¿Qué tan seguras son las funciones de “PIN” / Bloqueo de patrón de iPhone / Android / Windows 8?

Algunos dispositivos móviles proporcionan encriptación de dispositivos para protegerlos, vinculados al código de acceso / contraseña que ingresa el usuario. Cuando están vinculados a un borrado de dispositivo después de un cierto (pequeño) número de intentos incorrectos, pueden proporcionar un mecanismo efectivo para proteger los datos almacenados en el dispositivo en un escenario de "dispositivo perdido / robado".

Para tomar los dispositivos iOS como ejemplo, no puede omitir fácilmente este tipo de protección sin la capacidad de acceder al almacenamiento del dispositivo antes de que se inicie el dispositivo, o al desensamblar el dispositivo para eliminar su almacenamiento y luego abrirlo. El crytpto en el dispositivo.

Ahora, usar un código de acceso de 4 dígitos o un bloqueo de patrón reduce considerablemente la protección provista, ya que aumenta la posibilidad de que un atacante pueda adivinar la credencial antes de que se produzca el bloqueo. para los códigos de acceso, el hecho es que la mayoría de los usuarios no eligen números aleatorios sino que los basan en fechas (por ejemplo, año de nacimiento), lo que aumenta las posibilidades de los atacantes de obtener el código correcto en los intentos disponibles.

Para el bloqueo de patrón, se han realizado investigaciones que muestran que el patrón es visible en la pantalla con la huella de las huellas dactilares, a menos que la pantalla esté bien limpia en todo momento.

Entonces, si usa una contraseña decente y borra el dispositivo después de varios intentos incorrectos, diría que la seguridad es razonable a menos que el atacante tenga un exploit para la plataforma que le permita acceder al almacenamiento del dispositivo. antes de que se inicie ..

Le falta el punto de las pantallas de bloqueo de los distintos sistemas operativos móviles.

No son un impedimento efectivo para los atacantes que han robado tu teléfono y tienen un período de tiempo ilimitado para atacarlo. Sin embargo, son efectivos para disuadir a los atacantes que pasan por ahí y solo tienen un corto período de acceso a su teléfono.

Kos demostró un ataque P2P en Android en Derbycon el año pasado que solo toma segundos. Advertencia de PDF: enlace Aquí hay un video de la demostración de Hak5 enlace (Kos comienza a las 6:55).

Mucho tiempo con el bloqueo de patrón, hay maneras de simplemente mirarlo y ver cuál es el patrón de los frotis de grasa. iOS a menudo tiene derivaciones a la pantalla de bloqueo que requieren algunos pasos complicados, pero depende de la versión. Si se practica, podría llevarle 30 segundos desbloquear el teléfono de alguien y obtener la información que desee.

La seguridad de un patrón de bloqueo dependerá en gran medida de a) cómo se implementa yb) cuánto tiempo y qué ruta elige el usuario. La métrica interesante que está buscando para saber qué tan seguro es algo es un concepto llamado entropía o aleatoriedad.

Si se maximiza la entropía, entonces cada elección no debe estar relacionada con las elecciones anteriores y la dificultad de adivinar el patrón se determinaría por el número de patrones posibles. Suponiendo que tiene una cuadrícula de 3 por 3 y puede realizar una copia de respaldo, tiene 9 opciones para la primera opción y luego 3, 5 u 8 opciones disponibles para cada nodo después de eso. Un patrón relativamente corto todavía puede aumentar en cientos de miles de posibilidades, pero aún así no es lo que una contraseña verdaderamente aleatoria le daría.

Dicho esto, las contraseñas de la mayoría de las personas son bastante débiles y siempre que tenga un límite de cuántas conjeturas se pueden hacer en un momento que es bastante bajo, incluso unos pocos cientos de miles de personas serán un buen detentivo informal. No sugeriría guardar códigos de lanzamiento nuclear con él. El problema más grande es probablemente la facilidad de navegar por los hombros de un patrón.

  

¿Qué impide que alguien ataque el sistema fuera del sistema operativo? ¿O (en el peor de los casos), simplemente tomar una copia del almacenamiento y volver a cargar la imagen en el dispositivo original repetidamente?

En una PC, atacar fuera del sistema operativo es muy fácil cuando tienes acceso físico. Todo lo que necesita hacer es arrancar desde un CD o unidad USB. Si el BIOS se ha configurado para que no lo permita, puede sacar el disco duro y conectarlo a otra máquina.

Los teléfonos móviles y las tabletas no permiten el arranque desde otra cosa que no sea la memoria flash interna. Cuando enciende el dispositivo, se inicia en el sistema operativo y no responde a nada antes de que el usuario haya pasado la pantalla de inicio de sesión. (Hay algunas excepciones, como los teléfonos de referencia de Google destinados al desarrollo, e incluso para estos, el cargador de arranque predeterminado le permite instalar una imagen de arranque alternativa, pero borra el dispositivo primero.) Por lo tanto, al evitar un error en el cargador de arranque o en el sistema operativo, es imposible llegar fuera del sistema operativo.

Los errores, por supuesto, ocurren. Los dispositivos de Apple se desbloquean tarde o temprano, pero en estos días se vuelve cada vez más difícil, y los exploits se vuelven muy complejos. La tableta Surface de Microsoft no ha sido completamente rooteada todavía. Los teléfonos Android son rooteados como regla general, pero luego Android no fue diseñado especialmente para evitar eso (Android no trata al usuario como hostil).

Por supuesto, es posible el acceso físico a la memoria flash, pero el chip flash está soldado a la placa principal. Dependiendo del modelo, es posible que todo lo que necesita para acceder a él sea un equipo electrónico asequible (básicamente, el tipo de conector correcto) y una alineación cuidadosa de los pines, o puede que necesite desoldar el chip flash de la placa principal. El último caso prácticamente mata el valor de reventa del dispositivo, e incluso el primero está más allá de lo que su ladrón promedio está preparado para hacer.

No obstante, con acceso físico, un ataque dirigido puede extraer sus datos. Como regla general, no debe almacenar secretos en un dispositivo móvil que valgan más que el valor de reventa del dispositivo. Su cuenta de Facebook no vale mucho, pero los datos financieros de su empresa pueden valer. Y si su teléfono es capturado en una redada policial, esto es una rutina para los laboratorios forenses.

  

Tengo entendido que incluso tener Bitlocker en un sistema Windows no protegería contra este último ... ¿o me equivoco y hay algo inteligente con el chip TPM en marcha?

Un TPM agrega otra capa de protección. Es un chip resistente a la manipulación: sin un equipo costoso y el conocimiento para usarlo, no puede extraer su memoria interna (y es probable que el chip quede inutilizable en el proceso). (También hay plataformas basadas en ARM con un TPM que no es un chip separado, sino que se implementa como firmware en un sistema en chip. También, la extracción física de las claves implica la disolución de parte del chip).

Con un TPM (correctamente utilizado), el chip TPM contiene un hash de la imagen de arranque. Si logra volver a flashear el dispositivo, el cargador de arranque en la ROM se quejará de que la imagen de arranque es mala y se niega a iniciar. El TPM también se puede usar para cifrar datos en el dispositivo, de nuevo con una clave que se almacena en un chip resistente a la manipulación indebida.

Un PIN de 4 dígitos, incluso si se elige al azar (a diferencia de 1234 o el cumpleaños del propietario), cae en promedio en 5000 intentos. Hay algunos patrones más posibles, pero son muy vulnerables a la exposición a través de huellas dactilares. Esto protege contra un atacante de paso rápido que intenta un par de códigos mientras el propietario está buscando en otro lado, pero no contra un atacante paciente y sin prisas. Las tarjetas de crédito almacenan el número de intentos fallidos en su memoria persistente: tres golpes y la tarjeta queda inutilizable. Tal comportamiento extremo se considera malo para la mayoría de los dispositivos, especialmente un teléfono inteligente que puede usarse mientras está en movimiento. Por lo tanto, las protecciones tienden a ser más indulgentes, y en particular, por lo que sé, reiniciar el teléfono reinicia el contador en todos los sistemas operativos principales, de modo que un atacante sin apuro y equipado pueda seguir reiniciando e intentando diferentes PIN durante horas hasta que encuentre el derecho uno.