SMSspoofing: fundamentos, vectores de ataque y salvaguardas · 2014-10-21 · SET Social...

www.tb-security.com jvilas (at) tb-security (dot) com MAD (+34) 91 301 34 95 BCN (+34) 93 230 35 00 SEV (+34) 95 493 28 94

SMSspoofing: fundamentos, vectores de ataque y

salvaguardas

Julián Vilas Díaz – jvilas (at) tb-security (dot) com

Pág.


2

Contexto

TB·Security ofrece servicios profesionales de Seguridad de la

Información

TB·Security ha investigado riesgos actuales de suplantación de

identidad en mensajes SMS (SMSspoofing)

Equipo:

Juan Vázquez Pongiluppi

Julián Vilas Díaz

Pau Ochoa Cañigueral

Pág.


3

Alcance

Esta presentación NO TRATA de:

Revelación de vulnerabilidades encontradas en aplicaciones reales

Seguridad en GSM/UMTS

Seguridad en WAP, MMS o EMS

Otros problemas de seguridad de SMS

Esta presentación TRATA de:

Vectores de ataque utilizando técnicas SMSspoofing

Salvaguardas y/o factores de mitigación

Pág.


4

Agenda

1

2

Introducción Pág. 5

Ataques a aplicaciones Pág. 11

Ataques a usuario Pág. 25

Conclusiones Pág. 35

3

4

Pág.


5

S

Índice

Introducción 1

Pág.


6

SMS

«The Short Message Service (SMS) provides a means of

sending messages of limited size to and from GSM/UMTS

mobiles» 3GPP

Servicio de comunicación de mensajes de texto

Utiliza protocolos estándar para intercambiar los mensajes

Se utiliza como medio en diferentes ataques

SMS SPAM

SMS DoS

1

Introducción

Pág.


7

SMSspoofing

No es un problema nuevo ni desconocido

En algunos países es más difícil realizarlo

1

Introducción

Pág.


8

Infraestructura GSM 1

Introducción

Pág.


9

Conexión con sistemas externos

SMS Gateway

1

Introducción

SMS Gateway Proveedor externo

SMSC Red SS7

Servicio Web (HTTP, SOAP, …)

Otros protocolos (SMPP, EMI/UCP, …)

Usuario

Sistema / Aplicación

Usuaria

Comandos AT

Pág.


10

Algunos proveedores 1

Introducción

Pág.


11

S

Índice

Ataques a aplicaciones 2

Pág.


12

El problema

¿Por qué?

Número de origen como único mecanismo de autenticación /

identificación

Es trivial el envío de mensajes spoofeados

2

Ataques a aplicaciones

Pág.


13

Estudio de aplicaciones: Menéame

Menéame

«Menéame es un sitio donde compartir enlaces que

creas interesantes. Menéame es un sitio social: funciona

gracias a las aportaciones de los usuarios (como tú).»

Nótame

«Nótame es un servicio que permite enviar notas cortas

de texto a la web, esas notas son públicas y cualquiera

puede consultarlas (las notas van apareciendo en el

orden que son enviadas).»

2


Pág.


14

Estudio de aplicaciones: Menéame 2


Referencia: http://blog.meneame.net/2007/03/05/envios-sms-al-notame/

Pág.


15

Demo: Menéame

En esta DEMO NO se realizan pruebas contra meneame.net

Entorno de pruebas

Instalación propia de «Méneame» versión 4 – Rev. 2759

Implementación de Gateway SMS OpenSource

– Modem HSDPA

– Software OpenSource: [GW]ammu, Kannel

2


http://www.meneame.net/

Pág.


16

Demo: Menéame – Escenario lícito 2


SMS Gateway Proveedor externo

post_sms_store.php SMS Gateway Propio (Kannel, Gammu, …)

SMS lícito

• Origen: #Bob

• Destino: #Menéame

• Mensaje: «nota Hello world!»

Bob

Menéame frontend

Bob dice: Hello world!

Nótame

Menéame backend

sms.pl

Pág.


17

Demo: Menéame – Escenario de abuso 2


Menéame backend

post_sms_store.php

sms.pl SMSspoofing

• Origen: #Bob

• Destino: #Menéame

• Mensaje: «nota Spoof world!»

Atacante SMS Gateway Proveedor externo

SMS Gateway Propio (Kannel, Gammu, …)

Menéame frontend

Bob dice: Spoof world!

Nótame

SMS Gateway (SMPP, EMI/UCP, …)

Servicio Web (HTTP, SOAP, …)

…

Pág.


18

Demo: Menéame 2


Demostración en vivo: Menéame

Pág.


19

Demo: Menéame – Diseño/código vulnerable 2


/backend/post_sms_store.php

Pág.


20

Estudio de aplicaciones: Menéame

Estado actual y posible afectación

http://www.meneame.net NO está afectada

Actualmente el envío de notas por SMS no está activo

Afectación a otros clones de menéame

No se han detectado otros servicios que tengan implementado el

envío de notas por SMS

2


http://www.meneame.net/

Pág.


21

Estudio de aplicaciones: Casos conocidos

En 2007 se publica una vulnerabilidad en la aplicación twitter

En 2009, Heise Security comunica que la vulnerabilidad aún es

explotable en al menos UK y Alemania

2


Los compañeros de SbD

(Yago Jesus) hicieron la

prueba de concepto en

España con resultado positivo

Pág.


22

Estudio de aplicaciones: Otras aplicaciones 2


Pág.


23

Limitaciones

Limitaciones

El envío de SMS spoofeados a números cortos / premium no es

trivial

Funcionamiento especial del envío de estos mensajes

La mayoría de Gateways SMS y servicios probados no permiten enviar

a números cortos

2


SMS Gateway

Envía al

1234

Pág.


24

Soluciones

Soluciones

Requerir la inclusión de un token / password a todas las

operaciones vía SMS

Examinar las PDUs de los mensajes recibidos para detectar

posibles intentos de spoofing

Aplicación de mecanismos anti-SMSspoofing a nivel de

operadores

2


SMS PDU

Pág.


25

S

Índice

Ataques a usuario 3

Pág.


26

Escenario tradicional. Phishing

El SMS spoofing permite realizar ataques ya existentes a

través de un nuevo vector: El móvil y el SMS.

Phishing:

Mediante SMS spoofing se puede simular el envío de mensajes de

publicidad, confirmación de compras, pago de nóminas, el mensaje de

un compañero de trabajo o un superior, etc.

Ejemplo:

3

Ataques a usuario

Origen: “221251 / Movistar” “MS Publi:Entra en www.apuntatealanieve.es y participa en el sorteo de 50 packs de 2 forfaits para 2 dias en cualquier estacion de Aramon. Valido hasta el 2/03"

Pág.


27

Escenario tradicional. Ataques.

Aplican los mismos ataques que se pueden observar, actualmente,

mediante el envío de phishing por correo electrónico.

Robo de contraseñas

Pay per click

Ataques al cliente: Explotación de vulnerabilidades.

3

Ataques a usuario

Pág.


28

Identificando objetivos (II) 3

Ataques a usuario

Redes sociales

Contactos en

Website

addFacebookFriends.rb

Evil

Maltego

Google hacking

Pág.


29

SET

Social Engineering Toolkit

Ofrece (un resumen…):

Ataques de phishing

– Envío de correo masivo, clonación de sitios, robo de credenciales,

tabnabbing, etc.

Ataques a cliente

– Integración con Metasploit.

– Explotación de vulnerabilidades en el navegador y extensiones.

– Distribución de payloads.

3

Ataques a usuario

“The Social-Engineer Toolkit (SET) is specifically designed to perform advanced attacks against the human element. SET was designed to be released with the http://www.social-engineer.org launch and has quickly became a standard tool in a penetration testers arsenal. SET was written by David Kennedy (ReL1K) and with a lot of help from the community it has incorporated attacks never before seen in an exploitation toolset. The attacks built into the toolkit are designed to be targeted and focused attacks against a person or organization used during a penetration test.”

Link: http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_(SET)

http://www.social-engineer.org/



Pág.


30

Ampliación de SET

Se ha añadido soporte para:

El envío de SMS Spoofing.

Uso de diferentes proveedores / operadores SMS.

Se ha elaborado una primera base de datos de plantillas para la

realización de SMS Spoofing.

– Soporte para añadir nuevas plantillas.

Soporte para el envío de SMS hacia una instancia del emulador Android.

A nivel de prueba de concepto, se ha integrado la explotación de

móviles Android con Metasploit.

Basado en el trabajo “Seguridad y explotación nativa en Android”, de

Javier Moreno y Eloi Sanfèlix, presentado en la RootedCON 2010.

3

Ataques a usuario

Pág.


31

Ampliación de SET. Diseño. 3

Ataques a usuario

Mobile Users Attacks

SMS Spoofing

Pág.


32

Demo: SET – Phishing SMS 3


Demostración en vivo: Phishing SMS Robo de credenciales de Twitter

Pág.


33

Demo: SET - Explotación 3


Demostración en vivo: Explotación Vulnerabilidades en terminales móviles

Basado en el trabajo “Seguridad y explotación nativa en Android”, de Javier Moreno y Eloi Sanfèlix, presentado en la RootedCON 2010.

Pág.


34

Recomendaciones

Formación y concienciación para los usuarios

Instalación de actualizaciones de seguridad y/o firmware de los

dispositivos móviles.

Evitar abrir enlaces o ficheros de/hacia orígenes desconocidos o

cuestionables.

Fabricantes

Soluciones antimalware para dispositivos móviles.

Detección de SMS Spoofing

Aplicación de heurística para terminales móviles

3

Ataques a usuario

Pág.


35

S

Índice

Conclusiones 4

Pág.


36

Conclusiones

Resumen

El SMSpoofing es una técnica sencilla de realizar

Es trivial encontrar servicios que permitan SMSspoofing

Hay muchas aplicaciones que presentan patrones vulnerables

El usuario todavía no ha perdido la confianza en el canal SMS

(phishing más efectivo)

Deben aplicarse salvaguardas, siguiendo un criterio de seguridad

en capas

4

Conclusiones

Pág.


37

Trabajo futuro

Abuso

SMSspoofing & Shortcodes

SET & explotación de terminales móviles

Salvaguardas

Técnicas heurísticas para detección de SMSspoofing en

Móviles

Gateways

Aplicaciones

Dónde?

4

Conclusiones

Pág.


38

Trabajo Futuro

TB·Security (http://www.tb-security.com)

Estreno de Blog Personal (a partir del fin de semana)

http://www.testpurposes.net

4

Conclusiones

http://www.tb-security.com/



http://www.testpurposes.net/

Pág.


39

Referencias

Referencias de estudios anteriores:

BH Europe 2001 – «Mobile security: SMS and WAP»

BH USA 2009 – «Attacking SMS»

Source Barcelona 2010 – «SCCP hacking, Attacking the SS7 &

SIGTRAN Applications One Step Further and Mapping the Phone

System»

RootedCON 2010 – «Seguridad y explotación nativa en Android»

4

Conclusiones

GRACIAS


AVISO LEGAL PROPIEDAD INTELECTUAL

El contenido del presente documento y los derechos de propiedad intelectual asociados son titularidad de TB•Solutions Security S.A.

Los autores de la obra autorizan la copia, distribución y comunicación pública de los contenidos bajo las condiciones siguientes: reconocimiento de la

autoría de la obra y previa comunicación al Titular TB•Solutions Security S.A. sobre los usos y finalidades a la que se vaya destinar la obra.


SMSspoofing: fundamentos, vectores de ataque y salvaguardas · 2014-10-21 · SET Social...

Documents

Transcript of SMSspoofing: fundamentos, vectores de ataque y salvaguardas · 2014-10-21 · SET Social...