The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for February 11, 2011

Brecha de seguridad en iOS permite recuperar claves del mismo

Hay una verdad universal que dice que todo en este mundo es reventable a nivel de software. Sólo hace falta tiempo, ganas, inteligencia y paciencia. Los sistemas de seguridad más potentes del mundo, los que son “indestructibles”, lo son porque la tecnología actual obligaría a realizar procesos impensables a día de hoy en cuanto a exigencias a nivel de procesamiento, para desencriptar una única clave, teniendo que trabajar una por una. El cambio en claves es muy rápido y su traducción muy lenta, por lo que el proceso se hace inviable. Con todo esto en la mano, no quita que siempre podemos encontrar brechas de seguridad de cualquier tipo en cualquier dispositivo que nos permitieran acceder a claves o contenidos a los que, en teoría, no tendríamos que poder acceder.

De esta forma, un grupo de especialistas en seguridad, llamados Fraunhofer SIT, ha demostrado al mundo que un iPhone con iOS 4.2.1 y protegido con clave de bloqueo, a través de jailbreakpuede ser reventado y permitirá acceder a las diferentes claves que puede tener el sistema para redes WiFi, VPN, cuentas de Exchange, etc. Según el informe de seguridad que han publicado, esto podría hacerlo cualquier hacker que robara nuestro teléfono (aun con código de bloqueo), siempre que tuviera un script como el que ellos han conseguido realizar. El problema se basa en que, para que la encriptación de las claves que guarda iOS fuera efectiva, debería tomar como base de la encriptación AES 256 bits que usa, la propia clave de bloqueo. Pero no lo hace en todos los casos, y usa determinados valores que pueden encontrarse fácilmente mirando determinando números y valores de registro del sistema para cada terminal.

De esta forma, conociendo cuáles son estos valores que usa el sistema de antemano, con el script que han elaborado, y un dispositivo bloqueado con clave y sin jailbreak, en cuestión de 6 minutos, podremos acceder al archivo encriptado de cadenas de claves, y desencriptarlo para ver algunas de las que tiene almacenadas. Todo de una manera trivial.

El procedimiento es rápido. Sólo hemos de conectar el dispositivo, hacerle jailbreak e instalar el servidor SSH en remoto (que puede hacerse aunque el dispositivo esté bloqueado con clave). Una vez hecho esto, accedemos a la estructura completa de archivos del iPhone bloqueado, con lo que tendremos acceso al archivo con la base de datos de cadenas de claves (keychain database) encriptadas. Copian el script que localiza los valores usados para la encriptación en el terminal y se ejecuta. De esta forma, accederá a esta base,desencriptará los contenidos y nos mostrará algunas de las claves del sistema, como las de redes WiFi que tengamos configuradas, las claves de VPN, claves de cuentas de tipo Exchange…

En la tabla de la izquierda, todos los valores marcados como w/o passcode, son valores a los que no podríamos acceder sin la clave de desbloqueo del iPhone, y sin embargo con este método sí podemos acceder. Todas las que están marcadas como protected sí son valores que usan la clave de bloqueo del dispositivo, y es imposible acceder a ellas a través de este escenario sin conocer la clave de bloqueo del terminal. Una vez estuviera el terminal desbloqueado, el script de Faunhofer SIT sería capaz de acceder a estos valores, pero sin la clave de bloqueo introducida, no podría.

Podemos ver, por ejemplo, que los usuarios y contraseñas que podemos dar a Safari para guardar, no son accesibles sin clave de desbloqueo, pero la información de WiFi, VPN, Exchange, Gmail sobre Exchange, buzón de voz, etc. sí son accesibles.

Según comentan, este sistema no es sólo fácilmente usable en un dispositivo con iOS, sino que con métodos similares de búsqueda podrían también extraerse claves de otros sistemas como Android. Dado que este problema lo presenta iOS 4.2.1, tendremos que esperar a ver si futuras versiones lo solucionan. Siempre nos quedará el consuelo del borrado remoto de dispositivo en caso de robo.

A continuación, un vídeo que demuestra el proceso completo, realizado por estos expertos. Y recordad: “el principal defecto de una máquina, es que está hecha por seres humanos”.

Brecha de seguridad en iOS permite recuperar claves del mismo escrita en AppleWeblog el 11 February, 2011 por neotheone
Enviar a TwitterCompartir en Facebook

 


Sandy Bridge memory performance tested, value of expensive top-shelf memory questioned


Sandy Bridge memory performance tested, value of expensive top-shelf memory questioned
Intel’s Sandy Bridge chipset hasn’t exactly had a flawless launch, but let’s move past that and take a look at how well it performs before it starts breaking. One of the improvements here is meant to be better memory performance, and The Tech Report ran a variety of sticks through the gamut to see what the benefits of high-cost, high-speed memory is versus the cheaper stuff. The results showed that, in the vast majority of cases, DDR3-1333MHz memory was barely outclassed by the DDR3-2133MHz stuff, exhibiting only a modest improvement in games, just a couple FPS at most. Lesson learned? Save your pennies — or go ahead and spend ’em elsewhere, like that new Thermaltake case.

Sandy Bridge memory performance tested, value of expensive top-shelf memory questioned originally appeared on Engadget on Fri, 11 Feb 2011 13:57:00 EDT. Please see our terms for use of feeds.

 


Los 5 grandes mitos sobre ISO 27001

Con mucha frecuencia escucho comentarios sobre la norma ISO 27001 y no sé si ponerme a reír o a llorar. De hecho, es gracioso cómo la gente tiende a tomar decisiones sobre algo acerca de lo que saben muy poco. Estos son los errores conceptuales más comunes:

La norma requiere…”
“La norma requiere que se cambien las claves cada 3 meses”. “La norma requiere que se contraten a diversos proveedores”. “La norma requiere que la ubicación alternativa de recuperación ante desastres se encuentre, como mínimo, a 50km de distancia de la ubicación principal”. ¿Es así? La norma no dice nada de todo esto. Desgraciadamente, esta es la clase de información falsa que escucho habitualmente. Muchas veces, la gente confunde mejores prácticas con requerimientos de la norma, pero el problema es que no todas las reglas de seguridad son aplicables para todos los tipos de organizaciones. Y quienes sostienen que esto está establecido en la norma, difícilmente la hayan leído alguna vez.
Dejaremos que el departamento de TI lo maneje”
Esta es la preferida de la dirección: “La seguridad de la información tiene que ver con tecnología de la información, ¿no?” Bueno, no exactamente. Los aspectos más importantes de la seguridad de la información no sólo incluyen medidas de TI, sino también temas organizacionales y gestión de recursos humanos, que, en general, se encuentran fuera del ámbito del departamento de TI. Ver también Seguridad de la información o seguridad de TI.
Lo implementaremos en unos pocos meses”
Podría ser posible que usted implemente la norma ISO 27001 en dos o tres meses, pero no funcionará; solamente obtendrá un montón de políticas y procedimientos que nadie tendrá en cuenta. La implementación de la seguridad de la información quiere decir que tiene que implementar cambios, y esto lleva tiempo.
Ni qué decir que usted debe implementar solamente los controles de seguridad que realmente necesita, y el análisis de qué es necesario lleva tiempo; se llama evaluación y tratamiento de riesgos.
Esta norma no es nada más que documentación”

La documentación es una parte importante en la implementación de ISO 27001, pero no es un fin en sí misma. Lo más importante es que usted realice sus actividades de forma segura, y la documentación está allí precisamente para ayudarle. Además, los registros que genere le ayudarán a medir si alcanzó sus objetivos de seguridad de la información y le permitirán corregir aquellas actividades que no lo han logrado.

El único beneficio de la norma es obtener una ventaja de comercialización”

“Estamos haciendo esto solamente para obtener el certificado, ¿no es cierto?” Bueno, esta es (desafortunadamente) la forma en la que piensa el 80 por ciento de las empresas. No estoy intentando discutir aquí si se debe, o no, utilizar a la norma ISO 27001 con fines de promoción y ventas, pero también puede obtener otros beneficios muy importantes; como evitar que le ocurra lo de WikiLeaks. Ver también Cuatro beneficios clave de la implementación de la norma ISO 27001Lecciones aprendidas a partir de WikiLeaks: ¿Qué es exactamente la seguridad de la información?.

Lo importante aquí es que primero hay que leer la norma ISO 27001 para poder dar una opinión sobre la misma, o, si le resulta demasiado aburrida (admito que lo es) como para leerla, consulte a alguien que la conozca de verdad. Y trate de ver otras ventajas, además de la publicidad. Es decir, aumente sus posibilidades de realizar una inversión rentable en seguridad de la información.

Autor: Dejan Kosutic
Fuente: Blog iso27001standard.com