Carlos A. Castillo L.

Luego de varios días de ausencia, debido en gran parte a que cambié de trabajo y estuve bastante ocupado entregando mis funciones en un lado y recibiendo el nuevo cargo en mi nueva posición laboral, vuelvo a escribir para ustedes motivado porque el fin de semana pasado capturé un interesante, pero preocupante, mensaje de error en una máquina automática de pago de parqueadero en un concurrido centro comercial de la ciudad de Bogotá.

Lo anterior me recuerda una polémica bastante mencionada el año pasado sobre código malicioso corriendo en cajeros automáticos. Todo comenzó con el reporte de la empresa Trustwave de mayo de 2009 en donde analizan un ejemplar de código malicioso instalado en un cajero automático de Europa del Este en julio de 2005. Básicamente el malware se encarga de “capturar datos de la banda magnética y claves digitadas en el PIN pad” lo cual es suficiente para realizar cualquier acción con la cuenta robada debido a que se ha violado la autenticación de dos factores: Algo que se tiene (tarjeta) y algo que se sabe (la clave). Lo más inquietante del asunto es que el código malicioso fue encontrado en cajeros automáticos que corren el sistema operativo WINDOWS XP (es correcto, el mismo sistema operativo que se ve en la imagen superior).

Desde luego la respuesta del mayor fabricante de cajeros automáticos, Diebold, no se hizo esperar. En junio del mismo año el fabricante publicó una actualización crítica a sus sistemas y aprovechó para anunciar que la amenaza se encontraba aislada en Rusia y que el incidente requería de acceso físico al dispositivo (alguna persona de mantenimiento por ejemplo) por lo que una fuga de datos a través de la red no era posible (eso sin tener en cuenta que en el 2003 ya se había presentado un incidente relacionado con un famoso gusano Windows infectando cajeros automáticos)

Luego de revisar los últimos incidentes relacionados con la seguridad de las transacciones en cajeros automáticos, concluyo que es estrictamente necesario empezar a pensar en un cambio radical en cuanto al diseño e implementación de estos dispositivos los cuales son bastante críticos debido a que son el punto de acceso a las finanzas de millones de personas en el mundo. Lo ideal sería volver las condiciones dadas en los sesentas en donde los ATM contaban con sistemas operativos propietarios (como por ejemplo RMX) de único propósito los cuales estaban conectados mediante una línea dedicada directamente a un procesador de transacciones.

Si bien esta solución es muy posible que no sea viable (debido a factores económicos y de compatibilidad), si se deben implementar controles adicionales que refuercen la seguridad de la información en estos dispositivos como por ejemplo realizar la instalación de agentes de monitoreo en las redes de los ATM , procurar instalar Windows Embedded en vez de XP, incluir en los cajeros automáticos en la gestión de aplicación de actualizaciones para evitar infecciones de gusanos a través de la red y desde luego reforzar los controles de acceso del personal que realiza el mantenimiento a los cajeros. Finalmente, y no menos importante, se debe procurar NO INSTALAR WINDOWS XP PIRATA EN UN ATM:

La seguridad informática en dispositivos móviles aún está muy atrasada con respecto a la que se desarrolló pensando en computadores tradicionales. Según mi criterio, una de las razones más importantes es que no existe aún un sistema operativo que domine el mercado de los dispositivos móviles; cosa que si sucede con Windows en los computadores tradicionales. Consecuencia directa de este hecho es que aún no existe una amenaza en seguridad de la información que tenga un amplio alcance, riesgo y velocidad de propagación…hasta hace unos meses con el incidente de la primera Botnet que afecta los famosos iPhone: iKee.B (Duh) (para los interesados en el tema recomiendo leer el análisis realizado por el SRI).

Resumiendo un poco lo sucedido, en noviembre de 2009 usuarios holandeses de iPhones desbloqueados (liberados del control de la AppleStore que se encontraban en el rango de direcciones IP de T-Mobile 3G notaron una extraña imagen en sus dispositivos:

La ventana le notificaba al usuario que su dispositivo había sido vulnerado y que, si deseaba eliminar el código malicioso instalado, debía pagar 5 USD en un sitio web dedicado para ello. El ataque consistía en realizar una conexión SSH utilizando la contraseña por defecto que tiene Applie en sus iPhone: “alpine”. Luego de tener permisos de root (administrador), el delincuente informático podía ejecutar cualquier comando en el dispositivo, incluyendo infectar el dispositivo con el primer gusano para iPhone: iKee.A. En este momento, el código malicioso podía ejecutarse automáticamente infectando otros dispositivos vulnerables, logrando aproximadamente 21.000 víctimas en una semana (SRI). ¿Cuál sería el siguiente paso lógico para realizar acciones delictivas aprovechando la NOTORIA vulnerabilidad de Apple? R/ La amenaza de moda del 2009: Crear una botnet para iPhone. Para realizar esto se le agregó una consola de comando y control al malware con el fin de controlar todos los dispositivos zombies. Con lo anterior se ratifica lo que investigué el trabajo que realice para el premio ESET 2009: Una red de dispositivos infectados que aprovecha la ubiquidad y conectividad que proporciona las redes inalámbricas 3G.

Ahora bien, la seguridad informática en dispositivos móviles ya no es un mito. El alcance de una amenaza de estas ya no se limita por el alcance del protocolo Bluetooth como sucedía hace unos años: Ahora es posible infectarse automáticamente solamente conectándose a Internet utilizando un dispositivo vulnerable. Es por esto que es importante comenzar a pensar en mecanismos de seguridad informática que existen actualmente en los computadores tradicionales como los analizadores de tráfico (sniffers). Toda esta introducción es para hablar sobre pirni, el primer sniffer de red nativo para iPhone (pirni):

Esta es una interesante iniciativa la cual puede evolucionar a un IPS (Intrusion Prevention System) que pueda analizar el tráfico y bloquear el que considere sospechoso. Desde luego es un desarrollo primitivo que tiene ítems por mejorar, como por ejemplo que sólo funciona en iPhone liberados, sin embargo, es un primer paso en el desarrollo de herramientas que permitan la protección de información confidencial en dispositivos móviles.

Por supuesto que un sniffer también puede ser usado para violar la privacidad de otros realizando ataques de ARP Spoofing o de MitM (Man in the Middle / Hombre en el medio), y ésta no es la excepción. Es por esto que es importante utilizar este tipo de herramientas con responsabilidad y uno de los usos que se me ocurren en este momento es, por ejemplo, detectar el intenso escaneo de dispositivos vulnerables que realiza iKee cuando su iPhone está infectado.