[HACK] Opciones VPN "seguras" para iPhone

Roman Medina-Heigl Hernandez roman at rs-labs.com
Mon Apr 2 11:12:23 CEST 2012 

Jesus Cea escribió:
> Bueno, son riesgos calculados y, en muchos casos, (casi) inevitables.
> La parte que me preocupa es la WIFI local. Quiero poder conectarme en el
> Starbucks de forma segura. Que luego el FBI tenga un acuerdo con mi
> proveedor de hosting y me estén haciendo la puñeta no me preocupa para
> el día a día.

Ya que hablas de riesgos... a lo mejor resulta más probable que te tengan
pinchado el tlf/conexión de internet (ya no hablo de FBI sino fuerzas del
Estado más cercanas: GC, Policía, etc) que ocurra alguno de los otros
eventos de los que te estás tratando de proteger :P

> (y lo resuelvo de otras maneras que no voy a detallar aquí :-).

Me imagino algunas... Pero no te las quiero pisar :P

> En mi mensaje original, y que tan hábilmente has "quoteado"
> selectivamente :-), hablaba de usar el 3G/GPRS cuando estoy con un
> cortafuegos capullo que no deja salir mi VPN *del portátil*. En ese
> caso hago tethering con el teléfono y canalizo mi VPN del portátil a
> través del móvil, saltándome ese cortafuegos.

No he tratado de quotear nada de forma (maliciosamente) selectiva. Por lo
que yo entendí equiparabas, en términos de Seguridad, 3G y GPRS. De ahí mi
apunte.

> Por tanto, aunque me crujan el GPRS, no pasa nada, porque el tráfico
> de mi portátil por ahí va por VPN.

De la misma forma, si tu "sistema" (fw de salida + vpn) está bien montado,
te debería de dar (casi) igual salir por GPRS que por Wifi (es más, te iría
más rápido la wifi :P).

>> Esto sí que no tiene sentido. No puedes ser hiperparanoico por un 
>> lado (PGP con pass cada 5 min? omg!)
> 
> Nunca he dicho que sea perfectamente consistente. Hay rutinas mentales
> difíciles de cambiar.

jeje. Cada uno es como es :). Pero aquí estamos tratando de razonar las
cosas desde un punto de vista objetivo (yo por lo menos :)).

> Hay entornos en los que prefiero no bloquear mi portátil. En un
> entorno con mucha gente puedo preferir dejar el portátil abierto y
> confiar en que la presión social va a impedir que nadie toque mi
> portátil, más que bloquearlo y luego meter mi clave de usuario para
> desbloquearlo, sabiendo que la va a ver todo dios.

Hombre... No me creo que escribas la contraseña con un dedo, pulsando una
tecla cada segundo. Más bien al contrario: cagando leches, y poniéndote
encima del teclado para "taparlo".

>> Los "sitios gordos" también pueden ser una selva. Me imagino que
>> eres de los que definen la MAC del default router en estático 
>> (/etc/ethers) para evitar el MitM (hasta que un día cambien la
>> tarj del router sin avisar y te encuentres que te has quedado sin 
>> conexión)...
> 
> Pues sí, ya me ha pasado más de una vez :-). Puto VRRP :-p. Menos mal
> que tengo acceso al servidor hospedado por KVM a nivel de hardware :).

Dichoso tú. Un KVM-IP en un hosting vale pasta (lógicamente también depende
de lo "buen cliente" que seas). Y perder disponibilidad por ser
extremadamente paranoico también :)

Siempre hay que buscar un grado intermedio: simplemente monitorizando la
tabla ARP, y los paquetes ARP creo que ya es una seguridad aceptable. Digo
"creo" porque es mi opinión, algo subjetivo por tanto :) Quizás soy un
blandengue :)

>> No si en tu configuración de red (de Windows, por decir algo), le 
>> has dicho que tome la IP/mask/router por DHCP pero los DNS los
>> deje siempre estáticos. Por más que te tiren la Wifi, tu DNS no 
>> cambiaría.
> 
> ¿Y no puedes inyectar una ruta específica diciendo que para llegar a
> la 8.8.8.8 no uses la ruta por defecto (el túnel), sino una ruta
> molona, local y con mejor métrica, hacia 192.168.1.10?.

Más sencillo: te pones tú como ruta por defecto con mejor métrica. Así pasa
 todo por tí y terminas antes (si no, tendrías que saber de antemano qué
IPs de DNS está usando la víctima). Cierto, DHCP tiene sus problemas.
Añádelo a tu charla :P

> - VPN a prueba de bomba.
> 
> - Cifrado de disco duro a prueba de bomba... y de la mujer de la
> limpieza que no es lo que parece :-).

También me parece interesante. Incluye todos los ataques, ya conocidos,
tipo extraer el chip de memoria y "enfriarlo", ataques DMA vía Firewire,
etc. Que son los que te permitirían sacar tu clave de cifrado.

Por último, ¿en esta lista solo estamos tú y yo? ¿A nadie le gusta el tema?
¡Los siguientes mails los vamos a tener que intercambiar en privado! }:-)
Ahora en serio: sería interesante conocer otros puntos de vista. Yo por mi
parte no tengo nada más que añadir; me queda muy clara tu postura y de
hecho, al 90% la comparto :)

Saludos,
-Román

More information about the hacking mailing list