Artículos

Aquí podrá encontrar artículos, relacionados con los Peritajes Judiciales

¿Un equipo aislado de Internet y teniendo el WIFI y el Bluetooth desactivado es seguro?

Noviembre de 2016

Una vez más, la seguridad informática parece una quimera, si nos ceñimos a la definición del diccionario, tenemos que es “un sueño o creación imaginaria que se toma como real, siendo ilusoria, vana y casi imposible de conseguir, la que mejor define, la seguridad informática, en este caso, es el último apartado de la definición.

Aunque parezca poco creíble, una máquina aislada de la red –sin estar conectada a una red local o WAN-  denominado como “air gapped”, puede ser atacada y revelar su contenido.

Como conseguirlo, una vez más los artífices del desarrollo son Israelí y son investigadores, expertos en seguridad, cuyo ataque conocido como “air gap attacks” siendo su denominación USBee.

Este ataque, se lanza desde una memoria USB, compatible con el estándar USB 2.0, evidentemente, para que esto tenga éxito, el dispositivo, debe de conectarse a la máquina víctima del ataque, para conseguir infectar el objetivo con el malware específico.

Parece algo complicado, que si la máquina se encuentra aislada, como se podrá conectar el dispositivo USB infectado, fácil, un estudio Universitario, revela que todos los usuarios tienen la necesidad de abrir los dispositivos que encuentren, para ver su contenido.

¿Cómo se realiza la comunicación del dispositivo USB con el entorno? No hay que olvidar que este tipo de ataque, a sistemas aislados, se reduce a situaciones concretas, pero en resumen, una vez que la máquina objetivo ha sido infectada y, detecta que existe un dispositivo USB, que puede utilizar, comienza a enviar una secuencia numérica de ‘0’, provocando que emita en la banda de VHF y UHF, con un rango de frecuencias de entre 240 y 480 MHz.

Estas frecuencias, pueden ser captadas por un receptor cercano, estando limitada la distancia, entre 3 y 8 metros, dependiendo de si este dispositivo utiliza una antena, como puede ser un prolongador de USB (al igual que los móviles que utilizan el cable de los auriculares como antena para el receptor de radio). Podemos tener en cuenta, que para clasificar las ondas de radio se toman como medida los múltiplos de diez en la longitud de onda. Por lo tanto la ondas de VHF tienen una longitud de onda entre 1 Metro y 10 Metros mientras que las de UHF tienen una longitud de entre 10 Centímetros y un Metro. Como la relación es que la frecuencia es igual a la velocidad de la luz (misma velocidad que la de propagación de las ondas electromagnéticas, aproximadamente 300.000 Km. /h) dividida por la longitud de onda, entonces tenemos que la banda de VHF va desde los 30 MHz a los 300 MHz y la de UHF va de los 300 MHz a los 3 GHz. Esto hace que las frecuencias utilizadas sean ideales para este tipo de objetivos, ya que el típico prolongador de USB (1m a 1,5 m), lo hace ideal para una transmisión en el rango de estas frecuencias.

En este caso, los datos se transmiten a través de una onda portadora, una onda simple cuyo único objetivo es transportar datos modificando una de sus características (amplitud, frecuencia o fase). Por este motivo, la transmisión analógica es generalmente denominada transmisión de modulación de la onda portadora. Se definen tres tipos de transmisión analógica, según cuál sea el parámetro de la onda portadora que varía:

  • Transmisión por modulación de la amplitud de la onda portadora
  • Transmisión a través de la modulación de frecuencia de la onda portadora
  • Transmisión por modulación de la fase de la onda portadora

Hay que tener en cuenta, que, como la transmisión es analógica, en el momento de la transmisión, debe convertir los datos digitales (una secuencia de 0 y 1) en señales analógicas (variación continua de un fenómeno físico). Este proceso se denomina modulación.

Cuando recibe la transmisión, debe convertir la señal analógica en datos digitales. Este proceso se denomina demodulación.

Aunque la distancia limitada te parezca corta, no debes de olvidar que las ondas de radio tienen un tamaño desde centímetros hasta kilómetros. Son tan grandes que la materia simplemente no les molesta pues no llegan a interaccionar con ella (tampoco tienen energía suficiente); así, siempre que la materia no sea lo bastante densa, pueden atravesarla. Por lo tanto, tendrías cobertura suficiente, para, que sin estar en la misma habitación donde se encuentre la máquina objetivo, puedas capturar las emisiones.

Aunque la tasa de transferencia es muy baja, frente a lo que habitualmente estamos acostumbrado, de unos 80 b/s, sin embargo es suficiente para apropiarse de una clave de cifrado de 4096 bits en apenas 10 segundos. No podemos obviar, que en este tipo de transmisiones, no podemos utilizar el ancho de banda completo para transmitir datos, ya que debemos tener en cuenta, los errores que se producen en la transmisión, siendo la consecuencia inmediata del empleo de la paridad, con la expansión del alfabeto, teniendo que usar más ancho de banda, al transmitir más bits por símbolo de los estrictamente necesarios.

Los datos que son transmitidos, en una portadora hasta un receptor que utilizaría GNU-radio, para desmodular la señal.

Este software, permite obtener información del sistema objetivo a través del puerto USB, aun cuando este, se encuentre totalmente aislado de Internet, no disponga de altavoces, y los sistemas de transmisión como el WIFI o como el Bluetooth estén desactivados.

Y la pregunta final sería, ¿Se puede evitar este tipo de ataque?, la respuesta es sí, como, aislar el equipo o la habitación, en una caja de Faraday (se conoce como el efecto por el cual el campo electromagnético en el interior de un conductor en equilibrio es nulo, anulando el efecto de los campos externos).

Fuente: http://www.scoop.it/t/cyber-security-by-devid-thomas/p/4068164103/2016/08/30/meet-usbee-the-malware-that-uses-usb-drives-to-covertly-jump-airgaps. Autor: Ricardo R. Jorge Rodríguez.

Es Ingeniero Técnico en informática de Sistemas, Máster Oficial Universitario en Software libre, Perito en Informática Forense., Pertenece a la ALI, Colegiado en el COITICV, vocal del CONCITI y Decano del COITICV. Todas las marcas y marcas registradas mostradas en este artículo, así como todos los logotipos mostrados son propiedad de sus respectivos propietarios. Este documento puede utilizarse bajo los términos de la Licencia de documentación libre de GFDL 1.3 (GNU Free Documentation License), de la que se puede leer una copia en http://www.gnu.org/copyleft/fdl.html

La Seguridad en redes cuánticas, ¿La protección perfecta?

Marzo de 2016

Los Peritos en Informática, nos vemos envueltos en numerosos casos, donde se ha roto la seguridad de redes, dispositivos, robo de información, etc. empleando técnicas de hacking o apropiándose de las credenciales del usuario mediante suplantación.

A lo largo de la historia, todo aquello que parecía seguro en criptografía, dejaba de serlo a los pocos años, motivado por la proliferación de nuevos algoritmos y por el aumento de la potencia computacional de los ordenadores.

Esta tendencia, se acortaba cada vez más en el tiempo, por el aumento de la eficiencia de los algoritmos y por el aumento colaborativo de varios usuarios, que empleando computación paralela, conseguían respuestas computacionales, superiores a grandes centros de procesos de datos.

Es por ese motivo que nació la encriptación cuántica como medio para un intento de solución definitivo en las comunicaciones, que aunque suene a ciencia ficción, no es más que la distribución de claves en envíos criptográficos, utilizando el comportamiento de la polarización de un fotón (estos sistemas se basan en la superposición y el entrelazado de micro partículas.), según el principio de incertidumbre de Heisenberg.

Aunque la primera tecnología de estas características surgió en 1980, el primer test se realizó nueve años más tarde y a finales del siglo XX ya se vendía un sistema capaz de transmitir claves cifradas a través de una fibra óptica de 30 millas de longitud. Las compañías como Quantique и MagiQ Technologies vendieron un sistema QKD que incluso un técnico corriente podría instalar.

Esto, según las empresas distribuidoras del producto, sería el fin de los hacker, de los espías y la “Protección Perfecta”

Como afrontaría un Perito un caso basado en esta tecnología, presentando un informe claro, por parte de una empresa que ha adquirido un sistema del tipo “Cerberis” para garantizar sus comunicaciones y que estas han sido rotas por desconocidos, sustrayendo información relevante por parte del demandante.

Daremos por hecho, que los datos personales sustraídos, fueron publicados en un servidor ubicado fuera de la unión Europea y que la demanda se presenta en territorio Nacional.

La base científica por parte del demandado, sería demoledora, sus principios solidos que en un primer momento, arrojarían indicios de toda duda y por lo tanto, que los datos se habrían obtenido de cualquier otro modo, pero NO por romper la seguridad de las comunicaciones.

La empresa demandante, asegura, que los datos publicados, fueron transmitidos entre la sede A y la sede B ambas en el territorio Nacional, en una fecha y hora concreta.

Lo primero sería descartar que la fuga de información provenga de los servidores ubicados en las sedes A y B.

Tras una inspección de ambos servidores, utilizando las credenciales de los responsables de cada centro y en su presencia, se observa:

El perito ha de expresar el método científico usado, las operaciones llevadas a cabo.

A la vista de ello, el Juez puede evaluar la fiabilidad del perito, teniendo en cuenta las alegaciones de las partes y otras posibles pruebas.

  1. Que se trata de controladores de dominio de solo lectura RODC y estos hospedan particiones de sólo lectura de la base de datos de Servicios de dominio de Active Directory® (AD DS). Por lo tanto de momento, queda garantizada la manipulación ya que un RODC proporciona un mecanismo más seguro para implementar un controlador de dominio. Puede conceder a un usuario del dominio no administrativo el derecho a iniciar sesión en un RODC, con un riesgo mínimo para la seguridad del bosque de Active Directory.
  2. El servidor no tiene permitida la navegación por Internet.
  3. No obstante, además se revisan los Registros de eventos, comprobamos las comunicaciones y puertos activos, No se localizan anomalías.
  4. Comprobamos la seguridad física, que consta de una cerradura electrónica por “rfid” para el acceso al servidor, de la cual solo tiene permiso la persona responsable y cuyos registros de acceso coinciden con el acceso del mismo y no ha sido violentada.
  5. Finalmente comprobamos las cámaras de seguridad, que enfocan tanto la puerta de acceso al servidor, como el interior del mismo, de las cuales tras su visionado y posterior copia para adjuntar como prueba, que ninguna otra persona ha accedido al servidor y que el/los responsable/s no ha/n utilizado ningún dispositivo externo para la extracción de la información.

Con esto descartaríamos la fuga de información desde las sedes y por lo tanto…

  • solo nos quedarían las comunicaciones.

La parte demandada alegaría:

  • El algoritmo cuántico se basa, en que emisor y receptor no pueden acordar de antemano qué bases utilizar para enviar cada fotón, ya que nos encontraríamos con el problema de cómo hacerse llegar mutuamente de forma segura esa lista de bases, volviendo al inicio del problema.
  • Por lo tanto, la base de polarización se envía por cualquier otro canal inseguro, indicando qué base de polarización utilizó para cada fotón, sin desvelar la polarización concreta. Esto produce que tras eliminar los bits con bases erróneas, queda una secuencia del 50% menor de la original, que constituye la clave de una cinta aleatoria 100% segura.
  • Para detectar que la transmisión no ha sido interceptada (mediante filtros), se basa en que cuando la polarización de un fotón se mide con un detector equivocado, la altera, produciendo que el receptor reciba una secuencia menor al 50%, y por lo tanto sabrían que el canal es inseguro o ruidoso descartando la clave.

Lo anterior se basa en tres principios (Criptografía Cuántica):

  1. Teorema de «no clonación» que nos asegura que un estado cuántico determinado no puede ser copiado. De forma coloquial, podemos decir que un texto cuántico no puede ser «fotocopiado», ya que no existe la «fotocopiadora» cuántica, al menos en teoría.
  1. Cualquier intento de obtener toda la información cuántica de un qbit puede implicar una cierta modificación del mismo, o destrucción de la información que porta. Por lo que no se puede obtener información sin modificación de los datos transmitidos.
  1. Las medidas cuánticas son irreversibles. Después de realizar una medida, el sistema colapsa a uno de los estados propios del operador correspondiente a la magnitud que se ha medido y ese proceso es irreversible, es decir, no se puede volver el sistema manipulado al estado que tenía antes de la medición. Es decir, en este caso, un hacker siempre dejaría rastro, no pudiendo ocultarse.

La robustez de las declaraciones de la parte demandada, son evidentes y solo con argumentos científicos pueden ponerse en entredicho.

  • Los argumentos científicos para desmontar a la parte demandada

 El perito ha de fijar los hechos de los que parte, describiendo la fuente de conocimiento usada

Estos hechos pueden ser objeto de comprobación por otros medios probatorios

El Perito de la parte demandante, podría argumentar:

  • La primera duda y la primera alerta de que las cosas podían cambiar, vino de la mano del Prof. Lucena que hacía referencia a la posibilidad de atacar el teorema de «no clonación» a partir de los avances en «teleclonación cuántica» logrados por científicos de la Universidad de Tokio, la Agencia de Tecnología y Científica de Japón y la Universidad de York.
  • Para lograr esta iniciativa, se usa el entrelazamiento múltiple, basado en “estados gráficos”, algo en lo que se está avanzando mucho últimamente, y que ha servido para demostrar la paradoja del «Gato de Schrödinger». Todavía es pronto para decir que la teleclonación es un riesgo para la criptografía cuántica, ya que la precisión de la «copia» de los parámetros cuánticos, es de solamente un 58%.
  • Se estima que el máximo teórico, por culpa del principio de incertidumbre de Heisenberg, será del 66%, algo a tener en cuenta. No obstante, tener el 66% de la clave, o del mensaje, puede ser muy significativo en algunos casos.

El Juez aplicará la libre valoración, que significa que aplicara las reglas de la sana crítica (criterios lógicos y máximas de la experiencia)

En la pericial, el perito aporta al Juez las máximas de la experiencia de un sector de la técnica de las que carece el Juez.

  • Las conclusiones:
  • Todo lo que se ha comentado sobre la seguridad de los sistemas cuánticos es cierto, pero solo y exclusivamente, si el emisor envía por el canal cuántico un único fotón por cada qbit de información.
  • Para lograrlo, el tamaño de la superficie de emisión de fotones del emisor, debe ser lo suficientemente pequeña, como para que solamente haya un electrón con el nivel energético adecuado.
  • En teoría, esto se estaba logrando, pero se ha descubierto que eso no siempre es así, ya que en los sistemas existentes en la actualidad, la distancia máxima es de 100 millas Así, que se necesitaría un repetidor para poder enviar la señal a grandes distancia, estando expuestos a los ataques man-in-the-middle.
  • Cuando se aumenta la energía en el transmisor, para subir la velocidad de transmisión, o para aumentar la distancia del vano, científicos del Toshiba Research Europe han descubierto que los emisores cuánticos actuales emiten dos o más fotones idénticos por cada qbit.
  • Esto es un grave problema, ya que en estas condiciones se puede recuperar el 100% de la clave usando uno de los fotones extra, sin que seamos detectados por el sistema. Esto se denomina «Pulse Spliting«.

El perito establecerá las conclusiones sobre su pericia

El Juez puede valorar estas conclusiones, atendiendo a razones objetivas que se lleven a la motivación de la sentencia (especialmente si existen varios dictámenes)

Las conclusiones, pueden tener un carácter absoluto, probabilístico o posibilístico.

Hay que intentar en la medida de lo posible, que estas sean de carácter absoluto, facilitando al Juez la motivación de la sentencia

  • El remate

Es evidente que el problema no está en los principios cuánticos, está en la dificultad técnica para crear un emisor de fotones adecuado, algo circunstancial, pero que pone en tela de juicio la seguridad de esta novedosa tecnología de cifrado, al menos, temporalmente.

«Dicen que los pesimistas ven el vaso medio vacío; los optimistas, en cambio, lo ven medio lleno. Los ingenieros, por supuesto, ven que el vaso es el doble de grande de lo que sería necesario»

     — Bob Lewis

El Autor D. Ricardo R. Jorge Rodríguez. Algunos textos de este trabajo están basados en materiales previos, normalmente de los propios autores, en algunos casos de terceras personas (utilizados por la licencia de GNU Free Documentation License). Entre ellos podemos mencionar los siguientes (a riesgo de olvidar alguno importante): Existen algunos fragmentos de Fundación Wikimedia, Inc., Lewis Page, Yaiza Martínez

Es Ingeniero Técnico en informática de Sistemas, Máster Oficial Universitario en Software libre, Perito en Informática Forense., Pertenece a la ALI, Colegiado en el COITICV, vocal del CONCITI y Decano del COITICV. Todas las marcas y marcas registradas mostradas en este artículo, así como todos los logotipos mostrados son propiedad de sus respectivos propietarios. Este documento puede utilizarse bajo los términos de la Licencia de documentación libre de GFDL 1.3 (GNU Free Documentation License), de la que se puede leer una copia en http://www.gnu.org/copyleft/fdl.html

Llega la seguridad a los dispositivos móviles

Mayo de 2016

Cada vez más se están utilizando los terminales móviles para actividades profesionales, además de las personales y esto ha hecho reaccionar a los fabricantes de móviles.

Las empresas y autónomos que utilizan dispositivos móviles para su trabajo diario, están preocupados por la seguridad de sus dispositivos, dándole un valor añadido, a la seguridad en estos dispositivos.

La respuesta de algunos fabricantes, no se ha hecho esperar y, ya disponemos en algunos modelos de gama alta, de la apreciada seguridad que demandan los usuarios.

En este caso hablaremos de uno de los fabricantes más conocidos, que en los dispositivos orientados al uso profesional, vienen protegido por “Samsung KNOX”, también denominado Plataforma segura.

La plataforma de seguridad de Samsung KNOX se gestiona a través de tres protocolos: Customizable Secure Boot, ARM® TrustZone®-based integrity Measurement Architecture (TIMA) y un kernel con control de acceso SE for Android.

  • Customizable Secure Boot

Se trata de la primera línea de defensa del sistema, ya que bloquea el uso de todo software no verificado. Samsung KNOX Secure Boot puede ser activado de una forma sencilla en cualquier dispositivo ya adquirido. De este modo será posible reutilizar los dispositivos de uso personal para un entorno profesional reforzando la seguridad.

  • TrustZone-based Integrity Measurement Architecture

TIMA se encarga de proteger, controlar y verificar el estado de integridad del kernel. Cuando TIMA detecta que se ha violado la integridad del kernel o del gestor de arranque, ejecuta la política de seguridad pertinente, como por ejemplo deshabilitar el kernel y apagar el dispositivo. ARM y TrustZone son marcas registradas de ARM Limited en la UE y otros países.   

  • Android con seguridad reforzada (SE Android)

Permite separar aplicaciones y datos en diferentes dominios según su nivel de confidencialidad. SE Android aísla las aplicaciones y datos en diferentes dominios, reduciendo de esta forma el riesgo y los daños ocasionados por software malintencionado.

       ¿Es compatible la seguridad del terminal con aplicaciones de uso cotidiano como WhatsApp?

La respuesta sería sí, porque en este tipo de terminales, no se puede obtener la “key” del programa de mensajería “WhatsApp”, para desencriptar la base de datos y manipularla.

No quiere decir que sea imposible descifrar la base de datos de “WhatsApp” sin la “Key”, que en la actualidad está en “*.crypt8”, lo dejaremos en muy complicado…

No obstante, en nuestra profesión, tenemos que tirar del sentido común y, si en un informe pericial, nos encontramos con un caso como este, aportando la siguiente prueba del terminal, podremos concluir de forma “probabilística” alta, que el terminal no ha sido manipulado.

Para comprobar este extremo se procedió, a encender un teléfono que lleva de origen instalado la plataforma segura, en modo “Downloading” y configurar los demás parámetros necesarios para proceder a una actualización del sistema operativo del terminal y, así poder actualizarlo, para poder entrar como súper usuario, utilizando para ello el software que manejan los ingenieros de Samsung “Odin3”, el resultado se aprecia en la fotografía inicial del artículo.

Esto garantiza que el terminal, NO ha sido manipulado, primero porque en el terminal se encuentra “Knox” tal y como indica el fabricante y por otro lado, sabemos que se mantiene su primera versión oficial, ya que el contador de “Knox” se encuentra a 0.

Con esto, tampoco se pretende afirmar que no se pueda actualizar o instalar una versión distinta de la original en el terminal, pero si nos encontramos con un terminal de este tipo y no lleva “Knox” porque ha sido actualizado, entonces podremos afirmar que el terminal, SI ha sido manipulado.

Creo que este paso en seguridad para los dispositivos móviles, es una tendencia que irán adoptando los distintos fabricantes para sus teléfonos de gama alta, orientados al uso profesional.

El Autor D. Ricardo R. Jorge Rodríguez. Algunos textos de este trabajo están basados en materiales previos, normalmente del propio autor.

Es Ingeniero Técnico en informática de Sistemas, Máster Oficial Universitario en Software libre, Perito en Informática Forense., Pertenece a la ALI, Colegiado en el COITICV, vocal del CONCITI y Decano del COITICV. Todas las marcas y marcas registradas mostradas en este artículo, así como todos los logotipos mostrados son propiedad de sus respectivos propietarios. Este documento puede utilizarse bajo los términos de la Licencia de documentación libre de GFDL 1.3 (GNU Free Documentation License), de la que se puede leer una copia en http://www.gnu.org/copyleft/fdl.html