seguridad
Mis contraseñas siempre disponibles
Sep 7
Este va a ser un post rápido, sin entrar en muchos detalles ya que no se cuantos todavía siguen leyendo listapalm, a los pocos que todavía se den una vuelta por acá quiero comentarles que seguramente vean algunas actualizaciones mas seguido, tengo muchas cosas que quiero compartir con ustedes y creo que este es el mejor ámbito; mi paso a Android, Snow Leopard y otras cosas, pero será mas adelante, hoy quiero comentarles como resolví un problema que tengo desde hace meses.
Una de las cosas que perdí en mi paso desde el iPhone a Android es la posibilidad de sincronizar todas mi passwords con 1Password, excelente programa, uno de los pocos que compré, entre mi teléfono y mi mac, aunque también tenía la falencia de no poder sincronizar con varias máquinas y menos con pc, en la oficina desgraciadamente debo utilizar windows.
Como dije, no quiero hacerlo largo, les comento como, no solo resolví mi problema sino que también resolví las falencias de 1Password.
Necesitaba donde almacenar todas las contraseñas, también poder llevarlas siempre encima, poder acceder desde mi trabajo, desde mi casa, desde mi notebook y desde mi teléfono; quería tener todo sincronizado.
La fórmula resultante fue, KeePass para administrar mis contraseñas (tiene cliente para Mac, PC y para Android existe KeePassDroid) y SugarSync (realmente me sorprendió gratamente, le da mil vueltas a Dropbox y a LiveMesh) para guardar la base de datos de KeePass en una carpeta compartida entre todos mis dispositivos.
La cosa es mas o menos así, en KeePass guardo y administro todas mis contraseñas, el archivo de la base de datos se guarda en una de las carpetas que sincronizo con SugarSync, así lo configuro, con este simple paso ya tengo sincronizadas las contraseñas en todas mis computadoras.
Para tenerlas en el HTC Magic instalé KeePassDroid y el cliente oficial de SugarSync, como las contraseñas no son cosas que cambien todos los días y tampoco agrego o elimino muchas a diario, el pequeño paso intermedio que necesito hacer cuando realizo modificaciones no me molesta en lo mas mínimo; con el cliente de SugarSync me conecto a la nube y descargo el archivo de la base de datos de KeePass, en segundos ya está guardado en la sd, con KeePassDroid lo abro y listo, así de sencillo.
Si realizo alguna modificación de la bd en el teléfono subo el archivo a SugarSync y cuando abra KeePass desde cualquiera de mis máquinas ya veré las diferencias, si los cambios los hago en cualquiera de mis computadoras solo deberé bajar la bd al teléfono, proceso que no lleva mas de 10 segundos, obvio dependerá de la cantidad de pass que tengamos almacenadas.
Así de fácil, estoy mas que contento con el resultado, es mucho mejor que 1Password ya que ahora puedo sincronizar cuantas computadoras quiera y tengo clientes para casi cualquier plataforma.
Sobre SugarSync seguramente les hablaré en alguna otra oportunidad ya que me ENCANTÓ, pero si quieren probarlo y darme una mano para tener algo mas de espacio disponible por favor utilicen el siguiente link: Registrarse en SugarSync.
El SSH en el iPhone y la seguridad
Sep 25
Este artículo que voy a escribir trata sobre seguridad, básica, pero dirigido a los que algo saben sobre el tema ya que, como el título del post indica, es sobre el iPhone y el acceso ssh al mismo, para esto es necesario tener instalado el servicio previo jailbreak del dispositivo, estos requisitos creo que solo los cumplen los que tienen mínimos conocimientos y saben lo que tocan. También vale aclarar que todo lo que sigue son simples especulaciones mías sin haber realizado ni una sola prueba al respecto, la idea de escribir mi pensamiento es que quizá alguien pueda decirme que estoy equivocado o que mi idea no es tan descabellada, si llegamos a esta última conclusión puede ser que ayude a tener un poco mas de cuidado.
Ayer se me ocurrió pensar lo siguiente; una de las primeras aplicaciones, sino la primera, que se instala en un iphone post jailbreak es el paquete openssh, el cual permite establecer una conección ssh con el terminal desde cualquier computadora, éste es un paso necesario para realizar infinidad de cosas que Apple no permite por default; una vez realizado esto es harto conocido que los datos para ingresar por este servicio son root como usuario y alpine como password; también cabe destacar que el servicio queda corriendo en segundo plano y que si no instalamos algún programa tipo BossPrefs no podemos desactivarlo.
Ahora bien, cuando uno de los terminales conectados a la red 3G o Edge, sean de cualquier compañía telefónica, lo hacen con una ip dentro de la red, ahí viene mi pregunta, ¿Qué pasa si me conecto otro terminal a misma red (lo podría hacer con una computadora y un módem 3G o utilizando otro iphone como módem o desde otro iphone con terminal instalado), escaneo las ips y encuentro un iphone?, debo suponer que podría ingresar al teléfono ya que tengo la ip, el user (nada mas y nada menos que root) y el password correspondiente, una vez adentro y con control como root hago lo que quiero, desde leer la información almacenada, meter y sacar programas hasta borrar todo y dejar inservible el teléfono.
Hasta acá mi teoría, quizá alguien me ayude a sacar la paranoia de mi cabeza o quizá ayude yo a concientizar en que si se instala openssh se debe tener apagado el servicio y encenderlo solo cuando se necesite. ¿Existe un riesgo o veo fantasmas donde no los hay?.
Mejores DNS
Aug 5
Este es un artículo dirigido a los que saben un poco de redes, quizá los neófitos en estas cuestiones deban directamente pasarlo por alto.
Quiero hablarles sobre el servicio de OpenDNS, hace bastante tiempo que había leído del mismo pero que recién hace pocos días comencé a utilizar gracias a mi grado de paranoia fomentado por la reciente vulnerabilidad encontrada en absolutamente todos los servidores DNS independientemente del sistema operativo que corran, si no leyeron nada al respecto les dejo algunos links para que se enteren:
Un artículo de Kriptopolis, otro, otro mas, el mas reciente, uno de Genbeta, solo estos sirven como ejemplo, si les interesa mucho no tienen mas que utilizar Google.
Toda esta información hizo que me replantee la utilización de OpenDNS, que básicamente es un servicio absolutamente gratuito, y al parecer extremadamente confiable, de DNS, para no depender de los que ofrecen nuestro proveedor de Internet.
La utilización es sumamente sencilla, solo hay que reemplazar en nuestra mac, pc o router (dependiendo de como nos conectemos a Internet) las ip que nos asigna el proveedor por la que nos brinda OpenDNS (208.67.222.222, 208.67.220.220), así de sencillo, a partir de ese momento ya podemos navegar de manera un poco mas segura.
Todavía no leí, pero la lógica me indica que con este cambio también evitamos que nuestro proveedor de Internet sepa (y loguee) todos nuestros movimientos en la red.
En este post no pretendo explicar como cambiar las ip, para que sirven los dns ni nada por el estilo, el que entienda de que estoy hablando con el link a OpenDNS que puse será suficiente, para el que no lo sea le puedo recomendar leer este artículo.
OpenID disponible
Jul 16
Desde hace unos días habilité en los comentarios de listapalm la posibilidad de agregar la identidad de OpenID, de esta manera, los que posean una cuenta openid pueden asegurarse de que sus comentarios reflejen la autenticidad de sus datos.
Afortunadamente listapalm no está lleno de trolls y no sufrimos la suplantación de identidad pero igualmente no está de mas el estar preparados, además creo que cada vez mas OpenID se está volviendo un standard y, como siempre intenté, listapalm tiene que estar al día 
Si desean implementar lo mismo en vuestros propios blogs no dejen de leer esta nota.
Parche de seguridad para Treo 680, 680 y 700p de Palm
May 21
Finalmente, Palm sacó el parche de seguridad que tanto necesitaban nuestros Treos, que permitía obtener datos aún bloqueado el aparato.
Pueden conseguir el suyo desde el sitio de Downloads de Palm:
http://www.palm.com/us/support/downloads/.
Falla de seguridad no solucionada por Palm en los Treos
Feb 15
Desgraciadamente, a pesar de ser notificada de la falla, Palm aún no ha solucionado una grave falla de seguridad, que permite a un usuario obtener datos de una Treo a pesar de estar bloqueada (a través de la opción de “Find”).
Adjunto el link que incluye toda la notificación de Symantec a Palm, en agosto de 2006 y nuevamente ahora (original en Infoworld).
Uno de los pocos programas que protegen a los Treo de esta falla es el Warden, de LockMyTreo. Pueden ver la solución parcial aplicada en una noticia de Treocentral.
Otra opción se está gestando como un parche y al momento de publicar esta noticia se está desarrollando por un usuario de nuestra comunidad amiga Treocentral, y podrán encontrarlo a partir del post 11 de su foro aquí.
A protegerse!
Vulnerabilidad en Toshiba Bluetooth Stack
Jan 18
Bluetooth es la tecnología que permite la interconexión inalámbrica (no más de 10 metros), entre diversos dispositivos como computadoras (laptops, Palm, Pocket PC,
etc.), teléfonos celulares, cámaras, impresoras, y cualquier otro aparato que la incluya.
Para permitir la compatibilidad entre los productos y el dispositivo en si mismo (chip bluetooth), se utiliza una interfase llamada HCI (Host Controller Interface), y una
Virus de Symbian, Commwarrior C
Oct 18
Nombre: Commwarrior.C
Nombre NOD32: SymbOS/CommWarrior.C
Tipo: Gusano de dispositivo PDA
Alias: Comwarrior, Commwarrior.C, CWOUTCAST,
SymbOS/Commwarrior.C, Symb/Comwar-C
Fecha: 17/oct/05
Plataforma: SymbOS (EPOC), Nokia Series 60
Tamaño: variable
Este gusano puede infectar celulares que ejecuten el sistema
operativo Symbian OS (Nokia, etc.).
Puede ser descargado de diferentes sitios de Internet, dentro de un archivo ZIP conteniendo el instalador con extensión
.SIS (la extensión .SIS es utilizada por Symbian para las
instalaciones de programas y aplicaciones).
Uno de los nombres con que este gusano se presenta es el
siguiente (simula ser una versión pirata de la utilidad
Symbian Commander):
SymCommander_1_06.sis………….
Sigue leyendo… >
Primer virus para celulares que utiliza mensajes MMS
Mar 11
Se ha detectado un nuevo virus para teléfonos móviles, que al
contrario de sus antecesores, que utilizaban tecnologías con
muchas limitaciones como Bluetooth (Cabir y otros), se vale de
los mensajes multimedia (MMS) enviados por estos teléfonos a
otros usuarios.
Este tipo de mensajes suele ser muy empleado hoy día para el
envío de las imágenes y videos obtenidos mediante las cámaras
que los nuevos modelos de celulares incorporan.
Este gusano, denominado “CommWarrior” por F-Secure, podría de
ese modo llegar a distribuirse de manera global con la misma
velocidad que los clásicos gusanos de Internet vía correo
electrónico.
El nuevo gusano, como los anteriores capaces de infectar
celulares, se ejecuta bajo el sistema operativo Symbian………………………..
Sigue leyendo… >
Múltiples Vulnerabilidades en Pocket IE
Jan 31
Pocket IE es la versión del Internet Explorer para las computadoras de bolsillo (Pocket PC).
Según informa Airscanner.com, existen varias debilidades en
Pocket IE (probadas en Windows Mobile SE 2003), que pueden ser
utilizadas para engañar a un usuario final para que envíe
datos locales y/o información sensible, tales como nombres de
usuarios y contraseñas, a un usuario remoto.
El potencial para explotar estas vulnerabilidades, está
limitado solo por la imaginación del atacante.
Sin embargo, como Pocket IE posee menos funcionalidades que su
hermano mayor, las técnicas de un ataque están severamente
limitadas. Por ejemplo, Pocket IE no soporta la etiqueta
IFRAME, ampliamente usada en recientes ataques al Internet
Explorer. Tampoco soporta todos los comandos de JavaScript
comúnmente utilizados por los atacantes…………………
Sigue leyendo… >