Análisis de Tráfico de Datos

EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]. 1 Tabla de Contenido. 1. Tabla de Contenido .

PDF Herunterladen

PNG-Bilder

543KB Größe 2 Downloads 52 Ansichten

Kommentar

Análisis de Tráfico de Datos Certificar que khipu no recibe las claves bancarias de sus usuarios.

1

Tabla de Contenido

1. Tabla de Contenido ........................................................................................................................................................ 2 2. Documento .................................................................................................................................................................... 2 3. Introducción ................................................................................................................................................................... 3 4. Ámbito ........................................................................................................................................................................... 3 5. Análisis ........................................................................................................................................................................... 4 5.1 IOS ............................................................................................................................................................................ 4 5.2 OSX ........................................................................................................................................................................... 5 6. Certificación ................................................................................................................................................................... 6 7. Analisis SSL/TLS .............................................................................................................................................................. 7 7.1 Informacion del Certificado ..................................................................................................................................... 7 7.2 Test de Vulnerabilidades.......................................................................................................................................... 7 7.3 Referencias de CVE .................................................................................................................................................. 7 8. Vulnerabilidades declaradas .......................................................................................................................................... 8 9. Anexos ............................................................................................................................................................................ 9

2

Documento Autor

Periodo

Año

Fernando Lagos

Diciembre

2014

EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]

2 3

Introducción

La aplicación khipu permite a las personas y empresas, pagar y cobrar, usando sus cuentas corrientes o cuentas vista del banco, de manera fácil y segura. El terminal de pago de khipu es un navegador web especializado en pagos, por lo que valida el uso de páginas correctas de los bancos, forma parte de un sistema que genera comprobantes de pago firmados electrónicamente, es reconocido por los principales antivirus del mundo y se instala desde fuentes oficiales de cada plataforma. Adicionalmente, khipu no almacena ni envía los datos de sus usuarios tales como cuenta corriente, clave, etc. a servidores propios ni a terceros. Mediante esta auditoría y análisis de tráfico se busca certificar que los datos de los usuarios no son compartidos con terceros. El análisis consiste en el monitoreo y análisis de todo el tráfico que genera la aplicación para las distintas plataformas, con el fin de detectar conexiones sospechosas. Esta revisión incluye las versiones del terminal de pagos disponible para Windows, Mac, Linux, iOS y Android.

4

Ámbito

Para el actual periodo se registró cambio de versión en la aplicación para las plataformas IOS y OSX

Plataforma

Versión

MD5

IOS

2.11

669eddc35912d35a24ecd70379ee98f6

OSX

1.14.2113.1

d1660ba6febcfd42eaf792595f549b56

3 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]

5

Análisis

Se realizaron diversas operaciones utilizando la aplicación khipu, capturando todo el tráfico de entrada y salida que realiza esta aplicación. Las herramientas utilizadas para la captura y análisis de tráfico son ettercap, tcpdump y wireshark. Las técnicas utilizadas corresponden a ejecutar la aplicación y realizar algún tipo de operación bajo un ambiente controlado como por ejemplo virtualizaciones o emulaciones de S.O conectados a una LAN especialmente creada para estos fines, de esta forma permite aislar el tráfico y depurar de forma más precisa.

5.1 IOS Origen

Destino

Tipo de Trafico

Descripción

10.0.0.111

8.8.8.8

DNS

Consulta DNS

10.0.0.111

54.231.96.96

HTTPS

Trafico TLS s3-1.amazonaws.com

10.0.0.111

50.22.111.180

HTTPS

Trafico TLS khipu.com

10.0.0.111

23.47.27.27

HTTPS

Trafico TLS EVIntl-ocsp.verisign.com

10.0.0.111

23.47.27.27

HTTP

Trafico EVIntl-ocsp.verisign.com

10.0.0.111

23.41.155.27

HTTPS

Trafico TLS e8218.ce.akamaiedge.net

10.0.0.111

200.75.31.152

HTTPS

Trafico TLS personas.bancoestado.cl

10.0.0.111

200.75.19.81

HTTPS

Trafico TLS www.bancoestado.cl

10.0.0.111

200.29.162.187 HTTPS

Trafico TLS personas.bancoestado.cl

4 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]

5.2 OSX Origen

Destino

Tipo de Trafico

Descripción

10.0.0.115

10.0.0.1

DNS

Consulta DNS

10.0.0.115

72.21.91.8

HTTPS

Trafico TLS gp1.wac.edgecastcdn.net

10.0.0.115

54.231.96.88

HTTPS

Trafico TLS s3-1.amazonaws.com

10.0.0.115

54.231.32.176

HTTPS

Trafico TLS s3-1.amazonaws.com

10.0.0.115

54.231.32.176

HTTP

Trafico s3-1.amazonaws.com

10.0.0.115

50.22.111.180

HTTPS

Trafico TLS khipu.com

10.0.0.115

23.9.142.60

HTTPS

Trafico TLS santander.cl.

10.0.0.115

23.39.140.19

HTTPS

Trafico TLS mxpnl.com

10.0.0.115

23.38.159.202

HTTPS

Trafico TLS santander.cl.

10.0.0.115

200.75.19.81

HTTPS

Trafico TLS www.bancoestado.cl

10.0.0.115

200.29.162.187 HTTPS

Trafico TLS personas.bancoestado.cl

10.0.0.115

200.29.162.145 HTTPS

Trafico TLS www.bancoestado.cl

5 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]

6 Certificación Al realizar diversas operaciones bajo un entorno controlado y realizar un análisis del tráfico de entrada y salida, de acuerdo a lo que aparece en las capturas anexas a este informe, se logra certificar que las versiones de khipu analizadas no envían y por lo tanto no pueden almacenar información relacionada con los datos de cuentas bancarias, solo lo hace de forma local cuando el usuario lo autoriza. De esta forma khipu simplemente automatiza las tareas de transferencias entre un cliente y un proveedor.

6 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]

7

Análisis SSL/TLS

El siguiente análisis tiene como objetivo determinar el nivel de seguridad en la implementación de SSL/TLS, se realizaran pruebas para determinar si se ve afectado por las vulnerabilidades conocidas hasta el momento

7.1 Información del Certificado Dominio Dominios Alternativos Valido Desde Válido Hasta Llave Emisor Algoritmo de la Firma Validación Extendida

www.khipu.com www.khipu.com khipu.com 24/03/2014 24/03/2016 RSA 2048 bits Comodo SHA1-RSA Si

7.2 Test de Vulnerabilidades Vulnerabilidad

Estado

Heartbleed (CVE-2014-0160)

No Vulnerable

CCS (CVE-2014-0224)

No Vulnerable

Renegotiation (CVE-2009-3555)

No Vulnerable

CRIME TLS (CVE-2012-4929)

No Vulnerable

POODLE (CVE-2014-3566)

No Vulnerable

La implementación de SSL/TLS se encuentra con un nivel óptimo de seguridad para el sitio khipu.com y no se encuentra afectado por las vulnerabilidades conocidas hasta el momento de SSL/TLS.

7.3 Referencias de CVE •

Heartbleed https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

•

CSS https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224

•

Renegotiation https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555

•

Crime TLS https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929

•

Poodle https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566

7 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]

8 Vulnerabilidades declaradas A continuación se listan las vulnerabilidades declaradas por terceros que puedan comprometer la seguridad de la aplicación y khipu.com #

Nombre

Descripción

Impacto

No existen vulnerabilidades declaradas para este periodo

8 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]

9 Anexos Se adjuntan archivos pcap de captura de tráfico en bruto

# Archivo

MD5

1

iphone_diciembre.pcap

463045d979c1e70d34db714c1b08eb96

2

osx_ diciembre.pcap

995690f0273d8075051a6fb727aa573e

9 EXECVE SPA Seguridad Ofensiva - http://execve.cl - Correo: [email protected]