SlideShare una empresa de Scribd logo
1 de 22
Descargar para leer sin conexión
VII Jornadas STIC CCN-CERT
“La ciberseguridad, un factor estratégico nacional"

10 y 11 de diciembre 2013

© 2013 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
VII JORNADAS STIC CCN-CERT

Plataformas de mensajería y riesgos
asociados: caso WhatsApp
Jaime Sánchez (@segofensiva)
Pablo San Emeterio (@psaneme)

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

ÍNDICE
1. QUIENES SOMOS
2. INTRODUCCIÓN
3. ERRORES DE SEGURIDAD
4. MEJORANDO EL SISTEMA DE CIFRADO
5. UTILIZANDO UNA PLATAFORMA PROPIA

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

JAIME SÁNCHEZ
- Ingenierio Informático & Security Researcher!
- Executive MBA, CISSP, CISA y CISM!
- Ponente en Rootedcon, Nuit du Hack, BH Arsenal,
Defcon, Derbycon, NoConName, DeepSec, BH Sao
Paulo etc.!
- Twitter: @segofensiva!
- http://www.seguridadofensiva.com!

!
PABLO SAN EMETERIO
- Ingeniero Informático!
- Trabaja en el departamento I+D de Optenet!
- Master de Seguridad y Auditoría por la UPM,
CISA y CISM!
- Ponente en Rootedcon, NoConName y CiberSeg!
- Experiencia anterior investigando en WhatsApp!
- Twitter: @psaneme

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- WhatsApp es una aplicación de mensajería
multiplataforma que permite enviar y recibir
mensajes a través Internet de manera gratuita.!

!

- Ha sustituido a los servicios tradicionales de
mensajes cor tos o sistema de mensajería
multimedia.!

!

- Disponible para los sistemas operativos iOS,
Android, Windows Phone, BlackBerry OS y
Symbian.!

!

- No existen versiones para Windows, Mac,
Linux. Sin embargo existen emuladores para
Android permiten el uso de WhatsApp en
Windows, Mac o un Navegador web e
implementaciones abiertas en python (Yowsup) y
php (WhatsAPI).
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Más usuarios que Twitter, que posee 230 millones de usuarios activos, y
que Instagram, que cuenta con 150 millones en su plataforma.
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Mensajes en claro (WhatsApp Sniffer)!

!

- Password MD5 basado en IMEI o MAC del teléfono utilizado (espía y
suplantación de usuarios)!

!

- Almacenamiento de cualquier contenido en sus servidores (virus, html
etc.) :)!

!

- Almacenamiento en claro de la base de datos!

!

- WhatsApp Status: permitía cambiar el estado de cualquier usuario del
que se conociera el número de teléfono

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El 13 de Enero de 2012 la
aplicación fue retirada 4 días de la
App Store!

!

- Aparición de Priyanka para
Android
- WhatsApp Voyeur: Obtener datos del perfil de un usuario, sin necesidad
de usar tu teléfono móvil!

!

- No se necesita autorización para enviar mensajes, por lo que cualquier
usuario/bot puede enviarte spam.!

!

- Problemas actuales con el cifrado RC4!

!

- etc.
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

!
!

!

57:41
01:02

=>
=>

WA
PROTOCOL VERSION 1.2

f8:05:01:c8:ab:a5:fc:12:69:50:68:6f:6e:65:2d:32:2e:31:30:2e:32:2d:35:32:32:32:00:00
0x01 => stream:stream 0xc8 => to 0xab: s.whatsapp.net 0xa5 => resource
0xfc => String 12caracteres => iPhone-2.10.2-5222
<stream:stream to=”s.whatsapp.net” resource=”iPhone-2.10.2-5222” />
f8:02:bb
=>
0xbb => stream:features
f8:04
f8:03:70:31:ca
=>
0x70 => message_acks
f8:01:9c
=>
0x9c => receipt_acks
f8:03:e4:cb:0c
=>
0xe4 => w:profile:picture
f8:03:b9:7c:ca
=>
0xb9 => status
<stream:features>
<message_acks enable=TRUE />
<receipt_acks />
<w:profile:picture type=ALL />
<status notification=TRUE />
</stream:features>

0x31 => enable

0xca => TRUE

0xcb => type
0x7c => notification

0x0c => all
0xca => TRUE

f8:08:10:6d:ec:da:fc:0b:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:X:e8:cf
0x10 => auth
0x6d => mechanism
0xec => WAUTH-1 
user => 34XXXXXXXXX
0x31 => enable
0xe8 => xmlns
0xcf => urn:ietf:params:xml:ns:xmpp-sasl
<auth mechanism=”WAUTH-1” user=”XXXXXXXXXXX”
xmlns=”urn:ietf:params:xml:ns:xmpp-sasl” />

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El acceso de un nuevo dipositivo se produce de la siguiente manera:
CANAL HTTPS

RECEPCIÓN CLAVE

INTERCAMBIO CLAVE

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Para acceder al sistema, el teléfono enviará:!

!

<auth xmlns=“urn:ietf:params:xml:ns:xmpp-sasl" user="XXXXXXXXXXXX"
mechanism="WAUTH-1" />!

- El servidor responderá con un desafío:!

!

<challenge xmlns=“urn:ietf:params:xml:ns:xmppsasl"> YYYYYYYYYYYYYYYYYYYY
</challenge>!

- El cliente, para responder al desafío, generará una clave usando PKBDF2 (16
iteraciones) con:!
! - El password recibido durante el registro!
! - El desafío recibido como salt!

!

Utilizará SHA1 como función hash. Se utilizarán los 20 primeros bytes generados
del tipo <numero teléfono> || <20 bytes de respuesta> || UNIX timestamp:!
<response xmlns=“urn:ietf:params:xml:ns:xmppsasl”>!

!

ZZZZZZZZZZZZZ </response>!

- A partir de este momento, los mensajes van cifrados.
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

De los creadores de:!
- Nunca corras con unas tijeras en la mano!
- Nunca corras cerca de una piscina!
- Nunca corras cerca de una piscina con unas tijeras en la mano !
!
Llega:

NUNCA utilices el mismo keystream de RC4 para cifrar
dos mensajes diferentes ...

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El algoritmo de cifrado utilizado por WhatsApp es RC4, diseñado por Ron Rivest de la RSA
Security en 1987, utilizando la misma clave de cifrado en ambos sentidos.!

!

- Es el Stream Cipher más utilizado y fue excluído de los estandares de alta seguridad.
Consiste en 2 algoritmos: Key Scheduling Algorithm (KSA) y Pseudo-Random Generation
Algorithm (PRGA).

¿ Y dónde dices que está el problema ?
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

c1 = m1 ⊕ k
c2 = m2 ⊕ k

m1 = c1 ⊕ k
m2 = c2 ⊕ k

REUSED KEY ATTACK
c1 ⊕ c2 = m1 ⊕ m2

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Tenemos m1 ⊕ m2 (hemos eliminado k de la ecuación).!

!

- Utilizando Crib-Dragging:!
1) Deduciremos una palabra que aparezca en los mensajes!
2) Codificamos esta palabra a hexadecimal!
3) Haremos el XOR de ambos mensajes cifrados!
4) Realizamos un XOR de la palabra en hexadecimal(paso 2) en cada posición
del resultado del XOR de ambos textos cifrados(paso 3)!
5) Cuando consideremos que el resultado anterior es texto legible, !
consideramos la palabra válida y aumentamos nuestra búsqueda!
6) Si el resultado no es texto legible, probamos con la siguiente posición.!

!

- Es importante hacer un análisis en base al idioma!
original de los mensajes en claro. !

!

- Gracias a un análisis de frecuencias, utilizaremos las!
palabras más frecuentes para realizar nuestro ataque.

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

"WhatsApp takes security seriously and is continually thinking of ways to
improve our product. While we appreciate feedback, we're concerned that
the blogger's story describes a scenario that is more theoretical in nature.
Also stating that all conversations should be considered compromised is
Respuesta oficial a https://blog.thijsalkema.de/blog/2013/10/08/piercing-through-whatsapp-s-encryption/
inaccurate" the company said.

WTF!
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

MORE)THEORICAL)
IN)NATURE)...
www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

EXTRACCIÓN FÍSICA DEL PASSWORD

“login”:”346688X92X9”,”pw”:”xn8MFMH16ha46ROa6zNBLTecyRI=“

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- Hemos comprobado que el cifrado utilizado para salvaguardar la
información y la privacidad de nuestras conversaciones es fácil de romper.!

!

- ¿ Qué podemos hacer ? Interceptaremos el mensaje de WhatsApp
antes de que salga. Descifraremos el mensaje original con nuestra clave y le
aplicaremos un algoritmo de cifrado, y después volveremos a cifrarlo con el
algoritmo y clave original para no romper la aplicación.!

!

- Nuestro esquema de funcionamiento de ahora en adelante será:
MODIFICACIÓN

EN TIEMPO REAL

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

- El anterior método nos permitirá cifrar nuestros mensajes para que otros
atacantes capaces de interceptar nuestro tráfico no sean capaces de adivinar
el contenido de los mensajes.!

!

- Pero, ¿ y si queremos que el tráfico directamente no pase por los
servidores de WhatsApp ?

SERVIDOR DE
MENSAJERÍA XMPP

www.ccn-cert.cni.es
VII JORNADAS STIC CCN-CERT

Correos electrónicos
•
•
•
•
•

info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
organismo.certificacion@cni.es

Páginas Web
• www.ccn.cni.es
• www.ccn-cert.cni.es
• www.oc.ccn.cni.es

Síguenos en Linked in

www.ccn-cert.cni.es

Más contenido relacionado

La actualidad más candente

Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IQuantiKa14
 
Presentación comercio electronico 2
Presentación comercio electronico 2Presentación comercio electronico 2
Presentación comercio electronico 2Luis Garcia
 
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014 spectacularaffe02
 
Redacción de las exposiciones
Redacción de las exposicionesRedacción de las exposiciones
Redacción de las exposicionesLiliana Zamarripa
 
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático spectacularaffe02
 
Parte 2 Presentación 2
Parte 2  Presentación 2Parte 2  Presentación 2
Parte 2 Presentación 2aurasandoval
 
Tipos de amenazas_en_la_web
Tipos de amenazas_en_la_webTipos de amenazas_en_la_web
Tipos de amenazas_en_la_webByron Ayala
 
Amenazas En La Red
Amenazas En La RedAmenazas En La Red
Amenazas En La Reddaniel ridan
 
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...Nunkyworld
 
Pishing, proteccion de identidad
Pishing, proteccion de identidadPishing, proteccion de identidad
Pishing, proteccion de identidad125841588
 
Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014ESET España
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposicioneschitus21
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposicioneschitus21
 

La actualidad más candente (18)

Perito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género IPerito informático y ciberdelincuencia de género I
Perito informático y ciberdelincuencia de género I
 
Virus
VirusVirus
Virus
 
Presentación comercio electronico 2
Presentación comercio electronico 2Presentación comercio electronico 2
Presentación comercio electronico 2
 
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
De que forma Piratear Fb 2014
 
Redacción de las exposiciones
Redacción de las exposicionesRedacción de las exposiciones
Redacción de las exposiciones
 
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
Programas Pirata informático, Programas Hack, Software Pirata informático
 
Parte 2 Presentación 2
Parte 2  Presentación 2Parte 2  Presentación 2
Parte 2 Presentación 2
 
Tipos de amenazas_en_la_web
Tipos de amenazas_en_la_webTipos de amenazas_en_la_web
Tipos de amenazas_en_la_web
 
Proyecto 002 de 20111
Proyecto 002 de 20111Proyecto 002 de 20111
Proyecto 002 de 20111
 
Práctica 7 espaciados
Práctica 7 espaciadosPráctica 7 espaciados
Práctica 7 espaciados
 
Amenazas En La Red
Amenazas En La RedAmenazas En La Red
Amenazas En La Red
 
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
Cibercrimen en facebook: 10 formas de hackear tu cuenta y cómo puedes proteg...
 
Ejercicio 4
Ejercicio 4Ejercicio 4
Ejercicio 4
 
Pishing, proteccion de identidad
Pishing, proteccion de identidadPishing, proteccion de identidad
Pishing, proteccion de identidad
 
Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014Informe Anual de Seguridad de ESET España. Amenazas 2014
Informe Anual de Seguridad de ESET España. Amenazas 2014
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposiciones
 
Pc zombie
Pc zombiePc zombie
Pc zombie
 
Las exposiciones
Las exposicionesLas exposiciones
Las exposiciones
 

Destacado

Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...Jaime Sánchez
 
From Kernel Space to User Heaven
From Kernel Space to User HeavenFrom Kernel Space to User Heaven
From Kernel Space to User HeavenJaime Sánchez
 
From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13Jaime Sánchez
 
Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0Jaime Sánchez
 
AndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security ReloadedAndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security ReloadedJaime Sánchez
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itTelefónica
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]Telefónica
 

Destacado (7)

Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
Malicious Threats, Vulnerabilities and Defenses in WhatsApp and Mobile Instan...
 
From Kernel Space to User Heaven
From Kernel Space to User HeavenFrom Kernel Space to User Heaven
From Kernel Space to User Heaven
 
From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13From Kernel Space to User Heaven #NDH2k13
From Kernel Space to User Heaven #NDH2k13
 
Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0Stealth servers need Stealth Packets - Derbycon 3.0
Stealth servers need Stealth Packets - Derbycon 3.0
 
AndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security ReloadedAndroIDS: Mobile Security Reloaded
AndroIDS: Mobile Security Reloaded
 
DirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like itDirtyTooth: It´s only Rock'n Roll but I like it
DirtyTooth: It´s only Rock'n Roll but I like it
 
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
DirtyTooth: It´s only Rock'n Roll but I like it [Slides]
 

Similar a Plataformas de mensajería y riesgos asociados: caso WhatsApp

Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...RootedCON
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]RootedCON
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Eventos Creativos
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" CIDITIC - UTP
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"CIDITIC - UTP
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Reviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsReviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsAlfonso Muñoz, PhD
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...RootedCON
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011aremondo
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaEventos Creativos
 
When mobile phone (not) meets privacy More than apps & OS
When mobile phone (not) meets privacy  More than apps & OSWhen mobile phone (not) meets privacy  More than apps & OS
When mobile phone (not) meets privacy More than apps & OSAlfonso Muñoz, PhD
 
Webinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali LinuxWebinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali LinuxAlonso Caballero
 

Similar a Plataformas de mensajería y riesgos asociados: caso WhatsApp (20)

Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
 
csi pdf2022.pdf
csi pdf2022.pdfcsi pdf2022.pdf
csi pdf2022.pdf
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.Conexión inversa. Análisis Forense en medios de pago.
Conexión inversa. Análisis Forense en medios de pago.
 
csi bo 2022.pdf
csi bo 2022.pdfcsi bo 2022.pdf
csi bo 2022.pdf
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una Intrusion
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester"
 
Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
 
Reviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroidsReviving Homograph Attacks using (deep learning) steroids
Reviving Homograph Attacks using (deep learning) steroids
 
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
Pedro Sánchez & Eduardo Abril - Autopsia de una intrusión: A la sombra del ch...
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011Spanish alr swivel ppt v2011. asegur it - 2011
Spanish alr swivel ppt v2011. asegur it - 2011
 
Por qué no es suficiente la contraseña
Por qué no es suficiente la contraseñaPor qué no es suficiente la contraseña
Por qué no es suficiente la contraseña
 
Proyecto 6
Proyecto 6Proyecto 6
Proyecto 6
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
 
When mobile phone (not) meets privacy More than apps & OS
When mobile phone (not) meets privacy  More than apps & OSWhen mobile phone (not) meets privacy  More than apps & OS
When mobile phone (not) meets privacy More than apps & OS
 
Webinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali LinuxWebinar Gratuito: Atacar Redes WEP con Kali Linux
Webinar Gratuito: Atacar Redes WEP con Kali Linux
 

Último

editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docxssusere34b451
 
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiCVelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC6dwwcgtpfx
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesssuserbe0d1c
 
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALJORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALGuadalinfoHuscarGuad
 
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE  MADUREZ TECNOLÓGICA (TRL).pptxNIVEL DE  MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptxjarniel1
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxdoloresolmosantiago
 
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Luis Fernando Uribe Villamil
 
Unidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfUnidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfMarianneBAyn
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometriasofiasonder
 
taller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariataller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariaandresingsiseo
 
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnaTELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnajrujel91
 
Gestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerGestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerRobertoCarrancioFern
 
Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana       .Uso de las TIC en la vida cotidiana       .
Uso de las TIC en la vida cotidiana .itzyrivera61103
 
Introducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptxIntroducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptxJohanna4222
 
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...Kevin Serna
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónAntonia Yamilet Perez Palomares
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareAndres Avila
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).jcaballerosamayoa
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialEducática
 
Presentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptxPresentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptxTaim11
 

Último (20)

editorial de informática de los sueños.docx
editorial de informática de los sueños.docxeditorial de informática de los sueños.docx
editorial de informática de los sueños.docx
 
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiCVelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
VelderrainPerez_Paola_M1C1G63-097.pptx. LAS TiC
 
proyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptualesproyectos_social_y_socioproductivos _mapas_conceptuales
proyectos_social_y_socioproductivos _mapas_conceptuales
 
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUALJORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
JORNADA INTELIGENCIA ARTIFICIAL Y REALIDAD VIRTUAL
 
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE  MADUREZ TECNOLÓGICA (TRL).pptxNIVEL DE  MADUREZ TECNOLÓGICA (TRL).pptx
NIVEL DE MADUREZ TECNOLÓGICA (TRL).pptx
 
De Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptxDe Olmos Santiago_Dolores _ M1S3AI6.pptx
De Olmos Santiago_Dolores _ M1S3AI6.pptx
 
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
Sistemas distribuidos de redes de computadores en un entorno virtual de apren...
 
Unidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdfUnidad 1- Historia y Evolucion de las computadoras.pdf
Unidad 1- Historia y Evolucion de las computadoras.pdf
 
lenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometrialenguaje algebraico.pptx álgebra, trigonometria
lenguaje algebraico.pptx álgebra, trigonometria
 
taller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundariataller de tablas en word para estudiantes de secundaria
taller de tablas en word para estudiantes de secundaria
 
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccnaTELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
TELECOMUNICACIONES- CAPITULO2: Modelo Osi ccna
 
Gestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL ServerGestión de concurrencia y bloqueos en SQL Server
Gestión de concurrencia y bloqueos en SQL Server
 
Uso de las TIC en la vida cotidiana .
Uso de las TIC en la vida cotidiana       .Uso de las TIC en la vida cotidiana       .
Uso de las TIC en la vida cotidiana .
 
Introducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptxIntroducción a la robótica con arduino..pptx
Introducción a la robótica con arduino..pptx
 
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
HerramientasInformaticas ¿Que es? - ¿Para que sirve? - Recomendaciones - Comp...
 
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la ComunicaciónNavegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
Navegadores de internet - Nuevas Tecnologías de la Información y la Comunicación
 
Licencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de SoftwareLicencias para el Uso y el Desarrollo de Software
Licencias para el Uso y el Desarrollo de Software
 
BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).BUSCADORES DE INTERNET (Universidad de Sonora).
BUSCADORES DE INTERNET (Universidad de Sonora).
 
Inteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicialInteligencia Artificial para usuarios nivel inicial
Inteligencia Artificial para usuarios nivel inicial
 
Presentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptxPresentacion y Extension de tema para Blogger.pptx
Presentacion y Extension de tema para Blogger.pptx
 

Plataformas de mensajería y riesgos asociados: caso WhatsApp

  • 1. VII Jornadas STIC CCN-CERT “La ciberseguridad, un factor estratégico nacional" 10 y 11 de diciembre 2013 © 2013 Centro Criptológico Nacional C/Argentona 20, 28023 MADRID
  • 2. VII JORNADAS STIC CCN-CERT Plataformas de mensajería y riesgos asociados: caso WhatsApp Jaime Sánchez (@segofensiva) Pablo San Emeterio (@psaneme) www.ccn-cert.cni.es
  • 3. VII JORNADAS STIC CCN-CERT ÍNDICE 1. QUIENES SOMOS 2. INTRODUCCIÓN 3. ERRORES DE SEGURIDAD 4. MEJORANDO EL SISTEMA DE CIFRADO 5. UTILIZANDO UNA PLATAFORMA PROPIA www.ccn-cert.cni.es
  • 4. VII JORNADAS STIC CCN-CERT JAIME SÁNCHEZ - Ingenierio Informático & Security Researcher! - Executive MBA, CISSP, CISA y CISM! - Ponente en Rootedcon, Nuit du Hack, BH Arsenal, Defcon, Derbycon, NoConName, DeepSec, BH Sao Paulo etc.! - Twitter: @segofensiva! - http://www.seguridadofensiva.com! ! PABLO SAN EMETERIO - Ingeniero Informático! - Trabaja en el departamento I+D de Optenet! - Master de Seguridad y Auditoría por la UPM, CISA y CISM! - Ponente en Rootedcon, NoConName y CiberSeg! - Experiencia anterior investigando en WhatsApp! - Twitter: @psaneme www.ccn-cert.cni.es
  • 5. VII JORNADAS STIC CCN-CERT - WhatsApp es una aplicación de mensajería multiplataforma que permite enviar y recibir mensajes a través Internet de manera gratuita.! ! - Ha sustituido a los servicios tradicionales de mensajes cor tos o sistema de mensajería multimedia.! ! - Disponible para los sistemas operativos iOS, Android, Windows Phone, BlackBerry OS y Symbian.! ! - No existen versiones para Windows, Mac, Linux. Sin embargo existen emuladores para Android permiten el uso de WhatsApp en Windows, Mac o un Navegador web e implementaciones abiertas en python (Yowsup) y php (WhatsAPI). www.ccn-cert.cni.es
  • 6. VII JORNADAS STIC CCN-CERT www.ccn-cert.cni.es
  • 7. VII JORNADAS STIC CCN-CERT - Más usuarios que Twitter, que posee 230 millones de usuarios activos, y que Instagram, que cuenta con 150 millones en su plataforma. www.ccn-cert.cni.es
  • 8. VII JORNADAS STIC CCN-CERT - Mensajes en claro (WhatsApp Sniffer)! ! - Password MD5 basado en IMEI o MAC del teléfono utilizado (espía y suplantación de usuarios)! ! - Almacenamiento de cualquier contenido en sus servidores (virus, html etc.) :)! ! - Almacenamiento en claro de la base de datos! ! - WhatsApp Status: permitía cambiar el estado de cualquier usuario del que se conociera el número de teléfono www.ccn-cert.cni.es
  • 9. VII JORNADAS STIC CCN-CERT - El 13 de Enero de 2012 la aplicación fue retirada 4 días de la App Store! ! - Aparición de Priyanka para Android - WhatsApp Voyeur: Obtener datos del perfil de un usuario, sin necesidad de usar tu teléfono móvil! ! - No se necesita autorización para enviar mensajes, por lo que cualquier usuario/bot puede enviarte spam.! ! - Problemas actuales con el cifrado RC4! ! - etc. www.ccn-cert.cni.es
  • 10. VII JORNADAS STIC CCN-CERT ! ! ! 57:41 01:02 => => WA PROTOCOL VERSION 1.2 f8:05:01:c8:ab:a5:fc:12:69:50:68:6f:6e:65:2d:32:2e:31:30:2e:32:2d:35:32:32:32:00:00 0x01 => stream:stream 0xc8 => to 0xab: s.whatsapp.net 0xa5 => resource 0xfc => String 12caracteres => iPhone-2.10.2-5222 <stream:stream to=”s.whatsapp.net” resource=”iPhone-2.10.2-5222” /> f8:02:bb => 0xbb => stream:features f8:04 f8:03:70:31:ca => 0x70 => message_acks f8:01:9c => 0x9c => receipt_acks f8:03:e4:cb:0c => 0xe4 => w:profile:picture f8:03:b9:7c:ca => 0xb9 => status <stream:features> <message_acks enable=TRUE /> <receipt_acks /> <w:profile:picture type=ALL /> <status notification=TRUE /> </stream:features> 0x31 => enable 0xca => TRUE 0xcb => type 0x7c => notification 0x0c => all 0xca => TRUE f8:08:10:6d:ec:da:fc:0b:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:X:e8:cf 0x10 => auth 0x6d => mechanism 0xec => WAUTH-1  user => 34XXXXXXXXX 0x31 => enable 0xe8 => xmlns 0xcf => urn:ietf:params:xml:ns:xmpp-sasl <auth mechanism=”WAUTH-1” user=”XXXXXXXXXXX” xmlns=”urn:ietf:params:xml:ns:xmpp-sasl” /> www.ccn-cert.cni.es
  • 11. VII JORNADAS STIC CCN-CERT - El acceso de un nuevo dipositivo se produce de la siguiente manera: CANAL HTTPS RECEPCIÓN CLAVE INTERCAMBIO CLAVE www.ccn-cert.cni.es
  • 12. VII JORNADAS STIC CCN-CERT - Para acceder al sistema, el teléfono enviará:! ! <auth xmlns=“urn:ietf:params:xml:ns:xmpp-sasl" user="XXXXXXXXXXXX" mechanism="WAUTH-1" />! - El servidor responderá con un desafío:! ! <challenge xmlns=“urn:ietf:params:xml:ns:xmppsasl"> YYYYYYYYYYYYYYYYYYYY </challenge>! - El cliente, para responder al desafío, generará una clave usando PKBDF2 (16 iteraciones) con:! ! - El password recibido durante el registro! ! - El desafío recibido como salt! ! Utilizará SHA1 como función hash. Se utilizarán los 20 primeros bytes generados del tipo <numero teléfono> || <20 bytes de respuesta> || UNIX timestamp:! <response xmlns=“urn:ietf:params:xml:ns:xmppsasl”>! ! ZZZZZZZZZZZZZ </response>! - A partir de este momento, los mensajes van cifrados. www.ccn-cert.cni.es
  • 13. VII JORNADAS STIC CCN-CERT De los creadores de:! - Nunca corras con unas tijeras en la mano! - Nunca corras cerca de una piscina! - Nunca corras cerca de una piscina con unas tijeras en la mano ! ! Llega: NUNCA utilices el mismo keystream de RC4 para cifrar dos mensajes diferentes ... www.ccn-cert.cni.es
  • 14. VII JORNADAS STIC CCN-CERT - El algoritmo de cifrado utilizado por WhatsApp es RC4, diseñado por Ron Rivest de la RSA Security en 1987, utilizando la misma clave de cifrado en ambos sentidos.! ! - Es el Stream Cipher más utilizado y fue excluído de los estandares de alta seguridad. Consiste en 2 algoritmos: Key Scheduling Algorithm (KSA) y Pseudo-Random Generation Algorithm (PRGA). ¿ Y dónde dices que está el problema ? www.ccn-cert.cni.es
  • 15. VII JORNADAS STIC CCN-CERT c1 = m1 ⊕ k c2 = m2 ⊕ k m1 = c1 ⊕ k m2 = c2 ⊕ k REUSED KEY ATTACK c1 ⊕ c2 = m1 ⊕ m2 www.ccn-cert.cni.es
  • 16. VII JORNADAS STIC CCN-CERT - Tenemos m1 ⊕ m2 (hemos eliminado k de la ecuación).! ! - Utilizando Crib-Dragging:! 1) Deduciremos una palabra que aparezca en los mensajes! 2) Codificamos esta palabra a hexadecimal! 3) Haremos el XOR de ambos mensajes cifrados! 4) Realizamos un XOR de la palabra en hexadecimal(paso 2) en cada posición del resultado del XOR de ambos textos cifrados(paso 3)! 5) Cuando consideremos que el resultado anterior es texto legible, ! consideramos la palabra válida y aumentamos nuestra búsqueda! 6) Si el resultado no es texto legible, probamos con la siguiente posición.! ! - Es importante hacer un análisis en base al idioma! original de los mensajes en claro. ! ! - Gracias a un análisis de frecuencias, utilizaremos las! palabras más frecuentes para realizar nuestro ataque. www.ccn-cert.cni.es
  • 17. VII JORNADAS STIC CCN-CERT "WhatsApp takes security seriously and is continually thinking of ways to improve our product. While we appreciate feedback, we're concerned that the blogger's story describes a scenario that is more theoretical in nature. Also stating that all conversations should be considered compromised is Respuesta oficial a https://blog.thijsalkema.de/blog/2013/10/08/piercing-through-whatsapp-s-encryption/ inaccurate" the company said. WTF! www.ccn-cert.cni.es
  • 18. VII JORNADAS STIC CCN-CERT MORE)THEORICAL) IN)NATURE)... www.ccn-cert.cni.es
  • 19. VII JORNADAS STIC CCN-CERT EXTRACCIÓN FÍSICA DEL PASSWORD “login”:”346688X92X9”,”pw”:”xn8MFMH16ha46ROa6zNBLTecyRI=“ www.ccn-cert.cni.es
  • 20. VII JORNADAS STIC CCN-CERT - Hemos comprobado que el cifrado utilizado para salvaguardar la información y la privacidad de nuestras conversaciones es fácil de romper.! ! - ¿ Qué podemos hacer ? Interceptaremos el mensaje de WhatsApp antes de que salga. Descifraremos el mensaje original con nuestra clave y le aplicaremos un algoritmo de cifrado, y después volveremos a cifrarlo con el algoritmo y clave original para no romper la aplicación.! ! - Nuestro esquema de funcionamiento de ahora en adelante será: MODIFICACIÓN
 EN TIEMPO REAL www.ccn-cert.cni.es
  • 21. VII JORNADAS STIC CCN-CERT - El anterior método nos permitirá cifrar nuestros mensajes para que otros atacantes capaces de interceptar nuestro tráfico no sean capaces de adivinar el contenido de los mensajes.! ! - Pero, ¿ y si queremos que el tráfico directamente no pase por los servidores de WhatsApp ? SERVIDOR DE MENSAJERÍA XMPP www.ccn-cert.cni.es
  • 22. VII JORNADAS STIC CCN-CERT Correos electrónicos • • • • • info@ccn-cert.cni.es ccn@cni.es sondas@ccn-cert.cni.es redsara@ccn-cert.cni.es organismo.certificacion@cni.es Páginas Web • www.ccn.cni.es • www.ccn-cert.cni.es • www.oc.ccn.cni.es Síguenos en Linked in www.ccn-cert.cni.es