En uno de los portales wiki del iPhone Dev-Team podremos encontrar un post muy curioso con 10 trucos para usuarios del teléfono móvil de Apple, el iPhone, en caso de que vayan a la Defcon 17 que tendrá lugar dentro de unos días en Las Vegas.
Entre estos trucos, nos recopilan consejos dedicados a mantener la seguridad de este dispositivo al meternos en un nido de hackers como es dicho congreso de seguridad.
Este miedo pudimos vivirlo cuando asistimos a la BlackHat EU de este año en Amsterdam, con tanto portátil enchufado, tantos intentos registrados en los firewalls...seguramente había más nmaps corriendo contra los asistentes que croissants para desayunar.
- Deshabilitar todas las cookies de autenticación en Safari. Todos utilizan la wifi gratuita que ofrece el hotel, y debido al perfil de la gente que asistirá a tal evento, y que seguramente durante muchas de las charlas que tendrán lugar, habrá algún individuo que se dedique a sniffar en vez de permanecer atento, es recomendable no visitar sitios web mediante HTTP cuando requieran autenticación. Se debe forzar la autenticación, y la navegación en algunos casos, en twitter, gmail, google reader, facebook o dónde sea, siempre mediante HTTPS.
- En caso de poder utilizar una conexión 3G, evitar en la medida de lo posible conectarse mediante las conexiones WIFI de las instalaciones o del propio aeropuerto antes o después de llegar a Las Vegas.
- Configurar el iPhone para que no se conecte automáticamente a redes wifi conocidas.
- Utilizar tethering para evitar conectarse mediante wifi también con los portátiles. En caso de poder evitar utilizar la wifi, considerar la opción de utilizar la aplicación Unrestrictor 3G. Esta aplicación evita que multitud de herramientas, como iTunes o Skype, fuercen la conexión mediante wifi en caso de encontrar una red disponible. Cuesta 2$ y se puede comprar a través del respositorio de BigBoss tanto en Icy como en Cydia.
- Cambiar la contraseña de root y de mobile del iPhone, o desactivar directamente el servidor SSH. Por defecto en los firmwares, la contraseña ha sido "alpine", y siempre se ha utilizado para las conexiones SSH contra los dispositivos. al tener que editar algún fichero de configuración manualmente al tenerlo jailbreakeado y demás. En caso de no querer cambiarla, por lo menos, dejar desactivado el servidor SSH mediante el SBSettings.
- Estar al día de las vulnerabilidades que van apareciendo para el iPhone. Mismamente, en la Defcon 17 se encuentran programadas las charlas “Is your iPhone Pwned?”, “Jailbreaking and the Law of Reversing”, “Hacking with the iPod Touch” y “Attacking SMS. It's No Longer your BFF”, todas ellas relacionadas con fallos de seguridad tanto en el iPhone como en el iPod Touch.
Así que ya sabeis: Si pronto vais a asistir a un congreso de seguridad, lo importante es que sólo os preocupeis de a qué charlas asistir y disfrutar de su contenido cuando llegue el momento. Pero antes de marchar al aeropuerto armados con vuestros productos hacker preferidos, tened en cuenta estos pequeños consejos.
Saludos
Dr.White
No hay comentarios:
Publicar un comentario