Seguridad física y Terminales móviles

Introducción

Mucho se ha escrito sobre seguridad física en entornos informáticos convencionales. Nadie duda, hoy en día, que el acceso directo a un dispositivo, proporciona un abanico de opciones y una potencia impresionantes, desde el punto de vista de la violación de la seguridad de un sistema.

Sin embargo, resulta paradójico observar cómo se minimiza este aspecto en el mundo de la telefonía móvil digital. Estoy convencido que muchos habréis escuchado frases como: La red GSM es realmente una red de ordenadores, o Los teléfonos móviles son ordenadores, etc. Por lo tanto, parece razonable prestar cierta atención a la seguridad física de éstos dispositivos y estudiar las implicaciones que supondría romper este nivel de seguridad.

Las consecuencias derivadas de la vulneración del sistema telefónico son impresionantes y están directamente relacionadas con las costumbres inseguras que todos tenemos. Comunicar un password o hablar de asuntos estratégicos o extremadamente confidenciales son comportamientos habituales en las organizaciones y mucho más en las relaciones interpersonales. Se trata de una cuestión de relaciones de confianza en la que no se consideran las implicaciones del medio sobre el que se efectúa la comunicación.

El coste de un ataque al sistema telefónico suele ser bastante alto, pero sus beneficios son, Textmente proporcionales si consideramos la cantidad y calidad de la información que podemos llegar a obtener. Coste y sofisticación: dinero, medios, tiempo y cualificación... Beneficios proporcionales a los costes... Tenemos todos los elementos para un escenario de espionaje y contraespionaje de alto nivel... la información es poder.

Creo que una orientación hacia el espionaje es más interesante que la que se centra única y exclusivamente en el fraude telefónico. Las posibilidades de obtención de información que ofrece el sistema telefónico son impresionantes. De hecho, las escuchas son una de las fuentes más importantes de agencias y cuerpos de seguridad del estado (por no mencionar otros grupos como mafias, grupos terroristas y otros colectivos similares).

Estas páginas son de carácter introductorio y generalista. Este tema constituye en sí mismo un área de investigación lo suficientemente compleja y costosa como para exigir medios técnicos y dedicación si se pretende profundizar en aspectos técnicos y de implementación. Por tanto, lo que sigue a continuación no es más que el comienzo del camino y un punto de advertencia sobre aspectos frecuentemente ignorados por la comunidad.

Análisis de seguridad física de un terminal móvil

Ataques por reconfiguración

Códigos PIN

Parece obvio que el primer aspecto a considerar es el de las propias protecciones incorporadas en el software de los teléfonos: los famosos PIN. Los teléfonos móviles permiten dos códigos PIN y un código de seguridad.

Si nos ceñimos a los usos y comportamientos habituales de los usuarios, nos damos cuenta de que, Textmente sólo se configura el primer PIN (1), el de activación del terminal. El PIN2 y el código de seguridad se utilizan en escasas ocasiones. El usuario suele verlos como un estorbo o un invento inútil porque considera, erróneamente, que sólo él tiene acceso al terminal... y por tanto, ¿por qué va a restringirse a él mismo el acceso a determinadas opciones de configuración? ...

A veces, incluso, cuando se establecen todos los códigos, estos suelen ser el mismo o siguen alguna cadencia predecible y vinculada a datos de la vida del usuario legítimo del termial.

De esta forma, el PIN1 sólo es efectivo cuando tenemos desconectado el terminal. Pero, y volviendo con el comportamiento humano, es muy corriente vincular el PIN a un dato personal fácilmente memorizable. De esta forma, es habitual dejar el PIN por defecto o utilizar una fecha significativa para el usuario. De hecho este comportamiento es extensible a otras facetas de la vida, y este número suele coincidir con el PIN de su tarjeta de crédito, etc.

En un proyecto de espionaje, es fundamental el estudio y seguimiento del objetivo como persona. Determinar el grado de cercanía con la tecnología, costumbres, hábitos, relaciones, carácter y personalidad de la víctima puede suponer que sea vulnerable a ataques triviales. Disponer de más información significa, Textmente, poder asumir un mayor nivel de riesgo.

Veamos un ejemplo. Supongamos que tenemos acceso a un centro servidor de mensajes cortos (situado o no en un país de bajo riesgo, lo importante es que la factura no sea escandalosa). Si la víctima responde a un perfil poco tecnológico, con un nivel de trabajo elevado y relaciones sociales intensas, podemos asumir el riesgo de reconfigurar el centro servidor de mensajes de su teléfono móvil. Tenemos motivos fundados para pensar que la víctima no monitoriza la configuración de su teléfono con asiduidad, por lo que podremos tener acceso a sus mensajes cortos durante un período indefinido y no sospechará de nadie en concreto... sencillamente no hay pruebas: cualquiera pudo cambiar el número.

Por último, tenemos los sistemas de bloqueo del teclado. En mi opinión no los podemos considerar como un nivel de seguridad adicional. Las combinaciones de teclas para desbloquear el terminal son estándar y públicamente conocidas en muchos modelos de teléfonos. Otros modelos indican al usuario el código que hay que teclear, etc...

En el peor de los casos, este código no excede los tres dígitos puesto que su objetivo es el de evitar el marcado accidental y no el de proporcionar un nivel de seguridad adicional. Basándonos en esta premisa pueden probarse ataques por ingeniería social o bien el socorrido método de la prueba y error (dígitos consecutivos, en cruz, etc): cada situación concreta marca su propia estrategia...

Otras opciones de configuración

Existen otras configuraciones de seguridad que el usuario o la operadora pueden configurar desde el terminal. Desgraciadamente casi todas están relacionadas de una u otra forma con la lucha contra el fraude telefónico y tienen poco potencial desde el punto de vista del espionaje: bloqueos de llamadas entrantes/salientes, grupos cerrados de usuarios, etc.

Un conjunto de opciones interesante es el de las funciones de memoria. Si tenemos acceso al PIN1 y el nivel de seguridad establecido por el usuario de la SIM objetivo no es especialmente severo, podemos intentar volcar la memoria de la SIM en el teléfono y luego introducir una SIM nueva donde volcar definitivamente el contenido del teléfono.

Otro grupo de opciones interesante es el que tiene que ver con el mundo WAP. Quizás la opción más inmediata sería la de modificar la página de inicio por otra en la que nosotros tengamos el control... Las posibilidades son muchas, sin embargo, habrá que esperar a que la tecnología madure para poder valorar mejor los riesgos de ataques WAP por reconfiguración de los terminales. Tal vez lo comentado para el ejemplo del centro servidor de mensajes sea también válido en este caso.

No todos los teléfonos disponen de las mismas opciones y posibilidades. La diferencia es una cuestión software. De hecho, conociendo el PIN1 y el funcionamiento y posibilidades de los terminales existentes, podemos jugar con todas ellas si tenemos acceso físico al terminal de la víctima con sólo poner su SIM en otro terminal.

Consideraciones finales

Los ataques por reconfiguración son relativamente limitados y también fácilmente detectables por la víctima. Aún así no deben descartarse en ningún caso. Aunque parezca mentira, todavía existen sistemas Uníx accesibles por el método login: root, password: root... (o incluso sin password)

De hecho hoy en día es corriente que la activación de determinados servicios de las operadoras estén basados en mensajes SMS dirigidos al cliente. Estos mensajes, rara vez se borran (obtener una cuenta de acceso anónima a Internet podría ser algo tan fácil como leer los mensajes SMS de la víctima, atacando directamente su terminal)

Ataques por reprogramación

Existen unos principios tácitos sobre los que descansa la seguridad de un terminal telefónico digital: se trata de un sistema empotrado y con una interactividad con el usuario final muy limitada. Fabricantes y operadoras confían ciegamente en estas dos características. De esta forma, las operadoras creen que el terminal se va a comportar siempre de una siguiendo el estándar y que va a pasar por una serie de estados conocidos e invariables.

Lo que sucede es que esas premisas básicas no son absolutas, y, por tanto pueden alterase. Estamos hablando, entonces, de una nueva familia de escenarios en los que, tanto el fraude como el espionaje pueden ser los objetivos. Desde la violación de esquemas de confianza en la red celular a caballos de troya para terminales... En definitiva, un nuevo mundo de posibilidades.

El terminal móvil digital: un sistema empotrado

Un teléfono móvil tiene una serie de requisitos básicos que deben cumplirse para poder proporcionar la utilidad que pretende:

Tamaño reducido
Peso razonablemente mínimo
Autonomía de funcionamiento
Estos requisitos suponen, que los recursos hardware (desde el punto de vista del software) son limitados. Esto nos conduce a sistemas operativos rudimentarios y una capa de aplicación mínima. Desde este punto de vista, podemos postular la ausencia de procedimientos internos de control de integridad o arquitecturas software complejas. Estamos hablando de sistemas operativos encargados de gestionar el hardware del terminal y proporcionar un API de programación para la aplicación que interactúe con el usuario. Sencillamente lo mínimo imprescindible.

Hoy día todo el mundo sabe que el software de los terminales puede actualizarse. Por lo tanto, una vez superado el problema de acceder a los bancos de memoria del teléfono mediante el cable correspondiente y el software adecuado, el único problema es la ingeniería inversa de la arquitectura y del software. Este paso es sólo cuestión de recursos: tiempo, dinero, cualificación y, aunque no es estrictamente necesario, acceso a documentación técnica de los fabricantes.

Posibles escenarios

Supongamos que tenemos control sobre el software del teléfono y podemos reprogramarlo sin problemas. Intentemos proyectar algunos escenarios posibles que nos sirvan de criterio para establecer la verdadera dimensión y gravedad del problema:

Incidencias en la red de comunicaciones

Con el control total del terminal tenemos acceso al canal de señalización de la red celular. De esta forma podemos interactuar con la red como nunca antes fuimos capaces. Estamos en posición para introducir estados no contemplados por los diseñadores del sistema o de encontrar problemas de implementación desconocidos para fabricantes y operadoras.

Las posibilidades pueden ser muchas, pero todas ellas pasan por un conocimiento muy profundo del protocolo y de la arquitectura de red subyacente. Los resultados son, desde luego, inciertos: todo puede ser posible a priori puesto que no se han hecho pruebas en este escenario. Tal vez quede todo en un juego inocente sin consecuencias, o tal vez sea la puerta al fraude o al control de la red...

Caballos de Troya

Quizás esta sería el arma más potente para el espionaje a alto nivel. Un troyano en el interior de un teléfono puede ser tan potente como desee su creador y podría permanecer transparente al usuario y a la red siendo difícilmente detectable.

Imaginad lo fácil que sería regalar un Nokia 9110 a un responsable gubernamental o a un alto ejecutivo de una empresa de tecnologías, o al responsable de los sistemas del sitio que queremos hackear... ¿Quién iba a verificar la integridad del software del teléfono? ¿Alguien duda que no lo iban a utilizar? ...

Las posibilidades son infinitas... es sólo cuestión de imaginación: obtener un registro detallado de las llamadas, control sobre la agenda telefónica, control sobre las comunicaciones WAP y SMS, posibilidad de encaminamiento de llamadas (ataques tipo man-in-the-middle), etc.

Algunos ataques podrían tener reflejo en la factura. Sin embargo, a determinados niveles, las organizaciones pagan la factura a sus miembros destacados o a aquellos que por su actividad lo requieren. En esos casos, las víctimas nunca se preocupan por la factura porque ni siquiera la reciben...

Máquinas virtuales

La virtualización del hardware del terminal sería el entorno perfecto para la desarrollar la ingeniería inversa del software. De hecho puede postularse que, dentro de cada fabricante, las arquitecturas son compatibles por cuestión de costes de desarrollo.

De este modo, disponer de un Nokia 8810 puede ser tan sencillo como cargar el software (bien desde Internet o directamente desde el teléfono) del modelo sobre la máquina virtual nokia en un PC de sobremesa.

En un entorno de estas características podemos trabajar con las herramientas de un kit de desarrollo: depurar, desensamblar/reensamblar e incluso desarrollar nuestras propias aplicaciones o porciones de código a insertar como troyanos.

Si a este entorno le añadimos un lector de SmartCards (2) y una estación de radio capaz de modular bajo los estándares de transmisión de GSM (3) obtendríamos la posibilidad de emular el comportamiento real de cualquier terminal desde un simple PC.

Al ser capaces de procesar las comunicaciones a través de un ordenador convencional vamos a obtener el grado de interactividad y potencia que nos proporciona. De esta forma hemos superado el segundo problema: la interactividad limitada que proporciona el teléfono.

Consideraciones finales

Soy consciente que los últimos pasajes descritos pueden sonar a ciencia ficción. Otras afirmaciones son sólo conjeturas, hipótesis que, hasta que nadie las pruebe empíricamente, nunca sabremos si son ciertas o no.

Sin embargo, si examinamos todo lo expuesto con detenimiento, veremos cómo se trata de una simple evolución de realidades que pueden observarse actualmente. Es más que probable que la distancia que existe, en este caso, entre esta ficción y la realidad se supere simplemente con tiempo y con dinero.

De hecho no hay nada mejor que tener un buen motivo para hacer algo. Podríamos preguntarnos quién podría estar interesado en desarrollar un sistema de espionaje tan limpio... y que estuviera dispuesto a asumir los costes del desarrollo. Como ya dijimos anteriormente, los beneficios son proporcionales a los costes , por tanto la rentabilidad está asegurada. En efecto, agencias de inteligencia, mafias, ¿grupos terroristas? y quizás algún grupo económico de entidad...


--------------------------------------------------------------------------------