[HACK] Opciones VPN "seguras" para iPhone

Sat Mar 31 06:27:25 CEST 2012

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El 29/03/2012 4:06, Jesus Cea escribió:
> En mi caso no necesito ser invisible o atravesar cortafuegos nazis,
> sino asegurarme de que, pase lo que pase, nunca voy a transmitir
> tráfico sin cifrar. No puedo tolerar que un atacante me tire el túnel
> y que mi tráfico pase a estar abierto.

Haces bien en ser bastante paronoico. Pero lo que te quiero decir es que
al final sigues siendo vulnerable :)

> En redes muy capullas, salgo por el 3G y monto el túnel a través de él.
>
> Pasarme a GPRS haría que me fuese lento, pero seguiría siendo seguro.
>

Aquí no estás siendo coherente :P O sea, no utilizas Wifi porque es
inseguro (=te pueden sniffar) y por tanto, pasas al 3G/GPRS.
Desgraciadamente me he perdido las demos de Taddong (y mira que he
tenido ya unas cuantas oportunidades de verlas :)) pero creo recordar
que GPRS sí que te lo interceptaban. Luego para mí GPRS sería tan
inseguro como Wifi (vale que es mucho más probable que haya un tío
sniffando tu wifi, que un "Taddong cualquiera" con una estabación base
falsa al lado sniffándote el GPRS, pero siendo tan estrictos como estás
siendo tu en tu argumentación, el resultado es que ambos son inseguros).
>
> Por ejemplo, mi clave PGP para el correo electrónico tiene una
> passphrase que hay que introducir cada 5 minutos. Esto lo puse cuando
> estaba en la oficina, y no quería que alguien mandase un email si me
> voy a hacer pis y no bloqueo la pantalla.

Esto sí que no tiene sentido. No puedes ser hiperparanoico por un lado
(PGP con pass cada 5 min? omg!) y por otro te dejas el equipo sin
bloquear!! Yo en esto último sí que soy tajante: si me levanto de mi
sitio aunque sea para toser, casi instintivamente hago un Windows-L o
cualquier otra combinación de teclas/ratón para bloquear la pantalla
(Linux, Mac o lo que sea). Es un must-do.

> Pero ahora que me llevo el portátil por ahí, estoy pensando muy
> seriamente subir ese tiempo a una hora, o a cuatro. Me parece más
> seguro bloquear el ordenador cuando no estoy delante que tener cuidado
> con que el que tengo al lado en la conferencia se fije en una clave
> que meto CADA CINCO MINUTOS :-).
>

A veces hay que saber mirar más allá de la Seguridad y ponerse en el
otro lado (=del usuario). Yo como "usuario" (por muy entendido de
Seguridad que pueda -o no pueda- ser) no toleraría tener que meter la
pass cada 5 mins. Así que cuando diseñamos Seguridad, en nuestro
trabajo, p.ej, debemos saber entender y comprender a nuestro cliente
(usuarios, Negocio...). Muchas veces les exigimos cosas que ni nosotros
mismos, como usuarios, probablemente estaríamos dispuestos a aceptar (y
eso que somos profesionales de la Seguridad y estamos concienciados con
ella así que imagínate lo que pensará el usuario, al que la Seguridad
simplemente se la trae al pairo el 95 % de las veces).

> Otra opción es abrir la clave solo cuando estoy cerca, por ejemplo,
> controlado por Bluetooth.
>

Bluetooh? Lo estás arreglando... Otra tecnología de la cual no me fiaría
(en cuanto a Seguridad se refiere). Si te fijas al final estás añadiendo
complejidad, a mi modo de ver, innecesaria (seguro que para tí no lo es).

> Me fío más de una máquina hospedada por ahí fuera, en un sitio gordo,
> como terminador de túnel, que entrar en la WIFI de un hotel o de la
> Rooted sin usar cifrado :-).

Los "sitios gordos" también pueden ser una selva. Me imagino que eres de
los que definen la MAC del default router en estático (/etc/ethers) para
evitar el MitM (hasta que un día cambien la tarj del router sin avisar y
te encuentres que te has quedado sin conexión)... Pero aún así el
proveedor siempre te podrá sniffar porque la infraestructura es suya.
Siempre tienes un punto débil, lo mires por donde lo mires.

> Bueno, DHCP puede meterte una ruta hacia ese DNS público y capturar tu
> tráfico hacia él. Un atacante puede tirar tu WIFI y levantarla de
> nuevo sin cortar el túnel, inyectándote nuevas rutas y nuevos DNS.

No si en tu configuración de red (de Windows, por decir algo), le has
dicho que tome la IP/mask/router por DHCP pero los DNS los deje siempre
estáticos. Por más que te tiren la Wifi, tu DNS no cambiaría.

> Tras la rooted del año pasado pensé en presentar una charla sobre este
> tema para 2012, pero me pareció muy básico para el nivel de la
> conferencia. Pero cuanto más hablo con la gente de todo esto más me
> parece que sí valdría la pena escribir/presentar algo :-) ...
>
En la Rooted hay todo tipo de perfiles (créeme, que se de lo que me
hablo; para algo lo he parido). Quizás un 20% se aburriría (de todas
formas, siempre puedes meter algún chiste a lo Chema Alonso, para
amenizar :P) pero el otro 80% te lo agradecerá. Si te parece que estos
números no son admisibles, piensa si sería más conveniente dar una
charla sobre "heap overflows avanzados" (los números se invertirían: un
20% la entenderá -o podría llegar a entender- y el otro 80% no sacará
provecho de la charla porque no se enterará -por muy flipados que salgan
de la misma-).

Saludos,
- -Román
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.17 (MingW32)

iEYEARECAAYFAk92h6wACgkQ5H+KferVZ0KzawCbBG2dLPi8a1gYgqi7FlqkkKbI
PS0AoMdTftEgVfoxbMxjAue5XMGPlxHX
=tbYW
-----END PGP SIGNATURE-----

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4962 bytes
Desc: Firma criptogr??fica S/MIME
URL: <https://mailman.jcea.es/pipermail/hacking/attachments/20120331/58407b69/attachment.p7s>