LUK
17-07-2008, 00:12
Para la gente que lleve relativamente "tiempo" en esto de la seguridad, el termino 'spoofing' le resultara familiar. Originalmente, el termino estaba asociado a falsear una dirección IP en ataques de IP spoofing (http://en.wikipedia.org/wiki/IP_address_spoofing), todo consistía en abrir una sesión contra un host haciéndose pasar por un tercer sistema del que no se tiene acceso y con el que el host A tiene un vinculo de confianza. El termino, posteriormente, ha sido adoptado a cualquier cosa que signifique falsear-algo.
A todos nos ha llegado en alguna ocasión un correo de una dirección que nos resulta conocida pero cuyo remitente nada sabe de ese correo, normalmente en forma de SPAM o con algún virus que se re-envía usando la agenda de la persona que se había infectado. Por lo tanto, todos le concedemos una fiabilidad relativa al correo electrónico. Los mas avezados, en este punto, ya tendrán en la cabeza palabras como PGP o Certificados Digitales y estarán en el camino correcto ya que hasta la fecha, pese a todas las iniciativas generalistas (http://www.openspf.org/), la única forma de asociar unívocamente remitente / cuenta de correo es el firmado digital con clave publica.
Pero ¿ que pasa con los sms ? si un SMS llega a nuestro móvil y el numero del remitente está asociado en nuestra agenda a, por ejemplo, "Manuel primo" ¿ alguien pensaría que ese mensaje no ha salido del móvil de nuestro estimado primo Manuel ? supongo que la mayoría de la gente no, tal vez movidos por el desconocimiento de como se puede falsear un SMS.
¿ Y como se puede falsear un sms ? tal vez, ¿ empleando infraestructuras privadas de la compañía telefónica ? Si, esa es una manera, pero en realidad no hay que irse tan lejos, los SMS no son algo tan esotérico ni oculto, en Internet hay muchos sitios que ofrecen ese tipo de servicios, como por ejemplo BromaSMS (http://www.bromasms.com/) que de una forma sencilla y fácil, al coste de un sms premium, nos permite enviar un mensaje con el remitente que nos plazca.
¿ Implicaciones ? aparte de las obvias: bromas, malentendidos y cierto caos en general, no hay que olvidar que, en determinados sitios, se emplea autenticación vía móvil por SMS y lo que autentica, es el numero origen.
En este punto se plantea la cuestión de como asegurar la identidad de alguien vía SMS. Bueno, la solución es obvia: exportar el modelo empleado en los correos electrónicos, la firma digital. Ya existen diferentes soluciones que van por esa linea, con sus pros y sus contras. Por ejemplo el servicio de Vodafone (http://www.vodafone.es/empresas/servicios/firmaelectronica/index.jsp) o el de Lleida.NET (http://www.lleida.net/productos/sms-cert/index.html).
Proximamente nos pondremos a hacer un análisis mas "in deep" de ambos servicios.
Enlaces:
http://www.securitybydefault.com/2008/07/como-de-fiable-es-un-sms.html
A todos nos ha llegado en alguna ocasión un correo de una dirección que nos resulta conocida pero cuyo remitente nada sabe de ese correo, normalmente en forma de SPAM o con algún virus que se re-envía usando la agenda de la persona que se había infectado. Por lo tanto, todos le concedemos una fiabilidad relativa al correo electrónico. Los mas avezados, en este punto, ya tendrán en la cabeza palabras como PGP o Certificados Digitales y estarán en el camino correcto ya que hasta la fecha, pese a todas las iniciativas generalistas (http://www.openspf.org/), la única forma de asociar unívocamente remitente / cuenta de correo es el firmado digital con clave publica.
Pero ¿ que pasa con los sms ? si un SMS llega a nuestro móvil y el numero del remitente está asociado en nuestra agenda a, por ejemplo, "Manuel primo" ¿ alguien pensaría que ese mensaje no ha salido del móvil de nuestro estimado primo Manuel ? supongo que la mayoría de la gente no, tal vez movidos por el desconocimiento de como se puede falsear un SMS.
¿ Y como se puede falsear un sms ? tal vez, ¿ empleando infraestructuras privadas de la compañía telefónica ? Si, esa es una manera, pero en realidad no hay que irse tan lejos, los SMS no son algo tan esotérico ni oculto, en Internet hay muchos sitios que ofrecen ese tipo de servicios, como por ejemplo BromaSMS (http://www.bromasms.com/) que de una forma sencilla y fácil, al coste de un sms premium, nos permite enviar un mensaje con el remitente que nos plazca.
¿ Implicaciones ? aparte de las obvias: bromas, malentendidos y cierto caos en general, no hay que olvidar que, en determinados sitios, se emplea autenticación vía móvil por SMS y lo que autentica, es el numero origen.
En este punto se plantea la cuestión de como asegurar la identidad de alguien vía SMS. Bueno, la solución es obvia: exportar el modelo empleado en los correos electrónicos, la firma digital. Ya existen diferentes soluciones que van por esa linea, con sus pros y sus contras. Por ejemplo el servicio de Vodafone (http://www.vodafone.es/empresas/servicios/firmaelectronica/index.jsp) o el de Lleida.NET (http://www.lleida.net/productos/sms-cert/index.html).
Proximamente nos pondremos a hacer un análisis mas "in deep" de ambos servicios.
Enlaces:
http://www.securitybydefault.com/2008/07/como-de-fiable-es-un-sms.html