Análisis de Tráfico de Datos Certificar que khipu no recibe las claves bancarias de sus usuarios.
1
Tabla de Contenido
1. Tabla de Contenido ........................................................................................................................................................ 2 2. Documento .................................................................................................................................................................... 2 3. Introducción ................................................................................................................................................................... 3 4. Ámbito ........................................................................................................................................................................... 3 5. Análisis ........................................................................................................................................................................... 4 5.1 IOS ............................................................................................................................................................................ 4 5.2 OSX ........................................................................................................................................................................... 5 6. Certificación ................................................................................................................................................................... 6 7. Analisis SSL/TLS .............................................................................................................................................................. 7 7.1 Informacion del Certificado ..................................................................................................................................... 7 7.2 Test de Vulnerabilidades.......................................................................................................................................... 7 7.3 Referencias de CVE .................................................................................................................................................. 7 8. Vulnerabilidades declaradas .......................................................................................................................................... 8 9. Anexos ............................................................................................................................................................................ 9
2
Documento Autor
Periodo
Año
Fernando Lagos
Diciembre
2014
EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]
2 3
Introducción
La aplicación khipu permite a las personas y empresas, pagar y cobrar, usando sus cuentas corrientes o cuentas vista del banco, de manera fácil y segura. El terminal de pago de khipu es un navegador web especializado en pagos, por lo que valida el uso de páginas correctas de los bancos, forma parte de un sistema que genera comprobantes de pago firmados electrónicamente, es reconocido por los principales antivirus del mundo y se instala desde fuentes oficiales de cada plataforma. Adicionalmente, khipu no almacena ni envía los datos de sus usuarios tales como cuenta corriente, clave, etc. a servidores propios ni a terceros. Mediante esta auditoría y análisis de tráfico se busca certificar que los datos de los usuarios no son compartidos con terceros. El análisis consiste en el monitoreo y análisis de todo el tráfico que genera la aplicación para las distintas plataformas, con el fin de detectar conexiones sospechosas. Esta revisión incluye las versiones del terminal de pagos disponible para Windows, Mac, Linux, iOS y Android.
4
Ámbito
Para el actual periodo se registró cambio de versión en la aplicación para las plataformas IOS y OSX
Plataforma
Versión
MD5
IOS
2.11
669eddc35912d35a24ecd70379ee98f6
OSX
1.14.2113.1
d1660ba6febcfd42eaf792595f549b56
3 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]
5
Análisis
Se realizaron diversas operaciones utilizando la aplicación khipu, capturando todo el tráfico de entrada y salida que realiza esta aplicación. Las herramientas utilizadas para la captura y análisis de tráfico son ettercap, tcpdump y wireshark. Las técnicas utilizadas corresponden a ejecutar la aplicación y realizar algún tipo de operación bajo un ambiente controlado como por ejemplo virtualizaciones o emulaciones de S.O conectados a una LAN especialmente creada para estos fines, de esta forma permite aislar el tráfico y depurar de forma más precisa.
5.1 IOS Origen
Destino
Tipo de Trafico
Descripción
10.0.0.111
8.8.8.8
DNS
Consulta DNS
10.0.0.111
54.231.96.96
HTTPS
Trafico TLS s3-1.amazonaws.com
10.0.0.111
50.22.111.180
HTTPS
Trafico TLS khipu.com
10.0.0.111
23.47.27.27
HTTPS
Trafico TLS EVIntl-ocsp.verisign.com
10.0.0.111
23.47.27.27
HTTP
Trafico EVIntl-ocsp.verisign.com
10.0.0.111
23.41.155.27
HTTPS
Trafico TLS e8218.ce.akamaiedge.net
10.0.0.111
200.75.31.152
HTTPS
Trafico TLS personas.bancoestado.cl
10.0.0.111
200.75.19.81
HTTPS
Trafico TLS www.bancoestado.cl
10.0.0.111
200.29.162.187 HTTPS
Trafico TLS personas.bancoestado.cl
4 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]
5.2 OSX Origen
Destino
Tipo de Trafico
Descripción
10.0.0.115
10.0.0.1
DNS
Consulta DNS
10.0.0.115
72.21.91.8
HTTPS
Trafico TLS gp1.wac.edgecastcdn.net
10.0.0.115
54.231.96.88
HTTPS
Trafico TLS s3-1.amazonaws.com
10.0.0.115
54.231.32.176
HTTPS
Trafico TLS s3-1.amazonaws.com
10.0.0.115
54.231.32.176
HTTP
Trafico s3-1.amazonaws.com
10.0.0.115
50.22.111.180
HTTPS
Trafico TLS khipu.com
10.0.0.115
23.9.142.60
HTTPS
Trafico TLS santander.cl.
10.0.0.115
23.39.140.19
HTTPS
Trafico TLS mxpnl.com
10.0.0.115
23.38.159.202
HTTPS
Trafico TLS santander.cl.
10.0.0.115
200.75.19.81
HTTPS
Trafico TLS www.bancoestado.cl
10.0.0.115
200.29.162.187 HTTPS
Trafico TLS personas.bancoestado.cl
10.0.0.115
200.29.162.145 HTTPS
Trafico TLS www.bancoestado.cl
5 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]
6 Certificación Al realizar diversas operaciones bajo un entorno controlado y realizar un análisis del tráfico de entrada y salida, de acuerdo a lo que aparece en las capturas anexas a este informe, se logra certificar que las versiones de khipu analizadas no envían y por lo tanto no pueden almacenar información relacionada con los datos de cuentas bancarias, solo lo hace de forma local cuando el usuario lo autoriza. De esta forma khipu simplemente automatiza las tareas de transferencias entre un cliente y un proveedor.
6 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]
7
Análisis SSL/TLS
El siguiente análisis tiene como objetivo determinar el nivel de seguridad en la implementación de SSL/TLS, se realizaran pruebas para determinar si se ve afectado por las vulnerabilidades conocidas hasta el momento
7.1 Información del Certificado Dominio Dominios Alternativos Valido Desde Válido Hasta Llave Emisor Algoritmo de la Firma Validación Extendida
www.khipu.com www.khipu.com khipu.com 24/03/2014 24/03/2016 RSA 2048 bits Comodo SHA1-RSA Si
7.2 Test de Vulnerabilidades Vulnerabilidad
Estado
Heartbleed (CVE-2014-0160)
No Vulnerable
CCS (CVE-2014-0224)
No Vulnerable
Renegotiation (CVE-2009-3555)
No Vulnerable
CRIME TLS (CVE-2012-4929)
No Vulnerable
POODLE (CVE-2014-3566)
No Vulnerable
La implementación de SSL/TLS se encuentra con un nivel óptimo de seguridad para el sitio khipu.com y no se encuentra afectado por las vulnerabilidades conocidas hasta el momento de SSL/TLS.
7.3 Referencias de CVE •
Heartbleed https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
•
CSS https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
•
Renegotiation https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
•
Crime TLS https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929
•
Poodle https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
7 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]
8 Vulnerabilidades declaradas A continuación se listan las vulnerabilidades declaradas por terceros que puedan comprometer la seguridad de la aplicación y khipu.com #
Nombre
Descripción
Impacto
No existen vulnerabilidades declaradas para este periodo
8 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]
9 Anexos Se adjuntan archivos pcap de captura de tráfico en bruto
# Archivo
MD5
1
iphone_diciembre.pcap
463045d979c1e70d34db714c1b08eb96
2
osx_ diciembre.pcap
995690f0273d8075051a6fb727aa573e
9 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo:
[email protected]