Seguretat

nov 3 2009

Alerta: SSH i els iPhones amb jailbreak


jailbroken_iphone_hacked_intro

Avui he llegit que un hacker holandès ha aprofitat una mica el desconeixament dels usuaris que tenen el Jailbreak i el SSH activat.

El SSH és un sistema que ens permet accedir al sistema de fitxers dels nostres iPhones, però un cop s’instal·la posa per defecte el mateix usuari i contrasenya. La qual cosa es recomana canviar la contrasenya ràpidament.

El hacker en qüestió, es veu que accedeix via SSH i deixa missatges, com el que hi ha al principi de l’entrada, dient que el telèfon està hackejat i demana 5 euros per tal d’alliberar-lo. Un cop pagat, enviava les instruccions per alliberar el telèfon.

De tota manera si algun usuari estigues afectat pel problema, fent una restauració del telèfon via iTunes, es resol sense cap incident.

Per tal de canviar la contrasenya hem d’iniciar una sessió Terminal i teclajar:

su

passwd root

passwd mobile

Un cop introduït ens demanarà que posem el nou password per l’usuari “root” i, posteriorment, el de l’usuari “mobile”.

Us recomanem fer el canvi sense falta!

Llegit a Appleismo

Escrit per Miquel Labòria • iPhone, iPod Touch 0 • Etiquetes: , , , ,

ago 6 2008

Xifratge amb el Mail


En una entrada anterior (enllaç) vaig parlar sobre la relativa seguretat que ens oferien les entitats públiques. On mostrava les meves reticències per si aquestes entitats tenien accés a la nostra clau privada. En posteriors cerques vaig llegir que diuen que la clau privada del carnet d’identificació la genera la pròpia targeta i no pot ser llegida en cap cas (encara que jo segueixo dubtant-ho ^_^).

També vaig dir que el Mail de MacOSX no tenia opcions de xifrat i signatura. Fent proves amb certificats avui he vist com se m’ha activat l’opció de signar els correus i xifrar-los. Avui us explico com ho podeu fer tots vosaltres.

Crear la clau privada

El primer que cal fer per a signar els correus i que l’altra gent us els pugui enviar xifrats, és crear-vos un certificat auto-signat associat a la vostra adreça de correu, excepte que ja el tingueu. Un cop el tingueu l’opció del Mail s’activarà automàticament.

  • Obriu l’aplicació Accés als Clauers de la carpeta Utilitats

  • Aneu a l’opció del menú: Accés als Clauers > Assistent per a Certificats > Crear un certificat … Indiqueu un nom per al certificat i seleccioneu el tipus “Arrel autosignat”

  • Seleccioneu un número de sèrie (no cal canviar-lo) i en nombre de dies que el certificat serà vàlid. Per defecte hi fica 1 any, podeu canviar-ho si ho creieu convenientment. Assegureu-vos que el tipus de certificat és “S/MIME (correu electrònic)” per a que el mail sàpiga que pot utilitzar-lo per al correu electrònic. Posteriorment podreu indicar si el voleu utilitzar per altres usos.

  • En aquesta finestra indiqueu el correu electrònic a que s’associarà el certificat. Ha de ser el correu electrònic amb el que el Mail signarà els correus. La resta de dades són opcionals, i podeu ficar-hi qualsevol cosa o deixar-les en blanc.

  • El següent pas us generarà la clau privada per a aquest certificat. La mida òptima és 2048 i l’algorisme el RSA. Si sou als EUA aneu amb compte perquè em sembla recordar que és il·legal utilitzar mides de clau tant grans (com més grans més costa desxifrar).

  • Aquesta opció us permet indicar per a que més es pot utilitzar aquesta clau: signar, codificació de dades, … No n’estic segur de totes les opcions, així que només selecciono l’opció de signar, encriptar la clau i la de codificar les dades. O per no complicar-vos la vida, podeu seleccionar-ho tot (ho dic perquè abans no em deixava xifrar perquè no havia indicat l’opció Encriptació de la clau). Dir-vos també que una “extensió crítica” és útil per a programes que la tinguin en compte per evitar que no s’utilitzi en altres casos. Però ningú assegura que se’n faci cas.

  • L’altra finestra ens permet indicar altres usos per a la clau: identificació SSL entre servidors i clients, Signatura de programes, iChat, … Potser us pot interessar ficar-ho a l’iChat i .Mac o simplement a qualsevol opció.

  • La següents opcions no cal seleccionar-les perquè d’Autoritats Certificadores en parlarem més endavant. A banda que no sé massa bé per a que serveixen.
  • Per finalitzar indiqueu el clauer on voleu desar aquest certificat. Recordeu que podeu tenir diversos clauers amb diferents polítiques d’accés. Contrasenyes diferents, temps abans que es bloquegi, …

Confiar en els certificats

Un cop arribats a aquest punt ja tenim el certificat autosignat amb una clau públic i una clau privada. Tal com podeu veure en aquesta captura. Podeu veure que el certificat té una rodona amb un “X”, això indica que no es té confiança amb el certificat. És a dir, que no us fieu de qui us l’ha donat.

Si mireu els certificats EC-ACC i EC-IDCat veieu que el primer té una rodona amb un “+” i el segon no hi té res. En aquest cas tenim el certificat d’una Autoritat Certificadora (EC-ACC) i el segon cas un certificat d’una altra Autoritat Certificadora (EC-IDCat) signada per l’anterior. Així que si confiem en el EC-ACC tots els certificats signats per aquesta tindran la nostra confiança. Així que la confiança és jeràrquica. Podeu veure en el clauer “Certificats del Sistema” totes les autoritats arrel amb les qual Apple hi confia directament.

Si voleu confiar en un certificat o en una autoritat certificadora, feu-hi doble-clic i simplement indiqueu que hi confieu sempre. Depenent de quines webs visiteu això us evitarà que us surti tot sovint la finestreta del navegador indicant que el certificat d’una web no s’hi té confiança.

Utilitzar-lo al Mail

Ara només ens queda utilitzar-lo dins del Mail. I és molt senzill. Simplement cada cop que enviem un correu amb l’adreça indicada en el certificat com a remitent ens apareixerà un botó per signar-lo. I si tenim el certificat amb la clau pública del destinatari (i hi tenim confiança) també se’ns activarà l’opció de xifrar el missatge.

Si no us surt l’opció, personalitzeu els caps que s’han de mostrar.

Instal·lar els certificats d’altres

Una altra consideració a tenir en compte és com desar els certificats de l’altra gent. La primera opció és que us l’enviïn en un fitxer. Aquí teniu el meu per si voleu enviar-me algun missatge fent-ne una prova. Per instal·lar-lo només cal que hi feu doble clic i dieu que hi confieu sempre (com a mínim en el correu).

xin_poble_cat.cer

Una altra forma és rebre un correu signat per un usuari. En aquest cas veureu quelcom així:

Només fent clic a mostrar detalls o fent doble clic sobre la icona de “Signat” podeu importar el certificat i indicar-hi que hi confieu sempre (no us n’oblideu). A partir d’ara els missatges signats d’aquest remitent seran acceptats i no es mostrarà el missatge d’alerta.

Si per alguna cosa no us accepta la confiança amb el remitent (de vegades passa) obriu el clauer i feu-ho des d’allí. 

Espero que hagi estat del vostre interès.

Escrit per Xin • Recomanacions, Tutorial 10 • Etiquetes: , ,

ago 1 2008

Actualització de seguretat 2008-005


Update08-005.png

Avui ha sortit l’actualització de seguretat 2008-005, i ens diu:

La actualización “Security Update 2008-005”, cuya instalación se recomienda a todos los usuarios, mejora la seguridad del Mac OS X.


Para obtener información más detallada sobre esta actualización, visite la siguiente página web: http://support.apple.com/kb/HT1222?viewlocale=es_ES

Un dels problemes que resol, és el problema dels DNS del qual es parla últimament.

Més informació Faq-Mac

Escrit per Miquel Labòria • Actualitzacions 0 • Etiquetes: ,

jul 29 2008

És segura la vostra signatura digital?


Últimament comença a proliferar el costum de signar documents de tot tipus digitalment. Les institucions animen a les empreses a fer-ho, i últimament ja directament els ho obliguen a fer. Fins i tot els nous carnets d’identificació espanyols, permeten signar digitalment.

Però, ves per on, ningú ha pensat qui crea la signatura electrònica!!!

Abans de tenir tots aquests mètodes moderns, cap institució t’enviava un paper dient-te com havies de signar, cadascú signava del seu punt i lletra. I el fet de fer-ho manualment feia que es pogués saber si hom havia signat un document.

Avui en dia, les signatures són electròniques, així que la signatura no depèn de qui fa l’acció, ja que qualsevol pot fer-la. I només depèn de si disposes de la clau privada per realitzar-la.

Partint d’aquesta última consideració, ens trobem que si la nostra clau (normalment un nombre de 2048 bits, que són 256 caràcters) la té més d’una persona, tots poden fer-se passar per nosaltres i no hi haurà cap sistema que pugui contradir-ho. Ja que les signatures digitals són com un segell i totes surten igual.

Doncs bé, tornant a la pregunta inicial. Qui us ha creat la vostra clau privada per a signar? Quan aneu a fer-vos el carnet espanyol us la donen directament, o us demanen que us la genereu? Quan aneu a l’agència tributaria són ells qui us generen la clau privada?

Doncs bé, si la resposta és sí, la vostra signatura no és segura, i qui us l’ha generat pot haver-se’n guardat una còpia i pot signar qualsevol cosa en nom vostre i vosaltres no podreu dir que no ho heu fet. Quines coses, oi?

La forma segura d’actuar seria:

  1. Vosaltres us genereu una clau privada amb els paràmetres que us diguin.
  2. Genereu una clau pública amb aquesta còpia privada.
  3. Doneu la clau pública a l’organisme certificador per a que us la certifiqui
  4. Ara ja podeu signar amb la seguretat que ningú més podrà signar sense la clau privada
  5. També teniu la clau pública certificada, per a que tothom pugui comprovar que sou vosaltres qui heu signat.
  6. Si perdeu la clau privada o us la roben, heu d’anar a l’organisme certificador per anular-la i tornar a fer el mateix procés per a tenir-ne una de nova.

Jo no en tinc encara, així que no estic segur que els organismes públics actuïn així. Però tinc la sospita que és així. Algú que ho pugui desmentir? 

No seré jo qui accepti una signatura digital amb una clau privada que no he creat jo des de la seguretat de casa meva.

Escrit per Xin • Curiositats, Recomanacions 13 • Etiquetes:

mar 28 2008

Nova actualització de seguretat


SecUpdate03.png

La informació que proporcionen:

La actualización “Security Update 2008-002”, cuya instalación se recomienda a todos los usuarios, mejora la seguridad del Mac OS X. En esta actualización se han incorporado las actualizaciones de seguridad precedentes.

Para obtener información más detallada sobre esta actualización, visite la siguiente página web: http://docs.info.apple.com/article.html?artnum=61798-es.

Escrit per Miquel Labòria • Actualitzacions 3 • Etiquetes: ,

mar 19 2008

Nova versió de Safari i actualització de seguretat


Sec03.png

Del nou Safari:

Esta actualización mejora la estabilidad, la compatibilidad, el funcionamiento de JavaScript y la seguridad de la aplicación, por lo que se recomienda su instalación a todos los usuarios de Safari.

Para obtener información detallada acerca de esta actualización, visite la siguiente página web: http://docs.info.apple.com/article.html?artnum=307467-es

Si desea obtener información acerca del contenido de seguridad de esta actualización, visite la siguiente página web:http://docs.info.apple.com/article.html?artnum=61798-es

 

De l’actualització:

La actualización “Security Update 2008-002”, cuya instalación se recomienda a todos los usuarios, mejora la seguridad del Mac OS X. En esta actualización se han incorporado las actualizaciones de seguridad precedentes.

Para obtener información más detallada sobre esta actualización, visite la siguiente página web: http://docs.info.apple.com/article.html?artnum=61798-es.

Escrit per Miquel Labòria • Actualitzacions 4 • Etiquetes: , ,

Switch to our mobile site