Ingenieria Social Inversa (I avanzado)

Seguridad física y Terminales móviles

Introducción

Mucho se ha escrito sobre seguridad física en entornos informáticos convencionales. Nadie duda, hoy en día,
que el acceso directo a un dispositivo, proporciona un abanico de opciones y una potencia impresionantes,
desde el punto de vista de la violación de la seguridad de un sistema.

Sin embargo, resulta paradójico observar cómo se minimiza este aspecto en el mundo de la telefonía móvil
digital. Estoy convencido que muchos habréis escuchado frases como: La red GSM es realmente una red de
ordenadores, o Los teléfonos móviles son ordenadores, etc. Por lo tanto, parece razonable prestar cierta
atención a la seguridad física de éstos dispositivos y estudiar las implicaciones que supondría romper este nivel
de seguridad.

Las consecuencias derivadas de la vulneración del sistema telefónico son impresionantes y están directamente
relacionadas con las costumbres inseguras que todos tenemos. Comunicar un password o hablar de asuntos
estratégicos o extremadamente confidenciales son comportamientos habituales en las organizaciones y mucho
más en las relaciones interpersonales. Se trata de una cuestión de relaciones de confianza en la que no se
consideran las implicaciones del medio sobre el que se efectúa la comunicación.

El coste de un ataque al sistema telefónico suele ser bastante alto, pero sus beneficios son, Textmente
proporcionales si consideramos la cantidad y calidad de la información que podemos llegar a obtener. Coste y
sofisticación: dinero, medios, tiempo y cualificación... Beneficios proporcionales a los costes... Tenemos todos
los elementos para un escenario de espionaje y contraespionaje de alto nivel... la información es poder.

Creo que una orientación hacia el espionaje es más interesante que la que se centra única y exclusivamente en
el fraude telefónico. Las posibilidades de obtención de información que ofrece el sistema telefónico son
impresionantes. De hecho, las escuchas son una de las fuentes más importantes de agencias y cuerpos de
seguridad del estado (por no mencionar otros grupos como mafias, grupos terroristas y otros colectivos
similares).

Estas páginas son de carácter introductorio y generalista. Este tema constituye en sí mismo un área de
investigación lo suficientemente compleja y costosa como para exigir medios técnicos y dedicación si se
pretende profundizar en aspectos técnicos y de implementación. Por tanto, lo que sigue a continuación no es
más que el comienzo del camino y un punto de advertencia sobre aspectos frecuentemente ignorados por la
comunidad.

Análisis de seguridad física de un terminal móvil

Ataques por reconfiguración

Códigos PIN

Parece obvio que el primer aspecto a considerar es el de las propias protecciones incorporadas en el software
de los teléfonos: los famosos PIN. Los teléfonos móviles permiten dos códigos PIN y un código de seguridad.

Si nos ceñimos a los usos y comportamientos habituales de los usuarios, nos damos cuenta de que, Textmente
sólo se configura el primer PIN (1), el de activación del terminal. El PIN2 y el código de seguridad se utilizan en
escasas ocasiones. El usuario suele verlos como un estorbo o un invento inútil porque considera, erróneamente,
que sólo él tiene acceso al terminal... y por tanto, ¿por qué va a restringirse a él mismo el acceso a
determinadas opciones de configuración? ...

A veces, incluso, cuando se establecen todos los códigos, estos suelen ser el mismo o siguen alguna cadencia
predecible y vinculada a datos de la vida del usuario legítimo del termial.

De esta forma, el PIN1 sólo es efectivo cuando tenemos desconectado el terminal. Pero, y volviendo con el
comportamiento humano, es muy corriente vincular el PIN a un dato personal fácilmente memorizable. De esta
forma, es habitual dejar el PIN por defecto o utilizar una fecha significativa para el usuario. De hecho este
comportamiento es extensible a otras facetas de la vida, y este número suele coincidir con el PIN de su tarjeta
de crédito, etc.

En un proyecto de espionaje, es fundamental el estudio y seguimiento del objetivo como persona. Determinar
el grado de cercanía con la tecnología, costumbres, hábitos, relaciones, carácter y personalidad de la víctima
puede suponer que sea vulnerable a ataques triviales. Disponer de más información significa, Textualmente,
poder asumir un mayor nivel de riesgo.

Veamos un ejemplo. Supongamos que tenemos acceso a un centro servidor de mensajes cortos (situado o no
en un país de bajo riesgo, lo importante es que la factura no sea escandalosa). Si la víctima responde a un
perfil poco tecnológico, con un nivel de trabajo elevado y relaciones sociales intensas, podemos asumir el riesgo
de reconfigurar el centro servidor de mensajes de su teléfono móvil. Tenemos motivos fundados para pensar
que la víctima no monitoriza la configuración de su teléfono con asiduidad, por lo que podremos tener acceso a
sus mensajes cortos durante un período indefinido y no sospechará de nadie en concreto... sencillamente no
hay pruebas: cualquiera pudo cambiar el número.
Por último, tenemos los sistemas de bloqueo del teclado. En mi opinión no los podemos considerar como un
nivel de seguridad adicional. Las combinaciones de teclas para desbloquear el terminal son estándar y
públicamente conocidas en muchos modelos de teléfonos. Otros modelos indican al usuario el código que hay
que teclear, etc...

En el peor de los casos, este código no excede los tres dígitos puesto que su objetivo es el de evitar el marcado
accidental y no el de proporcionar un nivel de seguridad adicional. Basándonos en esta premisa pueden
probarse ataques por ingeniería social o bien el socorrido método de la prueba y error (dígitos consecutivos, en
cruz, etc): cada situación concreta marca su propia estrategia...

Otras opciones de configuración

Existen otras configuraciones de seguridad que el usuario o la operadora pueden configurar desde el terminal.
Desgraciadamente casi todas están relacionadas de una u otra forma con la lucha contra el fraude telefónico y
tienen poco potencial desde el punto de vista del espionaje: bloqueos de llamadas entrantes/salientes, grupos
cerrados de usuarios, etc.

Un conjunto de opciones interesante es el de las funciones de memoria. Si tenemos acceso al PIN1 y el nivel de
seguridad establecido por el usuario de la SIM objetivo no es especialmente severo, podemos intentar volcar la
memoria de la SIM en el teléfono y luego introducir una SIM nueva donde volcar definitivamente el contenido
del teléfono.

Otro grupo de opciones interesante es el que tiene que ver con el mundo WAP. Quizás la opción más inmediata
sería la de modificar la página de inicio por otra en la que nosotros tengamos el control... Las posibilidades son
muchas, sin embargo, habrá que esperar a que la tecnología madure para poder valorar mejor los riesgos de
ataques WAP por reconfiguración de los terminales. Tal vez lo comentado para el ejemplo del centro servidor de
mensajes sea también válido en este caso.

No todos los teléfonos disponen de las mismas opciones y posibilidades. La diferencia es una cuestión software.
De hecho, conociendo el PIN1 y el funcionamiento y posibilidades de los terminales existentes, podemos jugar
con todas ellas si tenemos acceso físico al terminal de la víctima con sólo poner su SIM en otro terminal.

Consideraciones finales

Los ataques por reconfiguración son relativamente limitados y también fácilmente detectables por la víctima.
Aún así no deben descartarse en ningún caso. Aunque parezca mentira, todavía existen sistemas Uníx
accesibles por el método login: root, password: root... (o incluso sin password)

De hecho hoy en día es corriente que la activación de determinados servicios de las operadoras estén basados
en mensajes SMS dirigidos al cliente. Estos mensajes, rara vez se borran (obtener una cuenta de acceso
anónima a Internet podría ser algo tan fácil como leer los mensajes SMS de la víctima, atacando directamente
su terminal)

Ataques por reprogramación

Existen unos principios tácitos sobre los que descansa la seguridad de un terminal telefónico digital: se trata de
un sistema empotrado y con una interactividad con el usuario final muy limitada. Fabricantes y operadoras
confían ciegamente en estas dos características. De esta forma, las operadoras creen que el terminal se va a
comportar siempre de una siguiendo el estándar y que va a pasar por una serie de estados conocidos e
invariables.

Lo que sucede es que esas premisas básicas no son absolutas, y, por tanto pueden alterase. Estamos hablando,
entonces, de una nueva familia de escenarios en los que, tanto el fraude como el espionaje pueden ser los
objetivos. Desde la violación de esquemas de confianza en la red celular a caballos de troya para terminales...
En definitiva, un nuevo mundo de posibilidades.

El terminal móvil digital: un sistema empotrado

Un teléfono móvil tiene una serie de requisitos básicos que deben cumplirse para poder proporcionar la utilidad
que pretende:

Tamaño reducido
Peso razonablemente mínimo
Autonomía de funcionamiento
Estos requisitos suponen, que los recursos hardware (desde el punto de vista del software) son limitados. Esto
nos conduce a sistemas operativos rudimentarios y una capa de aplicación mínima. Desde este punto de vista,
podemos postular la ausencia de procedimientos internos de control de integridad o arquitecturas software
complejas. Estamos hablando de sistemas operativos encargados de gestionar el hardware del terminal y
proporcionar un API de programación para la aplicación que interactúe con el usuario. Sencillamente lo mínimo
imprescindible.

Hoy día todo el mundo sabe que el software de los terminales puede actualizarse. Por lo tanto, una vez
superado el problema de acceder a los bancos de memoria del teléfono mediante el cable correspondiente y el
software adecuado, el único problema es la ingeniería inversa de la arquitectura y del software. Este paso es
sólo cuestión de recursos: tiempo, dinero, cualificación y, aunque no es estrictamente necesario, acceso a
documentación técnica de los fabricantes.
Posibles escenarios

Supongamos que tenemos control sobre el software del teléfono y podemos reprogramarlo sin problemas.
Intentemos proyectar algunos escenarios posibles que nos sirvan de criterio para establecer la verdadera
dimensión y gravedad del problema:

Incidencias en la red de comunicaciones

Con el control total del terminal tenemos acceso al canal de señalización de la red celular. De esta forma
podemos interactuar con la red como nunca antes fuimos capaces. Estamos en posición para introducir estados
no contemplados por los diseñadores del sistema o de encontrar problemas de implementación desconocidos
para fabricantes y operadoras.

Las posibilidades pueden ser muchas, pero todas ellas pasan por un conocimiento muy profundo del protocolo y
de la arquitectura de red subyacente. Los resultados son, desde luego, inciertos: todo puede ser posible a priori
puesto que no se han hecho pruebas en este escenario. Tal vez quede todo en un juego inocente sin
consecuencias, o tal vez sea la puerta al fraude o al control de la red...

Caballos de Troya

Quizás esta sería el arma más potente para el espionaje a alto nivel. Un troyano en el interior de un teléfono
puede ser tan potente como desee su creador y podría permanecer transparente al usuario y a la red siendo
difícilmente detectable.

Imaginad lo fácil que sería regalar un Nokia 9110 a un responsable gubernamental o a un alto ejecutivo de una
empresa de tecnologías, o al responsable de los sistemas del sitio que queremos hackear... ¿Quién iba a
verificar la integridad del software del teléfono? ¿Alguien duda que no lo iban a utilizar? ...

Las posibilidades son infinitas... es sólo cuestión de imaginación: obtener un registro detallado de las llamadas,
control sobre la agenda telefónica, control sobre las comunicaciones WAP y SMS, posibilidad de
encaminamiento de llamadas (ataques tipo man-in-the-middle), etc.

Algunos ataques podrían tener reflejo en la factura. Sin embargo, a determinados niveles, las organizaciones
pagan la factura a sus miembros destacados o a aquellos que por su actividad lo requieren. En esos casos, las
víctimas nunca se preocupan por la factura porque ni siquiera la reciben...

Máquinas virtuales

La virtualización del hardware del terminal sería el entorno perfecto para la desarrollar la ingeniería inversa del
software. De hecho puede postularse que, dentro de cada fabricante, las arquitecturas son compatibles por
cuestión de costes de desarrollo.

De este modo, disponer de un Nokia 8810 puede ser tan sencillo como cargar el software (bien desde Internet
o directamente desde el teléfono) del modelo sobre la máquina virtual nokia en un PC de sobremesa.

En un entorno de estas características podemos trabajar con las herramientas de un kit de desarrollo: depurar,
desensamblar/reensamblar e incluso desarrollar nuestras propias aplicaciones o porciones de código a insertar
como troyanos.

Si a este entorno le añadimos un lector de SmartCards (2) y una estación de radio capaz de modular bajo los
estándares de transmisión de GSM (3) obtendríamos la posibilidad de emular el comportamiento real de
cualquier terminal desde un simple PC.

Al ser capaces de procesar las comunicaciones a través de un ordenador convencional vamos a obtener el grado
de interactividad y potencia que nos proporciona. De esta forma hemos superado el segundo problema: la
interactividad limitada que proporciona el teléfono.

Consideraciones finales

Soy consciente que los últimos pasajes descritos pueden sonar a ciencia ficción. Otras afirmaciones son sólo
conjeturas, hipótesis que, hasta que nadie las pruebe empíricamente, nunca sabremos si son ciertas o no.

Sin embargo, si examinamos todo lo expuesto con detenimiento, veremos cómo se trata de una simple
evolución de realidades que pueden observarse actualmente. Es más que probable que la distancia que existe,
en este caso, entre esta ficción y la realidad se supere simplemente con tiempo y con dinero.

De hecho no hay nada mejor que tener un buen motivo para hacer algo. Podríamos preguntarnos quién podría
estar interesado en desarrollar un sistema de espionaje tan limpio... y que estuviera dispuesto a asumir los
costes del desarrollo. Como ya dijimos anteriormente, los beneficios son proporcionales a los costes , por tanto
la rentabilidad está asegurada. En efecto, agencias de inteligencia, mafias, ¿grupos terroristas? y quizás algún
grupo económico de entidad...