Anlisis de Seguridad del Blackberry

Pablo Sobrero - Consultor CYBSEC (psobrero@cybsec.com)

1. Introduccin
BlackBerry es una solucin mvil que mantiene a las personas (compaeros de trabajo, familiares y amigos) comunicadas en cualquier lugar, a travs del correo electrnico, lnea telefnica, mensajera instantnea, acceso va Web (Internet e Intranet Corporativa), SMS (Short Message Services), MMS (Multimedia Message Services) y mucho ms. Desarrollado y fabricado por Research In Motion (RIM), BlackBerry se lanz en Norteamrica en Enero de 1999, mientras que su introduccin en Europa se produjo en Septiembre de 2001 y en Espaa en el ao 2003. Durante el 2006 fueron habilitados los primeros clientes BlackBerry en Argentina. El arribo de esta tecnologa, que apunta a los ejecutivos principalmente, permite optimizar la productividad y poner al alcance del mundo corporativo el acceso remoto a la informacin en forma inalmbrica, rpida y segura. Actualmente existen ms de 7 millones de usuarios BlackBerry en todo el mundo. BlackBerry es una solucin mvil punto a punto (end-to-end) que, combinada con una red de operadores con redes mviles de datos incorpora ligeros dispositivos, as como software y servicios, para facilitar a los usuarios una extensin mvil de todas las comunicaciones que pueden necesitar

Actualmente RIM tambin ofrece servicios de correo electrnico BlackBerry a dispositivos no BlackBerry, tales como la Palm Treo, a travs del software BlackBerry Connect. La tecnologa BlackBerry Connect permite a una variedad de fabricantes importantes aprovechar la tecnologa de insercin de BlackBerry con mayor cantidad de dispositivos inalmbricos, sistemas operativos y aplicaciones de correo electrnico.

2. Arquitectura BlackBerry Enterprise Solution

BlackBerry Enterprise Solution permite a aquellos usuarios que viajan frecuentemente permanecer en contacto y acceder remotamente a la informacin corporativa. Entre ellos, a los siguientes servicios: Correo electrnico (Microsoft Exchange, IBM Lotus Domino, Novell GroupWise) Acceso a Internet e intranets. Mensajera instantnea (chat) Telfono SMS (Short Message Services) y MMS (Multimedia Message Services) Informacin corporativa

Los elementos bsicos de la arquitectura de BlackBerry Enterprise Solution son: BlackBerry Enterprise Server (BES) es el software que acta como vnculo centralizado entre los dispositivos mviles, las redes mviles y aplicaciones corporativas que se deseen publicar. Todos los datos entre los dispositivos BlackBerry y las diversas aplicaciones pasan a travs de este servidor. El servidor se integra con los servidores de correo y los correspondientes a los dems sistemas corporativos para proporcionar a los usuarios: correo electrnico, mensajera instantnea corporativa y herramientas de administracin de informacin personal. BlackBerry Mobile Data System (BlackBerry MDS) es una infraestructura optimizada para crear, implementar y administrar aplicaciones para BlackBerry Enterprise Solution. Proporciona los componentes esenciales que permiten desarrollar e implementar aplicaciones tanto para los usuarios as como herramientas para los desarrolladores, adems de servicios administrativos y el software del dispositivo BlackBerry.

Los dispositivos BlackBerry son dispositivos de voz y datos integrados que proporcionan acceso basado en el acceso al correo electrnico y a los datos de los sistemas y aplicaciones corporativos, adems de a aplicaciones Web, MMS, SMS y organizador. Los dispositivos BlackBerry Enabled que son: los dispositivos BlackBerry Connect que incluyen la tecnologa de transmisin de BlackBerry, pero corresponden a otros fabricantes, y permiten la conexin con BlackBerry Enterprise Server. y los dispositivos BlackBerry Built-In integran todas las funcionalidades de BlackBerry, como el correo electrnico, calendario, contactos, explorador, tareas y bloc de notas.

BlackBerry Alliance Program agrupa una gran comunidad de proveedores de software, integradores de sistemas y proveedores de soluciones independientes que ofrecen aplicaciones, servicios y soluciones para BlackBerry Enterprise Solution. Los Servicios de asistencia tcnica de BlackBerry disponibles incluyen: Centro de Asistencia Tcnica, Servicios de asistencia tcnica, Programa de desarrollo corporativo y Servicios profesionales de RIM. Estas herramientas y programas estn diseados para ayudar a las organizaciones a implementar, administrar y ampliar su solucin movilidad

BlackBerry Enterprise Server consiste de componentes y servicios. Los servicios BlackBerry estn diseados para proveer a los usuarios mviles de herramientas tales como correo electrnico, mensajera instantnea, etc. y, adems, de la informacin de sus aplicaciones corporativas. Los componentes BlackBerry estn diseados para monitorear los servicios BlackBerry, as como tambin procesos, ruteo, compresin, y cifrado de informacin; y comunicacin con la red inalmbrica. Componentes
BlackBerry Attachment Service BlackBerry Synchronization Service BlackBerry State Databases

Descripcin
BlackBerry Attachment Service se diseo para convertir los archivos adjuntos soportados en un formato que pueda ser visualizado desde el dispositivo BlackBerry. BlackBerry Synchronization Service se diseo para sincronizar la informacin entre el dispositivo BlackBerry y el servidor de mensajera de sobre la red inalmbrica Las bases de datos de estado contienen informacin que vincula los mensajes que los usuarios envan hacia o reciben desde los dispositivos BlackBerry correspondiente al mensaje de correo. La informacin de las bases de datos de estado BlackBerry estn diseadas para soportar funcionalidades tales como Responder con texto, Reenviar Mensaje, etc. BlackBerry Router sirve, dentro de la red inalmbrica, para rutear la informacin desde y hacia los dispositivos BlackBerry. BlackBerry profiles database es una base de datos IBM Lotus Domino que

BlackBerry Router BlackBerry

Componentes
profiles databases BlackBerry Policy Service BlackBerry Collaboration Service BlackBerry Dispatcher BlackBerry Controller BlackBerry Configuration Database

Descripcin
contiene informacin sobre la configuracin del usuarios. BlackBerry Policy Service permite la administracin y optimizacin del manejo de los dispositivos Blackberry a travs de polticas. BlackBerry Collaboration Service provee una conexin encriptada entre el servidor de mensajera instantnea y la aplicacin instalada en el dispositivo BlackBerry (Verichat, WebMessenger, BerryVine, IM+, etc.) BlackBerry Dispatcher comprime y encripta toda la informacin BlackBerry, se encarga de rutear la informacin, desde y hacia la red inalmbrica, a travs del BlackBerry Router. BlackBerry Controller monitorea los componentes BlackBerry y reinicia aquellos que dejaron de responder. BlackBerry Configuration Database es la base de datos que contiene toda la informacin de configuracin utilizada por los componentes BlackBerry. BlackBerry Configuration Database incluye la siguiente informacin: detalles sobre la conexin desde el BlackBerry Enterprise Server a la red inalmbrica lista de usuarios copia de solo lectura de cada clave de seguridad de los usuarios BlackBerry Messaging Agent acta como gateway para que BlackBerry Synchronization Service acceda a la informacin del servidor de correo. Sincroniza la informacin de configuracin entre la BlackBerry Configuration Database y la BlackBerry profiles database. BlackBerry Manager permite, desde la computadora del administrador, conectarse a la BlackBerry Configuration Database para realizar la administracin remota de los usuarios BlackBerry MDS Connection Service provee a los usuarios el acceso a las aplicaciones o los contenidos de intranet e Internet. Este es el repositorio que permite almacenar y administrar las aplicaciones desarrolladas por BlackBerry MDS Studio. BlackBerry MDS Services permite la conectividad entre las aplicaciones del BlackBerry MDS Studio de los dispositivos BlackBerry y las aplicaciones corporativas.

BlackBerry Messaging Agent

BlackBerry Manager BlackBerry MDS Connection Service BlackBerry MDS Studio Application repository BlackBerry MDS Services

A continuacin se detallan los puertos TCP requeridos por el BlackBerry Enterprise Server para funcionar de manera correcta: Aplicacin
BlackBerry Desktop Manager BES Admin

Puerto TCP/IP
1352 1352

Servidor Destino
BlackBerry Enterprise Server BlackBerry Enterprise Server

Propsito del puerto

Leer/actualizar informacin de perfiles de usuarios Leer/actualizar informacin de perfiles de usuarios configurados Server Message Block (SMB) pipes Remote Procedure Call (RPC) Redireccionar el correo

BES Admin BES Admin BlackBerry Enterprise Server BlackBerry Enterprise Server BES Alert BES Alert BES Alert

445 28315 1352

BlackBerry Enterprise Server BlackBerry Enterprise Server Cada servidor de correo en el que residan usuarios del BlackBerry Enterprise Server Wireless network BlackBerry Enterprise Server BlackBerry Enterprise Server Simple Mail Transfer Protocol (SMTP) Server

3101 139 28315 25

Enrutamiento de correo desde y hacia la red inalmbrica SMB pipes RPC Alertas SMTP

BlackBerry Attachment Service permite a los dispositivos BlackBerry abrir los adjuntos del correo electrnico. Attachment Service no requiere de las aplicaciones usadas para crear los adjuntos; soporta los archivos creados en Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Adobe Acrobat, Corel, WordPerfect, archivos ASCII, .html y .zip, y adems, dependiendo de la versin de BES, puede abrir archivos de formatos:.jpeg, .gif, .bmp, .png y .tif . BlackBerry Enterprise Server mantiene un vnculo al mensaje, que esta almacenado en el servidor de correo y utiliza este vnculo para acceder a los archivos adjuntos, directamente del servidor de correo. Un formato de datos propietario, UCS (Universal Content Stream), es el que se enva al dispositivo BlackBerry conservando el estilo y formato del documento original. La informacin es enviada al dispositivo BlackBerry de a 3Kb por vez; luego de enviados los primeros 3Kb, el resto no es enviado hasta que no sea solicitado por el usuario, de este modo, se optimiza el trafico de la red. BlackBerry Enterprise Server tambin se mantiene en constante conexin a nivel TCP/IP con la Infraestructura BlackBerry usando Server Routing Protocol (SRP). La infraestructura BlackBerry utiliza protocolos propietarios BlackBerry para mantener una conexin con la red inalmbrica y los dispositivos BlackBerry. El Firewall debe estar configurado para permitir la conexin saliente del BlackBerry Enterprise Server a travs del Puerto 3101; ya que el Attachment Service se comunica directamente (sin pasar por el Firewall) con el BlackBerry Enterprise Server utilizando los puertos 1900, 1999 y 2000 (TCP/IP) por defecto, pero tambin permite que se configurare cualquier otro Puerto TCP/IP valido.

Adems, la herramienta de configuracin del Attachment Service permite que restringir el tamao de los archivos adjuntos o, de ser necesario, deshabilitar el soporte para un formato especifico. Los archivos adjuntos estn protegidos de las siguientes formas: Cifrado: toda la informacin que es enviada desde los BlackBerry Enterprise Servers hacia los dispositivos BlackBerry est encriptada. 5

Intercambio de datos detrs del Firewall: Attachment Service se comunica con el BlackBerry Enterprise Server directamente sobre una conexin TCP/IP, dentro de la red corporativa, sin pasar a travs del firewall. Proteccin contra Virus: dado que no requiere de las aplicaciones usadas para crear los adjuntos los dispositivos BlackBerry son inmunes a los virus de macros.

3. Seguridad en BlackBerry
BlackBerry protege la integridad, confidencialidad y autenticidad de los datos corporativos con un esquema de cifrado seguro que cifra los datos mientras se transfieren entre BlackBerry Enterprise Server y los dispositivos BlackBerry. BlackBerry Enterprise Solution incluye un completo modelo de seguridad diseado para proteger la informacin corporativa contra ataques mientras los usuarios envan y reciben correo electrnico y/o acceden a los datos de forma remota, as como tambin la informacin almacenada localmente. BlackBerry Desktop Manager permite definir y distribuir los archivos de configuracin acorde a las polticas que la compaa establezca, los cuales se harn efectivos al realizar la sincronizacin.

3.1 Seguridad de BlackBerry para la informacin local

3.1.1 Aplicacin y administracin a travs de polticas Para proteger la informacin almacenada en dispositivos BlackBerry, es posible aplicar polticas personalizables, desde el BlackBerry Enterprise Server (BES), como ser: la autenticacin por contrasea (pudiendo forzar contraseas fuerte longitud mnima y caracteres a utilizar), que la contrasea sea solicitada tras un periodo de inactividad, que luego de ciertos intentos se borre la memoria del dispositivo, etc.

Los dispositivos BlackBerry soportan aplicar el cifrado local de todos los datos (mensajes, entradas de la libreta de direcciones, notas y tareas) a travs de la directiva de TI. El servicio de mantenimiento de contraseas permite almacenar contraseas de forma

segura en el dispositivo (como contraseas bancarias, PIN, etc.) mediante la tecnologa de cifrado AES.

Adems, los administradores del sistema pueden crear y enviar comandos remotamente para cambiar las contraseas de los dispositivos o bloquear o borrar informacin de forma remota de los dispositivos perdidos o robados. Por lo que, se recomienda realizar un backup semanal; el cual se realiza con el dispositivo conectado directamente a la PC. Por otra parte, el BlackBerry Enterprise Server no almacena correo electrnico ni datos. Para aumentar la proteccin contra el uso no autorizado, no existe ningn rea de transicin entre el servidor y el dispositivo BlackBerry en el que se descifren los datos. Otro punto es que BlackBerry Enterprise Server slo permite conexiones autenticadas de salida a travs del puerto 3101 del firewall. No es posible ejecutar comandos sin autorizacin porque no se permite el trfico entrante de fuentes distintas del dispositivo BlackBerry o el servidor de correo electrnico. Slo se permiten comunicaciones que se puedan descifrar con una clave de cifrado vlida entre el servidor y la red mvil.

3.1.2 Proteccin antirrobo de los dispositivos BlackBerry RIM tiene una patente para un sistema antirrobo. El cual consta de un sistema que llevara el usuario siempre consigo y que determinara en todo momento que el Blackberry se encuentre dentro de un rango definido. Si por cualquier motivo el dispositivo Blackberry saliera de ese rango de espacio, el sistema se pondra en marcha y exigira al poseedor del terminal que introdujera en un tiempo predefinido un cdigo. Si no lo hace, el dispositivo Blackberry quedara inutilizado.

3.1.3 Seguridad de las aplicaciones BlackBerry: firma de cdigo y certificados digitales Las aplicaciones MDS de BlackBerry creadas con BlackBerry Java Development Environment (JDE), que poseen cierta funcionalidad, como la capacidad de ejecutarse al inicio o de acceder a datos de aplicaciones potencialmente confidenciales, requieren que los desarrolladores registren sus aplicaciones con RIM. Esto aporta proteccin al proporcionar un mayor nivel de control y previsin a la carga y comportamiento de aplicaciones en dispositivos BlackBerry. Adems, BlackBerry Signing Authority Tool ayuda a proteger el acceso a la funcionalidad y los datos de aplicaciones de otros fabricantes habilitando a un administrador o desarrollador corporativo para que administre el acceso a API y almacenes de datos confidenciales especficos mediante el uso de software de servidor y claves de firmas pblicas y privadas. Para proteger una aplicacin de BlackBerry MDS Studio contra la manipulacin, los desarrolladores corporativos pueden firmar un grupo de aplicaciones con un certificado digital descrito con un alias. Pueden utilizar una autoridad de certificado (CA) de confianza o un certificado de su creacin firmado por ellos mismos. BlackBerry MDS Studio genera y firma aplicaciones con certificados que cumplen con el estndar de infraestructura de clave pblica (X.509). 3.1.4 BlackBerry Smart Card Reader BlackBerry Smart Card Reader es un lector de tarjetas Smart Cards que permite un acceso controlado a dispositivos BlackBerry.

3.2 Seguridad de BlackBerry para la transmisin de datos

RIM (Research In Motion) asegura que sus productos trabajan con varios standards de Internet, tales como: SSL, TLS, S/MIME y PKI. BlackBerry Enterprise Solution ofrece 2 opciones de cifrado de transporte, cifrado AES y Triple DES, para todos los datos que se transfieren entre BlackBerry Enterprise Server y el dispositivo BlackBerry. Las claves de cifrado secretas se generan en un entorno seguro de autenticacin bi-direccional y se asignan a cada usuario de BlackBerry. Cada clave secreta se almacena slo en el buzn de correo seguro de Lotus Domino y en su dispositivo BlackBerry y el usuario la puede volver a generar de forma remota. BlackBerry Enterprise Server cifra los datos que se envan al dispositivo BlackBerry con la clave privada que se recupera del buzn de correo del usuario. La informacin cifrada se transmite de forma segura por la red hasta el dispositivo, donde se descifra con la clave almacenada en el mismo.

Los datos permanecen cifrados mientras se transmiten y nunca se descifran fuera del firewall corporativo.

3.2.1 Autenticacin RSA SecurID para autenticacin en 2 sentidos BlackBerry MDS Services de BlackBerry Enterprise Server admite la autenticacin RSA SecurID, lo que proporciona a las organizaciones autorizacin adicional cuando los usuarios acceden a datos de aplicaciones o intranets corporativas en sus dispositivos BlackBerry. BlackBerry MDS Services utiliza RSA ACE/Agent Authorization API 5.0 para actuar como interfaz con servidores RSA ACE. Con esta solucin, cuando un usuario navega hasta un sitio o aplicacin que requiere autorizacin, se le solicita su Cdigo de Identificacin Personal (PIN) secreto y su cdigo de token, el cual cambia automticamente cada 60 segundos.

3.2.2 HTTPS para acceso seguro a datos BlackBerry MDS Services acta como gateway seguro entre la red mvil e intranets corporativas e Internet. Utiliza el protocolo de transporte cifrado AES o Triple DES de BlackBerry y tambin activa conexiones HTTPS a servidores de aplicaciones. Los dispositivos BlackBerry admiten la comunicacin HTTPS en 2 modos, en funcin de los requisitos de seguridad corporativos: Modo proxy: se crea una conexin SSL/TLS entre BlackBerry Enterprise Server y el servidor de aplicaciones para el dispositivo BlackBerry. Los datos del servidor de aplicaciones se cifran con AES o Triple DES y se envan a travs de la red mvil al dispositivo BlackBerry. Modo integral: cifra los datos a travs de SSL/TLS para toda la conexin entre el dispositivo BlackBerry y el servidor de aplicaciones, lo que hace que las conexiones del modo integral sean las ms adecuadas para aplicaciones en las que slo se confa en el origen y destino de la transaccin.

10

3.2.3 S/MIME Support Package para BlackBerry Enterprise Solution Permite a los usuarios de BlackBerry la utilizacin de S/MIME para firmar y encriptar los correos; posee un add-on S/MIME Support Package que permite brindar esta solucin para clientes como: Microsoft Exchange, Outook, Outlook Express y los servidores de correo: Microsoft Exchange 5.5,2000, 2003 e IBM Lotus Domino 5.0.3 o superior. El S/MIME Support Package incluye herramientas para obtener los certificados digitales y transferirlos a los dispositivos BlackBerry; permitindoles que, desde estos, se pueda desencriptar los mensajes recibidos as como tambin firmar, encriptar y enviar mensajes S/MIME. Los dispositivos BlackBerry encriptan los mensajes utilizando TripleDES por defecto pero tambin tienen la posibilidad de usar: AES (256 bit), AES (192 bit), AES (128 bit), CAST (128 bit), RC2 (128 bit), RC2 (64 bit) y RC2 (40 bit); lo cual, una vez definido, se puede configurar a travs de una poltica. 3.2.4 PGP Support Package para BlackBerry Enterprise Solution PGP Support Package se ha diseado para incrementar el nivel de seguridad que ofrece BlackBerry Enterprise Solution. PGP Support Package es un software de terceros para dispositivos BlackBerry que ofrece soporte para PGP Desktop y PGP Universal. Este soporte permite a las empresas que cuentan con una infraestructura PGP extender esta infraestructura en movilidad mediante dispositivos BlackBerry. El PGP Support Package incluye herramientas para obtener las claves PGP y transferirlas a los dispositivos BlackBerry; sin PGP Support Package los dispositivos BlackBerry reciben los mensajes protegidos con PGP como archivos de texto cifrados. 3.2.5 Compatibilidad con el cifrado de correo electrnico de Lotus Notes La compatibilidad de BlackBerry con el cifrado de correo electrnico de Lotus Notes se ha creado para aumentar la facilidad de uso de BlackBerry Enterprise Solution. BlackBerry Enterprise Server versin 4.1 es compatible con el cifrado de Lotus Notes y permite que los dispositivos BlackBerry puedan leer correo electrnico cifrado de Lotus Notes.

4. Referencias
http://www.blackberry.com http://www.securitytracker.com http://www.internetnews.com

Pablo Sobrero - Consultor CYBSEC

CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Informacin. Su rea de servicios cubre Latinoamrica y ms de 200 clientes acreditan la trayectoria empresaria. Para ms informacin: www.cybsec.com. 2007 CYBSEC S.A.

11