Buenas, <br><br>Para Android yo he implementado VPN + iptables para forzar el trafico a ir cifrado siempre.<br>Podeis ver el documento original que habla de ello en:<br><br><a href="http://www.sans.org/reading_room/whitepapers/sysadmin/securely-deploying-android-devices_33799">http://www.sans.org/reading_room/whitepapers/sysadmin/securely-deploying-android-devices_33799</a><br>
(pagina 9 punto 3.3)<br><br><br><br><br>Un saludo, Angel<br><br><div class="gmail_quote">2012/3/23 Agustin Campos <span dir="ltr"><<a href="mailto:aguscampos@gmail.com">aguscampos@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<p>Se agradecería que también se encontrase esa respuesta para el Android.</p>
<p>Escrito desde mi Android </p>
<div class="gmail_quote">El 23/03/2012 15:21, "Jesus Cea" <<a href="mailto:jcea@jcea.es" target="_blank">jcea@jcea.es</a>> escribió:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div class="h5">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
A ver si no me dais de palos.<br>
<br>
Tras bastante esfuerzo, he montado una VPN en mi iPhone para poder<br>
utilizar redes potencialmente hostiles con confianza. Eso incluye<br>
cuando pierdo el 3G y salgo por GPRS };-). (el 3G en la rooted va de<br>
coña en el momento en que se está dando la ponencia de intrusión en<br>
redes móviles... qué cosas, como si no se pudiese atacar en otro<br>
momento };-).<br>
<br>
Pero es evidente que la opción VPN del iPhone está pensada para entrar<br>
en redes corporativas, y no para canalizar todo tu tráfico a través<br>
suya, de forma segura:<br>
<br>
- - Hay que activarla manualmente.<br>
<br>
- - Si la VPN se pierde, no se restablece automáticamente.<br>
<br>
- - No hay forma de indicarle al teléfono (que haya encontrado) que no<br>
utilice la red si la VPN no está disponible.<br>
<br>
El escenario de ataque evidente es el siguiente:<br>
<br>
- - Me conecto a la WIFI del Starbucks.<br>
<br>
- - Aquí empieza a haber tráfico que no va cifrado... Dado que el iphone<br>
no tiene multitarea, básicamente serían cosas como las notificaciones<br>
PUSH, etc., de Apple, que de por sí van por HTTPS, o correo<br>
electrónico que más te vale que vaya cifrado también, sin necesidad de<br>
VPN. Bueno...<br>
<br>
- - Activo la VPN manualmente y espero a que me aparezca el icono.<br>
<br>
- - Ahora lanzo una aplicación sensible. El tráfico va por la VPN.<br>
<br>
- - Si ahora se me cae la VPN, un atacante la bloquea y fuerza su<br>
timeout, etc., el tráfico empezará a circular en abierto y aunque esté<br>
absolutamente pendiente del icono, puede ser ya demasiado tarde.<br>
<br>
En un mundo ideal quisiera tener la VPN funcionando siempre y que si<br>
no está disponible, que simplemente el teléfono se niegue a enviar<br>
paquetes. Tal y como lo tengo en el portátil.<br>
<br>
Una opción que he pensado es configurar la red para utilizar un proxy<br>
por HTTPS. Entiendo que si el proxy no está disponible, no me dejará<br>
hacer nada. Pero eso solo funciona para WIFI, no GSM/UMTS, tendría que<br>
verificar que el teléfono comprueba el certificado SSL del proxy (lo<br>
que abre otro tipo de ataques, pero algo es algo) y, en todo caso,<br>
solo protegería tráfico web.<br>
<br>
¿Alguna idea?.<br>
<br>
Todo esto sin jailbreak, claro.<br>
<br>
- --<br>
Jesus Cea Avion _/_/ _/_/_/ _/_/_/<br>
<a href="mailto:jcea@jcea.es" target="_blank">jcea@jcea.es</a> - <a href="http://www.jcea.es/" target="_blank">http://www.jcea.es/</a> _/_/ _/_/ _/_/ _/_/ _/_/<br>
jabber / <a href="mailto:xmpp%3Ajcea@jabber.org" target="_blank">xmpp:jcea@jabber.org</a> _/_/ _/_/ _/_/_/_/_/<br>
. _/_/ _/_/ _/_/ _/_/ _/_/<br>
"Things are not so easy" _/_/ _/_/ _/_/ _/_/ _/_/ _/_/<br>
"My name is Dump, Core Dump" _/_/_/ _/_/_/ _/_/ _/_/<br>
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.10 (GNU/Linux)<br>
Comment: Using GnuPG with Mozilla - <a href="http://enigmail.mozdev.org/" target="_blank">http://enigmail.mozdev.org/</a><br>
<br>
iQCVAwUBT2yGjplgi5GaxT1NAQI5xAP+L5f/Bm5neKrJi8RgZzRbxJppQKBpE9pU<br>
RyOZ3Rzr6Xx4s1a0af21yVruKyDyI0ATsbLtaTSJQmknUwEQeAwm9SLBre82o+vu<br>
3dL12sti4RMplp10VhveNLiMBFqRoM+czTbp7+RmXXaZUIMJwQYsXK4ogtPkaRV1<br>
JEE2YM/IlnY=<br>
=ic6r<br>
-----END PGP SIGNATURE-----<br>
<br></div></div>
---------------------------------------------------------------------<br>
Para abandonar la lista, correo a: <a href="mailto:rootedcon-unsubscribe@listas.rooted.es" target="_blank">rootedcon-unsubscribe@listas.rooted.es</a><br>
Para otras peticiones, correo a: <a href="mailto:rootedcon-help@listas.rooted.es" target="_blank">rootedcon-help@listas.rooted.es</a><br>
<br>
</blockquote></div>
<br>_______________________________________________<br>
Lista - <a href="https://mailman.jcea.es:28443/listinfo/hacking" target="_blank">https://mailman.jcea.es:28443/listinfo/hacking</a><br>
FAQ - <a href="http://www.jcea.es/artic/hack-faq.htm" target="_blank">http://www.jcea.es/artic/hack-faq.htm</a><br>
"una-al-dia" para estar siempre informado - <a href="http://www.hispasec.com/" target="_blank">http://www.hispasec.com/</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div>Angel Alonso-Párrizas </div>
<div><a href="http://www.angelalonso.es/" target="_blank">www.angelalonso.es</a></div>
<div>+41766468927</div>
<div> </div>
<div><a href="http://www.angelalonso.es/" target="_blank"></a><br><span><span><br></span></span></div>
<div><br></div><br><br>
<div style="text-align:left;padding-bottom:0px;line-height:130%;margin-top:0px;padding-left:0px;padding-right:0px;word-wrap:break-word;color:black;margin-left:0px;font-size:10px;overflow:hidden;padding-top:0px"></div><br>