miércoles, octubre 31, 2018

Apple T2 Security Chip Overview

Apple acaba de publicar un informe sobre el chip T2 y las funciones que desempeña dentro de la plataforma Mac.

El chip tiene dos funciones bien diferenciadas:

  • Implementa varios controladores que se encargan del sonido, procesado de imagen, controlar la SSD y el manejo del sistema
  • Un coprocesador llamado Secure Enclave que se encargará de proporcionar seguridad a la plataforma y ser la raíz de confianza de todo el sistema de firma del sistema.

El documento de Apple se centra en la descripción de las funciones del Secure Enclave y como interactúa con el resto de los componetes de la plataforma, tanto de hardware como de software.

Según el documento publicado por Apple,este Secure Enclave incluido en el chip T2 va a ser el encargado de de dar soporte a todo lo relacionado con el cifrado y la gestión de las claves usadas en los procedimientos criptográficos que realice el ordenador. Además, se va a encargar de varias operaciones de cifrado sin que las claves usadas salgan del chip, ni siquiera a través de mecanismos de depuración como puede ser una interfaz JTAG.ve

El Secure Enclave contiene una clave AES, llamada UID, definida en la fabricación de cada chip. Esta clave nunca abandona dicho coprocesador y la única manera de obtenerla sería sacar el chip de la máquina y realizar una ingenieria inversa sobre el chip. Además, existe una segunda clave, llamada GID es común a todos los procesadores de una misma clase. Ambas claves se utilizan en un motor de cifrado que implementa el algoritmo AES implementado en el chip, de tal manera que el coprocesador cifrará los datos que se le pida y devolverá los resultados.

El Secure Enclave está situado entre el procesador y el acceso al almacenamiento SSD, de tal manera que es capaz de cifrar los datos de manera muy rápida cuando se almacenan en el SSD

Estas claves se utilizan para implementar una jerarquía de claves que se usará en las diferentes necesidades de cifrado que tenga el ordenador. Como estas claves depende de una única de cada dispositivo, una vez habilitado el cifrado de disco con FileVault, no podrá acceder a los datos ni siquiera cambiando la SSD de ordenador, ya que la clave de cifrado depende del chip T2. Esto nos deja una primera consecuencia importante: Si se te estropea el hardware del Mac, como no tengas una copia de seguridad externa, no vas a poder recuperar tus datos. Decir quie si no se ha activado FileVault, se usará la clave UID, con lo cual, tampoco se podrá sacar los chips y leerlo en otro ordenador.

Otra particularidad importante del Secure Enclave es que si fallamos demasiadas contraseñas, el chip ya no realizará más tareas de verificación de claves o intentos de descifrar el volumnen de datos:

To prevent malware from causing permanent data loss by trying to attack the user’s password, these limits are not enforced after the user has successfully logged into the Mac, but will be re-imposed after reboot. If the 30 attempts are exhausted, 10 more attempts are available after booting into macOS Recovery. And if those are also exhausted, then 30 more attempts are available for each enabled FileVault recovery mechanism (iCloud recovery, FileVault recovery key, and institutional key), for a maximum of 90 possible attempts. Once those attempts are exhausted, the Secure Enclave will no longer process any requests to decrypt the volume or verify the password

Otra misión que tiene el Secure Enclave es garantizar que los programas encargados de arrancar el Mac no han sido alterados. Para eso, se utiliza la firma digital de los mismos, apoyándose en la autoridad de certificación que está dentro del chip. Además, para evitar modificaciones, el primer código que se ejecuta no es actualizable, ya que se encuentra en una ROM dentro del propio chip T2. A partir de ahí, se irán verificando los diferentes componentes que forman la cadena de arranque.

Este chip también es el encargado de gestionar las huellas digitales que usa el sensor Touch Id y tiene incorporado un generador de números aleatorios para usar en las funciones criptográficas.

Este Secure Enclave no es algo nuevo: Apareció por primera vez en los iPhones que tenían sensor de huella digital. Y ha habido diversos intentos de ver como funciona o acceder a su firmware. Por ejemplo, la presentación de la BlackHat Demystifying the Secure Enclave Processor donde se analiza el firmware del mismo desde una de las actualizaciones de Apple. (también está disponible video de la charla, Demystifying the Secure Enclave Processor y el artículo con el mismo tema. Para los que os guste la ingeniería inversa, de obligada consulta.

Referencias

  1. informe sobre el chip T2
  2. Seguridad de iOS (iOS 11)
  3. Demystifying the Secure Enclave Processor
  4. Demystifying the Secure Enclave Processor, Diapositivas de la BlackHat

martes, octubre 30, 2018

Delatar a castellanohablantes en los colegios catalanes

(vía El Mundo) Según publica el Mundo, el gobierno regional de Cataluña quiere que alumnos y padres delanten a aquellos colegios donde no se cumpla aquellas órdenes en materia lingüistica que la correspondiente consejería de educación tenga a bien imponer. ¿Qué directrices son esas?.Recordemos que hace algunos años se publicaron noticias donde se castigaba a los alumnos que usaran el español al comunicarse o bien forzar a los alumnos a usar el catalán exclusivamente en el patio1.

Realmente, lo que ellos llaman inmersión lingüistica es mentira. El programa lingüistico catalán no busca un bilingüismo real entre el español y el catalán. Quiere que la única lengua que esté presente sea la catalana. Las multas por no rotular en catalán que se han ido imponiendo y la presencia de entidades como la Plataforma por la llengua o som escola lo demuestran2

Ahora, un hecho que me llama la atención es que todos ven como una barbaridad la agresión a una ciudada española en Londres por usar el español para comunicarse. Pero sin embargo, todas las barbaridades que se llevan realizando en Cataluña en contra de los que deciden usar el idioma español, importa bastante poco. A veces leer lo que publican panfletos como Vilaweb o Ara te da una idea bastante clara de cual es el juego y lo que piensan el independentismo del uso del español

Los años siguen pasando y me sigue sorprendiendo como los catalanistas han usado su lengua, una herramienta de comunicación, para establecer barreras. Y es una lástima, porque podrían funcionar con los dos idiomas perfectamente y al mismo nivel de importancia, pero sus dirigitenes políticos y parece que la parte más rural de la población no quiere.3. Canadá es un ejemplo de uso de bilingüismo. Aquí se llega al absurdo de ver a Ada Colau tener que traducir al español desde el catalán porque los presentadores de TV3 no les sale de los bajos hablar español.

Notas

  1. Esto ocurre porque la ley catalana considera la hora del patio como horario lectivo (artículo 10.4) y debe de cumplirse los principios del programa educativo, entre otros, desterrar el español de las clases.
  2. Una cosa que produce risa, sino fuera por lo serio que es, es el lema de Som Escola, per un país de tots,l'escola en català, que deja bastante claro que ellos no consideran ciudadanos de la región de Cataluña a aquellos que no comulgan con sus políticas.
  3. Una de las excusas más burdas es que si no se potencia el catalán, desaparecería. Eso es mentira y la prueba es Francia. Cuando uno estado quiere hacer desaparecer las lenguas regionales, lo hace.

Post data

Otra noticia en el mismo sentido es la denuncia por discriminación por no hablar Bable.. Está claro que cada vez más regiones españolas ven en el tema del idioma una manera de levantar barreras frente a personas que vengan de otras zonas de España, especialmente en el acceso a los puestos de funcionariado público. Cuidado con estas cosas no vaya a ser, que algún día en un examen de lengua española haya que saber que es un gañafote, un róbalo o un carocho, donde cada región empiece a tirar de las palabras propias de la zona.... y carocho no es lo mismo en Castilla y León que en Huelva.

martes, octubre 23, 2018

Darling: Capa de emulación de binarios de OS X en Linux

Darling es un software que provee una capa de emulación de Mac OS X sobre Linux. Su objetivo es permitir la ejecución de binarios de OS X sin modificar sobre Linux. En el estado actual del proyecto, no puede ejecutar aplicaciones qure usen el entorno gráfico de OS X, pero si puede ejecutar herramientas en línea de comando como toda las herramientas de compilación en línea que incluye el XCode. Adicionalmente el proyecto tiene un componente llamado darling dmg. Ambos proyectos están publicados con la licencia GPL3.

Si fuera capaz de correr algo similar al entorno de OS X 10.4 (Tiger) o 10.5 (Leopard), me encantaría. A pesar de los años que llevo usando OS X (actualmente usio High Sierra), esas dos versiones del sistema, sumado a la línea de comando,cubrían muchas de mis necesidades. Si eso le añadimos un API Carbon y el Cocoa, podía ser entretenido :)

Aunque todavía le queda mucho camino por recorrer, Wine empezó exactamente igual y a día de hoy es capaz de ejecutar un amplio catálogo de software.

Material para prepararse el examen de radioaficionado: Enlaces

Me he propuesto obtener el certificado HAREC para solicitar la autorización de radioaficionado. Llevo un tiempo buscando información por Internet y esta entrada la quiero usar como un índice de las cosas que me voy encontrando para preparar dicho examen.

Enlaces

miércoles, octubre 17, 2018

Macbook Pro 2018 y múltiples monitores: problemas de imagen

Durante estos últimos cinco años he estado usando un Macbook Pro de finales de 2013. Lo tenía conectado a dos monitores Dell modelos U2415 uno usando el puerto HDMI y otro con el Display Port. En estos años de uso intensivo no he tenido ningún tipo de problemas de imagen con los monitores.

Recientemente, me han cambiado el ordenador del trabajo a un Macbook Pro de última generación. Este ordenador utiliza puertos USB-C para conectarse con periféricos, incluido los monitores. Con dos cables USB-C a DisplayPort puedo conectar ambos monitores al Macbook y seguir trabajando como hacía con el ordenador viejo. Sólo que de serie, la calidad de imagen deja bastante que desear: halos en el renderizado de las letras, trazas azules en las mismas. Una calidad de imagen pésima.

Tras buscar un rato por Internet encontré este artículo donde explica el porqué del problema y cómo se soluciona.

Los monitores actuales pueden comunicarse con los dispositivos a los que están conectados. Esto se consigue transmitiendo la información definida en el Extended Display Identification Data a la tarjeta gráfica del ordenador por un bus. Por desgracia, los monitores no siempre transmiten esa información de manera correcta a los ordenadores, y pueden aparecer algunos artefactos como los que ocurren entre el Macbook Pro y esos monitores Dell. Concretamente, en el caso del U2415 está transmitiendo mal la manera de codificar el color, diciendo que soporta el espacio de color YCrCb cuando realmente debe ser RGB. El Mac prefiere usar el primer sistema - se supone que el monitor le ha dicho que soporta ambos - y la calidad de imagen se degrada.

¿Cómo puede solucionarse ese problema?. Bien, pues es necesario sobrescribir la información EDID que ha mandado el monitor con una configuración que desactive el espacio de color YCrCb para ese monitor. Es necesario leer la información que nos da el monitor, parchearla y posteriormente hacer que el Mac la utilice en vez de la que le está proporcionando el monitor. Para ello es necesario generar unos ficheros de configuración que se deben de instalar (al menos en High Sierra) en:

/System/Library/Displays/Contents/Resources/Overrides

Este directorio se encuentra protegido por el sistema, con lo cual será necesario arrancar en modo de recuperación (cmd - r), ejecutar un terminal y copiar la información a dicho directorio.

¿Cómo generamos los archivos de configuración necesarios?. Con ayuda de este script. Lo bajamos, lo ejecutamos en nuestro ordenador y nos generará unos directorios y ficheros con la información EDID de los monitores que tengamos conectados, parcheando la misma para que use sólo el espacio de color RGB. Por ejemplo, en el caso de mi ordenador me genera la siguiente estructura

DisplayVendorID-10ac
  DisplayProductID-a0b8
  DisplayProductID-a0bc

Arrancando el sistema en modo de recuperación y copiando ese directorio:

cp -r DisplayVendorID-10ac /System/Library/Displays/Contents/Resources/Overrides

Sólo debe de copiarse la configuración generada para aquellos monitores que tengamos problemas. Una vez copiada la configuración, reseteamos el ordenador para que tenga efecto.

martes, octubre 16, 2018

Crónicas del golpe de estado catalán: El censo electoral

Durante los meses de septiembre y octubre del pasado año 2017, parte de la clase política catalana decidió dar un golpe de estado rompiendo con la legalidad y dejando fuera a todos los ciudadanos españoles en los que está depositada la soberania nancional. Se ignoraron todo tipo de resoluciones judiciales, se secuestró por algunos partidos el Parlament de Cataluña, se les advirtió desde instancias jurídicas de la ilegalidad que iban a cometer y siguieron adelante: Aunque el Estado tardó en reaccionar usando las herramientas que la Ley había puesto a su disposición, el resultado de la asonada ha sido varios políticos presos, que se enfretan a acusaciones de rebelión y otros, más cobardes, huídos. Actualmente el propio presidente de la comunidad autónoma catalana sigue forzando la situación, continuando con el golpe de estado a cámara lente, aunque mucho más cuidado que sus predecesores, para evirar que le acusen de lo mismo

Para llevar a cabo el simulacro de votación del pasado uno de octubre, los golpistas que se adueñaron de las instituciones catalanas1, necesitaban el censo electoral. Evidentemente, el Estado no iba a ceder dicho censo para que se hiciera un uso ilegal de los datos contenidos en los mismos. Sin embargo, según varias noticias publicadas, este censo acabó en manos de los organizadores de la consulta. Las investigaciones aputan a que el censo de los ciudadanos catalanes fue cedido por funcionarios de las propias instituciones catalanas, pertenecientes al Instituto Catalán de Estadística.

Lo interesante de este hecho es que estamos viendo a los funcionarios de la propia administración catalana filtrando datos personales para cometer delitos. Evidentamente, si han hecho eso con el censo, tenían la esperanza de hacerlo con todos los datos de los ciudadanos y empresas catalanas. Probablemente, ya esos datos estén a buen recaudo dentro por parte de los golpistas, con lo cual no es extraño que las empresas quisieran salir de Cataluña como salieron. Todo un aviso a navegantes. No se le está dando la suficiente importancia este tipo de cosas.

Notas

  1. Una de las grandes dudas es porqué el Estado no fue capaz de actuar antes. El catalanismo es golpista

lunes, octubre 01, 2018

Google paga 9000M de dólares por ser el buscador por defecto en iOS

Por defecto, el buscador de uso gratuito que lleva configurado en Safaro en iOS y OS X es Google. Pero esta configuración no le sale gratis a Google. Se estima que paga 9000 millones de dólares anuales a Apple en ese concepto, es decir ser el buscador gratuito por defecto del sistema operativo. Cuando pagas semejante cantidad de dinero anual es que Google espera obtener un beneficio mucho mayor. Ahora, leeros este tuit de Mikko Hypponen, investigador jefe de F-Secure:

How much is your data worth? So much that Google just paid Apple $9 billion to be the default search engine in the iPhone. $9 billion, to get people to use a ’FREE’ search.

No pagamos con dinero. Pagamos con nuestros datos y nuestro perfilado, como bien apunta Mikko en su TL. Sacad vuestras propias conclusiones. Y que coste, soy un usuario habitual de los servicios de Google, empezando por este blog.