Análisis de Tráfico de Datos para certificar que khipu no recibe las claves bancarias de sus usuarios. Agosto 2014
1. Contenido Tabla de Contenido 1. Contenido...2 2. Documento...2 3. Introducción...3 4. Ámbito...3 5. Análisis...4 5.1 Android...4 5.2 OSX...5 5.3 ios...6 5.4 Linux...6 5.5 Microsoft Windows...6 6. Certificación...7 5. Anexos...8 2. Documento Autor Fernando Lagos Periodo Agosto Año 2014
3. Introducción La aplicación khipu permite a las personas y empresas, pagar y cobrar, usando sus cuentas corrientes o cuentas vista del banco, de manera fácil y segura. El terminal de pago de khipu es un navegador web especializado en pagos, por lo que valida el uso de páginas correctas de los bancos, forma parte de un sistema que genera comprobantes de pago firmados electrónicamente, es reconocido por los principales antivirus del mundo y se instala desde fuentes oficiales de cada plataforma. Adicionalmente, khipu no almacena ni envia los datos de sus usuarios tales como cuenta corriente, clave, etc a servidores propios ni a terceros. Mediante esta auditoría y análisis de tráfico se busca ceritficar que los datos de los usuarios no son compartidos con terceros. El análisis consiste en el monitoreo y análisis de todo el tráfico que genera la aplicación para las distintas plataformas, con el fin de detectar conexiones sospechosas. Esta revisión incluye las versiones del terminal de pagos disponible para Windows, Mac, Linux, ios y Android. 4. Ámbito Debido a que desde el informe correspondiente al mes pasado (Julio/2014) no se registraron actualizaciones a nuevas versiones de la aplicación, la certificación se basa en los resultados del análisis del mes anterior. Plataforma Versión MD5 Microsoft Windows 1.0.2.1 3c7997238da2044c4105874b3c0fbfb3 Mac OSX 1.14.1417.1 c82701a489f91888bbef683a4a006b45 ios (iphone/ipad) 2.9.5 d0caa77cfd675c066a0542ec0e81f10f Android 2.9.19 72367e9d162e790427c89d9e9c845469 GNU/Linux 1.14.1417.1 (i386/x86_64) (plugin 1.0.2.2) 55b672374d841bf10ff33729ea17336e / 1a33a83f70b57b26592a4c28fc5bc666
5. Análisis Se realizaron diversas operaciones utilizando la aplicación khipu, capturando todo el tráfico de entrada y salida que realiza esta aplicación. Las herramientas utilizadas para la captura y análisis de tráfico son ettercap, tcpdump y wireshark. Las técnicas utilizadas corresponden a ejecutar la aplicación y realizar algun tipo de operación bajo un ambiente controlado como por ejemplo virtualizaciones o emulaciones de S.O conectados a una LAN especialmente creada para estos fines, de esta forma permite aislar el tráfico y depurar de forma mas precisa. 5.1 Android 161.25.203.51 Santander HTTPS 172.16.0.1 Gateway red ALL 173.194.42.205 Google HTTPS 173.194.42.237 Google HTTPS 173.194.42.239 Google HTTPS 173.194.42.243 Google HTTPS 173.222.139.95 akamai HTTP / IMAGENES 176.32.100.69 amazon web service HTTPS 176.32.102.98 amazon web service HTTPS 190.46.255.89 VTR HTTP 50.22.111.180 khipu HTTPS 54.231.1.96 amazon web service HTTPS 54.231.2.88 amazon web service HTTPS 72.21.214.143 amazon web service HTTPS
5.2 OSX 108.166.31.242 RackSpace HTTPS 172.16.0.1 Gateway de red ALL 173.194.42.241 Google HTTPS 176.32.101.154 Amazon WebService HTTPS 178.255.83.1 ocsp.comodoca.com HTTP 190.45.0.148 Google HTTPS 190.45.0.160 Google HTTPS 190.45.0.161 Google HTTPS 190.45.0.174 Google HTTPS 190.45.0.200 Google HTTPS 190.45.0.225 Google HTTPS 190.45.0.226 Google HTTPS 190.45.0.239 Google HTTPS 190.45.0.251 Google HTTPS 205,251,242,187 Amazon WebService HTTPS 23.5.11.27 ocsp.comodoca.com HTTP 50.22.111.180 khipu HTTPS 54.231.1.40 Amazon WebService HTTPS 64.233.171.95 Google HTTPS 72.21.91.17 edgecast HTTPS 72.21.91.19 edgecast HTTPS 72.21.91.29 edgecast HTTP 74.125.22.82 Google Trafico HTTPS
5.3 ios 17.149.36.207 Apple HTTPS 17.178.104.38 Apple HTTPS 200,123,194,168 lanautilus HTTP 200,123,194,193 lanautilus HTTP 224.0.0.251 IGMP 50.22.111.180 khipu HTTPS 172.16.0.1 Gateway de red ALL 54.231.2.32 Amazon WebService HTTPS 5.4 Linux 200.75.31.152 Banco Estado HTTPS 50.22.111.179 Khipu.com HTTPS 190.45.0.80 IP de red ALL 5.5 Microsoft Windows 10.0.2.15 Gateway Red Interna ALL 173.194.42.205 Google HTTPS 173.222.139.95 akamai HTTP / IMAGENES 176.32.100.69 amazon web service HTTPS 176.32.102.98 amazon web service HTTPS 50.22.111.180 khipu HTTPS 54.231.1.96 amazon web service HTTPS 50.22.111.178 khipu HTTPS
6. Certificación Al realizar diversas operaciones bajo un entorno controlado y realizar un análisis del tráfico de entrada y salida, de acuerdo a lo que aparece en las capturas anexas a este informe, se logra certificar que las versiones de khipu analizadas no almacenan ni envian información relacionada con los datos de cuentas bancarias hacia servidores de terceros, solo de forma local cuando el usuario lo autoriza. De esta forma khipu simplemente automatiza las tareas de transferencias entre un cliente y un proveedor.
5. Anexos Se adjuntan archivos pcap de captura de tráfico en bruto # Archivo MD5 1 Android.pcap 86a59a20a90bb0ccaecceace9e9fb3ce 2 Iphone.pcap 76830d118977587d58e49aa501fd7f82 3 IOS.pcap 06b2abf50c3ee1d1f03e71705b34f5d6 4 MSWin.pcap 5c63d17c2e4b72e07bea31509e0fa583 5 Linux.pcap 7e5f6b7c261b6089fdfb20741ca876a6