[HACK] Opciones VPN "seguras" para iPhone

Mon Apr 2 02:40:31 CEST 2012

Bueno, son riesgos calculados y, en muchos casos, (casi) inevitables.
La parte que me preocupa es la WIFI local. Quiero poder conectarme en el
Starbucks de forma segura. Que luego el FBI tenga un acuerdo con mi
proveedor de hosting y me estén haciendo la puñeta no me preocupa para
el día a día.

(y lo resuelvo de otras maneras que no voy a detallar aquí :-).

>> En redes muy capullas, salgo por el 3G y monto el túnel a través
>> de él.
> 
>> Pasarme a GPRS haría que me fuese lento, pero seguiría siendo 
>> seguro.
> 
> Aquí no estás siendo coherente :P O sea, no utilizas Wifi porque es
>  inseguro (=te pueden sniffar) y por tanto, pasas al 3G/GPRS. 
> Desgraciadamente me he perdido las demos de Taddong (y mira que he
>  tenido ya unas cuantas oportunidades de verlas :)) pero creo 
> recordar que GPRS sí que te lo interceptaban. Luego para mí GPRS 
> sería tan inseguro como Wifi (vale que es mucho más probable que
> haya un tío sniffando tu wifi, que un "Taddong cualquiera" con una 
> estabación base falsa al lado sniffándote el GPRS, pero siendo tan 
> estrictos como estás siendo tu en tu argumentación, el resultado
> es que ambos son inseguros).

En mi mensaje original, y que tan hábilmente has "quoteado"
selectivamente :-), hablaba de usar el 3G/GPRS cuando estoy con un
cortafuegos capullo que no deja salir mi VPN *del portátil*. En ese
caso hago tethering con el teléfono y canalizo mi VPN del portátil a
través del móvil, saltándome ese cortafuegos.

Por tanto, aunque me crujan el GPRS, no pasa nada, porque el tráfico
de mi portátil por ahí va por VPN.

> Esto sí que no tiene sentido. No puedes ser hiperparanoico por un 
> lado (PGP con pass cada 5 min? omg!)

Nunca he dicho que sea perfectamente consistente. Hay rutinas mentales
difíciles de cambiar.

Hay entornos en los que prefiero no bloquear mi portátil. En un
entorno con mucha gente puedo preferir dejar el portátil abierto y
confiar en que la presión social va a impedir que nadie toque mi
portátil, más que bloquearlo y luego meter mi clave de usuario para
desbloquearlo, sabiendo que la va a ver todo dios.

No será la primera vez que cambio la clave de mi cuenta para un
congreso, precisamente por eso. O que creo un perfil específico (por
ejemplo, para que no se vea todas las cosas jugosillas que tengo en mi
escritorio) con una clave chorras, y doy de baja ese usuario cuando
llego a casa.

En fin, la vida es dura.

> Yo como "usuario" (por muy entendido de Seguridad que pueda -o no
> pueda- ser) no toleraría tener que meter la pass cada 5 mins.

Tras cinco minutos de inactividad en el correo. Yo lo hago. Y si han
pasado 4 minutos y 55 segundos y no me pide la clave, me sorprendo y
pienso durante dos segundos qué ha pasado :-).

No digo que sea la forma en la que todo el mundo debería hacerlo. Es
la forma en la que yo lo hago. Y no digo que esté bien, digo que es
una rutina mental cultivada durante ¿15? años.

Soy consciente de que en mi entorno actual, trabajar en casa, no tiene
sentido. Pero es una rutina útil cuando NO estoy en casa, y
aplicándola siempre me ahorro tener que pensar. La neurona me hace
falta para otras cosas.

>> Otra opción es abrir la clave solo cuando estoy cerca, por 
>> ejemplo, controlado por Bluetooth.
> 
> Bluetooh? Lo estás arreglando... Otra tecnología de la cual no me 
> fiaría (en cuanto a Seguridad se refiere). Si te fijas al final
> estás añadiendo complejidad, a mi modo de ver, innecesaria (seguro
> que para tí no lo es).

No me refiero a presencia Bluetooth. Me refiero a un programa (python)
en mi móvil que implementa reto-respuesta con una prueba de
conocimiento cero y a prueba de MITM (para evitar extender mi rango
bluetooth de forma maliciosa :-). Bluetooth es solo un transporte de
pequeño alcance, conveniente. De hecho el móvil donde tengo eso no
tiene WIFI.

Mira, otro tema para la Rooted.

> Los "sitios gordos" también pueden ser una selva. Me imagino que
> eres de los que definen la MAC del default router en estático 
> (/etc/ethers) para evitar el MitM (hasta que un día cambien la
> tarj del router sin avisar y te encuentres que te has quedado sin 
> conexión)...

Pues sí, ya me ha pasado más de una vez :-). Puto VRRP :-p. Menos mal
que tengo acceso al servidor hospedado por KVM a nivel de hardware :).
De hecho tengo un programilla (python) para controlarme estas cosas en
el servidor. El log de hoy...

"""
[root at XXXX z]# svcs |grep -i arp
online         Jan_16   svc:/jcea/cache_arp:default
online         Jan_16   svc:/jcea/no_gratuitous_arp:default
[root at XXXX z]# tail /var/svc/log/jcea-cache_arp:default.log
Tue Mar 27 13:08:13 2012: La MAC del router cambia de 'XXX:1' a 'XXX:2'
Tue Mar 27 13:08:14 2012: Cache ARP ACTUALIZADA
Tue Mar 27 14:28:14 2012: La MAC del router cambia de 'XXX:2' a 'XXX:1'
Tue Mar 27 14:28:16 2012: Cache ARP ACTUALIZADA
Tue Mar 27 16:08:16 2012: La MAC del router cambia de 'XXX:1' a 'XXX:2'
Tue Mar 27 16:08:17 2012: Cache ARP ACTUALIZADA
Tue Mar 27 16:28:17 2012: La MAC del router cambia de 'XXX:2' a 'XXX:1'
Tue Mar 27 16:28:18 2012: Cache ARP ACTUALIZADA
Tue Mar 27 16:48:18 2012: La MAC del router cambia de 'XXX:1' a 'XXX:2'
Tue Mar 27 16:48:19 2012: Cache ARP ACTUALIZADA
"""

Dirección MAC cambiada para protegerme un poquillo, que no me fío ni
un pelo de vosotros :-). O de los archivos de la lista y Google :-)

Veo que mi hosting hace unos días que está tranquilo. Hay días que el
cambio de MAC es un sinvivir :-P.

Qué vida más dura....

> Pero aún así el proveedor siempre te podrá sniffar porque la
> infraestructura es suya. Siempre tienes un punto débil, lo mires
> por donde lo mires.

Lo sé. No es mi modelo de ataque para lo que estoy hablando ahora
mismo, que es usar la WIFI en la rooted :-p

Y hay formas... TOR+TLS, por ejemplo. Lástima que nadie use TLS...
debería ser obligatorio :-). Facebook, ya cifra, ¿no?. Mira, ya tienes
el 99.9% del tráfico "anonimizable" y "seguro" contra FBI y el
personal del datacenter :-p

> No si en tu configuración de red (de Windows, por decir algo), le 
> has dicho que tome la IP/mask/router por DHCP pero los DNS los
> deje siempre estáticos. Por más que te tiren la Wifi, tu DNS no 
> cambiaría.

¿Y no puedes inyectar una ruta específica diciendo que para llegar a
la 8.8.8.8 no uses la ruta por defecto (el túnel), sino una ruta
molona, local y con mejor métrica, hacia 192.168.1.10?.

>> Tras la rooted del año pasado pensé en presentar una charla
>> sobre este tema para 2012, pero me pareció muy básico para el
>> nivel de la conferencia. Pero cuanto más hablo con la gente de
>> todo esto más me parece que sí valdría la pena escribir/presentar
>> algo :-) ...
> 
> En la Rooted hay todo tipo de perfiles (créeme, que se de lo que me
>  hablo; para algo lo he parido). Quizás un 20% se aburriría (de
> todas formas, siempre puedes meter algún chiste a lo Chema Alonso,
> para amenizar :P) pero el otro 80% te lo agradecerá. Si te parece
> que estos números no son admisibles, piensa si sería más
> conveniente dar una charla sobre "heap overflows avanzados" (los
> números se invertirían: un 20% la entenderá -o podría llegar a
> entender- y el otro 80% no sacará provecho de la charla porque no
> se enterará -por muy flipados que salgan de la misma-).

Pues cuanto más lo pienso, más opino que es un tema básico que -en
general- está muy mal montado.

En concreto dos cosas:

- - VPN a prueba de bomba.

- - Cifrado de disco duro a prueba de bomba... y de la mujer de la
limpieza que no es lo que parece :-).

A ver para la próxima llamada a ponencias... :-), aunque sea con dos
años de retraso respecto a la idea original de 2011.

En todas estas conferencias siempre veo que todas las charlas son
sobre "ataques", y no hay nada de "defensa". Bueno, la de Yago de este
año, hilando fino...

- -- 
Jesus Cea Avion                         _/_/      _/_/_/        _/_/_/
jcea at jcea.es - http://www.jcea.es/     _/_/    _/_/  _/_/    _/_/  _/_/
jabber / xmpp:jcea at jabber.org         _/_/    _/_/          _/_/_/_/_/
.                              _/_/  _/_/    _/_/          _/_/  _/_/
"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQCVAwUBT3j1f5lgi5GaxT1NAQJkBAP8D0Hskko4UJSBYvpSB5SbWqYRfYHIRCyM
U+aJDjdN1icK1Uhi3YSfTo0moRN25S0uVHKr9eHIKhfRNFpLU/jsWbN48pbvAhZY
sw3RH8nCPGjJYlLr0joXtDTz8FXdoSuGVFxsSALmfuEeEQCaHI5Ax+4LowMsCzdp
U8G1gX6fNS0=
=WGUB
-----END PGP SIGNATURE-----