viernes, 20 de julio de 2007

(In)Seguridad: El problema de las puertas traseras institucionales

Una puerta trasera en una aplicación es un mecanismo alternativo de acceso o salida por el cual, todo aquel que sepa los "pasos" necesarios para abrir dicha puerta puede acceder a o salir de la aplicación independientemente de los pasos estándar que se haya establecido para ello.

Ésto que bien usado es una potente ayuda en caso de contingencia, puede ser una peligrosa amenaza si cae o es descubierto por las manos equivocadas, tal y como ha quedado de manifiesto en el pasado caso que ha alarmado a la sociedad griega y que pone en entredicho la seguridad del binomio Vodafone-Ericsson.

"La Tejedora" se ha hecho eco de una noticia que ya apareciera en importantes medios como el "Wall Street Journal" o la publicación que posee el organismo IEEE y que hace referencia a las escuchas ilegales que se registraron en este país durante más de medio año a lo largo del 2004 y principios del 2005.

El escándalo saltó cuando a mediados de Marzo del 2005, un responsable de la compañía de telefonía móvil Vodafone, contactaba con el primer ministro griego para alertarle sobre una brecha
crítica de seguridad. Según parecía, se habían detectado mecanismos en la red de Vodafone que permitían realizar escuchas ilegales y rastreando las líneas afectadas y uno de los primeros números en aparecer como afectados había sido el suyo. Finalmente más de 100 líneas de teléfono se detectaron intervenidas, incluyendo las de los políticos más importantes, altos cargos policiales, embajadores de otros países, etc.

Las investigaciones revelaron que al menos 14 teléfonos de prepago recibían una copia de las llamadas intervenidas además de recibir un mensaje de texto con información relativa a la llamada como duración, localización o participantes. Dichos teléfonos fueron encontrados abandonados tras parchear y sanear las arquitecturas afectadas, lo qué alertó a los delincuentes dándoles tiempo a huir y desaparecer.

Por su parte las empresas implicadas culpan a la otra del percance. Vodafone se excusa en que pese a conocer que los aparatos de Ericsson incluyen la posibilidad de comprar un set para permitir las escuchas legales, desconocía que dicho mecanismo se encontraba instalado por defecto en todos los equipos permaneciendo en estado latente hasta la aplicación de dicho set de herramientas. Ericsson indica por el contrario que
por su parte si había notificado dicho asunto a Vodafone. Además asegura que los equipos instalados en el resto de operadoras de telefonía móvil del país están libres de riesgo y que para poder intervenir las lineas, tuvo que hacerse desde el interior, desde las oficinas de Vodafone.

Según parece, los atacantes estudiaron el código que permitía la intervención legal de llamadas desarrollado por Ericsson para encontrar vulnerabilidades del mismo. Una vez detectadas, bastaron 6500 líneas de código para conseguir el efecto deseado de manera casi invisible para la operadora, y lo hubiera sido de no ser porque estos "pinchazos" provocaron fallos en los terminales de las personas afectadas. Fué cuando la compañía investigaba estas incidencias y gracias a la colaboración de Ericsson que llegaron a la conclusión de que había algo que no cuadraba en el problema, lo que finalmente llevó a la detección del incidente comentado aquí.

Aparentemente y a día de hoy dicho problema está resuelto, pero ésto debería mantenernos alerta de los problemas que pueden traer las medidas antiterroristas que las instituciones muchas veces obligan a instalar en las grandes compañías, por lo que habría que examinar con lupa y hacer un balance lo más objetivo posible acerca de los pros y contras de la implantación de estas medidas.

Y por mi parte, luego más.