INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE CÓMPUTO

“FALLA DE SEGURIDAD EN iPhone 4, 5 Y iPad 2”

Integrantes García Castro Rodrigo

Jagüey Camarena Larry Fielding

Sanchez José Erick Tzintzun Cruz Rafael

19 de Mayo, 2014

Índice

• Introducción.

Pag. 4

• Capítulo I. Situación problemática. Pag. 5

• Árbol de problemas. Pag. 5

• Árbol de objetivos. Pag.

6

• Objetivos. Pag.

7

• Justificación. Pag.

8

• Capítulo II. Marco teórico. Pag.

9

• 2.1. ¿En qué consiste el fallo de seguridad en los sistemas

operativos de los dispositivos Apple? Pag.

9

…

• 2.2. Conceptos relativos a la seguridad digital Pag. 10

• 2.3.1. Contexto social en torno al fallo de seguridad en Apple. Pag. 11

• 2.4 Estructura del fallo. Pag. 12

• Capítulo III. Estado del arte de la propuesta de solución Pag. 13

• Conclusiones. Pag. 17

• Referencias. Pag. 18

Introducción• En este trabajo abordamos el tema de la

falla de seguridad en los sistemas

operativos de Apple: iOS y OSX. En

febrero de este año la compañía dio a

conocer graves fallos en lo relativo a la

verificación de certificados digitales.

• Aunque Apple distribuyó un parche que

resuelve este fallo la confianza de los

usuarios quedó comprometida. Esto es

grave no sólo para la empresa sino en

general para el avance de las

comunicaciones digitales.http://www.applesfera.com/ios/novedades-de-la-beta-3-de-ios-7

Capítulo I. Situación problemática.Árbol de problemas.

Árbol de Problemas

Falla de seguridad en iPhone 4,5y iPad 2 de Apple

Creciente demanda de dispositivos

No existenciade un estándarde seguridad

Falta de actualizaciónfuncional

Demasiada dependenciade los usuarios hacia

los dispositivos móviles

Mal uso porparte de los

usuarios

Pérdidas económicas

Archivos adjuntosno cifrados

Desconfianza de losusuariosRobo de datos Violación de la privacidad

Facilidad para hackeardispositivos

Distribución de actualizacionesde seguridad falsas

Árbol de Objetivos

Accesibilidad paralos usuarios

Disminución de fallas de seguridad en iPhone 4,5 y iPad 2

Reducción en el usode software pirata

de seguridadMayor protección

de datosDisminución de

costos

Aumento en la seguridad de los

dispositivosIncremento de

ventas

Confianza de losusuarios hacia

Apple

Instructivos claros ysencillos, al momentode compra, asesoría

y orientación

Proponer estándarde seguridad

Cifrar archivosMejora de las

actualizacionesde seguridad

• Objetivo

• Proponer un sistema de seguridad

digital para los usuarios de los

sistemas operativos de Apple. Este

sistema debería corregir las fallas

actuales y prevenir futuros errores de

nuevas versiones del sistema

operativo.

http://tbreak.com/tech/2011/02/apple-rumoured-to-buy-7-8-billion-worth-of-components-from-samsung/apple-ipad-iphone-4/

• Justificación

• Actualmente Apple se posiciona

como una de las principales

compañías fabricante de dispositivos

tecnológicos. La falla del sistema de

seguridad de Apple se presenta en un

momento en el que se está

discutiendo especialmente que el

gobierno de EEUU, puede inmiscuirse

en la vida digital de las personas u

organizaciones. https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcSbA0RLF-Y8DGKqP5FxoHPbi9e_VyIH_ElrrqeTKxQNS0pwxwl6qg

Capítulo II. Marco teórico.2.1. ¿En qué consiste el fallo de seguridad en los

sistemas operativos Apple?

• El 22 de febrero de 2014 Apple publica un

parche de emergencia para su sistema

operativo iOS 7 para dispositivos móviles

debido a una vulnerabilidad en la cual un

tercero podría interceptar la comunicación

entre un dispositivo y un servidor

aparentemente seguro.

http://www.enter.co/chips-bits/smartphones/fallo-de-ios-6-1-lo-puede-dejar-sin-saldo-y-sin-contactos/

2.2 Conceptos relativos a la seguridad digital.• SSL (Secure Sockets Layer) es un

protocolo que utiliza se utiliza para establecer comunicaciones seguras a través de Internet. Recientemente ha sido sustituido por TLS (Transport Layer Security).

• El fallo en el código del sistema operativo iOS y OSX de Apple permitía que un tercer elemento con una “posición privilegiada” pudiera engañar a los dispositivos haciéndoles creer que tenían conexiones seguras y auténticas con los servidores cuando podía no ser así.

http://blog.neothek.com/blog-neothek/certificado-ssl-gratis/

2.3.1. Contexto social en torno al fallo de seguridad en Apple.

• El gobierno de los Estados Unidos de América puso en marcha desde 2007 el programa PRISM que es un programa de vigilancia electrónica de largo alcance. Se ha llegado a especular que el fallo en las líneas de código de los sistemas operativos iOS y OSX no son casualidades ya que aparecieron en el mercado un mes antes de que Apple fuera añadida a las listas de PRISM para la vigilancia electrónica.

http://www.lapatilla.com/site/2014/03/06/apple-transfiere-beneficios-de-australia-a-irlanda-para-evitar-impuestos/

2.4. Estructura del fallo.

• El problema surge, como explica el

ingeniero de Google Adam Langley

por una linea de código que tiene un

goto fail en el módulo de

comprobación de los certificados

digitales.

http://nakedsecurity.sophos.com/2014/02/24/anatomy-of-a-goto-fail-apples-ssl-bug-explained-plus-an-unofficial-patch/

Capítulo III. Estado del arte de la propuesta de solución.

• Soluciones existentes:

• Parches a los sistemas operativos iOS y OSX distribuidas por Apple:

• Apple Inc. Distribuye a partir de febrero de este año un parche para iOS7 que soluciona el goto fail responsable de la falta de verificación de certificados. Sin embargo también tuvo que hacer los ajustes necesarios para que los usuarios de equipos viejos se vieran beneficiados pues también eran vulnerables.

http://andalinux.wordpress.com/2009/08/24/crear-y-aplicar-parches-patches-en-linux/

...

• Evitar redes inseguras.

• Programas para inspeccionar el tráfico HTTPS.

• Navegadores alternativos.

http://laciudaddlosarboles.blogspot.mx/2012/10/parches-informaticos_12.html

...• Nuestra propuesta

• Proporcionar un sistema independiente para autenticar las conexiones con servidores.

• Tendría un funcionamiento paralelo al sistema operativo existente sin modificarlo pero advirtiendo de inmediato cuando existan la posibilidad de sufrir ataques.

http://freddycum.blogspot.mx/

...

Garantizar el cifrado de archivos incluso en redes abiertas.

Los estándares de seguridad se elevarán en el futuro, la tecnología avanza y por ello es necesario introducir cifrado de archivos con mayor número de bits.

http://infopeutas.blogspot.mx/2012/02/que-es-un-crack-o-un-keygen-informatico.html

Conclusiones.

• ~ El fallo en el sistema de seguridad de una importante empresa como Apple Inc. demuestra que es difícil confiar en estos tiempos en materia de seguridad digital. Incluso grandes nombres como el de Apple pueden tener este tipo de errores.

• ~ Es alarmante que durante 18 meses este error estuviera en los dispositivos sin que se hiciera público. De ahí la necesidad de trabajar en estándares de seguridad estrictos y en nuevos sistemas que no dependan de algunas líneas de código que proporciona una gran empresa.

• ~ Podemos concluir que es necesario que más personas se dediquen a los temas de seguridad digital, no solo para protegernos de los ataques de hackers aislados sino para proteger nuestro derecho a la privacidad. Ello requiere un esfuerzo multidisciplinario y que la sociedad entera tenga participación en las decisiones relativas al control del internet.

Referencias.

• [1] AFP, “Apple descubre falla de seguridad que afecta a iPhone, iPad, iPod y Mac”, [Online]. Nueva York, 24 de febrero, 2014. Disponible en: http://www.elpais.com.uy/vida-actual/apple-descubre-falla-seguridad-que.html

• [2] G. Julián, "Apple y "goto fail", un fallo de seguridad en SSL/TLS y su posible relación con la NSA", [Online]. 25 de febrero, 2014. Disponible en: http://www.genbeta.com/seguridad/apple-y-goto-fail-un-fallo-de-seguridad-en-ssl-tls-y-su-posible-relacion-con-la-nsa

• [3] S/A, "About the security content of iOS 7.0.6" [Online]. Apple, 21 de febrero, 2014 Disponible en: http://support.apple.com/kb/HT6147

• [4] S/A, "Un "goto fail" provoca el caos SSL/TLS en iOS y OSX" [Online]. 23 de febrero, 2014. Disponible en: http://www.seguridadapple.com/2014/02/un-goto-fail-provoca-el-caos-ssltls-en.html