{"id":809,"date":"2010-10-19T08:12:37","date_gmt":"2010-10-19T11:12:37","guid":{"rendered":"http:\/\/www.talsoft.com.ar\/site\/?p=809"},"modified":"2010-10-19T08:12:37","modified_gmt":"2010-10-19T11:12:37","slug":"como-proteger-las-conexiones-de-tu-iphone","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/como-proteger-las-conexiones-de-tu-iphone\/","title":{"rendered":"C\u00f3mo proteger las conexiones de tu Iphone"},"content":{"rendered":"<p>Ya hemos hablado en SbD sobre diferentes <a href=\"http:\/\/www.securitybydefault.com\/2010\/02\/contrasena-mas-robusta-para-acceso.html\">medidas de seguridad<\/a> y <a href=\"http:\/\/www.securitybydefault.com\/2010\/03\/personalizando-la-seguridad-de-iphone.html\">programas para securizar los dispositivos<\/a> Iphone e Ipod Touch. Sin embargo, nunca podemos estar tranquilos y exentos de recibir alg\u00fan tipo de ataque. El malware <a href=\"http:\/\/www.securitybydefault.com\/2010\/09\/el-fraude-te-busca-te-persigue-y.html\">evoluciona con nosotros y nos persigue<\/a> para adaptarse a las diferentes plataformas y por supuesto iPhone es un  objetivo muy jugoso, tanto por \u00abodio\/resentimiento\u00bb de algunos a la  marca de la manzana mordida, como por el volumen de dispositivos  existentes alrededor del Mundo.<\/p>\n<p>Incluso, para analizar y auditar de actividad \u00abrara\u00bb el iPhone,\u00a0 podemos contar con herramientas de gran calidad como <a href=\"http:\/\/www.security-projects.com\/?Unhide:Download\">Unhide<\/a>, cuyo port y adaptaci\u00f3n ante malware conocido para Iphone, <a href=\"http:\/\/www.securitybydefault.com\/2010\/06\/seguridad-antirootkits-y-antivirus-en.html\">ya analiz\u00f3<\/a> nuestro compa\u00f1ero Alberto en SbD.<\/p>\n<p>Sin embargo, no estamos libres de que alg\u00fan otro tipo de <strong>ataque<\/strong>, ya sean <strong>externos<\/strong> (como los que se dieron a trav\u00e9s del interfaz 3G contra el servicio <a href=\"http:\/\/www.tuaw.com\/2009\/11\/03\/dutch-hacker-accesses-jailbroken-iphones-requests-5\/\">SSH con password por defecto<\/a> en algunos operadores); o incluso <strong>internos<\/strong> debido a que un usuario instale alg\u00fan programa de dudosa  reputaci\u00f3n\/origen que termine efectuando acciones maliciosas por su  cuenta, que hagan uso de la conexi\u00f3n 3G para enviar\/pedir datos a  Internet, se salte las restricciones de roaming, etc,\u2026<\/p>\n<p>As\u00ed pues he estado indagando entre diferentes aplicaciones software que ayuden a prevenir la <a href=\"http:\/\/www.securitybydefault.com\/2008\/12\/dlp-y-las-fugas-de-informacin.html\">fuga de informaci\u00f3n<\/a> o posible compromiso del dispositivo a nivel de conexi\u00f3n de red. Los firewalls analizados son los siguientes:<\/p>\n<ul>\n<li><strong><a href=\"http:\/\/thebigboss.org\/2010\/08\/27\/firewall-ip-149-out-now\">Firewall IP<\/a><\/strong> (Descargable de Cydia. Coste: $2.99): Gracias a esta soluci\u00f3n podemos definir, de una forma muy gradual, <strong>pol\u00edticas para cada aplicaci\u00f3n de tr\u00e1fico SALIENTE del Iphone<\/strong>.  Es decir, si queremos permitir \u00fanicamente conexiones a determinadas IPs  por parte de una aplicaci\u00f3n, podemos definir una pol\u00edtica espec\u00edfica  basado en listas blancas\/negras y partir de <a href=\"http:\/\/www.securitybydefault.com\/2008\/07\/modelo-de-seguridad-positiva-vs-modelo.html\">modelos de seguridad positiva o negativa<\/a>.  Fundamentalmente, se puede decidir que ninguna aplicaci\u00f3n pueda acceder  a Internet y, seg\u00fan se vaya haciendo uso de las aplicaciones, Firewall  IP nos preguntar\u00e1 si queremos permitirlo y en qu\u00e9 condiciones. Adem\u00e1s,  aquellas aplicaciones que son ejecutadas por el <em>Springboard<\/em> (es decir el propio entorno gr\u00e1fico) o que corren en background, tengan una <strong>pol\u00edtica por defecto pre-definida<\/strong>:  No dejo salir nada o dejo salir todo y voy acotando. El otro enfoque  ser\u00eda permitir todo por defecto y bloquear acceso a Internet a algunas  aplicaciones nada m\u00e1s. As\u00ed pues permite afinar mucho lo que queremos  permitir y qu\u00e9 denegar, e incluso a trav\u00e9s de qu\u00e9 interfaz; podemos  indicar que <strong>s\u00f3lo se permita acceso a internet <\/strong>si s\u00f3lo es <strong>a trav\u00e9s del adaptador de red wireless<\/strong>, pero no a trav\u00e9s de 3G o GPRS.<\/li>\n<\/ul>\n<div><a href=\"http:\/\/1.bp.blogspot.com\/_zEu14PgjWqw\/TLsZ3fH--XI\/AAAAAAAAAew\/ayZBsSLxr10\/s1600\/IMG_1025.PNG\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/1.bp.blogspot.com\/_zEu14PgjWqw\/TLsZ3fH--XI\/AAAAAAAAAew\/ayZBsSLxr10\/s320\/IMG_1025.PNG\" border=\"0\" alt=\"\" width=\"213\" height=\"320\" \/><\/a><\/div>\n<ul>\n<li><a href=\"http:\/\/cydia.saurik.com\/package\/com.saurik.privacy\">Privacy Opt-out<\/a> (Descargable de Cydia. Gratuito): Este sencillo add-on a\u00f1ade a la  carpeta preferencias un serie de checks que permiten evitar que  determinadas librer\u00edas env\u00eden estad\u00edsticas de datos de usuario  an\u00f3nimamente a los creadores de ciertas aplicaciones. Incluso Jay  Freeman &#8211;<a href=\"http:\/\/www.twitter.com\/saurik\">@Saurik<\/a>&#8211; (autor de Cydia) y la gente de Bigboss, contactaron con los autores de esas librer\u00edas (Flurry, Medialets, Mobclix o <a href=\"http:\/\/www.pinchmedia.com\/\">Pinch Media<\/a>)  para que colaborasen en el desarrollo de esta herramienta que  permitiese desactivar su uso seg\u00fan la decisi\u00f3n del usuario. Atenci\u00f3n! Al  haberlo instalado en IOS 4.1, noto mi iphone 3G m\u00e1s lento a\u00fan que de  costumbre. Creo que est\u00e1 recomendado s\u00f3lo para Iphone 3.X<\/li>\n<\/ul>\n<div><a href=\"http:\/\/2.bp.blogspot.com\/_zEu14PgjWqw\/TLtfRdR8QKI\/AAAAAAAAAe8\/t7zrvgQNkz8\/s1600\/privacycydia3.png\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/2.bp.blogspot.com\/_zEu14PgjWqw\/TLtfRdR8QKI\/AAAAAAAAAe8\/t7zrvgQNkz8\/s320\/privacycydia3.png\" border=\"0\" alt=\"\" width=\"213\" height=\"320\" \/><\/a><\/div>\n<p>Me  ha llamado mucho la atenci\u00f3n no haber encontrado referencias de  firewalls libres o comerciales que protejan tanto ante conexiones  salientes enviadas por el iphone, como entrantes desde una red local o  desde Internet en b\u00fasqueda de puertos abiertos. Cierto es que en el caso  de Espa\u00f1a, en el operador Movistar, la IP 3G obtenida no siempre es  accesible desde Internet, sino que pertenece a un direccionamiento  privado, pero aun as\u00ed, no estar\u00eda de m\u00e1s el poder prohibir las  conexiones entrantes de alguna manera.<\/p>\n<p>As\u00ed pues lo \u00fanico que se me ocurre para ello es seguir una serie de buenas pr\u00e1cticas y consejos:<\/p>\n<ul>\n<li>Si hemos instalado el <strong>servidor OpenSSH<\/strong>, podremos hacer que por defecto <strong>arranque deshabilitado<\/strong>,  y as\u00ed tenerlo que activar\/desactivar cuando nos haga falta realmente.  De esta manera evitamos que si en alg\u00fan momento futuro, alguien  desarrolle el mismo tipo de script para buscar IPs con servidores SSH y  prueben root\/alpine como credenciales, <a href=\"http:\/\/appleweblog.com\/2009\/11\/hacker-holandes-ataca-varios-iphones-para-ayudar-a-sus-usuarios\">como sucedi\u00f3 en otros operadores<\/a>. Si queremos que el servidor SSH arranque al reiniciar el dispositivo, recomiendo seguir las gu\u00edas de securizaci\u00f3n de SSH (<a href=\"http:\/\/www.securitybydefault.com\/2009\/08\/12-fortificacion-del-servicio-ssh.html\">1<\/a> y <a href=\"http:\/\/www.securitybydefault.com\/2009\/08\/22-fotificacion-del-servicio-ssh.html\">2<\/a>) que ofrecimos en SbD (<a href=\"http:\/\/sshkeychain.sourceforge.net\/mirrors\/SSH-with-Keys-HOWTO\/\">acceso con certificados<\/a>, cambio de <strong>clave de usuarios root y mobile<\/strong>, cambio de <strong>puerto por defecto<\/strong>, <strong>prohibici\u00f3n<\/strong> <strong>de<\/strong> <strong>login como root<\/strong>, etc,\u2026).<strong> <\/strong>Otra  opci\u00f3n es deshabilitar el arranque por defecto del servicio. Para ello  conectaremos v\u00eda SSH y ejecutaremos en consola, como root: <em>launchctl unload -w \/Library\/LaunchDaemons\/com.openssh.sshd.plist <\/em><\/li>\n<\/ul>\n<ul>\n<li>Cada vez que instalemos software nuevo o al menos, realizar  un escaneo de puertos desde fuera a trav\u00e9s del interfaz wireless, con  cierta frecuencia. Un escaneo completo podr\u00eda hacerse\u00a0 de forma  sencilla, de la siguiente manera: <em>nmap -sT -sU -p 0-65535<\/em><\/li>\n<\/ul>\n<ul>\n<li>Mediante <a href=\"http:\/\/cydia.saurik.com\/package\/sbsettings\">SBSettings<\/a> a\u00f1adir cuantos <em>toggles<\/em> sean necesarios para poder arrancar o parar los servicios de conectividad de red seg\u00fan los necesitemos&#8230; y recordad que <em>Only paranoid survive<\/em>!<\/li>\n<\/ul>\n<div><a href=\"http:\/\/3.bp.blogspot.com\/_zEu14PgjWqw\/TLsaeXj7ieI\/AAAAAAAAAe4\/_JUTlsN0aVU\/s1600\/IMG_1023.PNG\"><img loading=\"lazy\" decoding=\"async\" src=\"http:\/\/3.bp.blogspot.com\/_zEu14PgjWqw\/TLsaeXj7ieI\/AAAAAAAAAe4\/_JUTlsN0aVU\/s320\/IMG_1023.PNG\" border=\"0\" alt=\"\" width=\"213\" height=\"320\" \/><\/a><\/div>\n<p>Fuente: Publicado por Lorenzo Mart\u00ednez   en<abbr> Securty By Default<\/abbr><a title=\"permanent link\" rel=\"bookmark\" href=\"http:\/\/www.securitybydefault.com\/2010\/10\/como-proteger-las-conexiones-de-tu.html\"><abbr title=\"2010-10-18T06:32:00+02:00\"><\/abbr><\/a><a title=\"Enviar entrada por correo electr\u00f3nico\" href=\"http:\/\/www.blogger.com\/email-post.g?blogID=5399811056563385935&amp;postID=2053115533967717053\"><\/a><a title=\"Enviar entrada por correo electr\u00f3nico\" href=\"http:\/\/www.blogger.com\/email-post.g?blogID=5399811056563385935&amp;postID=2053115533967717053\"><br \/>\n<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ya hemos hablado en SbD sobre diferentes medidas de seguridad y programas para securizar los dispositivos Iphone e Ipod Touch. Sin embargo, nunca podemos estar tranquilos y exentos de recibir alg\u00fan tipo de ataque. El malware evoluciona con nosotros y nos persigue para adaptarse a las diferentes plataformas y por supuesto iPhone es un objetivo [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-809","post","type-post","status-publish","format-standard","hentry","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/809","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=809"}],"version-history":[{"count":1,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/809\/revisions"}],"predecessor-version":[{"id":810,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/809\/revisions\/810"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}