Mejores prácticas para asegurar un iPhone

Tienes que definir qué estás tratando de proteger y contra quién. Hay varios activos:

• Su posición geográfica
• A quién llamas y quién te llama
• El contenido de sus conversaciones y SMS
• Su factura telefónica

Entonces las cosas son bastante diferentes, dependiendo de si el operador de telefonía es un amigo cooperativo, un tercero neutral no muy competente o un atacante activo.

La factura del teléfono es la más simple. Si el operador es un atacante, estás condenado. La contramedida teórica sería un teléfono resistente a la manipulación que registra el uso de una manera que podría convencer a un juez; No sé nada de eso, aunque la mayoría de los teléfonos mantienen un registro de las llamadas más recientes. Si el operador no es un atacante, debe confiar en el operador para que no sea pirateado, y también debe evitar que su teléfono también sea hackeado. Los teléfonos inteligentes, siendo computadoras complejas de pleno derecho por derecho propio, con uno o varios enlaces de red activos en todo momento (piense en Bluetooth ...), son susceptibles de piratería externa. Por lo tanto, un teléfono inteligente no puede ser aconsejable.

Las preocupaciones de anonimato (posición geográfica, a quién llamas y quién te llama) son un problema difícil. Escuché que en algunos lugares, los servicios de policía usan teléfonos celulares para rastrear a los manifestantes en las manifestaciones: se configura una estación base falsa y se emite un gran mensaje: "Soy la estación base más poderosa aquí, todos los teléfonos cercanos deben ser Reporte inmediatamente ", y todos los teléfonos contestan alegremente" ¡Estoy aquí! ". Si esa situación le preocupa, entonces tendrá que "rotar" a través de numerosos receptores y cuentas de corta duración (que se obtienen con nombres falsos, por supuesto), por lo que esto es costoso; y no recibirá llamadas, a menos que use algún software de VoIP dentro de una VPN (de modo que el operador vea que se conecta a la VPN, pero no a lo que sale al otro lado de esa VPN).

Un ejemplo famoso de preocupación por el anonimato, que involucra un teléfono satelital, ocurrió en 1996 Con consecuencias algo drásticas.

Para el contenido de la conversación, esta es una cuestión de cifrado. En teléfonos GSM, se utiliza un algoritmo llamado "A5", con varias variantes: A5 / 0, A5 / 1, A5 / 2 y A5 / 3. A5 / 0 es "sin cifrado en absoluto". A5 / 2 es un "cifrado débil", destinado a la exportación a países de reputación cuestionable. A5 / 1 es un cifrado de flujo que utiliza una clave de 64 bits, pero en realidad es más débil que eso, con protección alrededor de 2^42.7 (el número puede variar según la cantidad y algunas condiciones operativas, como el tamaño del texto claro conocido; consulte este artículo para más información. detalles); eso es demasiado bajo para la comodidad, por lo que se debe suponer que los contenidos de los datos protegidos A5 / 1 pueden ser aprendidos por determinados atacantes (el La página de Wikipedia en A5 / 1 también cita algunos esfuerzos de craqueo basados en tablas de arco iris. A5 / 3 también se conoce como KASUMI y proviene de los mundos UMTS y GPRS; tiene algunas debilidades pero nada fatal hasta ahora.

De cualquier manera, el cifrado A5 es solo desde el teléfono móvil a la estación base más cercana, por lo que si el operador es un atacante (por ejemplo, está intentando evadir las escuchas legítimas de las agencias de la ley con las que los operadores cooperan), entonces A5 / x no te ayudará, independientemente de lo que sea 'x'. Para sobrevivir al tipo de ataque , necesita un cifrado de extremo a extremo, que a su vez requiere un cambio de protocolo, por lo tanto, VoIP con cifrado personalizado. Un producto existente es Zfone , de Phil Zimmermann (de la fama PGP).

El mayor dilema de seguridad aquí es que los protocolos estándar son bastante malos para garantizar su seguridad, necesita un teléfono inteligente con software personalizado para obtener un nivel de protección razonable; pero la seguridad del teléfono en sí es también de importancia primordial, y es mucho más fácil de lograr con un dumbphone .

En primer lugar, date cuenta de que si colocas tu calendario, correo electrónico, libreta de direcciones, notas y muchos otros datos importantes en un dispositivo muy fácil de perder, entonces estás tomando un a un paso de 'los datos son seguros' y de 'los datos son convenientemente accesibles'.

Dicho esto:

• Active Bloqueo de código de acceso automático de iOS (bloqueo de pantalla con PIN / código de acceso después de un tiempo establecido). En el submenú "Bloqueo de contraseña", active "Borrar datos" después de 10 intentos fallidos de contraseña.

• Regístrese para el servicio MobileMe de Apple. Proporciona un servicio gratuito "Encontrar mi teléfono" y, de manera crucial, una función de borrado remoto del dispositivo.

• Siempre mantenga actualizado el software de su iPhone.

• Considere no sincronizar datos importantes con el teléfono en primer lugar. Use los servicios de estilo de escritorio remoto de fx, o aplicaciones web, y utilice el teléfono como un 'terminal tonto' que se conecta a un servicio remoto que requiere autenticación.

No tengo una respuesta general sobre cómo detener la piratería de su teléfono, pero hay algunas buenas respuestas e información en Mejores prácticas para proteger un dispositivo Android que también podría utilizar para otros teléfonos.

Algunas cosas a considerar:

• Use teléfonos simples, sin teléfonos inteligentes y sin actualizaciones de FOTA
• Verifique si su teléfono admite y aplica el cifrado GSM y no recae en la transferencia de texto sin formato. Esto es utilizado a menudo por la policía (receptor IMSI) y usted puede construir sus propios receptores IMSI para hoy (vea el último congreso de CCC).
• En última instancia, no confíe en su proveedor: use cifrado de extremo a extremo como en, por ejemplo, criptófono.

Tenga en cuenta que incluso el servicio secreto alemán interpreta el cierre de teléfonos o el uso de teléfonos especiales o múltiples como "comportamiento conspirativo". Usar crypto donde otros no lo hace generalmente te hace destacar. Esto también es válido para servicios como Tor.

Escribí un documento de tres consejos para Naked Security sobre este mismo tema ( aunque diseñado para los consumidores): el TL; DR es:

• Establecer un código de acceso
• No jailbreak
• Desconfíe de los siguientes hipervínculos

Los que no hicieron el corte son:

• no unirse automáticamente a redes inalámbricas
• evitar el wi-fi inseguro gratuito
• configure la eliminación remota de MobileMe / iCloud (o su MDM, en la empresa)

Luego, más apropiado para las necesidades de seguridad empresarial, podemos agregar:

• solo permite el acceso de los teléfonos inteligentes a los datos a los que se debe acceder a través de los teléfonos inteligentes
• requiere y asegura que las aplicaciones de terceros con acceso a datos comerciales utilicen protección de datos
• requiere el cifrado de extremo a extremo de los datos recibidos por los teléfonos inteligentes desde los servicios internos o alojados
• use la autenticación SSL mutua para asegurarse de que sus iPhones bien configurados estén hablando con sus servidores reales
• requiere el uso de VPN para conectar un teléfono inteligente a servicios confidenciales, para protegerse contra los atacantes en la "última milla", en caso de que la red wi-fi no sea confiable después de todo
• descubre si las aplicaciones permiten la exfiltración de archivos a través de, por ejemplo, Sincronización de DropBox / iCloud, y si esto se puede controlar de forma centralizada
• garantizar que el acceso de la aplicación a los datos alojados en los servidores de la empresa se registre y se revise