Telefobia, Ciber-Tigueraje y Paranoia

Transcript

1. Telefobia Ciber- Tigueraje y Paranoia A jugar con cosas que

   desconocemos, sospechamos o deliberadamente ignoramos del mundo oscuro que nos rodea por Rilke Petrosky (XenoMuta) Sunday, November 17, 13

2. Hacker ético con más 20 años torturando teléfonos y computadoras

   para descurbrir nuevas vulnerabilidades ( Microsoft, Firefox, Dropbox, FreePBX, No-IP, Cisco, ZyXel, etc... ) Curioso++ y escéptico con los límites de la tecnología Experiencia con VoIP, sistemas de inteligencia militar, (in)seguridad bancaria, ingeniería reversa y forense digital. Trabajo haciendo la telefonía más amigable ( http:// .com ) Yo — lo que hago y también el Café ( invítame uno si te gusta la charla )... Rilke Petrosky a.k.a. XenoMuta? Más info en http://xenomuta.com Sunday, November 17, 13

3. - Las opiniones emitidas a continuación son de caracter personal

   y no necesariamente representan la visión de los organizadores del evento ni de la compañía donde laboro. - Los temas a continuación serán presentados de forma ética con la única intención de educar y proteger. Ética profesional y respeto a las leyes ante todo. - No hay 0-days ni memory leaks para el syslogd de Papa Dios... ADVERTENCIA!!! Sunday, November 17, 13

4. Objetivo Alertarte sobre el no-tan-obvio lado oscuro de la tecnología

   Protegerte de ataques normalmente invisibles a la mayoría Capacitar en el ciber-tigueraje de forma práctica. Celebrar un momento chévere... ( Barcamp en .DO, Hurra!! ) Sunday, November 17, 13

5. Paranoia ARPANET Internet: Una operación del complejo industrial-militar desde el

   primer día. P.E.M., Tempest y la FCC (parte 15 A y B) Bits reservados, para que...? Lo que dijeron y lo que no dijeron de IPv666 Desparanoización: Googleando Strings de Lenguaje C Sunday, November 17, 13

6. Ciber-Tigueraje Lo-Tech Ingeniería (inversa) social... Es util el “Dumpester diving”

   “Quiero pagar mi factura” Redes (como en pezca) sociales Detector de cotorras Sunday, November 17, 13

7. Telefobia Introducción super rápida a la telefonía DEMO: Telefobia /

   REDIAL-Dump Introducción super rápida a VoIP DEMO: Telefobia / CID-Spoof DEMO: Telefobia / CID-Unspoof DEMO: SIPffer, un sniffer de bajo consumo para alto tráfico de protocolo SIP http://github.com/xenomuta/SIPffer Sunday, November 17, 13

8. Telefobia Asterisk: The Future of Telephony 3rd ed. Página 127

   Sunday, November 17, 13

9. Roaming, Portabilidad y SS7 SS7 (Signaling System No. 7) es

   un canal de señalización que sirve de backend para la interconexión de las PSTN. Problemas: - Las Telcos confían a ciegas en el tráfico SS7. - Los query al HLR (Home Location Register) no se autentican. - Ciertos features posibles de accesar por los enlaces IP de voz... - Se puede abusar para revelar ubicación física de un mobil. Red SS7 global VIVA Tricom ORANGE CLARO “Agarra ahí... Un SMS para tu subscriptor X”... “Hey! En que parte del Mundo hace roaming tu subscriptor Y?” Sunday, November 17, 13

10. Se puso en EDGE de repente? ( de 3G a

    GSM ) Sniffing de GSM: ✘ Romper A5/1: + + + ✔ Forzar A5/0: + Sunday, November 17, 13

11. “Moca” con mi Nokia Los Smartphones son demasiado Smart... Dispositivo

    de espionage y rastreo de altísima presición Genera DEMASIADA meta- data Scanners 3D sonográfico y giroscópico Potencial cámara 3D por difracción cromática Radio repetidor y sonar Radio definido por software Perfilador antropométrico y biométrico Identificador fotográfico Potencial detector de armas Potencial arma ELF y EMP Magnetómetro Control Natal etc... Sunday, November 17, 13

12. “Y el Airplane Mode?” Solo apaga Tx Sunday, November 17,

    13

13. La pantalla te ve a ti http://spectrum.ieee.org/consumer-electronics/portable-devices/solar-cells-in-smartphone-screens http://chem.scichina.com:8081/sciB/EN/abstract/abstract511940.shtml http://www.mendeley.com/research/transition-photoconductivity-photovoltaic-effect-p3htcuinse-2- composites/

    Luminiscencia Electricidad OLEDS, AMOLED, PHOLED y otros Photovoltáicos Sunday, November 17, 13

14. El CALEAsaje CALEA (Communication Assistance for Law Enforcement Act): ley

    de USA pasada en el 1994 que forza a los proveedores y a los fabricantes a facilitar medios para la vigilancia e intercepción de comunicación por parte de las agencias del orden público y de inteligencia. Tristemente, en Rep.Dom. (en aparente violación al art.44 de la Constitución), el INDOTEL en su resolución 086-11 bajo el amparo de la Ley 53-07 (Crímenes y Delitos de Alta Tecnología) obliga a las proveedoras de servicios telefónicos e Internet a guardar toda la meta-data de las conexiones, llamadas y comunicaciones ( IP fuente y destino, telefonos fuente y destino, IMEI, IMESI, hora, fecha, SMS, etc.. ). http://www.indotel.gob.do/index.php/uploads/3942/Res086-11--pdf http://www.procuraduria.gov.do/PGR.NET/Documentos/Ley%2053-07.pdf Sunday, November 17, 13

15. (privacidad por efectico fancy) 1 2 3 Sunday, November 17,

    13

16. Tu smartphone: un mapa abierto El WiFi Supplicant de tu

    SmartPhone grita el nombre y los BSSID de tus A.P. Ubicar su Geo referencia por su BSSID es trivial ( ej. https://bassh.net/map/bssid ) Las últimas versiones de iOS y de Android favorecen Geo- tags por default. Facebook y otras aplicaciones indican en su EULA que pueden encender el GPS cuando gusten. Giroscopio + Acelerómetro + Compass casi tan presico como GPS Y NO SE APAGAN!!!! Sunday, November 17, 13

17. Gracias!!! Sunday, November 17, 13