miércoles, abril 27, 2011

El Senado de EEUU y la localización de iOS (Act)

Estas dos últimas semanas ha habido bastante polémica por la base de datos consolidate.db que existe en los iPhones, y que guarda información de coordenadas, levantando ciertas controversias sobre la privacidad de la plataforma (también aquí). Uno puede creerse o no las explicaciones que ha dado Apple sobre el porqué de esa base de datos, pero desde luego lo que yo no me creo son los golpes de pecho del Senado americano respecto a la privacidad y lo preocupadísimo que están por este problema de Apple.

  • Supongo que sus señorías habrán olvidado la existencia de CALEA, una ley para el pinchado de todo tipo de comunicaciones aprobada en 1994.
  • También habrán olvidado el dinero gastado en la plataforma DCSNet por parte del FBI.
  • Gracias a Alberto, me ha pasado los planes de la administración Obama para sistema de identificación de todo el que acceda a internet.

En lineas generales, no deja de ser divertido la repentina preocupación que tienen los gobiernos por este tipo de casos, cuando son los primeros que aprueban leyes para interceptar comunicaciones con la mayor impunidad posible.

Actualización

La nota de prensa sobre el tema de Apple.


Technorati Tags: ,,Apple

lunes, abril 18, 2011

Los problemas de seguridad de los Smartphones (Act)

Durante los últimos años hemos vivido un aumento de las prestaciones de los teléfonos móviles, culminando en las dos plataformas, a día de hoy, por excelencia de este mercado, el iPhone de Apple y los fabricantes que han abrazado a Android como sistema operativo. Tenemos más potencia de cálculo en cualquiera de esos teléfonos, con gigas de almacenamiento y algunos con hasta un giga de RAM que lo que era habitual en un PC de sobremesa no hace mucho. Alrededor de las plataformas han empezado a aparecer aplicaciones para dotar de más funcionalidad a los móviles.

Sin embargo, y a pesar del intento de los fabricantes, en especial Apple, por controlar que se ejecuta en las plataformas, los problemas de seguridad han hecho acto de presencia, y se han ido corrigiendo con mayor o menor grado de éxito. Sin embargo, no siempre han aparecido versiones de los sistemas operativos que ejecutan los móviles para todos los sistemas. Los ciclos de desarrollo y soporte de producto (unos cuatro años Apple, el caso que más conozco), ha dejado a todos los usuarios de móviles más antiguos que el 3G sin recibir importantes actualizaciones de seguridad. Esto es aplicable a muchas otras platoformas móviles, porque no suele ser normal que los usuarios actualicen el firmware de los mismos. No está mal recordar que Microsoft tuvo que implementar el Windows Update para que los usuarios de sus sistemas operativos instalaran las correcciones de los programas que iba publicando.

Sin embargo, me voy a centrar en un problema que salió a la luz pública hace unas semanas para darnos cuenta de los problemas que pueden surgir por la falta de actualización de los móviles: Hace unas tres semanas se supo que la autoridad de certificación Comodo había sufrido una intrusión que permitió generar varios certificados fraudulentos. Comodo es una autoridad de certificación que por defecto está incluida en Windows, MacOS X y Firefox, y es más que probable que esté incluida en varias plataformas móviles que usamos. Leyendo sobre en Sophos sobre los certificados fraudulentos, vemos que cualquiera que los tenga, podrá hacerse pasar por las máquinas HTTPS encargadas de gestionar los procesos de accesos a Gmail o Hotmail: Un tercero podría robar nuestras contraseñas sin problemas, puesto que estos certificados fraudulentos están firmados por una autoridad de certificación en la cual la mayoría de los navegadores confían por defecto.

Una vez que se descubrió el problema, empezaron a aparecer parches para todos los sistemas, donde ponían en una lista de negra dichos certificacos, para evitar los fraudes. ¿Para todos los sistemas?. ¿Qué pasa con las plataformas móviles?.

Pues por poner un ejemplo, para el iPhone 3G no hay ningún parche que cierre este boquete de seguridad. En otras plataformas, por ejemplo la multitud de móviles de Nokia que tienen navegador, es complicado saber si existe una actualización para este tipo de cosas. Y lo peor, al menos en la versión 4.2 de iOS que es la que lleva el 3G es que no hay manera de saber si la gestión SSL del mismo utiliza algún tipo de protocolo como OCSP o listas de revocación de certificados para comprobar la validad de los certificados SSL que le muestran lo servidores, llegando el caso de que navengando desde un dispositivo con este problema consigan engañar al sistema y se conecte a un servidor malicioso haciéndose pasar por cualquiera de los sitios legítimos. Y todo tanto por la falta de dilegencia de Apple para parchear estos agujeros como de la falta de información de las plataformas móviles para saber si hay que actualizar los sistemas.

Como colofón, en MacOS X para los que tengáis una versión vieja, se puede configurar el sistema para que consulte a servidores OCSP o listas de revocación para comprobar la validez de los certificados que nos dan los servidores.

Actualización

Tras buscar, he conseguido la lista de certificados raíces de iOS 3.x y la lista de certificados raíces de iOS 4.x, donde podemos ver el certificado raíz de comodo:

C=GB,ST=Greater Manchester,L=Salford,O=COMODO CA Limited,CN=COMODO Certification Authority
Subject Name
    Country Name           : GB
    State or Province Name : Greater Manchester
    Locality Name          : Salford
    Organization Name      : COMODO CA Limited
    Common Name            : COMODO Certification Authority
Issuer Name
    Country Name           : GB
    State or Province Name : Greater Manchester
    Locality Name          : Salford
    Organization Name      : COMODO CA Limited
    Common Name            : COMODO Certification Authority
Version                    : 3
Serial Number              : 4E 81 2D 8A 82 65 E0 0B 02 EE 3E 35 02 46 E5 3D
Signature Algorithm
    Algorithm              : SHA-1 with RSA Encryption
    Parameters             : none

De este tema hablan también en Update your Apple devices to iOS 4.3, or risk malicious code attacks en Nakedsecurity.


Technorati Tags:

domingo, abril 17, 2011

Apple y Samba

Hace no mucho leía la noticia de que Apple iba a dejar de usar Samba en MacOS X para conectarse a redes de que utilicen el protocolo SMB, es decir , el protocolo que se utiliza en Sistemas operativos Windows para compartir recursos. Apple nunca ha tenido inconveniente en usar programas de fuentes abiertas en cualquiera de sus sistemas, publicando incluso parte de sus desarrollos con licencias opensource. ¿Qué razones puede haber detrás de esta decisión?. Puede haber varias, pero creo que la fundamental tiene que ver con el uso de binarios firmados tanto en iOS como en las ultimas versiones de MacOS X y el cambio de licencia a GPL 3 de Samba.

Una de las nuevas cláusulas la GPL3 es la llamada antiTivo: si tu distribuyes un binario de un programa bajo licencia GPL 3 que deba de ser firmado digitalmente para que se ejecute en un determinado dispositivo, tienes que distribuir las claves necesarias para poder llevar a cabo el proceso de firmado.

Como Apple esta firmando binarios tanto en iOS como en MacOS X, e iOS sigue un modelo de aplicaciones del jardín vallado, en el cual cualquier aplicación debe ser validada y formada por Apple previamente para publicarse en la AppStore y poder ejecutarse en los dispositivos que utilizan iOS, si Apple quisiera usar Samba para dar acceso a redes de Windows en cualquiera de ellos, se vería obligada por la licencia a publicar dichas claves necesarias para poder firmar los binarios. Por lo tanto tendría que buscar otra suite de protocolos SMB para iOS. En vez de mantener dos bases de código, ha decidido usar una alternativa a Samba y mantener una sola base de código.

Tras la aparición en MacOS Forge de DCERPC, puede que parte del código que use Apple para esta implementación sea de fuentes abiertas.

Sin embargo, eso no quiere decir que Samba deje de funcionar bajo MacOS X. A fin de cuentas, siempre se podrá compilar bajo el sistema. Es más, Apple lo ofrece en su sección de descargas.


Technorati Tags: ,

viernes, abril 15, 2011

Software en un ordenador desfasado con MacOS X

Por necesidades del guión, de vez en cuando vuelvo a usar mi viejo iBook G4. Ya sea para ir de viaje, ya sea porque tengo el otro ordenador ejecutando un proceso que puede durar varios días. A pesar de tener cinco años y que está anclado en la versión 10.4 de MacOS X (Tiger). Teóricamente, podría subirlo a la versión de 10.5, Leopard, que me daría algún soporte de seguridad más, mientras Apple no saque la nueva versión del sistema. Como tampoco tengo demasiado claro como va a ir en un G4 con 1,256 GB de RAM, no lo he actualizado todavía, así que el otro día decidí darle un repasito para tenerlo un poco más en condiciones.

Dado el actual estado de las cosas en Internet, es imprescindible tener un navegador web que tenga el máximo número de problemas de seguridad corregidos. La primera opción es sin duda Firefox, pero tiene un problema: Mozilla en la versión 4 ha decidido no hacer compilaciones para PowerPC y versiones antiguas del sistema. Sin embargo, como es de fuentes abiertas, hay un grupo de voluntarios que se ha animado a portar hacia atrás el navegador en el proyecto TenFourFox. De esta manera podemos disfrutar de un navegador reciente y bien parcheado en nuestro ordenador.

Por desgracia no es fácil actualizar otro componente fundamental: El FlashPlayer. Actualmente, el plugin encargado de ejecutar los ficheros flash, se ha convertido en una de los vectores de infección favoritos, debido a que tiene un número bastante elevado de problemas de seguridad. La opción que he tomado, es desactivar dicho plugin en el navegador, TenFourFox. Llegado el caso, y entendiendo que hay páginas en las que se puede confiar, como podría ser YouTube, activaría el plugin. En el caso de Safari, siempre se puede optar por Clicktoflash que nos permite bloquear la ejecución de contenido que necesite el flash player.

Como editor de texto, sigo usando vim, concretamente el port para Mac MacVim, el cual tiene una versión para MacOS X 10.4 Tiger

Existe algunas vulnerabilidades a nivel de sistema operativo, aquí tengo pocas opciones aparte de actualizar a Leopard (bueno, también podría actualizar a Debian, y usar la versión PowerPC), así que lo primero que hago es parar absolutamente todos los servicios que tengo corriendo en el ordenador y que puede tener un puerto abierto. Aparte se puede comprobar cual es el estado del firewall, ejecutando como root la orden ipfw list.

Supongo que cuando tenga tiempo, acabaré actualizando el ordenador a Leopard, aunque habrá que ver que tal va con un ordenador con este hardware. De todas maneras, tampoco está tan mal que todavía esté soportado un ordenador que tiene cinco años y que en mi caso compré justo cuando Apple migró a Intel, y que probablemente, haya sido uno de los ordenadores con los que más contengo haya estado.

Technorati Tags: ,

martes, abril 12, 2011

Como un gobierno puede cargarse la economía de una zona: Portugal

Siempre me ha sorprendido la avidez que tienen los Estados para recaudar impuestos, sólo comparables con la reticencias a dejar de gastar dinero en la administración pública. Eso es lo que he pensando cuando el gobierno en funciones portugués decidió poner un peaje en la autovía que une el Algarve con España a través del puente de Ayamonte, aunque de momento lo pone en suspenso. El coste sería unos 77 euros de un prepago que dura tres meses.

Cuando bajo a mi pueblo, en Huelva, suelo pasar a Portugal, ya sea a cenar un día, a comprar algunos de sus productos que me gustan bastante o simplemente a disfrutar de un paseo por Villareal de San Antonio o cualquiera de sus pueblos. Como yo, miles de onubenses y visitantes pasan todos los días por esa autovía, construida con fondos FEDER.

Lo que los señores del gobierno portugués no se dan cuenta es que de imponer este peaje:

  • La gente dejaría de visitar asiduamente el Algarve, tal como hacen ahora mucha gente de Huelva. No es cuestión de pagar 77 euros para irse a dar una vuelta. Te quedas en Ayamonte, Isla, Lepe o Cartaya. Las consecuencias para los cientos de restaurantes y de comercios que dependen durante gran parte del año de la gente de Huelva que pasa la frontera será catastrófica.
  • Los propios portugueses, muchos de los cuales pasan a hacer compras a Huelva, simplemente porque hay productos más baratos a este lado de la frontera, verían como tendrían que pagar más de buenas a primeras, reduciendo sus rentas.
  • Por un euro (seis pasar el coche) que cuesta coger la canoa en Ayamonte, hasta Villareal de San Antonio, es probable que los que todavía tengan ganas de pasar, prefieran los quince minutos del barco y los seis euros, que pagar 77 de peaje.
  • Los productos que exporten o importen tendría un coste adicional por los que tendrían que pagar los portugueses, tanto consumidores como exportadores, perdiendo en este último caso competitividad.

Supongo que los portugueses no querrán volver unos años atrás en su desarrollo económico, pero tengo la impresión que como sigan apoyando a gobiernos que toman este tipo de medidas, los viejos tiempos de cruzar la canoa, van a volver. No quiero ni pensar, lo que les puede pasar en regiones como el interior del Alentejo si el turismo se viene abajo.


Technorati Tags:

lunes, abril 04, 2011

Para quitarse el sombrero: Demo sobre un CPC 6128

Cuando esta mañana mirar reddit.programming y encontraba la referencia a la demo Batman Forever, pensaba que estaba ante una de las bromas del uno de abril de los americanos. Pero, la demo es real, y corre en un CPC 6128, con un Z80A a unos 4 Mhz y 128 Kb de RAM. Aquí os dejo el video de la demo.

Da una idea de lo que se puede llegar a exprimir el viejo Amstrad.

Technorati Tags: ,