Buenas a todos, en el post de hoy os traemos la entrevista que hemos realizado a Jaime Sánchez, de
Seguridad Ofensiva.
Para quienes no le conozcáis, Jaime es un máquina de la seguridad, buena gente, y un tipo pecualiar (con todo nuestro cariño :)), nacido en Bilbao, que se subió recientemente a la NcN en Barcelona, con la camiseta del Real Madrid, para enseñarnos como romper el
cifrado RC4 que se incorporó hace más de un año al güasap y además propuso
incorporar un cifrado adicional.
Os dejamos con la entrevista, ¡disfrutadla!:
- ¿Quién es Jaime Sánchez?
Pues Jaime es apasionado de la seguridad informática, nacido en Bilbao, que ha estado muchos años trabajando de especialista y asesor para empresas nacionales y internacionales. Un tío inquieto al que le encantan los nuevos retos y desafíos. En la actualidad trabajo en el SOC (Security Operations Center) de una multinacional de las telecomunicaciones, imparto cursos de formación, colaboro y asesoro en algunos proyectos (algunos los compartiré en breve con todo el mundo) y tengo la suerte de llevar casi un año dando conferencias por medio mundo, cosa que me encanta :)
- ¿Cómo es tu día a día Jaime?
Pues mi día a día es un tanto complicado al estar metido en tantos fregaos… Durante mi jornada labora, realizo muchos tipos de proyectos, que tienen que ver con análisis forense, ingeniería inversa, análisis de vulnerabilidades o respuesta a incidentes. Fuera de él la cosa se complica, dependiendo de la fecha. Tantos frentes abiertos ocupan la mayoría de mi tiempo libre y siempre tengo algo que hacer. Mientras escribo estas líneas estoy acabando un artículo para mi blog sobre unas vulnerabilidades nuevas que hemos descubierto en Snapchat, al mismo tiempo que estoy avanzando en las slides de la charla para Shmoocon, para la que queda menos de una semana.
- ¿Qué os hizo investigar en WhatsApp? ¿Por qué crees que está tan de moda whatsapp y su seguridad?
Realmente fue una coincidencia, ya que conocí a Pablo San Emeterio el año pasado en Rootedcon. Yo había leído ya algunos de sus descubrimientos de vulnerabilidades en WhatsApp, y yo acababa de presentar una charla llamada "From Kernel Space to User Heaven", así que se me ocurrió que igual podíamos juntar nuestros trabajos y esfuerzos y hacer algo nuevo. De esta forma tan sencilla salió un trabajo como el que estamos publicando, en el que hemos encontrado muchas vulerabilidades y errores graves.
Probablemente está tan de moda el tema WhatsApp por el gran uso entre los usuarios. WhatsApp no es tan conocido como Facebook o Twitter, pero recientemente ha anunciado que ha sobrepasado los 400 millones de usuarios activos al mes. La historia de WhatsApp esta llena de errores de seguridad, desde mandar los mensajes en claro o utilizando cifrados débiles, hasta permitir el almacenamiento de todo tipo de ficheros de manera anónima en sus servidores (entre otras muchas).
Todo esto ha cobrado más importancia aún, si cabe, desde el escándalo de PRISM y el espionaje de la NSA. Sólo Microsoft, ¿Google, Apple o Facebook están colaborando con gobiernos para espiar los comportamientos de sus ciudadanos?. ¿podría ser WhatsApp una de estas empresas también? Que cada uno saque sus conclusiones, pero recordemos que la NSA espió 60 millones y medio de llamadas en España tan solo entre el mes de Diciembre de 2012 y Enero de 2013. Esto incluía tanto llamadas telefónicas, como comunicaciones en Internet, correos electrónicos, mensajes en redes sociales etc.
- Cuando diseñaron whatsapp estaba claro que no se pensó en la seguridad, ¿Cómo ves la seguridad a día de hoy? ¿En qué deben mejorar?
Creo que el equipo de WhatsApp aún necesita trabajar y mejorar la seguridad del servicio, y no siempre forzado por la presión de la comunidad de usuarios y prensa después de que se haga público un error de seguridad. Creo que deberían considerar la seguridad como uno de los pilares sobre los que construir la aplicación, y comenzar a tomarse en serio este asunto. Las palabras de su CEO Jan Koum fueron este verano "WhatsApp takes security seriously and is continually thinking of ways to improve our product", ahora sólo les falta cumplirlo.
Creo que podrían mejorar en múltiples aspectos. Nosotros desarrollamos una aplicación, como prueba de concepto, mostrando que un WhatsApp más seguro sí es posible. En ella implementamos una serie de capas de seguridad adicionales, como por ejemplo:
- Un cifrado más robusto y fácilmente configurable. Podemos implementar otro sistema de clave simétrica, o incluso podríamos desarrollar uno de clave asimétrica. De esta forma si un atacante externo interceptara nuestros mensajes, o cualquier gobierno lo hiciera directamente desde los servidores de WhatsApp, no encontrarían información legible, dado que los mensajes se enviarían cifrados desde el emisor hasta el destinatario.
- Funciones de para dotar las conversaciones de mayor anonimato entre los usuarios, utilizando cuentas falsas o anónimas, así como nodos intermedios.
- Utilizar un servidor propio de XMPP para nuestro uso, redirigiendo todo el tráfico y las conversaciones por él
- ¿Futuros eventos?
Por ahora el más cercano, y del que podemos hablar, es ShmooCon, una convención de hackers que se celebra en América, y organizada por el Grupo Shmoo. El próxima Sábado estaremos dando una charla titulada "Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instant Messaging Platforms". Tiene que ver con la continuación de nuestra investigación sobre clientes de mensajería instantánea para teléfonos móviles, y en particular con WhatsApp, donde hablaremos de posibles ataque de Denegación de Servicio, o posibles implicaciones legales al poder suplantar usuarios.
Hemos encontrado también múltiples vulnerabilidades, que en breve compartiremos con todo el mundo, en otros clientes diferentes. Un avance que ya hemos publicado ya es como, por ejemplo, en Snapchat se permitía suplantar usuarios, entre ellos al equipo de snapchat, para enviar SPAM o floodear cualquier usuario.
- ¿Crees que hoy en día nos vigila el gran hermano? ¿Podemos combatirlo?
Creo que después de la información que se ha publicado en los últimos meses acerca del espionaje de la NSA, esa pregunta no necesita ya respuesta. Tienen hasta un catálogo de productos electrónicos con recursos, desarrollos y accesorios, que ya me gustaría a mí haber podido utilizarlo para mis regalos de Reyes. Los gobiernos han transformado Internet en su plataforma propia de vigilancia masiva. Estamos viviendo una transformación como no se había vivido hasta el momento, ya que no tenemos la absoluta certeza de qué tipo de Gobierno o líder llegará después, y como explotará ese tipo de información.
Creo que es muy dificil impedir que agencias como la NSA y el GCHQ nos espíen, pero sí se pueden añadir una serie de obstáculos para intentar protegernos. Para ello es necesario utilizar alternativas a los servicios de empresas que están bajo la tutela de la NSA, como Google, Apple, Microsoft etc. Muchas de estas alternativas son gratuítas y open source, y gran parte de ellas podemos encontrarlas en la página PRISM-BREAK (https://prism-break.org/es/).
- Internet nació con un pilar que era la privacidad y anonimato, ¿Por qué hoy en día no existen?
Internet y la tecnología ha evolucionado muy rápido en los últimos años, y la expansión hacia el usuario común ha sido aún mayor con el boom de las redes sociales. A pesar de que la gente puede incrementar sus defensas y su nivel de privacidad adoptando controles sobre la información que se publica en sus perfiles sociales, mucha gente o no tiene el conocimiento, no simplemente no lo hace. La sociedad 2.0 ha generado cambios radicales en nuestra sociedad, de los que no somos plenamente conscientes. Cada vez la gente se siente más cómoda no sólo compartiendo más y más información, sino que lo hace de modo más abierto y con más gente.
A esto, además, debemos sumar el interés de los gobiernos por controlar Internet. Agencias de seguridad que espían a ciudadanos, que sólo dicen registrar metadatos, cuando éstos pueden ser más reveladores que el mismo contenido de una llamada telefónica. Gobiernos que espían a otros gobiernos, leyes como la CISPA (Cyber Intelligence Sharing and Protection Act o HR-3523), apoyada por empresas como Microsoft y Facebook o la Cámara de Comercio de EEUU, que permitiría a empresas que hacen negocios en EEUU recoger datos exactos de nuestra actividad online y entregárselo al gobierno estadounidense, sin notificarnos siquiera. Sin orden judicial, causa legal o debido proceso. Encima, con inmunidad que les blindaría ante posibles denuncias por violación de la intimidad o cualquier otra acción legal.
En este momento el Big Data somos todos, una masa de datos personales basados en la desprotección y desconocimiento del ciudadano, sin sólidas garantías legales, sin el ejercicio de los derechos fundamentales, y con la sensación de la pérdida del papel fundamental de la privacidad en el desarrollo pleno de las libertades
- ¿Qué recomendarías a los jóvenes que están comenzando en el mundo de la seguridad?
Lo primero que les recomendaría es que lean y estudien todo lo que esté a su alcance. Que hay mucha superficie de estudio, y que ni por asomo está todo descubierto. Que prueben y aprendan sobre todo aquello que les interese. Que encuentren algo en lo que disfruten investigando y trabajando. Y que no olviden la formación oficial.
- La última pregunta se la realizamos habitualmente a todos nuestros entrevistados, ¿a quién te gustaría que entrevistásemos?
Dado que ha sido mi compañero de charlas en los últimos meses, puedo asegurar que Pablo San Emeterio sería un perfecto candidato para una futura entrevista :)