Sobre el cifrado a prueba de gobiernos de iOS 8

iOS 8

Una de las nuevas funcionalidades que ofrece la recién estrenada iOS 8 a los dispositivos iPhone e iPad de Apple es el cifrado mediante clave derivada a partir del PIN de los datos que contiene, incluidos los dispositivos antiguos que soporten la actualización a esta nueva versión del sistema operativo.

Dicho cifrado protegido por una clave derivada basada en el código PIN, descrito con detalle en la guía de seguridad iOS de Septiembre,  imposibilitaría a la propia Apple a descifrar el contenido de uno de estos dispositivos ante cualquier petición por parte de gobiernos, agencias y fuerzas de seguridad, y así lo han anunciado en su web hace unos días, Apple cannot bypass your passcode and therefore cannot access this data. So it’s not technically feasible for us to respond to government warrants for the extraction of this data from devices in their possession running iOS 8.

Dado que el proceso criptográfico está ligado a datos únicos que cada procesador lleva al salir de fábrica, el atacante/gobierno necesitaría probar las posibles combinaciones en el propio dispositivo.

Más allá del lavado de cara de Apple con esto, el cual ha forzado a Android a anunciar que el cifrado de dispositivo (disponible desde hace tiempo) vendrá activado de serie en su próxima versión, Apple se ha dejado alguna puerta abierta que posibilitaría a la maquinaria coercitiva del gobierno acceder a lo que creemos que está seguro en nuestro dispositivo.

En aras de la máxima facilidad de uso iOS 8 permite que iTunes y XCode (esto les sonará más a los desarrolladores de apps) se conecten y tengan acceso a los datos que hay en el dispositivo incluso cuando este desconecta la pantalla y se bloquea, sin necesidad de ningún PIN o password para tener acceso al contenido del iPhone/iPad.

Esto sucede al tener pareado el dispositivo con el iTunes o Xcode del ordenador porque iTunes/Xcode se quedan con una copia de las llaves de cifrado del dispositivo para permitir esta funcionalidad (es un poco más complejo lo que parece hacer iTunes, pero no intento que esto sea un artículo técnico) que no necesitan de código PIN o clave alguna para funcionar, tan cómoda como insegura.

Si un agente del gobierno nos requiere el dispositivo, la mejor opción es apagarlo, ya que hasta que no metemos el PIN por primera vez tras volverlo a encender, el sistema que permite a iTunes conectarse no está operativo y siempre podremos alegar que no recordamos el PIN de acceso, sin opción a que puedan ir a nuestro domicilio a conectarlo al ordenador con iTunes.

Nota: Esto solo ha sido una pequeña prueba de concepto sin utilizar herramientas forenses ni complicados métodos de ataque buscando vulnerabilidades, tan solo un iPad con iOS 8, un PIN para bloquearlo y un ordenador con la última versión de iTunes pareado con el dispositivo.

 

 

#BOFHers Herramientas para Google Chrome

Inspirado en este post sobre herramientas para Iceweasel/Firefox del gran Daboblog os comparto las herramientas/plugins que uso en Google Chrome y que os pueden resultar útiles para detectar problemas y valorar la seguridad de las páginas web que visitáis.

plugins

 

Voy a dividir en dos las herramientas, por un lado las de uso general y luego las especializadas en información, seguridad y de apoyo al pentesting.

Uso General

Do Not Track Me

Muy útil si nos os gusta ser rastreados por los múltiples servicios para anunciantes que hay disponibles. Un pellizco más de privacidad en un mundo donde cada día se diluye más este concepto.

AdBlock

No confundir con AdBlock Plus, este no muestra ni la publicidad no invasiva como el otro. Muy efectivo en páginas de torrents.

TamperMonkey

Un clon de GreaseMonkey, nos permite gestionar scripts de usuario de manera sencilla, activarlos o desactivarlos, importarlos, etc.

He dudado bastante en poner este plugin, mal usado puede resultar peligroso para el usuario.

Hay scripts como SaveTube que nos pueden servir de ayuda para descargar vídeos y audios de Youtube, Vimeo, IMDB, etc.

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

SaveTube añadiendo un desplegable para descargarnos un vídeo en diferentes formatos y resoluciones

Otros como Green SSL Password Field que nos avisan cuando un formulario con un campo de tipo password se va a enviar a través de una conexión cifrada SSL.

Formulario con campo de clave enviado a través de HTTPS

Formulario con campo de clave enviado a través de HTTPS

 

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Otro formulario idéntico pero que no usa HTTPS para enviar los datos cifrados.

Y luego auténticos fakes como Salesforce Field Security Profile Helper, que suena muy bien, está orientado a un usuario con un perfil más de ventas que técnico, y que en realidad se trata de un script para hacer “Me gusta” en tu nombre cuando accedas a tu cuenta de Facebook desde el navegador.

Antes de instalaros un script, a falta de tener conocimientos para ver que hace el código fuente, elige aquellos que tengan bastantes revisiones y buena puntuación en la web de UserScripts.

Uso Profesional

HTTP Headers

Visualiza de manera rápida las cabeceras que devuelve el servidor web de la página que estás visitando.

Edit This Cookie

Permite visualizar las cookies de una web y variar su contenido. Muy útil para evaluar como manipula una web los datos que recibe a través de las cookies que envía el navegador web del usuario.

Os sorprendería saber cuantas webs confían en los datos recibidos y no los sanean, algunos incluso los usan para generar consultas en la base de datos, por lo que son vulnerables a ataques de inyección de SQL.

Wappalyzer

Realiza un análisis de las tecnologías web que usa la página que estamos visitando, desde el CMS (Joomla, Drupal, WordPress) a Google Analytics, JQuery, PHP, Python… detecta más de 500 tecnologías y servicios diferentes.

Web Developer

Del mismo autor que el conocido plugin para Firefox. Es un conjunto de utilidades que nos permiten manipular la web, diseño, formularios, cookies, etc.

Form Fuzzer

Para realizar Fuzz Testing en formularios.

Proxy SwitchySharp

Permite crear perfiles de Proxy y cambiar entre ellos de manera sencilla. Muy útil cuando tienes que hacer pruebas con ZAP, MitM Proxy, etc.

Cache Killer

Para limpiar la caché de Chrome antes de cargar una página.

XSS Rays

Scanner XSS, herramienta de ingeniería inversa, etc.

WebSecurify

Conjunto de utilidades para testear la seguridad de sitios web. Dispone de varios plugins gratuitos y muchos más de pago porsubscripción (los más interesantes).

Port Scanner

Plugin para escanear los puertos del servidor que aloja la web que estamos visitando.

HPP Finder

Testea si la web y sus formularios son vulnerables al HTTP Parameter Pollution. Más información sobre HPP en este post de Chema Alonso.

IP Address and Domain Information

Completa información sobre la IP, proveedor y dominio de la web que visitamos.

ModHeader

Manipulación de las cabeceras que se envían al servidor.

Algunas funciones están repetidas, como la manipulación de cabeceras y cookies en diferentes plugins… Confieso que es por vagancia ya que unos son más rápidos de usar que otros (Web Developer) aunque sean menos completos.

Nota: El uso de estas herramientas no debe substituir nunca una buena auditoría de seguridad de vuestras webs y de los servidores en las que están alojadas.