Este fin de semana estuve disfrutando del taller CSI CIBER (ES) que impartía Manuel Guerra (@CiberPoliES) en las jornadas que cada cierto tiempo montan los chicos de HoneySec con el apoyo de la UNED.
Un taller eminentemente práctico en el que este policía nos explicaba a grosso modo el modus operandi que realiza su equipo cuando se enfrentan a un caso. Desde los requisitos legales que deben de cumplir para actuar, pasando por la incautación de los dispositivos tecnológicos y su posterior análisis forense.
La mañana pasó demasiado rápido para mi gusto, y para cuando nos quisimos dar cuenta, apenas quedaban veinte minutos en los que Manuel resumió con bastante acierto el escenario que presentan los dispositivos móviles frente al entorno de escritorio, cada vez más en desuso. Un repaso que me anima a escribir este artículo, haciendo hincapié en los puntos que cualquiera de nosotros debería considerar a la hora de proteger la privacidad de los datos almacenados en su smartphone.
La scene en materia de movilidad
Creo que sobra a estas alturas señalar que para el grueso de la sociedad, la información que tiene en su smartphone es más crítica que la que tiene normalmente en su escritorio (si es que sigue teniendo uno de estos…).
Con la paulatina apuesta de toda la industria por la nube y los servicios móviles, lo cierto es que estos dispositivos se han vuelto una verdadera mina para todos aquellos interesados en sacar provecho de nuestra información: En ellos gestionamos las comunicaciones con nuestros conocidos, contamos con una agenda de contactos, tenemos acceso directo (sin contraseña que les proteja) a la amplia mayoría de servicios digitales que utilizamos, almacenamos documentos, fotos y vídeos que pueden ser comprometidos (u ofrecer información comprometedora tras un análisis preliminar) y hasta tienen acceso a nuestras cuentas bancarias, bien sea a nivel de SIM, bien sea a nivel de cuenta (Google/iCloud), bien sea por el uso de la aplicación de banco oportuna.
Eso sin olvidar de que son dispositivos muchísimo más fácilmente sustraíbles que uno de escritorio, y que nos acompañan allí donde vamos (aumentando aún más su exposición, y siendo también un objetivo aún más interesante). Son, a fin de cuentas, una externalización de nuestra identidad.
Algo que impacta por igual a toda la sociedad:
- Ciudadanos, que vivimos tranquilos cumpliendo la ley (espero G.G).
- Criminales, que han ido cambiado su manera de operar buscando la eficiencia en sus acciones.
- Y cómo no, cuerpos del orden, que ven modificada también la estrategia a la hora de realizar análisis forenses.
Es, de facto, un escenario antagónico al que se ha vivido en el mundo de escritorio. Como señalaba Manu y conocerán la mayoría de lectores del mundo del pentesting, frente al entorno Windows/OS X/Linux donde existe una aparente estandarización de programas de auditoría (tenemos herramientas open source o comerciales que desempeñan el mismo trabajo multiplataforma, o como mínimo con alternativas en cada uno de ellos), en el móvil esto se ha diversificado alarmantemente.
Android e iOS son dos sistemas operativos que aunque comparten buena parte de esa filosofía por la centralización de procesos y el control del canal de distribución de aplicaciones (las markets, vamos), precisan de herramientas muy distintas para su análisis.
Y en especial en el caso de Android (con cerca del 90% del mercado español), existen tantas diferencias dependiendo del fabricante y modelo de dispositivo que no hay, a priori, una metodología genérica que sea aplicable al grueso de dispositivos, teniendo que apostar por una amalgama de herramientas distintas, o por alternativas que han sabido hacer negocio de ese arduo trabajo que supone automatizar los procesos según el dispositivo al que nos estemos enfrentando.
A esto se une un dato que me ha parecido curioso: Manu aseguraba que cerca del 40 o 50% de dispositivos que le llegan al laboratorio vienen ya rooteados. Lo cual, de hecho, facilita muchísimo tanto la labor del cibercriminal, como la del analista forense.
Otros puntos como el tener activa la depuración USB o permitir la instalación de fuentes desconocidas son algunos de aquellos tips que en su día recomendé mantener desactivados (por defecto suelen venir así), y que curiosamente siguen siendo utilizados por muchos de esos usuarios cuyos dispositivos, por uno u otro motivo, acaban en manos de este equipo de forenses.
Lo cual parece bueno, teniendo en cuenta que el target de “víctimas” de la policía es, como cabría esperar, un target que interesa que no sea consciente del riesgo que supone tener root/jailbreak en el dispositivo.
Ese mismo target que interesa que facilite las labores a los cuerpos de seguridad.
Aunque hay otra lectura, que pasaría porque ese target no solo representa a los delincuentes, sino en efecto a buena parte de los usuarios.
Lo cual significa que mi trabajo en esta página está sirviendo de muy poco. Que pese a ello, seguimos facilitándole las cosas a los cuerpos de seguridad, y de paso también a la industria del cibercrimen.
Esto último ya no mola tanto, ¿verdad?
Root, jailbreak, fuentes desconocidas y depuración USB, solo si de verdad lo vamos a utilizar
El corolario es bien sencillo. A sabiendas de que al menos el criminal medio no me lee, voy a dirigirme al resto de lectores, y volver a repetir por activa y por pasiva que tengamos esto activo ÚNICAMENTE si lo vamos a utilizar.
Un terminal rooteado o con jailbreak es como un queso gruyere. Cualquier persona con conocimientos podría vulnerar la seguridad del dispositivo. Tanto en remoto, como en local, por cierto.
Basta una aplicación maliciosa (muchas de las que ofrecen supuestos servicios superchachis con permisos root vienen de paso con regalito) o un par de minutos con un cable USB para hacer cualquier maldad que se le ocurra.
En el taller, nos sobró tiempo para obtener todas las conversaciones del WhatsApp del terminal de Manu en texto claro, leyendo simplemente data/data/com.whatsapp/database. Si este terminal no hubiera estado rooteado, si no tuviera activa la depuración USB, la cosa hubiera sido muy distinta.
Tampoco nos llevó más de treinta segundos obtener las contraseñas de todas las WiFis a las que este dispositivo ha estado conectado. WiFis como seguramente la de casa de la víctima, gracias a que éstas se almacenan en el archivo wap_suplicant.conf de data/misc/wifi. Si no hubiera estado rooteado, si no tuviera activa la depuración USB,… ¿se lo imagina?
Podríamos haberle instalado una aplicación maliciosa directamente desde la shell. Un sistema de espionaje como el que en su día expuse en esta santa casa. Si no hubiera estado rooteado, si no… ¿Continuo?
Y esto mismo ocurre en iOS con el jailbreak.
En serio, no le ponga las cosas fáciles a los cibercriminales. No se las ponga, ya de paso, a Manuel :). Que así este pobre hombre tendrá menos trabajo de campo, lo cual es bueno para todos nosotros.
Se lo aseguro.
Tienes más razón que un santo, Pablo, pero, ostras! cómo usar Titanium backup, SDMaid o Greenify al completo sin root. Luego están Tasker o Llama… Y además, ¿cómo eliminar anuncios de las apps que no ofrecen versión de pago sin Adfree o algo parecido?
Cuando estreno un dispositivo pienso en no hacerle root, pero a los pocos días ya está rooteado.
Por desgracia la inseguridad que se genera es muy real y estoy totalmente de acuerdo contigo en que todo esto supone tantos inconvenientes como ventajas.
Saludos
Siempre y cuando seas consciente de ello, adelante. El problema es que muchas personas lo rootean simplemente porque sí, desconocedores de los problemas asociados a ello.
Por cierto, yo uso Llama y no lo tengo rooteado. Quizás para exprimirlo al máximo lo necesites, pero al menos para el uso que le doy (diferentes perfiles según dónde esté) no me hace falta.
Saludos!
Tiempo despues el analista forense, cerrando el negocio porque ya nadie llega ni a visitarlo, luego va y pone una demanda en contra de pabloyglesias.com por desprestigio jajaja
Tantos puntos a tomar en consideracion…
1. Soy del que dire siempre, no importa cuanto tiempo pase, los escritorios seguiran vivos y el movil no sera su reemplazo, hasta un ingenierio conocido nos decia que para que usar eso si no se aprendia nada, aparte que la pantalla no nos daba esa facilidad a la hora de programar.
2. Es entre gratificante y a la vez decepcionante y da igual al final, que las estadisticas demuestre que android sea casi el mas usado, como dicen aca, en españa tenga el mayor mercado, cuando los pocos sabemos que lleva un linux dentro bien escondido, y recordar la gente decir nadie usa linux, pero llevan uno en el bolsillo. Pero bien la gente de no conocimiento seguira igual y solo los lectores sabremos la situacion.
3. root, lo unico y primero que hago, aunque a sido pocas veces cuando tengo una terminal a la mano y propia es instalar root y titanium y decirle adios al programita de facebook. Uno fiel a su decision de no usarlo que ni tener ese icono ahi porque rapido las personas vienen con su frase, “no que no si ahi lo tenes instalado”.
4. Depuracion usb, ni que se hable, mucho menos la opcion de bluetooh, aunque este dé la opcion de tiempo limitado como visible, no doy el aceptar a que ciertos movil siga en conexion con el mio para futuros envios de datos. Es dejar una via mas a que el otro movil sea infectado y facilmente encuentre vias para infectar a otros.
5. Actualmente con la ingenieria social haciendo de la suya, bien un listado de contactos puede servir para enviar spam, mendiante sms o el mismo whatsapp, facil ver el rostro de las personas en algunas ocasiones.
6. Sobre el analisis forense, hace unas semanas leia que para ese proceso, bajo ningun motivo el movil fuera apagado, que si era necesario dependiendo la distancia a la cual fuera enviado para su revision que este fuera cargado al 100%, acaso si tuviera el bluetooh, o la depuracion o algun wifi encendido, se podria perder la informacion, aunque pienso que se perderia en el instante si cierta informacion esta saliendo de el a terceros.
7. Si, para eventos como estos o de informatica, es triste ver que de tan buen instantes disfrutando el tiempo se va acortando… necesitamos un planeta con mas horas de dia, asi tendriamos eventos mas largos. xD
Jajaja, poco tengo que decirte, ya que te lo has montado tú solito para dar en el grano.
Simplemente, a colación de lo que comentas de apagar el móvil, en efecto. Igual que pasa con los ordenadores, en el momento en el que se apagan se pierde parte de la información (por ejemplo la que está en memoria) ¿Qué se hace entonces? se intentan por todos los medios mantener encendidos, y para evitar que un tercero pueda bloquearlos remotamente, se meten en una funda de Faraday y/o se activa el modo avión.
Con los PCs suelen congelar la RAM para intercambiarla con otro PC (te da unos 3-5 minutos, suficientes normalmente para meterlo donde sea y mantenerla encendida).
Mil gracias por este feedback Dbillyx!
Muy interesante el articulo, pero la única observación que tengo para hacerte es que si bien todas las precauciones de las que hablas tienen sentido cuando el celular esta en nuestro poder, cuando el celular queda en manos de un atacante, no son muy relevantes las medidas de seguridad que puedas tomar, ya que el tiene el control del dispositivo físico.
Encuentro que la industria móvil esta fallando al no incluir lectores de huellas en más dispositivos, o un pin númerico con un teclado que cambia de posición. Estas sencillas medidas, mejorarían la seguridad de los dispositivos moviles, al menos complicando las posibilidades de acceso al mismo.
Hombre, por supuesto el control pasa a quien lo tiene físicamente. Pero también es verdad que nosotros, remotamente, podemos bloquearlo (siempre y cuando no hayan tomado las medidas oportunas).
Sobre el lector de huellas hay pros y contras. Es un sistema más seguro, como comentas, pero también entraña sus problemas, habida cuenta de que un robo del patrón es casi para toda la vida, y si al final usamos la biometría para todo, repercutiría en todos los servicios y dispositivos donde se estuviera usando.