Análisis de Tráfico de Datos para certificar que khipu no recibe las claves bancarias de sus usuarios.
Agosto 2014
1. Contenido Tabla de Contenido 1. Contenido...............................................................................................................................................2 2. Documento.............................................................................................................................................2 3. Introducción...........................................................................................................................................3 4. Ámbito...................................................................................................................................................3 5. Análisis...................................................................................................................................................4 5.1 Android.................................................................................................................................................4 5.2 OSX......................................................................................................................................................5 5.3 iOS.......................................................................................................................................................6 5.4 Linux....................................................................................................................................................6 5.5 Microsoft Windows..............................................................................................................................6 6. Certificación...........................................................................................................................................7 5. Anexos....................................................................................................................................................8
2. Documento Autor
Fernando Lagos
Periodo
Agosto
Año
2014
Certificación de seguridad y análisis de tráfico
3. Introducción La aplicación khipu permite a las personas y empresas, pagar y cobrar, usando sus cuentas corrientes o cuentas vista del banco, de manera fácil y segura. El terminal de pago de khipu es un navegador web especializado en pagos, por lo que valida el uso de páginas correctas de los bancos, forma parte de un sistema que genera comprobantes de pago firmados electrónicamente, es reconocido por los principales antivirus del mundo y se instala desde fuentes oficiales de cada plataforma. Adicionalmente, khipu no almacena ni envia los datos de sus usuarios tales como cuenta corriente, clave, etc a servidores propios ni a terceros. Mediante esta auditoría y análisis de tráfico se busca ceritficar que los datos de los usuarios no son compartidos con terceros. El análisis consiste en el monitoreo y análisis de todo el tráfico que genera la aplicación para las distintas plataformas, con el fin de detectar conexiones sospechosas. Esta revisión incluye las versiones del terminal de pagos disponible para Windows, Mac, Linux, iOS y Android.
4. Ámbito Debido a que desde el informe correspondiente al mes pasado (Julio/2014) no se registraron actualizaciones a nuevas versiones de la aplicación, la certificación se basa en los resultados del análisis del mes anterior.
Plataforma
Versión
MD5
Microsoft Windows
1.0.2.1
3c7997238da2044c4105874b3c0fbfb3
Mac OSX
1.14.1417.1
c82701a489f91888bbef683a4a006b45
iOS (iPhone/iPad)
2.9.5
d0caa77cfd675c066a0542ec0e81f10f
Android
2.9.19
72367e9d162e790427c89d9e9c845469
GNU/Linux
1.14.1417.1 (i386/x86_64) (plugin 1.0.2.2)
55b672374d841bf10ff33729ea17336e / 1a33a83f70b57b26592a4c28fc5bc666
Certificación de seguridad y análisis de tráfico
5. Análisis Se realizaron diversas operaciones utilizando la aplicación khipu, capturando todo el tráfico de entrada y salida que realiza esta aplicación. Las herramientas utilizadas para la captura y análisis de tráfico son ettercap, tcpdump y wireshark. Las técnicas utilizadas corresponden a ejecutar la aplicación y realizar algun tipo de operación bajo un ambiente controlado como por ejemplo virtualizaciones o emulaciones de S.O conectados a una LAN especialmente creada para estos fines, de esta forma permite aislar el tráfico y depurar de forma mas precisa.
5.1 Android IP
Descripcion
Tipo de trafico
161.25.203.51
Santander
HTTPS
172.16.0.1
Gateway red
ALL
173.194.42.205
Google
HTTPS
173.194.42.237
Google
HTTPS
173.194.42.239
Google
HTTPS
173.194.42.243
Google
HTTPS
173.222.139.95
akamai
HTTP / IMAGENES
176.32.100.69
amazon web service
HTTPS
176.32.102.98
amazon web service
HTTPS
190.46.255.89
VTR
HTTP
50.22.111.180
khipu
HTTPS
54.231.1.96
amazon web service
HTTPS
54.231.2.88
amazon web service
HTTPS
72.21.214.143
amazon web service
HTTPS
Certificación de seguridad y análisis de tráfico
5.2 OSX IP
Descripcion
Tipo de trafico
108.166.31.242 RackSpace
HTTPS
172.16.0.1
ALL
Gateway de red
173.194.42.241 Google
HTTPS
176.32.101.154 Amazon WebService HTTPS 178.255.83.1
ocsp.comodoca.com HTTP
190.45.0.148
Google
HTTPS
190.45.0.160
Google
HTTPS
190.45.0.161
Google
HTTPS
190.45.0.174
Google
HTTPS
190.45.0.200
Google
HTTPS
190.45.0.225
Google
HTTPS
190.45.0.226
Google
HTTPS
190.45.0.239
Google
HTTPS
190.45.0.251
Google
HTTPS
205,251,242,187 Amazon WebService HTTPS 23.5.11.27
ocsp.comodoca.com HTTP
50.22.111.180
khipu
54.231.1.40
Amazon WebService HTTPS
64.233.171.95
Google
HTTPS
72.21.91.17
edgecast
HTTPS
72.21.91.19
edgecast
HTTPS
72.21.91.29
edgecast
HTTP
74.125.22.82
Google
Trafico HTTPS
Certificación de seguridad y análisis de tráfico
HTTPS
5.3 iOS IP
Descripcion
Tipo de trafico
17.149.36.207
Apple
HTTPS
17.178.104.38
Apple
HTTPS
200,123,194,168 lanautilus
HTTP
200,123,194,193 lanautilus
HTTP
224.0.0.251
IGMP
50.22.111.180
khipu
HTTPS
172.16.0.1
Gateway de red
ALL
54.231.2.32
Amazon WebService HTTPS
5.4 Linux IP 200.75.31.152 50.22.111.179 190.45.0.80
Descripcion Banco Estado Khipu.com IP de red
Tipo de trafico HTTPS HTTPS ALL
5.5 Microsoft Windows IP 10.0.2.15 173.194.42.205 173.222.139.95 176.32.100.69 176.32.102.98 50.22.111.180 54.231.1.96 50.22.111.178
Descripcion Tipo de trafico Gateway Red Interna ALL Google HTTPS akamai HTTP / IMAGENES amazon web service HTTPS amazon web service HTTPS khipu HTTPS amazon web service HTTPS khipu HTTPS
Certificación de seguridad y análisis de tráfico
6. Certificación Al realizar diversas operaciones bajo un entorno controlado y realizar un análisis del tráfico de entrada y salida, de acuerdo a lo que aparece en las capturas anexas a este informe, se logra certificar que las versiones de khipu analizadas no almacenan ni envian información relacionada con los datos de cuentas bancarias hacia servidores de terceros, solo de forma local cuando el usuario lo autoriza. De esta forma khipu simplemente automatiza las tareas de transferencias entre un cliente y un proveedor.
Certificación de seguridad y análisis de tráfico
5. Anexos Se adjuntan archivos pcap de captura de tráfico en bruto
#
Archivo
MD5
1
Android.pcap
86a59a20a90bb0ccaecceace9e9fb3ce
2
Iphone.pcap
76830d118977587d58e49aa501fd7f82
3
IOS.pcap
06b2abf50c3ee1d1f03e71705b34f5d6
4
MSWin.pcap
5c63d17c2e4b72e07bea31509e0fa583
5
Linux.pcap
7e5f6b7c261b6089fdfb20741ca876a6
Certificación de seguridad y análisis de tráfico