SlideShare una empresa de Scribd logo
1 de 22
Descargar para leer sin conexión
VII Jornadas STIC CCN-CERT
“La ciberseguridad, un factor estratégico nacional"

10 y 11 de diciembre 2013

© 2013 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
VII JORNADAS STIC CCN-CERT

Plataformas de mensajería y riesgos
asociados: caso WhatsApp
Jaime Sánchez (@segofensiva)
Pablo San Emeterio (@psaneme)

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

ÍNDICE
1. QUIENES SOMOS
2. INTRODUCCIÓN
3. ERRORES DE SEGURIDAD
4. MEJORANDO EL SISTEMA DE CIFRADO
5. UTILIZANDO UNA PLATAFORMA PROPIA

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

JAIME SÁNCHEZ
- Ingenierio Informático & Security Researcher!
- Executive MBA, CISSP, CISA y CISM!
- Ponente en Rootedcon, Nuit du Hack, BH Arsenal,
Defcon, Derbycon, NoConName, DeepSec, BH Sao
Paulo etc.!
- Twitter: @segofensiva!
- http://www.seguridadofensiva.com!

!
PABLO SAN EMETERIO
- Ingeniero Informático!
- Trabaja en el departamento I+D de Optenet!
- Master de Seguridad y Auditoría por la UPM,
CISA y CISM!
- Ponente en Rootedcon, NoConName y CiberSeg!
- Experiencia anterior investigando en WhatsApp!
- Twitter: @psaneme

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- WhatsApp es una aplicación de mensajería
multiplataforma que permite enviar y recibir
mensajes a través Internet de manera gratuita.!

!

- Ha sustituido a los servicios tradicionales de
mensajes cor tos o sistema de mensajería
multimedia.!

!

- Disponible para los sistemas operativos iOS,
Android, Windows Phone, BlackBerry OS y
Symbian.!

!

- No existen versiones para Windows, Mac,
Linux. Sin embargo existen emuladores para
Android permiten el uso de WhatsApp en
Windows, Mac o un Navegador web e
implementaciones abiertas en python (Yowsup) y
php (WhatsAPI).
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Más usuarios que Twitter, que posee 230 millones de usuarios activos, y
que Instagram, que cuenta con 150 millones en su plataforma.
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Mensajes en claro (WhatsApp Sniffer)!

!

- Password MD5 basado en IMEI o MAC del teléfono utilizado (espía y
suplantación de usuarios)!

!

- Almacenamiento de cualquier contenido en sus servidores (virus, html
etc.) :)!

!

- Almacenamiento en claro de la base de datos!

!

- WhatsApp Status: permitía cambiar el estado de cualquier usuario del
que se conociera el número de teléfono

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El 13 de Enero de 2012 la
aplicación fue retirada 4 días de la
App Store!

!

- Aparición de Priyanka para
Android
- WhatsApp Voyeur: Obtener datos del perfil de un usuario, sin necesidad
de usar tu teléfono móvil!

!

- No se necesita autorización para enviar mensajes, por lo que cualquier
usuario/bot puede enviarte spam.!

!

- Problemas actuales con el cifrado RC4!

!

- etc.
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

!
!

!

57:41
01:02

=>
=>

WA
PROTOCOL VERSION 1.2

f8:05:01:c8:ab:a5:fc:12:69:50:68:6f:6e:65:2d:32:2e:31:30:2e:32:2d:35:32:32:32:00:00
0x01 => stream:stream 0xc8 => to 0xab: s.whatsapp.net 0xa5 => resource
0xfc => String 12caracteres => iPhone-2.10.2-5222
<stream:stream to=”s.whatsapp.net” resource=”iPhone-2.10.2-5222” />
f8:02:bb
=>
0xbb => stream:features
f8:04
f8:03:70:31:ca
=>
0x70 => message_acks
f8:01:9c
=>
0x9c => receipt_acks
f8:03:e4:cb:0c
=>
0xe4 => w:profile:picture
f8:03:b9:7c:ca
=>
0xb9 => status
<stream:features>
<message_acks enable=TRUE />
<receipt_acks />
<w:profile:picture type=ALL />
<status notification=TRUE />
</stream:features>

0x31 => enable

0xca => TRUE

0xcb => type
0x7c => notification

0x0c => all
0xca => TRUE

f8:08:10:6d:ec:da:fc:0b:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:X:e8:cf
0x10 => auth
0x6d => mechanism
0xec => WAUTH-1 
user => 34XXXXXXXXX
0x31 => enable
0xe8 => xmlns
0xcf => urn:ietf:params:xml:ns:xmpp-sasl
<auth mechanism=”WAUTH-1” user=”XXXXXXXXXXX”
xmlns=”urn:ietf:params:xml:ns:xmpp-sasl” />

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El acceso de un nuevo dipositivo se produce de la siguiente manera:
CANAL HTTPS

RECEPCIÓN CLAVE

INTERCAMBIO CLAVE

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Para acceder al sistema, el teléfono enviará:!

!

<auth xmlns=“urn:ietf:params:xml:ns:xmpp-sasl" user="XXXXXXXXXXXX"
mechanism="WAUTH-1" />!

- El servidor responderá con un desafío:!

!

<challenge xmlns=“urn:ietf:params:xml:ns:xmppsasl"> YYYYYYYYYYYYYYYYYYYY
</challenge>!

- El cliente, para responder al desafío, generará una clave usando PKBDF2 (16
iteraciones) con:!
! - El password recibido durante el registro!
! - El desafío recibido como salt!

!

Utilizará SHA1 como función hash. Se utilizarán los 20 primeros bytes generados
del tipo <numero teléfono> || <20 bytes de respuesta> || UNIX timestamp:!
<response xmlns=“urn:ietf:params:xml:ns:xmppsasl”>!

!

ZZZZZZZZZZZZZ </response>!

- A partir de este momento, los mensajes van cifrados.
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

De los creadores de:!
- Nunca corras con unas tijeras en la mano!
- Nunca corras cerca de una piscina!
- Nunca corras cerca de una piscina con unas tijeras en la mano !
!
Llega:

NUNCA utilices el mismo keystream de RC4 para cifrar
dos mensajes diferentes ...

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El algoritmo de cifrado utilizado por WhatsApp es RC4, diseñado por Ron Rivest de la RSA
Security en 1987, utilizando la misma clave de cifrado en ambos sentidos.!

!

- Es el Stream Cipher más utilizado y fue excluído de los estandares de alta seguridad.
Consiste en 2 algoritmos: Key Scheduling Algorithm (KSA) y Pseudo-Random Generation
Algorithm (PRGA).

¿ Y dónde dices que está el problema ?
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

c1 = m1 ⊕ k
c2 = m2 ⊕ k

m1 = c1 ⊕ k
m2 = c2 ⊕ k

REUSED KEY ATTACK
c1 ⊕ c2 = m1 ⊕ m2

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Tenemos m1 ⊕ m2 (hemos eliminado k de la ecuación).!

!

- Utilizando Crib-Dragging:!
1) Deduciremos una palabra que aparezca en los mensajes!
2) Codificamos esta palabra a hexadecimal!
3) Haremos el XOR de ambos mensajes cifrados!
4) Realizamos un XOR de la palabra en hexadecimal(paso 2) en cada posición
del resultado del XOR de ambos textos cifrados(paso 3)!
5) Cuando consideremos que el resultado anterior es texto legible, !
consideramos la palabra válida y aumentamos nuestra búsqueda!
6) Si el resultado no es texto legible, probamos con la siguiente posición.!

!

- Es importante hacer un análisis en base al idioma!
original de los mensajes en claro. !

!

- Gracias a un análisis de frecuencias, utilizaremos las!
palabras más frecuentes para realizar nuestro ataque.

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

"WhatsApp takes security seriously and is continually thinking of ways to
improve our product. While we appreciate feedback, we're concerned that
the blogger's story describes a scenario that is more theoretical in nature.
Also stating that all conversations should be considered compromised is
Respuesta oficial a https://blog.thijsalkema.de/blog/2013/10/08/piercing-through-whatsapp-s-encryption/
inaccurate" the company said.

WTF!
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

MORE)THEORICAL)
IN)NATURE)...
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

EXTRACCIÓN FÍSICA DEL PASSWORD

“login”:”346688X92X9”,”pw”:”xn8MFMH16ha46ROa6zNBLTecyRI=“

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Hemos comprobado que el cifrado utilizado para salvaguardar la
información y la privacidad de nuestras conversaciones es fácil de romper.!

!

- ¿ Qué podemos hacer ? Interceptaremos el mensaje de WhatsApp
antes de que salga. Descifraremos el mensaje original con nuestra clave y le
aplicaremos un algoritmo de cifrado, y después volveremos a cifrarlo con el
algoritmo y clave original para no romper la aplicación.!

!

- Nuestro esquema de funcionamiento de ahora en adelante será:
MODIFICACIÓN

EN TIEMPO REAL

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El anterior método nos permitirá cifrar nuestros mensajes para que otros
atacantes capaces de interceptar nuestro tráfico no sean capaces de adivinar
el contenido de los mensajes.!

!

- Pero, ¿ y si queremos que el tráfico directamente no pase por los
servidores de WhatsApp ?

SERVIDOR DE
MENSAJERÍA XMPP

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

Correos electrónicos
•
•
•
•
•

info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
organismo.certificacion@cni.es

Páginas Web
• www.ccn.cni.es
• www.ccn-cert.cni.es
• www.oc.ccn.cni.es

Síguenos en Linked in

www.ccn-cert.cni.es

Más contenido relacionado

La actualidad más candente

Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IQuantiKa14
 
Presentación comercio electronico 2
Presentación comercio electronico 2Presentación comercio electronico 2
Presentación comercio electronico 2Luis Garcia
 
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014 spectacularaffe02
 
Redacción de las exposiciones
Redacción de las exposicionesRedacción de las exposiciones
Redacción de las exposicionesLiliana Zamarripa
 
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático spectacularaffe02
 
Parte 2 Presentación 2
Parte 2  Presentación 2Parte 2  Presentación 2
Parte 2 Presentación 2aurasandoval
 
Tipos de amenazas_en_la_web
Tipos de amenazas_en_la_webTipos de amenazas_en_la_web
Tipos de amenazas_en_la_webByron Ayala
 
Amenazas En La Red
Amenazas En La RedAmenazas En La Red
Amenazas En La Reddaniel ridan
 
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...Nunkyworld
 
Pishing, proteccion de identidad
Pishing, proteccion de identidadPishing, proteccion de identidad
Pishing, proteccion de identidad125841588
 
Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014ESET España
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposicioneschitus21
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposicioneschitus21
 

La actualidad más candente (18)

Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género I
 
Virus
VirusVirus
Virus
 
Presentación comercio electronico 2
Presentación comercio electronico 2Presentación comercio electronico 2
Presentación comercio electronico 2
 
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
 
Redacción de las exposiciones
Redacción de las exposicionesRedacción de las exposiciones
Redacción de las exposiciones
 
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
 
Parte 2 Presentación 2
Parte 2  Presentación 2Parte 2  Presentación 2
Parte 2 Presentación 2
 
Tipos de amenazas_en_la_web
Tipos de amenazas_en_la_webTipos de amenazas_en_la_web
Tipos de amenazas_en_la_web
 
Proyecto 002 de 20111
Proyecto 002 de 20111Proyecto 002 de 20111
Proyecto 002 de 20111
 
Práctica 7 espaciados
Práctica 7 espaciadosPráctica 7 espaciados
Práctica 7 espaciados
 
Amenazas En La Red
Amenazas En La RedAmenazas En La Red
Amenazas En La Red
 
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
 
Ejercicio 4
Ejercicio 4Ejercicio 4
Ejercicio 4
 
Pishing, proteccion de identidad
Pishing, proteccion de identidadPishing, proteccion de identidad
Pishing, proteccion de identidad
 
Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposiciones
 
Pc zombie
Pc zombiePc zombie
Pc zombie
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposiciones
 

Destacado

Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...Jaime Sánchez
 
From Kernel Space to User Heaven
From Kernel Space to User HeavenFrom Kernel Space to User Heaven
From Kernel Space to User HeavenJaime Sánchez
 
From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13Jaime Sánchez
 
Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0Jaime Sánchez
 
AndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security ReloadedAndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security ReloadedJaime Sánchez
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itTelefónica
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]Telefónica
 

Destacado (7)

Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
 
From Kernel Space to User Heaven
From Kernel Space to User HeavenFrom Kernel Space to User Heaven
From Kernel Space to User Heaven
 
From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13
 
Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0
 
AndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security ReloadedAndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security Reloaded
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like it
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
 

Similar a Plataformas de mensajería y riesgos asociados: caso WhatsApp

Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...RootedCON
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]RootedCON
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Eventos Creativos
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" CIDITIC - UTP
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"CIDITIC - UTP
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Reviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsReviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsAlfonso Muñoz, PhD
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...RootedCON
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaEventos Creativos
 
When mobile phone (not) meets privacy More than apps & OS
When mobile phone (not) meets privacy  More than apps & OSWhen mobile phone (not) meets privacy  More than apps & OS
When mobile phone (not) meets privacy More than apps & OSAlfonso Muñoz, PhD
 
Webinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali LinuxWebinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali LinuxAlonso Caballero
 

Similar a Plataformas de mensajería y riesgos asociados: caso WhatsApp (20)

Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
 
csi pdf2022.pdf
csi pdf2022.pdfcsi pdf2022.pdf
csi pdf2022.pdf
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.
 
csi bo 2022.pdf
csi bo 2022.pdfcsi bo 2022.pdf
csi bo 2022.pdf
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una Intrusion
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester"
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Reviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsReviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroids
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseña
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
 
When mobile phone (not) meets privacy More than apps & OS
When mobile phone (not) meets privacy  More than apps & OSWhen mobile phone (not) meets privacy  More than apps & OS
When mobile phone (not) meets privacy More than apps & OS
 
Webinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali LinuxWebinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali Linux
 

Último

#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaElizabethLpezSoto
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskbydaniela5
 
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPOLA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPOv16959670
 
tecnologia trabajo sobre excel avanzado método estadístico
tecnologia trabajo sobre excel avanzado método estadísticotecnologia trabajo sobre excel avanzado método estadístico
tecnologia trabajo sobre excel avanzado método estadísticojuliana280780
 
tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6SaraMineiropalacio
 
Análisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docxAnálisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docxmajovaru19
 
carta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara Garzóncarta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara GarzónSaraGarzon13
 
La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2SariGarcs
 
Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.cabreraarelis37
 
JUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCEL
JUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCELJUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCEL
JUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCELSebastinOrdez4
 
tecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNERtecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNERedepmariaordonez
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalEmanuelCastro64
 
Taller de tecnología año 2024 11-2 sofia nava
Taller de tecnología año 2024  11-2 sofia navaTaller de tecnología año 2024  11-2 sofia nava
Taller de tecnología año 2024 11-2 sofia navaSofaNava1
 
Green-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias TecnologicasGreen-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias TecnologicasDahianaParedes2
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024anasofiarodriguezcru
 
tecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceotecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceoSebastinOrdez4
 
LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024SofaNava1
 

Último (20)

#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
Tecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestríaTecnología Educativa- presentación maestría
Tecnología Educativa- presentación maestría
 
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjskTrabajo de Tecnología .pdfywhwhejsjsjsjsjsk
Trabajo de Tecnología .pdfywhwhejsjsjsjsjsk
 
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPOLA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
 
tecnologia trabajo sobre excel avanzado método estadístico
tecnologia trabajo sobre excel avanzado método estadísticotecnologia trabajo sobre excel avanzado método estadístico
tecnologia trabajo sobre excel avanzado método estadístico
 
tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6
 
Análisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docxAnálisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docx
 
carta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara Garzóncarta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara Garzón
 
La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2
 
Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.
 
JUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCEL
JUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCELJUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCEL
JUANITA Y SEBASTIAN TRABAJO TEGNOLOGIA TABLA EXCEL
 
tecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNERtecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNER
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Trabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamentalTrabajo de tecnología liceo departamental
Trabajo de tecnología liceo departamental
 
Taller de tecnología año 2024 11-2 sofia nava
Taller de tecnología año 2024  11-2 sofia navaTaller de tecnología año 2024  11-2 sofia nava
Taller de tecnología año 2024 11-2 sofia nava
 
Green-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias TecnologicasGreen-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024
 
tecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceotecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceo
 
LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024
 

Plataformas de mensajería y riesgos asociados: caso WhatsApp

  • 1. VII Jornadas STIC CCN-CERT “La ciberseguridad, un factor estratégico nacional" 10 y 11 de diciembre 2013 © 2013 Centro Criptológico Nacional C/Argentona 20, 28023 MADRID
  • 2. VII JORNADAS STIC CCN-CERT Plataformas de mensajería y riesgos asociados: caso WhatsApp Jaime Sánchez (@segofensiva) Pablo San Emeterio (@psaneme) www.ccn-cert.cni.es
  • 3. VII JORNADAS STIC CCN-CERT ÍNDICE 1. QUIENES SOMOS 2. INTRODUCCIÓN 3. ERRORES DE SEGURIDAD 4. MEJORANDO EL SISTEMA DE CIFRADO 5. UTILIZANDO UNA PLATAFORMA PROPIA www.ccn-cert.cni.es
  • 4. VII JORNADAS STIC CCN-CERT JAIME SÁNCHEZ - Ingenierio Informático & Security Researcher! - Executive MBA, CISSP, CISA y CISM! - Ponente en Rootedcon, Nuit du Hack, BH Arsenal, Defcon, Derbycon, NoConName, DeepSec, BH Sao Paulo etc.! - Twitter: @segofensiva! - http://www.seguridadofensiva.com! ! PABLO SAN EMETERIO - Ingeniero Informático! - Trabaja en el departamento I+D de Optenet! - Master de Seguridad y Auditoría por la UPM, CISA y CISM! - Ponente en Rootedcon, NoConName y CiberSeg! - Experiencia anterior investigando en WhatsApp! - Twitter: @psaneme www.ccn-cert.cni.es
  • 5. VII JORNADAS STIC CCN-CERT - WhatsApp es una aplicación de mensajería multiplataforma que permite enviar y recibir mensajes a través Internet de manera gratuita.! ! - Ha sustituido a los servicios tradicionales de mensajes cor tos o sistema de mensajería multimedia.! ! - Disponible para los sistemas operativos iOS, Android, Windows Phone, BlackBerry OS y Symbian.! ! - No existen versiones para Windows, Mac, Linux. Sin embargo existen emuladores para Android permiten el uso de WhatsApp en Windows, Mac o un Navegador web e implementaciones abiertas en python (Yowsup) y php (WhatsAPI). www.ccn-cert.cni.es
  • 6. VII JORNADAS STIC CCN-CERT www.ccn-cert.cni.es
  • 7. VII JORNADAS STIC CCN-CERT - Más usuarios que Twitter, que posee 230 millones de usuarios activos, y que Instagram, que cuenta con 150 millones en su plataforma. www.ccn-cert.cni.es
  • 8. VII JORNADAS STIC CCN-CERT - Mensajes en claro (WhatsApp Sniffer)! ! - Password MD5 basado en IMEI o MAC del teléfono utilizado (espía y suplantación de usuarios)! ! - Almacenamiento de cualquier contenido en sus servidores (virus, html etc.) :)! ! - Almacenamiento en claro de la base de datos! ! - WhatsApp Status: permitía cambiar el estado de cualquier usuario del que se conociera el número de teléfono www.ccn-cert.cni.es
  • 9. VII JORNADAS STIC CCN-CERT - El 13 de Enero de 2012 la aplicación fue retirada 4 días de la App Store! ! - Aparición de Priyanka para Android - WhatsApp Voyeur: Obtener datos del perfil de un usuario, sin necesidad de usar tu teléfono móvil! ! - No se necesita autorización para enviar mensajes, por lo que cualquier usuario/bot puede enviarte spam.! ! - Problemas actuales con el cifrado RC4! ! - etc. www.ccn-cert.cni.es
  • 10. VII JORNADAS STIC CCN-CERT ! ! ! 57:41 01:02 => => WA PROTOCOL VERSION 1.2 f8:05:01:c8:ab:a5:fc:12:69:50:68:6f:6e:65:2d:32:2e:31:30:2e:32:2d:35:32:32:32:00:00 0x01 => stream:stream 0xc8 => to 0xab: s.whatsapp.net 0xa5 => resource 0xfc => String 12caracteres => iPhone-2.10.2-5222 <stream:stream to=”s.whatsapp.net” resource=”iPhone-2.10.2-5222” /> f8:02:bb => 0xbb => stream:features f8:04 f8:03:70:31:ca => 0x70 => message_acks f8:01:9c => 0x9c => receipt_acks f8:03:e4:cb:0c => 0xe4 => w:profile:picture f8:03:b9:7c:ca => 0xb9 => status <stream:features> <message_acks enable=TRUE /> <receipt_acks /> <w:profile:picture type=ALL /> <status notification=TRUE /> </stream:features> 0x31 => enable 0xca => TRUE 0xcb => type 0x7c => notification 0x0c => all 0xca => TRUE f8:08:10:6d:ec:da:fc:0b:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:X:e8:cf 0x10 => auth 0x6d => mechanism 0xec => WAUTH-1  user => 34XXXXXXXXX 0x31 => enable 0xe8 => xmlns 0xcf => urn:ietf:params:xml:ns:xmpp-sasl <auth mechanism=”WAUTH-1” user=”XXXXXXXXXXX” xmlns=”urn:ietf:params:xml:ns:xmpp-sasl” /> www.ccn-cert.cni.es
  • 11. VII JORNADAS STIC CCN-CERT - El acceso de un nuevo dipositivo se produce de la siguiente manera: CANAL HTTPS RECEPCIÓN CLAVE INTERCAMBIO CLAVE www.ccn-cert.cni.es
  • 12. VII JORNADAS STIC CCN-CERT - Para acceder al sistema, el teléfono enviará:! ! <auth xmlns=“urn:ietf:params:xml:ns:xmpp-sasl" user="XXXXXXXXXXXX" mechanism="WAUTH-1" />! - El servidor responderá con un desafío:! ! <challenge xmlns=“urn:ietf:params:xml:ns:xmppsasl"> YYYYYYYYYYYYYYYYYYYY </challenge>! - El cliente, para responder al desafío, generará una clave usando PKBDF2 (16 iteraciones) con:! ! - El password recibido durante el registro! ! - El desafío recibido como salt! ! Utilizará SHA1 como función hash. Se utilizarán los 20 primeros bytes generados del tipo <numero teléfono> || <20 bytes de respuesta> || UNIX timestamp:! <response xmlns=“urn:ietf:params:xml:ns:xmppsasl”>! ! ZZZZZZZZZZZZZ </response>! - A partir de este momento, los mensajes van cifrados. www.ccn-cert.cni.es
  • 13. VII JORNADAS STIC CCN-CERT De los creadores de:! - Nunca corras con unas tijeras en la mano! - Nunca corras cerca de una piscina! - Nunca corras cerca de una piscina con unas tijeras en la mano ! ! Llega: NUNCA utilices el mismo keystream de RC4 para cifrar dos mensajes diferentes ... www.ccn-cert.cni.es
  • 14. VII JORNADAS STIC CCN-CERT - El algoritmo de cifrado utilizado por WhatsApp es RC4, diseñado por Ron Rivest de la RSA Security en 1987, utilizando la misma clave de cifrado en ambos sentidos.! ! - Es el Stream Cipher más utilizado y fue excluído de los estandares de alta seguridad. Consiste en 2 algoritmos: Key Scheduling Algorithm (KSA) y Pseudo-Random Generation Algorithm (PRGA). ¿ Y dónde dices que está el problema ? www.ccn-cert.cni.es
  • 15. VII JORNADAS STIC CCN-CERT c1 = m1 ⊕ k c2 = m2 ⊕ k m1 = c1 ⊕ k m2 = c2 ⊕ k REUSED KEY ATTACK c1 ⊕ c2 = m1 ⊕ m2 www.ccn-cert.cni.es
  • 16. VII JORNADAS STIC CCN-CERT - Tenemos m1 ⊕ m2 (hemos eliminado k de la ecuación).! ! - Utilizando Crib-Dragging:! 1) Deduciremos una palabra que aparezca en los mensajes! 2) Codificamos esta palabra a hexadecimal! 3) Haremos el XOR de ambos mensajes cifrados! 4) Realizamos un XOR de la palabra en hexadecimal(paso 2) en cada posición del resultado del XOR de ambos textos cifrados(paso 3)! 5) Cuando consideremos que el resultado anterior es texto legible, ! consideramos la palabra válida y aumentamos nuestra búsqueda! 6) Si el resultado no es texto legible, probamos con la siguiente posición.! ! - Es importante hacer un análisis en base al idioma! original de los mensajes en claro. ! ! - Gracias a un análisis de frecuencias, utilizaremos las! palabras más frecuentes para realizar nuestro ataque. www.ccn-cert.cni.es
  • 17. VII JORNADAS STIC CCN-CERT "WhatsApp takes security seriously and is continually thinking of ways to improve our product. While we appreciate feedback, we're concerned that the blogger's story describes a scenario that is more theoretical in nature. Also stating that all conversations should be considered compromised is Respuesta oficial a https://blog.thijsalkema.de/blog/2013/10/08/piercing-through-whatsapp-s-encryption/ inaccurate" the company said. WTF! www.ccn-cert.cni.es
  • 18. VII JORNADAS STIC CCN-CERT MORE)THEORICAL) IN)NATURE)... www.ccn-cert.cni.es
  • 19. VII JORNADAS STIC CCN-CERT EXTRACCIÓN FÍSICA DEL PASSWORD “login”:”346688X92X9”,”pw”:”xn8MFMH16ha46ROa6zNBLTecyRI=“ www.ccn-cert.cni.es
  • 20. VII JORNADAS STIC CCN-CERT - Hemos comprobado que el cifrado utilizado para salvaguardar la información y la privacidad de nuestras conversaciones es fácil de romper.! ! - ¿ Qué podemos hacer ? Interceptaremos el mensaje de WhatsApp antes de que salga. Descifraremos el mensaje original con nuestra clave y le aplicaremos un algoritmo de cifrado, y después volveremos a cifrarlo con el algoritmo y clave original para no romper la aplicación.! ! - Nuestro esquema de funcionamiento de ahora en adelante será: MODIFICACIÓN
 EN TIEMPO REAL www.ccn-cert.cni.es
  • 21. VII JORNADAS STIC CCN-CERT - El anterior método nos permitirá cifrar nuestros mensajes para que otros atacantes capaces de interceptar nuestro tráfico no sean capaces de adivinar el contenido de los mensajes.! ! - Pero, ¿ y si queremos que el tráfico directamente no pase por los servidores de WhatsApp ? SERVIDOR DE MENSAJERÍA XMPP www.ccn-cert.cni.es
  • 22. VII JORNADAS STIC CCN-CERT Correos electrónicos • • • • • info@ccn-cert.cni.es ccn@cni.es sondas@ccn-cert.cni.es redsara@ccn-cert.cni.es organismo.certificacion@cni.es Páginas Web • www.ccn.cni.es • www.ccn-cert.cni.es • www.oc.ccn.cni.es Síguenos en Linked in www.ccn-cert.cni.es