Archivo de la etiqueta: cifrado

Podcast – 06A – Cifrado Signal

Micro con feed

Fuente imagen:PerfectYourPodcast

A petición de Emilio Rubio (@erubio0) amplío el último capítulo del podcast para revisar el protocolo de cifrado de las conversaciones de Signal.

Signal

La primera versión de Signal apareció en 2014, aunque la empresa ya tenia una aplicación desde 2010.

Dispone de clientes Android i IPhone libres mientras que el servidor es mitad libre mitad propietario.

El cifrado es punto a punto y las claves se generan y almacenan en los propios terminales (no en servers). y la base de datos local de mensajes puede cifrarse de forma opcional (aunque no los contactos y los timestamps)

El esquema de cifrado de Signal tiene la misma estructura que Whatssapp y que los chats secretos de Telegram.

Respecto a los algoritmos podemos indicar que, según la información de los propios proveedores, Signal utiliza cifrados más potentes que los elegidos por Whatsapp, si bien estos últimos son suficientes hoy en día.

¿Quieres hacer alguna petición de tema? ¡Haz como Emilio y pídelo! Tienes las formas de contacto que necesites: Twitter, Telegram, e-mail… pero bueno… quizás los más sencillo sea pedirlo en un comentario o en el formulario de contacto de este mismo blog 😉

Descarga directa.

Podcast – 06 – Cifrado Whatsapp vs Telegram

Micro con feed

Fuente imagen:PerfectYourPodcast

En el capítulo de hoy mostraré las dos estrategias de cifrado utilizadas por los dos servicios de mensajería más utilizados en España: Whatsapp y Telegram (recuerda que tenemos un grupo de charla en esta aplicación).

Telegram empezó su servicio, en 2013, cifrando las conversaciones entre los terminales y el servidor. En cambio Whatsapp no aplicó seguridad en sus conversaciones hasta 2016.

Por contra los sistemas de mensajería de Google no cifran las conversaciones.

Telegram

Es el menos conocido de los dos grandes, al menos en Europa, pero el primero que nació (agosto 2013) con mensajes cifrados. Cuenta con protocolo libre (MTProto)
y API de acceso libre.
El sistema por el cual los mensajes están cifrados sería el siguiente:

  1. Al crear la cuenta de usuario se crea una clave de cifrado entre un terminal y el servidor de Telegram. Así todos los mensajes que salen de nuestro teléfono
    van cifrados con la misma clave terminal-servidor. Este cifrado, aunque usa siempre la misma clave, obtiene un plus de aleatoriedad al generarse para cada
    conversación y sesión un «Salt» negociado. Así se consigue que aunque se envíe exactamente el mismo texto en dos conversaciones el texto cifrado sea diferente
    y por lo tanto se dificulta que la interceptación de múltiples mensajes puedan realizarse estudios estadísticos.
  2. El mensaje cifrado, junto a la clave de cifrado, es almacenado en el servidor hasta que se localiza al destinatario
  3. El servidor descifra el mensaje (tiene la clave) y lo vuelve a cifrar con la clave del receptor.
  4. El mensaje recifrado es enviado al destinatario quien lo descifrará (con su propia clave) y lo verá en pantalla

Los chats secretos tienen la gran diferencia en que se negocian una claves específicas para esa sesión entre dos terminales (y el servidor no la conoce) y los mensajes van siempre cifrados con estas claves.

Whatsapp

Whatsapp nació sin ningún tipo de requisito de cifrado y estuvo así años hasta que presentó, en abril 2016 (3 años después que Telegram) su cifrado.

A diferencia de Telegram el cifrado en Whatsapp sí es punto a punto. Se establece una clave de conversación para cada chat o grupo que tengamos directamente en los terminales de los usuarios: el servidor de whatsapp no interviene para nada. Todo el texto viaja cifrado entre los terminales.

Los mensajes se almacenan en los servidores cifrados, ya que se supone que los servidores no tienen forma de descifrarlos al estar las claves únicamente en
los terminales. Se trataría del esquema que he explicado de los chats secretos de Telegram.

Descarga directa.

Virus policia

Ransomware

Virus policia

Ejemplo de ransomware: Virus Policia Fuente imagen: ComputerWorld

El nombre de este tipo de programas maliciosos viene de la unión de los vocablos ingleses ransom (rescate) y software (programa informático), por lo que la definición del mismo es bastante precisa: se considera ransomware aquel programa que bloquea o limita el acceso a servicios o archivos de un sistema y solicita un pago para devolver el acceso .

Este tipo de software fue detectado por primera vez en Rusia si bien en 2013 tuvo un gran crecimiento internacional. Los casos más sonados en España aparecieron a finales de 2014 y primera mitad de 2015.

Este tipo de software suele infectar a las víctimas como un troyano que el propio usuario instala si bien se han detectado algunos que utilizaban vulnerabilidades conocidas para autoinstalarse. Una vez el programa está instalado en el equipo se activa su función maliciosa (ya sea bloquear acceso a los archivos de sistema, cifrar los archivos del usuario, modificar el arranque del sistema, etc.) y muestra un aviso por pantalla explicando al usuario que el sistema está bloqueado y que deberá pagar una cantidad para volver a tener acceso al mismo. La cantidad a pagar no suele ser excesiva para no desalentar al usuario final. El atacante propone una serie de métodos de pago que dificultan la trazabilidad de las operaciones (monedas digitales tipo  bitcoin, cheques viaje, pagos internacioneles, etc.) para evitar ser localizado. Una vez la víctima ha realizado el pago puede, o no, recibir la solución a su infección.

CryptoLocker Fuente imagen: Foro Spyware

CryptoLocker.Fuente imagen: Foro Spyware

Probablemente el ejemplo de ransomware más famoso sea CryptoLocker. Este programa cifraba los archivos de usuario con un par de claves RSA de 2048bits. El programa ofrecía descifrar los archivos mediante un pago en bitcoins en los tres primeros días de la infección. Pasado este tiempo el precio iba aumentando. Debido a la longitud de la clave de cifrado se considera que los archivos son irrecuperables.

Defensas frente al ransomware

Aunque siempre se dice que la mejor defensa es el sentido común todos sabemos que ése es precisamente el menos común de los sentidos, así que las empresas deben preparar sus sistemas para evitar este tipo de infecciones y en caso de sufrirlas minimizar sus efectos.

Control de navegación

La mayoría de estas amenazas surgen como un troyano que el propio usuario descarga de Internet y ejecuta. Por esto es importante que la navegación de los usuarios corporativos sea a través de un proxy que permita filtrar y bloquear el acceso a páginas web con mala reputación. Si a este primer control de accesos se añade un sistema antivirus en el propio proxy que analice los archivos descargados y detecte las amenazas se reducirá en gran medida la posibilidad de infección corporativa.

A este primer filtro, que no es útil para equipos portátiles que pueden conectarse a Internet desde cualquier sitio, habría que añadirle tener un sistema antivirus instalado en cada equipo y con unas políticas de actualización adecuadas para detectar estos programas maliciosos antes de que puedan ser ejecutados.

Control de instalación

Por regla general los usuarios corporativos no necesitan privilegios para la instalación de nuevo software. Los servicios informáticos pueden instalar todas las herramientas necesarias para el trabajo por lo que los propios usuarios no necesitan de estos permisos. El hecho de no poder instalar nuevo software evita la infección de varias formas de malware. Nuevamente la aplicación de estas políticas en equipos móviles se dificulta.

Control acceso a directorios compartidos

Las variantes de ransomware que encriptan los archivos de usuario pueden provocar problemas a las empresas si llegan a infectar los servidores corporativos. La infección de un usuario con acceso a un directorio compartido de ficheros puede provocar que nadie pueda acceder a los mismos al estar cifrados. Este escenario es uno de los que mayores problemas dolores de cabeza ha provocado entre los departamentos técnicos de las empresas.

Para reducir el impacto de una infección hay que limitar a los mínimos imprescindibles los permiso de escritura o modificación en directorios compartidos. Así se limitaría el alcance del cifrado de archivos en una infección.

Copias de seguridad

Una vez se ha infectado un equipo y ha cifrado los archivos de usuario la única solución para recuperarlos, aparte de pagar y esperar que los atacantes nos envíen una solución, es utilizar nuestras copias de seguridad previas a la infección.

Para asegurarse de tener copia de la mayoría de información las empresas pueden configurar los equipos de usuario para que sólo puedan almacenar archivos en servidores compartidos evitando así almacenar información en los equipos de usuario. Aunque esto pueda parecer entrar en conflicto con el punto anterior en realidad, con una buena configuración de permisos, evitará la pérdida de datos por este tipo de malware.

Para evitar la infección de las copias de seguridad es importante que todas las copias estén almacenadas en directorios de solo lectura donde el único usuario con permisos de escritura sea uno específico para el servicio de copias de seguridad. Este usuario debe tener prohibido el acceso a Internet para evitar que se infecten nuestras copias.