miércoles, 30 de octubre de 2013

Presentando "Defeating WhatsApp's Lack of Privacy" en la NoConName 2013


No cON Name (NcN) es el congreso de seguridad informática y hacking más antiguo en España. El evento de periodicidad anual, reune tanto a nuevas promesas del sector, expertos, así como a profesionales en el campo de la informática en general, redes telemáticas, programación o ingeniería de protección de software. El congreso tiene lugar en un momento en el que la seguridad de equipos informáticos y la información se han convertido en la principal preocupación para todo tipo de organizaciones y particulares.

En este edición, Pablo San Emeterio y yo estaremos presentando una nueva investigación sobre WhatsApp, titulada "Defeating WhatsApp's Lack of Privacy".

WhatsApp ha superado los 250 millones de usuarios activos mensualmente de su aplicación de mensajería instantánea. Con el escándalo de PRISM empezamos a plantearnos si no son sólo Microsoft, Google, Apple o Facebook quienes están colaborando con gobiernos para espiar los comportamientos de sus ciudadanos.

¿Será WhatsApp una de estas empresas? ¿Almacenará o interceptará las conversaciones de sus usuarios? Noticias como la amenaza por parte de Arabia Saudí de declararla ilegal si no se establecía un servidor en ese país, no nos tranquilizan  y nos hacen pensar que los usuarios se encuentran indefensos y no existen medidas actuales que garanticen la privacidad de los contenidos compartidos sobre estas plataformas.

El principal objetivo de esta investigación es añadir una nueva capa de seguridad y privacidad que garantice que en el intercambio de información entre los integrantes de una conversación tanto la integridad como la confidencialidad no puedan verse afectados por un atacante externo.

Hemos definido una serie de pruebas de concepto sobre una jerarquía de niveles de seguridad:
    • El primer nivel de seguridad implica el cifrado, mediante clave privada, de los mensajes y los datos intercambiados entre dos usuarios.
    • En un segundo nivel, se dota de cierto nivel de anonimato a la conversación, mediante la utilización de otras cuentas (otros números de teléfono falsos en la medida de lo posible pertenecientes a otros países) y proxys / nodos intermedios de forma que las comunicaciones no se envíen de forma directa entre emisor y receptor.
    • Por último, se establece un tercer nivel al modificar el funcionamiento interno de la aplicación, modificando a nivel interno los servidores de intercambio de mensajes y enviándolas a un server XMPP propio que garantice la privacidad de las comunicaciones. Con esto el usuario dispondrá de una plataforma WhatsApp propia para su uso.

Esta técnica ha sido desarrollada para poder ser utilizada de forma completamente transparente para el usuario. Para ello es necesario disponer de un teléfono rooteado, o en caso de otras plataformas como iPhone, se ha desarrollado una plataforma basada en Raspberry que actuará como punto de acceso automatizado o el uso de una VPN.

Esperamos que os guste a todos!