GSM es el estándar usado por casi el 80% de los equipos de telefonía celular en el mundo con cerca de 3 billones de usuarios en 212 países.
Para proteger la confidencialidad de las llamadas, GSM usa un cifrado llamado A51/1 que encripta el número discado y la llamada en curso. Pueden leerse esto http://en.wikipedia.org/wiki/A5/1 para profundizar sobre el cifrado.
Pero ahora, a que viene todo esto? En diciembre del 2009 Chris Paget y Karsten Nohl anunciaron que por medio del uso de procesamiento distribuido lograron generar una “Rainbow Table” de tres terabytes que permitirá desencriptar cualquier comunicación (voz o SMS) cifrada con A51/1 en tiempo real o en diferido.
Estas tablas están disponibles de forma libre para ser descargadas por medio de torrents y adicionalmente en el sitio del proyecto se encuentran todos los datos necesarios para generar el equipamiento necesario para capturar una llama y el software para desencriptarla por medio de las tablas generadas previamente.
El tema es bastante complejo, pero el sitio realmente explica de forma clara el método del ataque y como reproducirlo. Pero lo más preocupante es que ya hay software disponible para agencias de seguridad y afines que permite hacer esto “Out of the box”
Ahora el lado positivo, el A51/1 tiene cerca de 20 años de antigüedad y sigue siendo usado debido a la poca inversión de las compañías telefónicas. Pero ya existe un cifrado denominado A51/3, actualmente utilizado para proteger las redes 3G, que por el momento se mantiene seguro.
Voy a seguir leyendo a ver que si encuentro alguna prueba de concepto interesante, pero a partir de ahora voy a empezar a prestar atención a lo que digo por celular. Nunca se sabe quien puede estar escuchando ;)
Empezando..
Intentando salir un poco de la rutina me puse a probar la nueva versión del GFI Webmonitor 2009. El producto salió recientemente en 2 versiones, una stand alone y otra como add-on para ISA Server. Adicionalmente ambas versiones cuentan con cuatro ediciones:
· UnifiedProtection: Contiene los componentes básicos de webmonitor.
· WebFilter: Suma el filtrado de URL y categorización de sitios web a la versión inicial.
· WebSecurity: Suma la protección contra virus, Phishing y spyware a la versión inicial.
· Freeware: Contiene solo el componente de monitoreo del Webmonitor
Las pruebas las realice sobre la versión stand alone en modo proxy. Este modo de operación soporta un modo Gateway, pero al montarse sobre el servicio de Routing and Remote de Microsoft, no me pareció que realmente sumara nada a las pruebas. En caso de que no se cuente con un router para el control de internet es una buena alternativa ya que controlaremos todos los accesos y la seguridad desde un único punto en el perímetro.
Lo primero que me sorprendió al leer los prerrequisitos fue la posibilidad de instalarlo sobre sistemas operativos cliente, ya que los sistemas soportados son Windows 2000 Server SP4, Windows 2003, Windows 2008, Windows XP SP2, Windows Vista y Windows 7, todos en sus versiones de 32 y 64 Bits. La instalación es realmente sencilla y no presenta ninguna dificultad más que la creación de una cuenta administrativa, con la que deberán correr los servicios de la aplicación. Una vez finalizado el proceso de instalación se dispara un wizard de configuración que nos permitirá elegir el modo de operación (Fig. 1) y con eso tenemos el producto instalado y listo para usar.
Con el producto instalado solo nos queda configurar a los usuarios para que usen el Webmonitor como proxy, y obviamente no permitir la navegación directa por NAT, para concentrar toda la navegación en un único punto auditado. Para estas tareas, la gente de GFI se encargó de documentar paso a paso todas las configuraciones adicionales que tengamos que hacer en nuestro entorno en su sitio web. Desde la configuración de los routers más comunes hasta la configuración de las políticas de grupo para configurar el proxy de manera automática en los clientes.
Funcionalidades
Como mencione anteriormente estoy probando la versión más completa d
el webmonitor, por lo que tengo disponibles el 100% de las funcionalidades. Voy a separarlo en productos para que quede claro el alcance de cada edición en caso de que quieran elegir alguna edición para probar.
Igualmente esta división queda más que clara con solo abrir la consola y ver el panel de navegación (Fig. 2).
Comencemos por la edición de unified Protection, siendo la más básica nos permitirá monitorear todas las conexiones realizadas los usuarios, incluso lo que en la consola se ve como “descargas ocultas”, si bien no es nada nuevo es interesante como el producto separa las conexiones activas de las que considera ocultas y nos permite su fácil identificación. Este tipo de conexiones pueden ser de fuentes confiables como actualizaciones de antivirus o Windows Update, pero también pueden ser de bots o trayanos conec
tándose desde un equipo particular. Y la manera de encontrarlas es realmente sencilla, toda descarga a través del proxy dispara un gestor de descargas (Fig. 3), que posiblemente si la conexión es iniciada en otro contexto de seguridad deje esta ventana oculta. Por ende, toda descarga que no termine con el click en “guardar a disco” dentro de los 15 minutos siguientes a la finalización de la misma será marcada como oculta.
Dentro del área de monitoreo también tendremos la posibilidad de ver estadísticas de navegación como consumo de ancho de banda, sitios más visitados, usuarios con mayor navegación y usuarios con mayor cantidad de políticas infringidas (Fig. 4).
Para la protección esta edición es realmente básica ya que solo nos permitirá el control de la navegación por medio de listas blancas y negras de usuarios, direcciones IP y sitios.
En la edición webfilter podremos hacer uso de la base de datos de categorización de GFI llamada webgrade. Esta funcionalidad nos dará un mayor control basado en las categorías de los sitios definida por GFI y a su vez nos permitirá crear reglas agrupando por a usuarios, direcciones IP o para no bloquear a todos los usuarios o equipos por igual.
Finalmente tenemos la edición websecurity, la misma nos permitirá controlar por medio de políticas de navegac
ión el uso de mensajería instantánea (Solo MSN), las extensiones a descargar y adicionalmente nos permitirá analizar el contenido a escanear con sus 3 motores de antivirus basado en tipo de contenido y siempre manteniendo la segregación de reglas por usuarios.(Fig. 5).
Reportes.
Como comente al principio del artículo, también instale el report center y el report pack para web monitor. Ambos son gratuitos y brindan gran cantidad de reportes adicionales junto con la posibilidad de programar el envió de los mismos o incluso generar reportes customizados.
Conclusiones
El producto realmente me gusto, me pareció una herramienta estable, fácil de usar y muy intuitiva. Es destacable el bajo consumo de recursos considerando las tareas que realiza en tiempo real. Las reglas son claras y permiten mucha granularidad y la posibilidad de usar varios motores de antivirus es interesante.
Aunque nada es perfecto, realmente tienen que mejorar la integración para navegación por usuario y seria agradable contar con un conector LDAP y la posibilidad de controlar mensajería instantánea de todos los proveedores y no solo de Microsoft.
Recursos
Página del producto: http://www.gfi.com/internet-monitoring-software
Página de descarga : http://www.gfi.com/pages/webmon-selection-download.asp
Kb de GFI: http://kbase.gfi.com/
GFI Report Center: http://www.gfi.com/reportcenter