, finalmente fue publicado mi artículo “Android Malware: Past, Present and Future” en el sitio Web de McAfee (el PDF puede ser descargado directamente desde este link). Era diciembre de 2010 y, a pesar de que llevaba apenas un par de meses en McAfee Labs en Santiago de Chile, estaba a la espera de una oportunidad para comenzar un nuevo proyecto de investigación (el último lo había culminado hace más de un año con el artículo “Sexy View: El inicio de las Botnets para dispositivos móviles”). Justo por esa época conocí el Mobile Security Working Group, liderado por Michael Price, que me dio la oportunidad de escribir un artículo relacionado con seguridad en dispositivos móviles, el campo en el cual me desempeño actualmente y el que definitivamente me apasiona. El propósito de este post, además de compartir el documento en su formato original, es exponer de forma clara de qué se trata el artículo y qué podemos esperar en un futuro cercano en la evolución de este tipo de amenazas en dispositivos móviles Android.

La motivación para escribir el artículo de investigación fue Geinimi, un código malicioso descubierto a finales de diciembre de 2010 en app markets no oficiales (principalmente en China) que fue catalogado por la empresa Lookout como el malware para Android más sofisticado visto hasta ese momento. Esa afirmación llamó mi atención por lo que empecé a investigar sobre malware para Android anterior a Geinimi para ver en realidad la evolución del código malicioso en esta plataforma, apenas emergente, pero con un gran potencial de crecimiento en el corto plazo.

La primera parte del artículo trata sobre la historia del malware para Android que se remota  (exceptuando los clásicos software espías que son considerados programas potencialmente no deseados) al primer troyano para Android, FakePlayer, descubierto en Agosto de 2010 el cual era una aplicación bastante simple que pretendía ser un reproductor multimedia (incluso tenía el logo de Windows Media Player) pero que en realidad tenía implementado un código para enviar mensajes de texto (SMS) a números premium los cuales generaban costos no deseados a los usuarios y a la vez producían ganancias para los delincuentes informáticos. Desde FakePlayer se produjo un gran salto en sofisticación hasta llegar a Geinimi. La gran innovación de este malware fue el método de distribución: Fue la primera vez que se detectaron aplicaciones legítimas que fueron “troyanizadas” con el código malicioso. Esto quiere decir que, a diferencia de FakePlayer, Geinimi no era una aplicación completamente maliciosa sino que en realidad obtenían una aplicación legítima (en general juegos y wallpapers), le adicionaban el código malicioso y la re-empaquetaban de nuevo para distribuirla mediante sitios no oficiales.

La limitación hasta ese momento era que este malware se encontraba en foros, páginas web y app markets no oficiales en países como China o Rusia, sin embargo, esa situación estaba a punto de cambiar. En marzo de 2011 descubrieron Droid Dream, un código malicioso presente en más de 50 aplicaciones disponibles en el Android Market oficial (el que se encuentra instalado por defecto en la mayoría de dispositivos Android). Este malware, además de llegar a más usuarios alrededor del mundo (se estima que a más de 100.000), contenía dos exploits que permitían obtener permisos de administrador en el dispositivo e instalaba una aplicación completamente maliciosa que se encargaba de descargar más código malicioso en el dispositivo.

Finalmente a comienzos de Junio fue descubierto Plakton, un spyware empaquetado en aproximadamente 10 aplicaciones disponibles en el Android Market oficial que implementaba un nuevo vector de ataque: Es el primer malware que utiliza la carga dinámica de clases Dalvik para extender su funcionalidad y evadir detección. Lo anterior significa que Plakton, mientras se está ejecutando, solicita a un servidor en Internet si hay alguna actualización disponible. En caso afirmativo un archivo jar es descargado y cargado dinámicamente sin intervención del usuario lo cual era novedoso para la época en que fue descubierto este mecanismo.

El resto del artículo expone los fundamentos de Android, las herramientas y las metodologías necesarias para analizar malware en esta plataforma para luego aplicar estos conocimientos en el análisis de FakePlayer y Plankton con el fin de ver la evolución de estos dos tipos de amenazas en un periodo corto de tiempo (aproximadamente 1 año). Al final se expone una visión propia del futuro del código malicioso en Android el cual de seguro irá en aumento a medida de que la plataforma sea cada vez más popular y desde luego que la sofisticación será también cada vez mayor a medida que las herramientas de protección como los programas antivirus sean cada vez más efectivos para detectar este tipo de amenazas.

Una de los principales preocupaciones actualmente cuando se navega en Internet es la protección de la confidencialidad de la información; en especial la relacionada con transacciones electrónicas o información que permita identificar a una persona (Personally Identifiable Information or PII) con el fin de prevenir fraude electrónico o suplantación de identidad entre otros riesgos. Una de las herramientas más comunes para obtener dicha información de forma ilegitima son los “Keyloggers”: Componentes de software o hardware que  tienen como objetivo capturar las pulsaciones realizadas en el teclado con el fin de obtener la información que digita el usuario y enviarla hacia el delincuente informático. Tradicionalmente, los keyloggers están diseñados para funcionar en computadores tradicionales, sin embargo, debido a la cada vez más popularidad de los dispositivos móviles y la siempre llamativa idea de vulnerar el segundo método de autenticación (PIN) en cajeros automáticos, estos mecanismos están empezando a evolucionar con el fin de evitar métodos de detección y evadir medidas adicionales que se implementan para proteger la información.

Un ejemplo de estos “keyloggers” es el uso de camaras térmicas para obtener la clase secreta (PIN) de un cajero automático. La investigación fue presentada a comienzos de Agosto en el USENIX Security Symposium por investigadores de la Universidad de California. La idea consiste en detectar el calor residual dejado en cada tecla presionada mediante el uso de una cámara térmica. Lo interesante es que, aunque aún no se ha detectado la implementación de esta técnica, en realidad es factible obtener el PIN mediante el calor residual:

Fuente: Thermal Camera-Based Attacks Whitepaper

Entre las “ventajas” de este ataque está que permite evadir el mecanismo de seguridad de tapar con la mano el teclado mientras digitamos el PIN, sin embargo, es casi imposible que esta técnica funcione en un teclado metálico. De todas formas, según los investigadores, en teclados plasticos es bastante efectivo (80% en una ventana de tiempo de 10 segundos despues de que la persona presionó las teclas) permitiendo obtener las teclas e inclusive el orden en que fueron presionadas.

Un segundo ejemplo de keyloggers creativos es Touchlogger: Un keylogger que funciona haciendo uso de los datos capturados por el acelerómetro presente en casi cualquier teléfono inteligente. Investigadores de la Universidad de California Davis afirman que este keylogger funciona debido a que cada tecla tiene asociado un movimiento del dedo único que permite identificar cuál tecla se está presionando:

Fuente: TouchLogger Whitepaper

Según las pruebas realizadas por los investigadores, la efectividad promedio de esta técnica es del 71.5% y desde luego la precisión depende de la sensibilidad del acelerómetro, sin embargo, más del setenta porciento no es un número para nada despreciable. De otra parte, esta técnica de seguro pasaría totalmente desapercibida para el usuario debido a que casi cualquier aplicación puede hacer uso de estos datos sin requerir permisos adicionales.

Para mayor información sobre estos keyloggers, recomiendo leer los artículos oficiales disponibles en los siguientes enlaces: (Thermal Camera-Based Attacks  y TouchLogger).

En enero de 2010 finalmente desarrollé una iniciativa que tenía planeada desde hace unos años: crear un espacio en Internet “para poderme expresar y compartir experiencias, opiniones, recomendaciones, investigaciones y, en general, todo lo que para mi es interesante en el campo de la seguridad informática y los dispositivos móviles”, sin embargo, en lo que llevo de publicado muy poco he comentado sobre el tema de dispositivos móviles de forma exclusiva (es decir, sin hablar sobre seguridad informática).

Luego de más de dos meses en Chile revisando diariamente varios casos de código malicioso en el trabajo, he querido volver a activar el blog hablando de algo que no está relacionado con malware: los celulares que, en mi opinión, son los teléfonos inteligentes de más alta gama disponibles en este país: iPhone 4, Samsung Galaxy S y Blackberry Torch 9800. Antes de comenzar, ilustraré un poco el por qué la comparación no es a nivel de experiencia de usuario (guerra de sistemas operativos y aplicaciones):

Fuente: C-Section Comics

El siguiente cuadro comparativo fue diseñado haciendo uso de la información disponible en el sitio web GSM Arena, sin embargo, características comunes fueron omitidas para hacer énfasis en las diferencias entre los tres dispositivos:

Click en la imágen para verla mas grande

Como dije al comienzo, a parte de las obvias diferencias entre los sistemas operativos y su público objetivo, tenemos dos dispositivos bastante parejos a nivel de hardware (iPhone y Galaxy) vs el Blackberry que aún no llega a la talla de sus competidores siendo sus debilidades el procesador (@624 MHz), la tecnología de la pantalla (TFT), la falta de acelerómetro y la falta de grabación de video en HD. Como punto a favor se encuentra que tiene teclado físico y pantalla táctil, algo que llama bastante la atención entre los consumidores (las ventas del Motorola Droid son un ejemplo de esto).

Dejando un poco de lado el Blackberry, uno de los puntos de mayor disputa entre el iPhone y el Galaxy es la pantalla. Por un lado tenemos  la tecnología SuperAMOLED de Samsung vs el Retina Display de Apple la cual está basada en tecnología LCD, el ganador es (saquen sus propias conclusiones):

Samsung I9000 Galaxy S, Apple iPhone 4,  iPhone 3G

Fuente: GSM Arena

Las otras grandes diferencias entre estos dos dispositivos son: 1. El iPhone tiene flash para tomas fotos y grabar video lo cual ayuda bastante en espacios con poca iluminación, 2. El Samsung Galaxy S permite video llamadas por Skype vía 3G utilizando la cámara frontal mientras que el iPhone cuenta con una cámara de menos resolución y sólo se puede utilizar para hacer videollamadas vía Wi-Fi, 3. El Samsung Galaxy S incluye radio FM.

Para mi el claro ganador es el Samsun Galaxy S. Si desean conocer más sobre estos dos teléfonos inteligentes, les recomiendo el informe realizado en GSM Arena.

Fuente: Fortinet

La imagen anterior corresponde a  una queja formal de un cliente de telefonía en China en la cual expresa su descontento por una serie de mensajes cortos (SMS) enviados a un número premium que generaron unos costos adicionales (31 yuans) en la factura mensual del proveedor de telefonía celular. Según el reclamo, los mensajes de texto no fueron realizados por el cliente por lo que se abre la posibilidad de que se hayan efectuado de forma automática mediante el uso de un código malicioso instalado en el teléfono celular.

El causante del anterior comportamiento es el malware SymbOS/Album.A!tr, el cual ha sido analizado por la compañía Fortinet, la misma que descubrió el código malicioso Yxes que fue objeto de análisis en el trabajo de investigación presentado en el concurso de ESET 2009 para determinar si podía ser considerada la primera Botnet Móvil.

En efecto, SymbOS/Album.A!tr comparte varias características con su hermano mayor Yxes. Una de las más importantes es que utilizan la misma técnica para obtener el certificado de firma digital que exige Symbian para que las aplicaciones puedan ser instaladas en dicho sistema operativo: Los desarrolladores se registran en el sitio web https://www.symbiansigned.com/ con una dirección de e-mail corporativa válida (no se acepta gmail, yahoo, hotmail etc…) y, previo pago de USD $20, reciben la aplicación firmada.

De otra parte, SymbOS/Album.A!tr cuenta con la funcionalidad de enviar mensajes cortos SMS de forma silenciosa (sin que lo note el usuario).  Lo más interesante de esta característica es que los mensajes de texto no quedan registrados en la bandeja de entrada (inbox) del celular por lo que son completamente invisibles para el usuario. La única forma de detectar éste comportamiento es leer el log interno del teléfono (c:\101f401d\logdbu.dat):

Fuente: Fortinet

El archivo anterior muestra que el teléfono celular intentó enviar dos mensajes de texto cortos: Uno al número 10665xxx con el texto “1*1#” y otro al número 13410252xxx enviando el IMSI. Efectivamente el primer número corresponde al reclamo del usuario chino que se comentó al comienzo del artículo por lo que se concluye que los mensajes fueron enviados automáticamente por el malware  SymbOS/Album.A!tr.

El ejemplar fue enviado a Fortinet por la compañía de seguridad informática NetQuin la cual, el 5 de julio de 2010, comentó en su blog sobre el descubrimiento de una Botnet móvil de aproximadamente 100.000 dispositivos móviles lo cual demuestra que la amenaza en dispositivos móviles sigue en aumento, por lo menos en los países asiáticos en donde Symbian es bastante popular.

Hasta hace apenas aproximadamente un año, las redes de dispositivos móviles infectados con malware controlados remotamente era tan solo un mito el cual intentaba convertirse en realidad mediante el descubrimiento del gusano Yxes.A (también conocido como Sexy View) para Symbian S60 por parte de Fortinet el 18 de febrero de 2009. En resumen, el malware presentaba los siguientes síntomas en el dispositivo: Anormal aumento en el valor de las facturas de telefonía al enviar mensajes cortos SMS, rápida pérdida de batería e imposibilidad de ejecutar algunas aplicaciones del sistema operativo (AppMgr, TaskSpy, Y-Tasks, ActiveFile, TaskMan).  Adicionalmente, intentaba silenciosamente conectarse a Internet enviando un HTTP request con el modelo del teléfono, número serial, número de subscripción y la versión del gusano colocando dicha información en un servidor remoto. En esa época, Guillaume Lovet, senior manager del Fortinet’s Threat Research Team afirmó: “We’re really at the edge of a mobile botnet here” .

Unos meses después apareció iKee, la primera red de iPhones controlados de forma remota a través de una red 3G gracias a el conocimiento de una contraseña por defecto del servicio de consola remota SSH. Al parecer los delincuentes informáticos se estaban dando cuenta del incremento de la banca móvil y del creciente uso de los dispositivos móviles a nivel mundial. Con respecto a esto, un estudio reciente  afirma que el mercado de aplicaciones móviles para teléfonos inteligentes crecerá un 807% hasta el año 2013 y se espera que para esa época existan 970 millones de terminales denominados inteligentes lo cual es un mercado bastante apetecido para atacar, sobretodo si entre esas aplicaciones que se desarrollan existen las que encajan dentro de la categoría de “Banca Móvil”.

Ahora bien, luego de conocer el gran impacto que tuvo este malware en la comunidad iPhone y del gran potencial que tienen las aplicaciones móviles en el mercado, unos investigadores del TippingPoint’s Digital Vaccine Group desarrollaron una aparentemente “inofensiva” aplicación de información del clima (WheaterFirst) para dispositivos Android y iPhone. Lo que no sabían las personas que instalaron el malware es que en realidad estaban infectando sus dispositivos para hacerlos parte de una botnet de más de 8.000 dispositivos los cuales enviaban constantemente las coordenadas GPS de los usuarios a Internet. La distribución del software fue realizada a través de mercados de aplicaciones de terceros como Cydia, SlideME y Modmyi para que pudiera ser instalada en dispositivos liberados con permisos para ejecutar aplicaciones generalmente no aprobadas por iPhone y Android. Para probar el peligro de una Botnet Móvil, crearon una versión maliciosa de la aplicación llamada WeatherFistBadMonkey la cual es muy similar a la original solo que antes de efectuar su función principal (enviar coordenadas GPS a Internet para mostrar información del clima), se encarga de realizar actividades características de un dispositivo zombie (robar información confidencial y enviar spam).

Por último, como muestra fehaciente de la constante evolución de esta amenaza, el 4 de marzo de 2010 de nuevo el equipo de Fortinet descubrió una nueva variante del gusano para Symbian Yxes. Este nuevo malware contacta servidores remotos, los cuales contienen páginas JSP (Java Server Pages), y envía “atractivos” mensajes cortos SMS que incluyen una URL maliciosa para provocar la infección en los contactos que tiene el dispositivo de la victima.  La novedad más notoria de esta versión es que ahora utiliza páginas JSP para enviar la información robada de la siguiente forma:

http://XXXX/Jump.jsp?Version=2.0&PhoneType=…&PhoneImei=…&PhoneImsi=…&Source=..

El argumento Source aún no se ha podido determinar qué información lleva, sin embargo, se sospecha que sea el nombre del sitio web malicioso que fue usado para infectar el dispositivo. Lo realmente preocupante, tanto de esta versión como de las anteriores, es que cuenta con un certificado de Symbian legítimo el cual no ha sido revocado por lo que cualquier dispositivo que soporte la aplicación puede instalar Yxes debido ésta se encuentra firmada digitalmente. Con lo anterior se confirma que los delincuentes informáticos continúan trabajando en Yxes desde finales de 2008 realizando cada vez más mejoras en el código malicioso sin que exista control por parte de Symbian.

En conclusión, el mercado de la inseguridad en dispositivos móviles va en aumento y es cada vez más apetecido por los delincuentes informáticos. Si bien estoy de acuerdo con Graham Cluley de Sophos  quien afirma que no era necesario realizar el experimento de WeatherFist para probar que una aplicación maliciosa podía ser distribuida e instalada por una gran cantidad de usuarios sin que se dieran cuenta de la amenaza, si pienso que los controles que ejercen Apple, Android y Symbian (cada uno en su medida) en sus medios de distribución de aplicaciones ayudan a filtrar esas aplicaciones que pueden tener comportamiento malicioso. Esto ayuda bastante a mitigar el riesgo de infección con malware debido en gran parte a que actualmente dicha infección requiere en un gran porcentaje de las veces de la interacción del usuario. Entonces, ¿Qué falta para que este problema se masifique en los dispositivos móviles a nivel mundial? Como dice Mikko Hypponen, Chief Research Officer de F-Secure, “Tarde que temprano, veremos el primer ataque mediante exploit y, cuando eso suceda, todo cambiará”.

Los teléfonos celulares desde hace varios años dejaron de ser un lujo y pasaron a ser una necesidad: Permite que cualquier persona que conozca nuestro número se pueda comunicar con nosotros en cualquier parte desde que el dispositivo de comunicación tenga recepción de señal de la red celular. Si bien este es el uso normal de un teléfono celular, desde luego no es el único ni el más innovador y una muestra de ello es Taxi – 911.

En el primer trimestre de 2009 (aproximadamente en marzo) se lanzó al público un servicio en Colombia que pretende “crear redes de información digital para la seguridad ciudadana” mediante el envío de un mensaje corto (o SMS) al número 911 con la placa de un taxi para:

1. Verificar que la placa del vehículo se encuentre registrada ante las autoridades
2. Guardar de forma confidencial datos de la carrera (número de celular, hora de envío del mensaje y placa del vehículo) por si en caso de un siniestro las autoridades lo solicitan
3. Confirmar el acceso a un seguro de vida y por gastos médicos (el titular de la línea o el usuario de la línea corporativa)  en caso de que suceda algún evento de inseguridad durante el viaje en el taxi (2 horas en caso de accidente y 24 horas en caso de desaparición)

El servicio protege a la persona contra el llamado “paseo millonario” el cual existe en tres sabores diferentes :

1. Clásico: Se sube el pasajero, un momento después se suben otras personas y con amenaza y violencia someten al pasajero para que vaya retirando el dinero en cajeros electrónicos.
2. Novedoso: Incluye el escaneo de frecuencias de las compañías de taxi para interceptar el servicio de solicitud de taxi por radioteléfono.
3. Secuestro Express: Incluye la extorsión a la familia del pasajero mientras lo privan de la libertad.

El valor del mensaje de texto es de $383 (IVA incluido) y se puede enviar a través de una línea Comcel, Movistar o Tigo.  El servicio está funcionando actualmente en Bogotá, Medellín, Cali, Cartagena, Armenia, Pereira, Manizales, Bucaramanga, Valledupar, Sincelejo, Florencia, La Calera (Cundinamarca), La estrella (Antioquia) y Caldas (Antioquia).

Si bien no es un servicio nuevo (ya casi va a cumplir un año), si me parece que es una buena medida de seguridad en caso de ser victimas de un paseo millonario debido a que queda el registro de la información de la carrera en caso de que suceda cualquier incidente por lo que, en un futuro proceso investigativo, es más probable que se de con los perpetuadores de la acción delictiva. Por otro lado, pienso que es una forma inteligente de utilizar una tecnología que está al alcance de la mayoría de personas con el fin de velar por la seguridad de la ciudadanía.

Para finalizar, encontré un tip bastante útil para el uso de este servicio el cual consiste en que si se recibe el mensaje con el resultado de que el taxi es ilegal, se debe continuar con tranquilidad para no alertar al conductor. “La idea es que el pasajero encuentre una buena excusa para ponerse a salvo y evitar que lo hagan victima del “paseo millonario”. Una de las recomendaciones es que el pasajero cambie con naturalidad el destino que le había dicho al taxista por uno mas corto, para así bajarse del taxi cuanto antes. Una buena excusa seria decirle al taxista que se deben devolver al lugar, donde se tomó el taxi, pues “se me olvidaron unos documentos y debo recogerlos”. Me pareció interesante este consejo debido a que conozco un caso de una persona cercana que alertó al conductor y éste empezó a realizar llamadas por celular sospechosas. Afortunadamente el taxista lo dejó bajar antes de llegar a su destino.

PD: ¿Alguno de ustedes ha utilizado el servicio? ¿Qué tal le ha parecido? Si recibió el mensaje de que el taxi era ilegal ¿Le comentó al conductor? Si usó alguna excusa para bajarse antes, ¿Cuál usó?

Luego de la bastante comentada cumbre climática de Copenhague, Dinamarca, en diciembre de 2009 (la cual no logró incluir más recortes en la emisión de gases de invernadero), me encuentro con una propuesta bastante interesante del diseñador Chino Daizi Zheng: Un teléfono celular que funciona a base de Coca-Cola (o más exactamente a base de azúcar).

La idea es simple pero poderosa: Utilizar bio-baterías amigables para el ambiente (libre de polución) generando electricidad mediante la aplicación de encimas como un catalizador de los carbohidratos (actualmente azúcar). De este modo, lo único necesario para que el teléfono celular funcione es una bebida azucarada. Una vez la batería se agota, los residuos resultantes son agua y oxígeno lo cual es bastante amigable con el planeta. Según Daizi Zheng, las bio-baterías, en una sola carga, triplica y hasta cuadruplica la duración de una batería de lithium tradicional.

Desde luego el diseño del dispositivo es de Daizi Zheng, sin embargo, la tecnología al parecer la empezó a desarrollar Sony desde hace algunos años, anunciándola oficialmente en el 2007. En ese año la bio-batería era capaz de generar 50mW, capaz de hacer funcionar un Walkman (todo un record para la época). Al parecer la inversión en investigación y desarrollo de la tecnología ha surtido efecto y actualmente es posible hacer funcionar un teléfono celular con una bebida azucarada.

Espero que las grandes empresas sigan impulsando este tipo de iniciativas (teniendo en cuenta el cada vez mayor uso de dispositivos electrónicos desechables) con el fin de reducir el daño que le estamos haciendo al planeta, ya que por ahora no es posible reversarlo.

La seguridad informática en dispositivos móviles aún está muy atrasada con respecto a la que se desarrolló pensando en computadores tradicionales. Según mi criterio, una de las razones más importantes es que no existe aún un sistema operativo que domine el mercado de los dispositivos móviles; cosa que si sucede con Windows en los computadores tradicionales. Consecuencia directa de este hecho es que aún no existe una amenaza en seguridad de la información que tenga un amplio alcance, riesgo y velocidad de propagación…hasta hace unos meses con el incidente de la primera Botnet que afecta los famosos iPhone: iKee.B (Duh) (para los interesados en el tema recomiendo leer el análisis realizado por el SRI).

Resumiendo un poco lo sucedido, en noviembre de 2009 usuarios holandeses de iPhones desbloqueados (liberados del control de la AppleStore que se encontraban en el rango de direcciones IP de T-Mobile 3G notaron una extraña imagen en sus dispositivos:

La ventana le notificaba al usuario que su dispositivo había sido vulnerado y que, si deseaba eliminar el código malicioso instalado, debía pagar 5 USD en un sitio web dedicado para ello. El ataque consistía en realizar una conexión SSH utilizando la contraseña por defecto que tiene Applie en sus iPhone: “alpine”. Luego de tener permisos de root (administrador), el delincuente informático podía ejecutar cualquier comando en el dispositivo, incluyendo infectar el dispositivo con el primer gusano para iPhone: iKee.A. En este momento, el código malicioso podía ejecutarse automáticamente infectando otros dispositivos vulnerables, logrando aproximadamente 21.000 víctimas en una semana (SRI). ¿Cuál sería el siguiente paso lógico para realizar acciones delictivas aprovechando la NOTORIA vulnerabilidad de Apple? R/ La amenaza de moda del 2009: Crear una botnet para iPhone. Para realizar esto se le agregó una consola de comando y control al malware con el fin de controlar todos los dispositivos zombies. Con lo anterior se ratifica lo que investigué el trabajo que realice para el premio ESET 2009: Una red de dispositivos infectados que aprovecha la ubiquidad y conectividad que proporciona las redes inalámbricas 3G.

Ahora bien, la seguridad informática en dispositivos móviles ya no es un mito. El alcance de una amenaza de estas ya no se limita por el alcance del protocolo Bluetooth como sucedía hace unos años: Ahora es posible infectarse automáticamente solamente conectándose a Internet utilizando un dispositivo vulnerable. Es por esto que es importante comenzar a pensar en mecanismos de seguridad informática que existen actualmente en los computadores tradicionales como los analizadores de tráfico (sniffers). Toda esta introducción es para hablar sobre pirni, el primer sniffer de red nativo para iPhone (pirni):

Esta es una interesante iniciativa la cual puede evolucionar a un IPS (Intrusion Prevention System) que pueda analizar el tráfico y bloquear el que considere sospechoso. Desde luego es un desarrollo primitivo que tiene ítems por mejorar, como por ejemplo que sólo funciona en iPhone liberados, sin embargo, es un primer paso en el desarrollo de herramientas que permitan la protección de información confidencial en dispositivos móviles.

Por supuesto que un sniffer también puede ser usado para violar la privacidad de otros realizando ataques de ARP Spoofing o de MitM (Man in the Middle / Hombre en el medio), y ésta no es la excepción. Es por esto que es importante utilizar este tipo de herramientas con responsabilidad y uno de los usos que se me ocurren en este momento es, por ejemplo, detectar el intenso escaneo de dispositivos vulnerables que realiza iKee cuando su iPhone está infectado.

Fuente: iPhorensics

Con agrado encuentro que en los nuevos contenidos de la Red Temática Criptored de diciembre (gracias a Hispasec) se encuentra el trabajo de grado “iPhorencis: Un protocolo de análisis forense para dispositivos móviles inteligentes” realizado por Andrea Ariza y Juan Camilo Ruiz bajo la dirección del Ingeniero Jeimy Cano PhD. Esta investigación complementa el trabajo de grado que presenté en el 2008, junto con mi compañero Andrés Romero, para optar por el título de Ingeniero de Sistemas llamado “Guía Metodológica para el Análisis Forense Orientado a Incidentes en Dispositivos Móviles GSM”, también dirigido por el Ingeniero Jeimy Cano.

Hago un pequeño paréntesis para las personas que no están muy informadas sobre el tema de la informática forense. “Como disciplina, la informática forense tiene como fin el aplicar los estándares y procedimientos estándar que se utilizan en una investigación de crímenes e incidentes, para enfocarlos hacia el análisis de datos y evidencia digital, todo esto soportado por herramientas tecnológicas de extracción y análisis de datos” PUJ-ForenciscsGSM-08. En otras palabras, es la disciplina que se encarga de definir cómo realizar una investigación en medios electrónicos con el fin de encontrar evidencia digital que soporte una afirmación en una corte judicial. Un caso famoso en el país en el que se utilizó la informática forense fue en el tema de los portátiles encontrados en el campamento de Raúl Reyes. Sin los estándares y procedimientos proporcionados por esta disciplina, la evidencia digital encontrada no hubiera podido ser aceptada por la comunidad internacional.

Los dos trabajos que mencioné al inicio aportan al cada vez más importante tema de investigación de la informática forense en dispositivos móviles el cual actualmente está dirigido, en gran parte, a la recolección de evidencia digital para utilizarla en casos como extorsión, secuestro, conspiración entre otros delitos, sin embargo, existe poca información relacionada con la siguiente pregunta: ¿Cómo investigar un ataque informático realizado a un dispositivo móvil?. Para responder a esta incógnita, es importante primero abordar los siguientes temas:

1. Conocer los estándares y procedimientos existentes para realizar un análisis forense en un dispositivo electrónico
2. Conocer el dispositivo (tanto el hardware como el software) donde se encuentra la potencial evidencia digital
3. Conocer los problemas de seguridad que tiene el dispositivo involucrado

El paso a seguir consiste en proponer y evaluar una guía metodológica que permita llevar a cabo un análisis forense pero orientado a incidentes, es decir, enfocado en la investigación de ataques informáticos dirigidos a dispositivos móviles. En eso se resume una de las iniciativas de investigación que está llevando a cabo el Ingeniero Jeimy Cano en la Pontificia Universidad Javeriana; sin embargo, existe todavía mucho por avanzar en este campo como por ejemplo el desarrollo de herramientas forenses actualizadas (el caso del iPhone), la constante evolución de las guías metodológicas propuestas, la aplicación de los procedimientos generados en el análisis de ataques orientados a la tecnología 3G, el análisis de incidentes ocurridos en el sistema operativo Android etc…

Tanto la tecnología en dispositivos móviles, como los ataques informáticos orientados a estas plataformas, evolucionan con gran rapidez y es importante que los organismos de investigación judicial estén actualizados en este campo. Por lo anterior considero que la informática forense en dispositivos móviles es un campo que está en constante evolución y que cada vez adquirirá mayor importancia tanto en la industria TI como en los organismos de control y de justicia.

Primero fue el motor de búsqueda el cual llamamos simplemente “Guugol”, “San Guugol”, “Doctor Guugol” entre otros. Luego, para sacarle provecho a la idea, lanzaron Google AdWords y Google AdSense. Hasta ahí nada raro, sin embargo, fueron más allá… Google Mail (Gmail), Google Earth, Google Maps, Google Groups, Google News, Google Apps, Google Talk, Google Video (Youtube), Google Desktop, Android (participación), Google Chrome, (Google, Gooogle y más Goooooogle) son un pequeño ejemplo de la gran variedad de productos y servicios que tienen, en su gran mayoría, una característica común: son gratuitos.

Sin embargo, Google no paró ahí. En los últimos años hemos visto fuertes apuestas en el mundo TI, muy al estilo Microsoft pero relacionadas con el dominio de “la nube”: Google URL Shortener y Google DNS . Gran parte de todo este trabajo realizado en los últimos 10 años se ha sintetizado en el tema del presente post; en la llamada gran amenaza del iPhone (una más luego del Droid): Nexus One (Google Phone).

Lanzado el día de ayer, 5 de enero, ha sido y será noticia durante una cantidad considerable de tiempo (un par de meses). Es por eso que merece la pena analizarlo, compararlo y, desde luego, revisar el aspecto que más me interesa: la seguridad de la información.

Para resumir un poco las especificaciones técnicas, compararé los aspectos diferenciadores más importante respecto a los dispositivos móviles de punta actualmente:

COMPARATIVO

El siguiente cuadro lo realicé tomando en cuenta lo que, en mi concepto, es relevante comparar entre los diferentes dispositivos móviles:

Fuente de las especificaciones: Movilzona y Google Phone

Según la tabla, al parecer el ganador es Nexus One, un teléfono potente de última tecnología y respaldado por una gran marca como lo es Google. Esperen la segunda parte de este análisis en donde hablaré un poco de las características innovadoras y diferenciadoras del Nexus One.

Por: Carlos A. Castillo L.