jueves, 5 de noviembre de 2015

Espían a funcionarios del gobierno de Guatemala (III de IV)

En la investigación presentada por CICIG, se obtuvo evidencia de los actos ilícitos que realizaba "la linea". Esto comprende escuchas telefónicas, correos electrónicos, documentos electrónicos y físicos. Que desde luego mucha información fue escenario de análisis forense, que veremos mas adelante.

Las técnicas utilizadas para recopilar las evidencias pueden ser varias y dependiendo de la situación se puede implementar una u otra técnica.   

Escuchas telefónicas

Muchas empresas a día de hoy utilizan el servicio de VoIP, para comunicarse internamente en la organización, existen diversas configuraciones y servicios para implementarlo, como asociarlo a un PBX, de tu proveedor de ISP. Sin embargo, si al momento de implantar este servicio, no se utilizan medidas para protegerlo y hacerlo seguro, estaremos expuestos ante ataques de hacking VoIP.

   Imagen 1: Diagrama básico servicio VoIP.

El diagrama básico de red de la imagen 1, establece un servidor VoIP, y varias estaciones de trabajo con Soft Phone y Hard Phone, donde todo el trafico fluye a través de la red. Uno de los protocolos mas utilizados en VoIP es SIP(Session Initiation Protocol), que es un protocolo de inicio de sesiones, encargado de controlar el inicio, modificación y finalizaciones de sesiones de usuario interactivas donde intervienen elementos multimedia.

Ademas entran en juego protocolos como RTP (Real Time Transport Protocol) el cual es utilizado para intercambiar contenido multimedia como lo es audio/video  y SDP que es el encargado de la negociación de las capacidad multimedias de los involucrados.

Algunos elementos que intervienen en el protocolo SIP durante una sesión de una llamada son:

  • Agente de usuario
  • Agente de direcciones
  • Servidor proxy
  • Servidor de registro
  • Servidor de localización
Para interceptar las llamadas se puede realizar un ataque MITM , se puede utilizar wireshack, para estos fines. Basta con capturar el trafico, filtrando por el protocolo SIP, dentro de las cabeceras SIP podemos encontrar mensajes SIP para las sesiones como:


  • INVITE. Tipo Request. Para establecer una sesión entre agentes de usuario. contiene información sobreu suario origen y destino y tipo de datos (audio, video). contiene mucha más información. 
  • ACK. Para la confirmación de un establecimiento de sesión. Un mensaje ACK puede ser, como vemos más abajo, un código 200 Ok de éxito.
  • OPTION. Un Request o solicitud de información de capacidades
  • BYE. Se usa para la liberación o terminación de una sesión establecida. BYE puede ser emitido tanto por el usuario que genera una llamada o el que la recibe.
  • CANCEL. Cancela una petición pendiente sin influir en la sesión o llamada establecida y acpetada.
  • REGISTER. Es usado por un user agente o agente usuario para el registro de dirección SIP e IP o dirección de contacto. Relacionado con la ubicación de los usuarios.
Te dejo una demo de la captura de llamadas, que realice en la conferencia ANPROFOR, junto al archivo para que puedas realizar las practicas. Cabe mencionar que adicional a las llamadas podrías interceptar los mensajes de textos.


Video 1: Interceptar llamadas con wireshack.

La anterior es solo una forma de como se puede interceptar las llamadas. Otra forma, puede ser infectando el teléfono inteligente, con el cual, ademas de grabar las llamadas, podrías leer mensajes de texto, correo electrónico, acceder ficheros, etc.  Para esto, puedes apoyarte de Kali Linux msfvenom y tendrías que tener acceso físico para instalar el malware, desde luego, un ataque de ingeniería social, podría ser efectivo. Te dejo una demo, para que puedas practicarla. 

Video 2: Infectar Android.

Otra forma de lograr interceptar llamadas, es mediante la utilización de una torre falsa GSM, el ataque consiste de nuevo en MITM, esto se debe a que un móvil, siempre busca conectarse a la torre mas cercana de los alrededores, aunque tiene una limitación que es el alcance. Esto fue expuesto en la Defcon 18 por Chris Paget,


Video 3: Defcon 18, interceptar llamadas.

Dentro de las formas que CICIG capturo la llamadas de los funcionarios, prevalece mediante las llamadas utilizando VOIP, pero estas otras formas podrían utilizarse en una investigación si asi se desea.  

Saludos.
Lexer Pars.

Espían a funcionarios del gobierno de Guatemala (IV de IV)