Post on 19-Jun-2015
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE CÓMPUTO
“FALLA DE SEGURIDAD EN iPhone 4, 5 Y iPad 2”
Integrantes García Castro Rodrigo
Jagüey Camarena Larry Fielding
Sanchez José Erick Tzintzun Cruz Rafael
19 de Mayo, 2014
Índice
• Introducción.
Pag. 4
• Capítulo I. Situación problemática. Pag. 5
• Árbol de problemas. Pag. 5
• Árbol de objetivos. Pag.
6
• Objetivos. Pag.
7
• Justificación. Pag.
8
• Capítulo II. Marco teórico. Pag.
9
• 2.1. ¿En qué consiste el fallo de seguridad en los sistemas
operativos de los dispositivos Apple? Pag.
9
…
• 2.2. Conceptos relativos a la seguridad digital Pag. 10
• 2.3.1. Contexto social en torno al fallo de seguridad en Apple. Pag. 11
• 2.4 Estructura del fallo. Pag. 12
• Capítulo III. Estado del arte de la propuesta de solución Pag. 13
• Conclusiones. Pag. 17
• Referencias. Pag. 18
Introducción• En este trabajo abordamos el tema de la
falla de seguridad en los sistemas
operativos de Apple: iOS y OSX. En
febrero de este año la compañía dio a
conocer graves fallos en lo relativo a la
verificación de certificados digitales.
• Aunque Apple distribuyó un parche que
resuelve este fallo la confianza de los
usuarios quedó comprometida. Esto es
grave no sólo para la empresa sino en
general para el avance de las
comunicaciones digitales.http://www.applesfera.com/ios/novedades-de-la-beta-3-de-ios-7
Capítulo I. Situación problemática.Árbol de problemas.
Árbol de Problemas
Falla de seguridad en iPhone 4,5y iPad 2 de Apple
Creciente demanda de dispositivos
No existenciade un estándarde seguridad
Falta de actualizaciónfuncional
Demasiada dependenciade los usuarios hacia
los dispositivos móviles
Mal uso porparte de los
usuarios
Pérdidas económicas
Archivos adjuntosno cifrados
Desconfianza de losusuariosRobo de datos Violación de la privacidad
Facilidad para hackeardispositivos
Distribución de actualizacionesde seguridad falsas
Árbol de Objetivos
Accesibilidad paralos usuarios
Disminución de fallas de seguridad en iPhone 4,5 y iPad 2
Reducción en el usode software pirata
de seguridadMayor protección
de datosDisminución de
costos
Aumento en la seguridad de los
dispositivosIncremento de
ventas
Confianza de losusuarios hacia
Apple
Instructivos claros ysencillos, al momentode compra, asesoría
y orientación
Proponer estándarde seguridad
Cifrar archivosMejora de las
actualizacionesde seguridad
• Objetivo
• Proponer un sistema de seguridad
digital para los usuarios de los
sistemas operativos de Apple. Este
sistema debería corregir las fallas
actuales y prevenir futuros errores de
nuevas versiones del sistema
operativo.
http://tbreak.com/tech/2011/02/apple-rumoured-to-buy-7-8-billion-worth-of-components-from-samsung/apple-ipad-iphone-4/
• Justificación
• Actualmente Apple se posiciona
como una de las principales
compañías fabricante de dispositivos
tecnológicos. La falla del sistema de
seguridad de Apple se presenta en un
momento en el que se está
discutiendo especialmente que el
gobierno de EEUU, puede inmiscuirse
en la vida digital de las personas u
organizaciones. https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcSbA0RLF-Y8DGKqP5FxoHPbi9e_VyIH_ElrrqeTKxQNS0pwxwl6qg
Capítulo II. Marco teórico.2.1. ¿En qué consiste el fallo de seguridad en los
sistemas operativos Apple?
• El 22 de febrero de 2014 Apple publica un
parche de emergencia para su sistema
operativo iOS 7 para dispositivos móviles
debido a una vulnerabilidad en la cual un
tercero podría interceptar la comunicación
entre un dispositivo y un servidor
aparentemente seguro.
http://www.enter.co/chips-bits/smartphones/fallo-de-ios-6-1-lo-puede-dejar-sin-saldo-y-sin-contactos/
2.2 Conceptos relativos a la seguridad digital.• SSL (Secure Sockets Layer) es un
protocolo que utiliza se utiliza para establecer comunicaciones seguras a través de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security).
• El fallo en el código del sistema operativo iOS y OSX de Apple permitía que un tercer elemento con una “posición privilegiada” pudiera engañar a los dispositivos haciéndoles creer que tenían conexiones seguras y auténticas con los servidores cuando podía no ser así.
http://blog.neothek.com/blog-neothek/certificado-ssl-gratis/
2.3.1. Contexto social en torno al fallo de seguridad en Apple.
• El gobierno de los Estados Unidos de América puso en marcha desde 2007 el programa PRISM que es un programa de vigilancia electrónica de largo alcance. Se ha llegado a especular que el fallo en las líneas de código de los sistemas operativos iOS y OSX no son casualidades ya que aparecieron en el mercado un mes antes de que Apple fuera añadida a las listas de PRISM para la vigilancia electrónica.
http://www.lapatilla.com/site/2014/03/06/apple-transfiere-beneficios-de-australia-a-irlanda-para-evitar-impuestos/
2.4. Estructura del fallo.
• El problema surge, como explica el
ingeniero de Google Adam Langley
por una linea de código que tiene un
goto fail en el módulo de
comprobación de los certificados
digitales.
http://nakedsecurity.sophos.com/2014/02/24/anatomy-of-a-goto-fail-apples-ssl-bug-explained-plus-an-unofficial-patch/
Capítulo III. Estado del arte de la propuesta de solución.
• Soluciones existentes:
• Parches a los sistemas operativos iOS y OSX distribuidas por Apple:
• Apple Inc. Distribuye a partir de febrero de este año un parche para iOS7 que soluciona el goto fail responsable de la falta de verificación de certificados. Sin embargo también tuvo que hacer los ajustes necesarios para que los usuarios de equipos viejos se vieran beneficiados pues también eran vulnerables.
http://andalinux.wordpress.com/2009/08/24/crear-y-aplicar-parches-patches-en-linux/
...
• Evitar redes inseguras.
• Programas para inspeccionar el tráfico HTTPS.
• Navegadores alternativos.
http://laciudaddlosarboles.blogspot.mx/2012/10/parches-informaticos_12.html
...• Nuestra propuesta
• Proporcionar un sistema independiente para autenticar las conexiones con servidores.
• Tendría un funcionamiento paralelo al sistema operativo existente sin modificarlo pero advirtiendo de inmediato cuando existan la posibilidad de sufrir ataques.
http://freddycum.blogspot.mx/
...
Garantizar el cifrado de archivos incluso en redes abiertas.
Los estándares de seguridad se elevarán en el futuro, la tecnología avanza y por ello es necesario introducir cifrado de archivos con mayor número de bits.
http://infopeutas.blogspot.mx/2012/02/que-es-un-crack-o-un-keygen-informatico.html
Conclusiones.
• ~ El fallo en el sistema de seguridad de una importante empresa como Apple Inc. demuestra que es difícil confiar en estos tiempos en materia de seguridad digital. Incluso grandes nombres como el de Apple pueden tener este tipo de errores.
• ~ Es alarmante que durante 18 meses este error estuviera en los dispositivos sin que se hiciera público. De ahí la necesidad de trabajar en estándares de seguridad estrictos y en nuevos sistemas que no dependan de algunas líneas de código que proporciona una gran empresa.
• ~ Podemos concluir que es necesario que más personas se dediquen a los temas de seguridad digital, no solo para protegernos de los ataques de hackers aislados sino para proteger nuestro derecho a la privacidad. Ello requiere un esfuerzo multidisciplinario y que la sociedad entera tenga participación en las decisiones relativas al control del internet.
Referencias.
• [1] AFP, “Apple descubre falla de seguridad que afecta a iPhone, iPad, iPod y Mac”, [Online]. Nueva York, 24 de febrero, 2014. Disponible en: http://www.elpais.com.uy/vida-actual/apple-descubre-falla-seguridad-que.html
• [2] G. Julián, "Apple y "goto fail", un fallo de seguridad en SSL/TLS y su posible relación con la NSA", [Online]. 25 de febrero, 2014. Disponible en: http://www.genbeta.com/seguridad/apple-y-goto-fail-un-fallo-de-seguridad-en-ssl-tls-y-su-posible-relacion-con-la-nsa
• [3] S/A, "About the security content of iOS 7.0.6" [Online]. Apple, 21 de febrero, 2014 Disponible en: http://support.apple.com/kb/HT6147
• [4] S/A, "Un "goto fail" provoca el caos SSL/TLS en iOS y OSX" [Online]. 23 de febrero, 2014. Disponible en: http://www.seguridadapple.com/2014/02/un-goto-fail-provoca-el-caos-ssltls-en.html