Etiquetaencriptación

Se acabo el teatrillo

iphone-passcode

Pues nada, el FBI ya ha “destripado” el iPhone y accedido a la información, el teatrillo de “la libertad” ya ha acabado.

Seguir leyendo

La cagada del FileVault

Como informan varios “medios” (vamos, blogs de toda la vida, pero así parece más importante y cierto) FileVault es una castaña y tiene un problema bastante grave en el que muestra las contraseñas bajo Lion.

Y es que los programadores tenemos una pequeña mania de ir creando logs (ficheros de texto donde vamos viendo que va haciendo el programa o anotamos los hechos más importantes del mismo para, en caso de que digan que no funciona bien, poder echar la culpa al patoso usuario que no ha leido el manual) y FileVault no iba a ser menos… salvo que este escribe ahí las contraseñas en texto plano.

Si, texto plano plano plano, de ese que lo abres con el archienemigo vi y lo ves todo, de copiar y pegar y lo tienes.

Esto no seria “mucho problema” si en cierta forma, los usuarios estuvieran educados y no instalaran cualquier tipo de mierda, como troyanos bajados de la pescadería que dicen ser actualizaciones de Flash y que, como no, podrían coger este fichero de log estandar, buscar los password (no es complicado) y mandarselo a algún amigo.

O, que vayáis a vuestro centro Apple favorito debido a que no arranca el disco y este lo monte via Firewire (que lo podrá leer tambien, fijense ustedes) rebuscando entre tu porno y quedandose con las mejores suscripciones a páginas cochinas de uso y disfrute personal.

Vamos, un fallo de seguridad importante y, sobre todo, tonto, debido gracias al poco tiempo (que no vagueza) de pruebas y depuración que tiene bastante del software de la manzana ya que los ingenieros (programadores, picateclas, pizzeros de caja, como queráis llamarlos) se pasan el día saltando de un proyecto a otro para que tengáis vuestro iOS bonito antes que un sistema seguro. De ahí que hace poco, bien claro dijeran que OSX (y Apple) esta 10 años atras respecto a Microsoft en temas de seguridad al no cometer este ultimo semejantes cagadas. Vamos, que si yo tuviera une empresa y realmente este tipo de acciones (encriptar el dispositivo por contener datos sensibles, pero esto es España y nosotros ese tipo de datos los discutimos en el bar con una cerveza, a gritos si es posible) iba apagando los Mac y llamando a Apple para devolverles todos y meter algo mas… seguro, como un Windows (si un Windows, fijate) u otro sistema que fuera más acorde a mis necesidades.

Veremos cuanto tardan los blogs tradicionales que todos mirais de la manzana en hacerse repercusión del tema, y lo que es más importante, como quitan hierro al asunto (fanboy level 1 and level 2 type) o simplemente intentan explicarlo porque no tienen ni “fruta” idea del tema.

¡Ah!, si realizais la encriptación de todo el disco duro, no hay log. Cosa que es bueno saber.

Vía: ZDnet

Firmware 3.1 conspira para que compres iPhone 3GS

Al parecer Apple tiene una pequeña y bonita forma de obligar a la gente a actualizarse y comprar equipos nuevos.

Su forma, como siempre, sin decir nada y por detrás. Aquellos que se hayan instalado el firmware 3.1 y tengan cuentas Exchange lo habrán visto.

Sí, Apple ha mejorado el soporte Exchange, pero de una forma burra, añadiendo y obligando a tener el servidor Exchange con encriptación de serie.

Hasta aquí no habría ningún problema a no ser que el único equipo de Apple que soporta dicha encriptación en su sistema es el iPhone 3GS. Los iPhone 2G y iPhone 3G lanzan un falso mensaje avisando que el servidor da su certificado de seguridad, cuando, realmente si lo da.

Apple ha llamado esto “requerimiento de seguridad“, cuando realmente es “conspiración diabólica para que pagues dinero”.

Por eso, para aquellas instituciones (como la mía) que tienen iPhones 3G y iPhones 3GS, y usan Exchange, deberán quitar la seguridad de encriptación de los mismos… hasta que todos tengan iPhones 3GS…. mola

Más información: Apple

La encriptación del iPhone 3.0, cosa de niños

Es lo que dice Jonathan Zdziarski (que complicado su nombre, podría llamarse Pepe o algo así) ya que este envía parte de la encriptación en plan broadcast cada 2 minutos desde que se enciende. Esto hace que sea fácil sacar el codigo de encriptación en las comunicaciones de este permitiendo no solo ver lo que este esta transmitiendo (via servidores exchange o esas cosas) sino el entrar dentro del dispositivo y ver que hay dentro.

Vamos, un varapaldo para cualquier empresa que tenga a chinos currando en prototipos y no pueda pegarles tiros impunemente. De hecho, cualquiera podría activar el “wipe-remote” o el borrado remoto sin nuestro permiso en plan broma (ya tengo algo que hacer en mi empresa hoy), con la consecuente perdida de datos y rascada de cabeza del usuario al no tener ni puta idea de que pasa.

Se espera que Apple arregle esto pronto… o no. ¡Ah!, por cierto, es para el firmware 3.0.

Más información: Wired