Thomas Jefferson
¡Muy Buenas!
Al hilo del último artículo publicado en el blog, Securizando Android, concretamente del comentario de mi amigo Adrián, estuve haciendo una prueba con la última aplicación de esnifado de moda, WhatsAppSniffer, que me ha hecho reflexionar sobre la fuerza del miedo.
Releamos la frase célebre de este artículo y cambiemos el concepto de "hombres buenos/malos" por "personas sensibilizadas o no", y el concepto de "gobierno" por "estado de seguridad" y será fácil adivinar dónde quiero llegar, sería algo como:
"Ningún estado de seguridad puede sostenerse sin el principio del temor así como del deber. Las personas sensibilizadas obedecerán a este último, pero las que no lo están solamente al primero"Espero que coincidáis conmigo en que es más recomendable una buena formación y sensibilización que jugar con el miedo, no obstante esta es una arma muy poderosa que bien utilizada puede ser mucho más efectiva.
Sin más preámbulos vayamos con el ejemplo:
Hace tiempo que estoy descontento con las medidas de seguridad que aporta WhatsApp, pero debido a su amplia difusión es difícil deshacerse de él y cualquier explicación sobre sus debilidades suele volver contra mí en forma de burlas sobre mi salud mental, con calificativos que varían entre paranoico, obsesionado, enfermo, etc.; sí, "cría cuervos y te sacarán los ojos".
La debilidad más conocida de este software es la transmisión de la información sin cifrar que puede ser capturada en redes WiFi; es rápidamente comprobada mediante algún software de esnifado de red, como por ejemplo WireShark (antes Ehereal). Sin embargo mostrar al público general sus comunicaciones con esta herramienta no causa demasiada impresión, por lo oscuro y complicado que parece.
No obstante, hace unos días, un portal de amplia difusión como es El androide libre, se hacía eco de la publicación en Google Play de una nueva herramienta llamada WhatsAppSniffer en el siguiente artículo: Whatsapp Xtract y Whatsapp Sniffer: explotando los fallos de seguridad de Whatsapp
Con esta herramienta se pone al alcance de lo menos entendidos la posibilidad de obtener las conversaciones de cualquier WhatsApp que esté funcionando en la misma red Wifi, con una interfaz muy sencilla.
Al poco tiempo de su publicación en Google Play, la aplicación fue eliminada por Google pero, por supuesto, no de la red (recuerda que en cuanto algo se hace público en Internet, se pierde su control), así que no es muy difícil hacerse con una copia.
Así que con esta nueva herramienta en mi smartphone me dispuse ha hacer unas pruebas iniciales en mi casa y, al ver su correcto funcionamiento, el siguiente escenario era la oficina. Allí llegué este miércoles y, tras avisar del inicio de la "auditoría" y 5 minutos de pruebas para los más incrédulos, conseguí lo que llevaba varios meses intentado, convencerlos a todos del peligro de utilizar WhatsApp.
Y he aquí la demostración de la fuerza que tiene el miedo para modificar las conductas y percepciones de las personas, tan solo 5 minutos bastaron.
Sin embargo, como he comentado al principio, esta arma no debe ser utilizada más que en momentos puntuales. Es conocido el uso que hacen muchas empresas de seguridad del miedo para tratar de vender sus soluciones, estrategia que algunas veces funcionará pero que muy probablemente acaba saturando al cliente.
Volviendo a la aplicación WhatsAppSniffer, esta no es, ha sido, ni será la única aplicación que abusa del uso de transmisiones en texto plano. La solución es bastante evidente: que dichas aplicaciones mejoren o dejar de utilizarlas, pero esto muchas veces no es tan fácil debido a su implantación (como decíamos WhatsApp es muy popular) o a la ausencia de alternativas.
Pero, como nos comentaba Adrián, hay una contramedida, utilizar aplicaciones que detecten el esnifado de red como DroidSheep Guard, que es capaz de detectar un ataque de ARP spoofing y desconectarnos automáticamente de la red.
Así, después de mi demostración en la oficina conseguí distintos efectos:
Y, ¿cual es mi postura? Pues la siguiente:
Pero, como nos comentaba Adrián, hay una contramedida, utilizar aplicaciones que detecten el esnifado de red como DroidSheep Guard, que es capaz de detectar un ataque de ARP spoofing y desconectarnos automáticamente de la red.
Así, después de mi demostración en la oficina conseguí distintos efectos:
- Concienciación. He cambiado la perspectiva de la posibilidad de sufrir estos ataques.
- Reducción del riesgo mediante utilización de contramedidas. Algunos compañeros ya utilizan DroidSheep Guard.
- Evitar el riesgo dejando de utilizar la red Wifi. Otros compañeros han decidido utilizar únicamente la conexión móvil.
- Asumir el riesgo. Otros compañeros, de cuyo nombre no quiero acordarme, han optado por no hacer nada ya que consideran que su información no es tan importante o confían en nosotros...
- Interés por WhatsAppSniffer. Algunos incluso me han pedido la aplicación, esperemos que para hacer el bien y concienciar a más gente, esperemos.
- ¿Respeto? Bueno, ahora ya no me califican tan severamente cuando proclamo los peligros de WhatsApp... :)
Y, ¿cual es mi postura? Pues la siguiente:
- Utilizar la contramedida mencionada en cualquier WiFi.
- No conectarme a redes WiFi que no considere fiables. Hay que recordar que este es solo un posible vector de ataque, pero puede haber muchos más, como por ejemplo: El FBI alerta de malware distribuido a través de falsas actualizaciones en redes Wi-Fi de hoteles
- Llevar instalado el WhatsAppSniffer para seguir concienciando a la gente
- Buscar alternativas a WhatsApp. Actualmente estoy haciendo campaña entre mis contactos de la aplicación SpotBros, ya que me gusta mucho su filosofía, aunque como os comentaba al final del último post, de momento solo va en Android. No obstante hay algunas otras alternativas a considerar.
Bueno, un artículo más que espero os sea de interés. Os animo a que dejéis vuestros comentarios y no solo solicitudes del WhatsAppSniffer.
¡Saludos!
Buen articulo, es verdad que cuesta mucho hacer entender a la gente los problemas de seguridad que tienen las aplicaciones. Pero el problema es que conseguir pasar a la gente a otra plataforma, es casi imposible.
ResponderEliminarOtra aplicación tipo whatsapp es ChatOn de samsung.
¡Gracias!
ResponderEliminarSí, WhatsApp tiene mucho terreno ganado, a mi parecer solo ellos pueden conseguir que la gente migre a otra plataforma, y esto sería porque muriera de éxito, es decir, que al convertirse en la plataforma más utilizada cometan algún error importante, como una brecha de seguridad muy sonada o una indisponibilidad de servicio larga.
¡Un saludo!
El Zonner antivirus pega un aviso de:
ResponderEliminarAmenaza encontrada:
Trojan AndroidOS.DroidSheep.A
DroidSheepGuard FREE
Pues no soy desarrollador de esta aplicación, ni tengo su código fuente, pero yo diría que es un falso positivo, es decir, el antivirus lo detecta como un troyano porque tiene un comportamiento que se asemeja a este, ya que para detectar los ataques de ARP spoofing debe monitorizar las tablas ARP.
ResponderEliminarAcabo de escribir un correo al desarrollador para ver si nos puede aportar más luz, pero todo tiene bastante buena pinta.
De todos modos hay alternativas similares en Google Play, como Wifi Protector (2,89€) o shARPWatcher (gratuito) que no puedo recomendar porque no las he usado y, además, tienes muchas menos descargas que DroidSheep Guard.
¡Un saludo!
Bueno, ya tengo respuesta del desarrollador, ha sido muy rápido y amable, os la pego tal cual:
Eliminar"Hello!
Well, I had a lot of these problems, because DroidSheep and even DroidSheep Guard are treated as being malicious applications.
What DroidSheep Guard does is: It reads the ARP-Table, which is a system file. It only uses READ permissions on this file (btw: write would need su) and keeps checking the ARP-Table for new entries.
As following the Android Security model you are supposed to read and write files which are located in your apps data dir, most of the antivirus tools claim DroidSheep Guard to be malicious.
The Problem is: I need to access this file. I tried to contact some of the vendors for AV software, but did not get any responses. So in the end, I cannot do anything about these warnings...
Hope that helps!
Best,
Andreas"
Así que, como os comentaba, es un falso positivo en toda regla :)
Yo al menos seguiré usándola y, ya que es gratuita, os animo a premiar su buena aplicación y trato haciéndole un donativo:
http://droidsheep.de/?page_id=121