[3.1] ¿Cómo estudiar este tema?
[3.1] ¿Cómo estudiar este tema?
[3.2] Seguridad en Mac OS X
[3.2] Seguridad en Mac OS X
[3.3] Dispositivos móviles
[3.3] Dispositivos móviles
[3.4] Virtualización de sistemas operativos
[3.4] Virtualización de sistemas operativos
E
E
M
M
A
A
Esquema
Esquema
O
O
t
t
r
r
o
o
s
s
s
s
i
i
s
s
t
t
e
e
m
m
a
a
s
s
o
o
p
p
e
e
r
r
a
a
t
t
i
i
v
v
o
o
s
s
S S e e g g u u r r i i d d a a d d p p o o r r a a c c c c e e s s o o f f í í s s i i c c o oM M a a c c O O X X D D i i s s p p o o s s i i t t i i v v o o
s s m m ó ó v v i i l l e e s s A A n n d d r r o o i i d d : : • • A A r r q q u u i i t t e e
c c t t u u r r a a • • A A c c t t u u a a l l i i z z a a
c c i i ó ó n n d d e e A A n n d d r r o o i i d d • • L L a a S S a a n n d d b b o o x x • • P P r r o o t t e e c c c c i i ó ó n n c c o o n n t t r r a a e e l l a a c c c c e e s s o o f f í í s s i i c c o o
• • S S e e g g u u r r i i d d a a d d a a n n i i v v e e l l d d e e a a p p l l i i c c a a
c c i i ó ó n n V V i i r r t t u u a a l l i i z z a a
c c i i ó ó n n d d e e s s i i s s t t e e m m a a s s I I n n t t r r o o d d u u c c c c i i ó ó n n : : • • Q Q u u é é e e s s y y e e n n q q u u é é c c o o n n s s i i s s t t e e S S e e g g u u r r i i d d a a d d e e n n e e l l i i n n i i c c i i o o d d e e l l s s i i s s t t e e m m a a T T i i p p o o
s s d d e e v v i i r r t t u u a a l l i i z z a a
c c i i ó ó n n S S o o f f t t w w a a r r e e d d e e v v i i r r t t u u a a l l i i z z a a
c c i i ó ó n n S S e e g g u u r r i i d d a a d d e e n n l l a a s s p p r r e e f f e e r r e e n n c c i i a a s s
: : • • i i C C l l o o u u d d , , C C u u e e n n t t a a s s y y u u s s u u a a r r i i o o s s
… … i i O O S S : : • • A A r r q q u u i i t t e e
c c t t u u r r a a • • A A c c t t u u a a l l i i z z a a
c c i i ó ó n n d d e e i i O O
S S • • L L a a S S a a n n d d b b o o x x • • P P r r o o t t e e c c c c i i ó ó n n c c o o n n t t r r a a e e l l a a c c c c e e s s o o f f í í s s i i c c o o
• • S S e e g g u u r r i i d d a a d d a a n n i i v v e e l l d d e e a a p p l l i i c c a a
c c i i ó ó n n S S e e g g u u r r i i d d a a d d e e n n s s i i s s t t e e m m a a s s v v i i r r t t u u a a l l e e s s S S e e g g u u r r i i d d a a d d e e n n l l a a s s u u t t i i l l i i d d a a d d e e s s : : • • L L l l a a v v e e r r o o s s , , u u t t i i l l i i d d a a d d d d e e d d i i s s c c o o s s … … V V e e n n t t a a j j a a s s y y d d e e s s v v e e n n t t a a j j a a s s
Esquema
Esquema
O
O
t
t
r
r
o
o
s
s
s
s
i
i
s
s
t
t
e
e
m
m
a
a
s
s
o
o
p
p
e
e
r
r
a
a
t
t
i
i
v
v
o
o
s
s
S S e e g g u u r r i i d d a a d d p p o o r r a a c c c c e e s s o o f f í í s s i i c c o oM M a a c c O O X X D D i i s s p p o o s s i i t t i i v v o o
s s m m ó ó v v i i l l e e s s A A n n d d r r o o i i d d : : • • A A r r q q u u i i t t e e
c c t t u u r r a a • • A A c c t t u u a a l l i i z z a a
c c i i ó ó n n d d e e A A n n d d r r o o i i d d • • L L a a S S a a n n d d b b o o x x • • P P r r o o t t e e c c c c i i ó ó n n c c o o n n t t r r a a e e l l a a c c c c e e s s o o f f í í s s i i c c o o
• • S S e e g g u u r r i i d d a a d d a a n n i i v v e e l l d d e e a a p p l l i i c c a a
c c i i ó ó n n V V i i r r t t u u a a l l i i z z a a
c c i i ó ó n n d d e e s s i i s s t t e e m m a a s s I I n n t t r r o o d d u u c c c c i i ó ó n n : : • • Q Q u u é é e e s s y y e e n n q q u u é é c c o o n n s s i i s s t t e e S S e e g g u u r r i i d d a a d d e e n n e e l l i i n n i i c c i i o o d d e e l l s s i i s s t t e e m m a a T T i i p p o o
s s d d e e v v i i r r t t u u a a l l i i z z a a
c c i i ó ó n n S S o o f f t t w w a a r r e e d d e e v v i i r r t t u u a a l l i i z z a a
c c i i ó ó n n S S e e g g u u r r i i d d a a d d e e n n l l a a s s p p r r e e f f e e r r e e n n c c i i a a s s
: : • • i i C C l l o o u u d d , , C C u u e e n n t t a a s s y y u u s s u u a a r r i i o o s s
… … i i O O S S : : • • A A r r q q u u i i t t e e
c c t t u u r r a a • • A A c c t t u u a a l l i i z z a a
c c i i ó ó n n d d e e i i O O
S S • • L L a a S S a a n n d d b b o o x x • • P P r r o o t t e e c c c c i i ó ó n n c c o o n n t t r r a a e e l l a a c c c c e e s s o o f f í í s s i i c c o o
• • S S e e g g u u r r i i d d a a d d a a n n i i v v e e l l d d e e a a p p l l i i c c a a
c c i i ó ó n n S S e e g g u u r r i i d d a a d d e e n n s s i i s s t t e e m m a a s s v v i i r r t t u u a a l l e e s s S S e e g g u u r r i i d d a a d d e e n n l l a a s s u u t t i i l l i i d d a a d d e e s s : : • • L L l l a a v v e e r r o o s s , , u u t t i i l l i i d d a a d d d d e e d d i i s s c c o o s s … … V V e e n n t t a a j j a a s s y y d d e e s s v v e e n n t t a a j j a a s s
Ideas clave
Ideas clave
3.1. ¿Cómo estudiar este tema?
3.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las Ideas clave. Para estudiar este tema lee las Ideas clave.
En este tema vamos a hablar de la seguridad en otros sistemas operativos diferentes a En este tema vamos a hablar de la seguridad en otros sistemas operativos diferentes a Linux y Windows, en concreto vamos a ver tres: MAC OS X, iOS y Android. Además Linux y Windows, en concreto vamos a ver tres: MAC OS X, iOS y Android. Además veremos
veremos la la seguridad seguridad en en entornos entornos de de virtualización, virtualización, ya ya que, que, aunque aunque no no sea sea un un sistemasistema operativo propiamente dicho, afecta a la seguridad de los sistemas operativos a los que operativo propiamente dicho, afecta a la seguridad de los sistemas operativos a los que involucra, tanto el sistema
involucra, tanto el sistema host host como los virtualizados. como los virtualizados.
En primer lugar veremos los sistemas operativos Mac OS X, en los que nos centraremos En primer lugar veremos los sistemas operativos Mac OS X, en los que nos centraremos en:
en:
Seguridad por acceso físico. Seguridad por acceso físico.
Seguridad en el inicio del sistema. Seguridad en el inicio del sistema.
Seguridad en las preferencias del sistema. Seguridad en las preferencias del sistema. Seguridad en las utilidades del sistema. Seguridad en las utilidades del sistema.
Después trataremos el tema de los dispositivos móviles, pues son un sistema operativo Después trataremos el tema de los dispositivos móviles, pues son un sistema operativo que llevamos en el bolsillo a todas partes y es importante securizarlo. Veremos los dos que llevamos en el bolsillo a todas partes y es importante securizarlo. Veremos los dos principales sistemas para móviles: Android e iOS.
principales sistemas para móviles: Android e iOS.
Comenzaremos con Android y seguiremos con iOS. Los puntos que se irán viendo, entre Comenzaremos con Android y seguiremos con iOS. Los puntos que se irán viendo, entre otros, son:
otros, son:
La arquitectura de seguridad. La arquitectura de seguridad.
Las funciones principales de protección de acceso físico. Las funciones principales de protección de acceso físico. Las Sandbox.
Las Sandbox.
El cifrado del dispositivo. El cifrado del dispositivo.
Gestión empresarial de los dispositivos. Gestión empresarial de los dispositivos. La seguridad en las aplicaciones.
La seguridad en las aplicaciones. Los modos
Finalmente hablaremos de la seguridad en la virtualización de sistemas operativos. Se Finalmente hablaremos de la seguridad en la virtualización de sistemas operativos. Se verán:
verán:
Los tipos de virtualización. Los tipos de virtualización.
Ventajas e inconvenientes de virtuali
Ventajas e inconvenientes de virtualizar un sistema.zar un sistema. Software
Software para virtualización.para virtualización.
Seguridad en sistemas virtualizados. Seguridad en sistemas virtualizados.
3.2. Mac OS X
3.2. Mac OS X
Mac OS X
Mac OS X ha logrado mucha ha logrado mucha popularidadpopularidad en el mercado, captando tanto a novatos, en el mercado, captando tanto a novatos, facilitando su entrada a la informática gracias a una
facilitando su entrada a la informática gracias a una interfaz sencilla e intuitivainterfaz sencilla e intuitiva,, como a profesionales; dando la oportunidad para crear grandes cosas con
como a profesionales; dando la oportunidad para crear grandes cosas con potentespotentes
herramientas herramientas..
La proliferación de dispositivos de
La proliferación de dispositivos de Apple Apple, no solo, no solo MacMac sino también sino también tabletstablets y y iPhonesiPhones que utilizan el sistema operativo
que utilizan el sistema operativo OS OS XX, ha hecho que sea necesario dedicarle parte del, ha hecho que sea necesario dedicarle parte del temario.
temario.
OS X está basado en
OS X está basado en UNIX BSDUNIX BSD, en una adaptación del, en una adaptación del kernel kernel conocida como conocida como «
«Darwin»Darwin» que fue desarrollada en la Universidad de California y que tiene una popularque fue desarrollada en la Universidad de California y que tiene una popular interfaz gráfica
interfaz gráfica conocida como « conocida como «aqua»aqua», que no deja de sorprender a los usuarios de, que no deja de sorprender a los usuarios de Mac gracias a su potencia, facilidad de uso y gráficos.
Mac gracias a su potencia, facilidad de uso y gráficos.
Gracias a que el
Gracias a que el kernelkernel de Mac está basado en de Mac está basado en UNIXUNIX, la, la seguridadseguridad de OS X es una de OS X es una característica que ya viene implantada en el
característica que ya viene implantada en el kernelkernel, con una eficiente, con una eficiente gestión degestión de usuarios y permisos
usuarios y permisos que garantizan la seguridad dentro del sistema. que garantizan la seguridad dentro del sistema.
Los servicios de seguridad del sistema operativo
Los servicios de seguridad del sistema operativo OS XOS X están basado en dos estándares están basado en dos estándares de código abierto:
de código abierto: BSDBSD (Berkeley (Berkeley Software Software Distribution) y Distribution) y CDSA CDSA (Common Data (Common Data Security Architecture).
Security Architecture). BSDBSD es un tipo de sistema operativo es un tipo de sistema operativo UNIXUNIX que incluye servicios que incluye servicios fundamentales como el sistema de archivos y los permisos de acceso a archivos.
fundamentales como el sistema de archivos y los permisos de acceso a archivos. CDSA CDSA
es una serie de servicios de seguridad por capas y una framework de criptografía que es una serie de servicios de seguridad por capas y una framework de criptografía que provee una infraestructura multiplataforma. Por ejemplo provee una serie de permisos provee una infraestructura multiplataforma. Por ejemplo provee una serie de permisos de acceso, más específicos o un almacenamiento seguro. Por defecto
pensado para que sea seguro, aun así se pueden hacer mejoras en su configuración por defecto que iremos viendo en este documento.
El kernel de OS X es el centro del sistema operativo y está basado en BSD y Mach. BSD aporta principalmente el esquema de identificación de usuario y grupo. Mach aporta principalmente los permisos de acceso a los recursos. Un permiso es la posibilidad de poder realizar una tarea, como puede ser el acceso a un dato o la ejecución de código. Los permisos en OS X están pensados a nivel de carpetas, subcarpetas, archivos y aplicaciones. Los diferentes componentes de BSD y Mach del kernel , controlan los permisos a altos niveles.
OS X incluye código propietario junto a servicios de código abierto. Es el caso de ciertas herramientas de FreeBSD, Apache, y Kerberos, entre otros. El código abierto provee una gran seguridad puesto que dicho código es continuamente escrito y revisado por desarrolladores independientes. El código abierto también tiene la ventaja de estar perfectamente documentado.
La seguridad en OS X se efectúa por capas. Cada una de ellas utiliza diferentes servicios del sistema para que este se mantenga seguro.
Figura 1: Capas de seguridad en MAC OS X.
Internet seguro: uso de F i r e w a l l y filtro de correo para prevenir software
malicioso.
Aplicaciones seguras: autenticación usando Llaveros y el uso del FileVault ayuda a prevenir que intrusos usen nuestras aplicaciones y los datos de nuestro ordenador.
Protocolos seguros de red: SSL previene que intrusos puedan ver la información que recibimos o enviamos y Kerberos securiza el proceso de autenticación.
Sistema operativo seguro: para prevenir que intrusos puedan ver nuestros archivos el sistema usa POXIS y los permisos ACL.
H a r d w a r e seguro: se previene que los usuarios que pueden tener acceso a permisos de súper usuario, puedan acceder al hardware.
Todos los ejemplos mostrados en este documento se han probado sobre la versión de MAC OS X 10.6 Snow Leopard. En versiones posteriores puede ser que algunos aspectos técnicos o de configuración sean diferentes. Esto no significa que no se puedan adaptar, de hecho, durante el documento se hacen referencias a posibles variaciones pero no se hacen en detalle.
Seguridad por acceso físico
Lo más importante a la hora de securizar un sistema desde el aspecto físico, es evitar que cualquier persona tenga un contacto directo con el sistema. Cualquier medida física que se pueda aplicar, como el aislamiento de la máquina en habitaciones o encadenar dicha máquina, es importante. Esta medida es aplicable a cualquier máquina de cualquier sistema operativo y plataforma.
En el caso de que alguien pudiera acceder físicamente, la parte del hardware más sensible es el disco duro pues contiene todos nuestros datos, cualquier persona con acceso físico ilimitado a esta parte del hardware podría hacer funcionar dicho sistema en otra máquina. Por esto medidas como la FileVault sobre el cifrado de nuestros datos, que veremos más adelante, pueden evitar que aunque caiga en manos ajenas nuestros datos sigan seguros.
Por esto mismo, mantén protegido tu ordenador en armarios preparados al efecto, escóndelo si ya no lo usas, no lo dejes en lugares donde pueda ser robado, destruye el disco duro (a martillazos si es posible) si lo vas a tirar.
Específicamente, en Mac OS X se pueden realizar otras tareas que evitarían un acceso físico.
H a r d w a r e inseguro
El wifi, por ejemplo es potencialmente un hardware de riesgo en nuestros ordenadores. Cualquiera con el software adecuado y algo de tiempo, podría saber qué datos enviamos entre el ordenador e internet o incluso meterse en nuestros ordenadores. Del mismo modo podrían ser inseguros nuestros dispositivos Bluetooth. Pese a que todas estas tecnologías llevan consigo formas de proteger las comunicaciones, se debería deshabilitar todo hardware inalámbrico que no se esté utilizando. Tampoco es seguro el uso indebido de los puertos de nuestro ordenador.
Deshabilitar el hardware que consideramos potencialmente inseguro, se podría hacer de forma manual pero lo tendría que hacer un técnico de Apple. Por otro lado, si lo hacemos nosotros físicamente, perderemos la garantía de Apple. Una manera alternativa sería la eliminación de las extensiones del kernel para cierto hardware.
Las siguientes instrucciones explican y muestran en modo comando, cómo se deshabilitan las diferentes extensiones del kernel :
# Eliminar las extensiones del kernel AppleAirport. (soporte para Wifi)
sudo srm -r /System/Library/Extensions/IO80211Family.kext
# Eliminar las extensiones del kernel Bluetooth.
sudo srm -r /System/Library/Extensions/IOBluetoothFamily.kext sudo srm -r /System/Library/Extensions/IOBluetoothHIDDriver.kext
# Eliminar las extensiones del kernel IR.
sudo srm -rf /System/Library/Extensions/AppleIRController.kext
# Eliminar las extensiones del kernel para la grabación de Audio.
sudo srm -rf /System/Library/Extensions/AppleUSBAudio.kext sudo srm -rf /System/Library/Extensions/IOAudioFamily.kext
# Eliminar las extensiones del kernel para la grabación de video. # Eliminar la cámara externa iSight.
# Eliminar la cámara interna iSight.
sudo srm –rf
/System/Library/Extensions/IOUSBFamily.kext/Contents/PlugIns/\ AppleUSBVideoSupport.kext
# Eliminar las extensiones del kernel para USB (almacenamiento masivo).
sudo srm -rf /System/Library/Extensions/IOUSBMassStorageClass.kext
# Eliminar las extensiones del kernel para FireWire.
sudo srm -rf /System/Library/Extensions/\ IOFireWireSerialBusProtocolTransport.kext
# Eliminar extensiones en caché.
sudo touch /System/Library/Extensions
Finalmente reiniciaremos el sistema para que se realicen todos los cambios.
Hay que tener en cuenta, que cada vez que el ordenador se actualice, es probable que algunas de estas extensiones que hemos eliminado, vuelvan a aparecer. Tendremos que eliminar dichas extensiones cada vez que actualicemos si decidimos este método de deshabilitar componentes del sistema.
Seguridad en el inicio del sistema
Cuando el ordenador se inicia, lo primero que se ejecuta es el Extensible Firmware Interface (EFI). El EFI determina de qué partición cargar el sistema operativo OS X. También determina si el usuario puede entrar en el modo single-user.
El modo single-user arranca el sistema como usuario root (súper usuario) para casos
de restauración del sistema. Esto es muy peligroso pues este usuario tiene todos los permisos del sistema y sus acciones se realizan de forma anónima.
Será importante crear una clave para proteger el EFI, para proteger la entrada en modo single-user, y para proteger la carga de sistemas que se encuentren en otras particiones o discos externos como CD-ROOM o USB.
Para llegar a la Utilidad de la Contraseña de Firmware desde Snow Leopard puedes ir a
Aplicaciones > Utilidades y seleccionar“Utilidad Contraseña Firmware”.
Figura 2: Utilidad Contraseña Firmware.
Para probar si la configuración tiene efecto, reiniciaremos el ordenador y apretaremos las teclas Comando + S. Si aparece la pantalla de login, será que hemos hecho correctamente dicha configuración.
Figura 3: Icono de login.
Seguridad en las preferencias del sistema
Mediante las preferencias del sistema se pueden se pueden cambiar aspectos de seguridad.
Figura 4: Preferencias del sistema en MAC OS X
De manera estándar solo se pueden modificar aquellas preferencias que no requieren permisos de súper usuario. En los casos en los que dichas preferencias requieran los permisos de súper usuario, aparecerán en un tono más claro y no serán modificables. También aparecerá el símbolo de un candado cerrado. Para ganar permisos de súper usuario (si es que su usuario puede ganar dichos permisos) y modificar dichas opciones, tendremos que hacer un clic en el candado cerrado.
Tras hacer clic en el candado nos pedirá la contraseña de súper usuario y el candado se abrirá dejándonos modificar las opciones descritas.
Figura 6: Candado desbloqueado
Estos aspectos de seguridad también pueden ser modificados usando el Workgroup Manager. Mediante esta herramienta se pueden manejar usuarios, grupos y ordenadores. El Workgroup Manager trabaja directamente con el directorio de dominio.
Figura 7: Interfaz de Workgroup Manager.
iCloud
MobileMe fue una serie de herramientas para la sincronización de datos en Internet soportada hasta 2011, cuando fue sustituida por iCloud. MobileMe ya no existe y iCloud no está soportada por Snow Leopard (OS X 10.6) y no será soportada hasta la siguiente versión Lion (OS X 10.7.5). iCloud, no es más que la idea extendida de MobileMe.
Hoy en día hay muchos servicios en la nube, que sincronizan los datos de tus contactos, calendario, notas, configuración, etc. y nuestro OS X puede estar configurado con estos servicios.
Pese a que la comunicación iCloud u otro de estos servicios en la nube, está realizada mediante protocolos muy seguros, es mucho más seguro que los datos sensibles se mantengan en una red interna. En los casos donde se contengan datos especialmente sensibles, deberíamos de cortar cualquier comunicación con la nube y cifrar dichos datos.
Si ya tenemos los servicios de iCloud dados de alta o bien no lo sabemos, iremos a
Preferencias del sistema > iCloud . Una vez allí haz clic en «Cerrar sesión».
Figura 8: Icono de iCloud.
También podremos ir a Preferencias del sistema > Correo Contactos y calendario, donde iremos desactivando servicios de iCloud u otros servicios de otras nubes que tengamos instalados.
Figura 10: Preferencias de Correo, Contactos y Calendarios
Cuentas de Usuario
Para hacer cambios en las cuentas de usuario ve a Preferencias del Sistema > Cuentas.
En versiones posteriores del sistema operativo se llama Usuarios y Grupos.
Figura 12: Preferencias de Usuarios y grupos
Para mantener el ordenador protegido, deberemos de atender a las Opciones de inicio de sesión. Consideremos los siguientes puntos:
Mantener deshabilitado el login automático. Aunque es mucho más sencillo que uno de los usuarios inicie la máquina sin necesidad de que introduzca su contraseña, es un gran fallo de seguridad, porque alguien que tenga acceso físico a la máquina puede acceder a todos los datos.
Requerir que el usuario introduzca el nombre y la contraseña cuando se autentican. De esta manera no aparecen la lista de usuarios y el intruso no puede saber ningún nombre de usuario.
No mostrar las indicaciones a la contraseña. Podría poner demasiado fácil que un usuario adivinase la contraseña.
Deshabilita que el usuario pueda apagar, reiniciar y poner en reposo el
ordenador desde la pantalla de l o g i n. Si alguien tiene acceso físico a la máquina
podría fácilmente apagarla y con ella todos los servicios que esté dando.
Deshabilita el cambio rápido de usuario. Evita que varios usuarios estén trabajando en la máquina a la vez, lo que es un riesgo de seguridad pues hay más riesgo de errores y complica la vigilancia del sistema.
Evitaremos la creación de cuentas compartidas. Cada usuario tendrá que tener su propia cuenta de tipo estándar o gestionada, de otro modo perderemos el control individual de cada usuario.
Figura 13: Opciones de inicio de sesión
También deberemos considerar una contraseña más adecuada. Para ello, tanto en la creación de un nuevo usuario o en su cambio de contraseña, OS X nos podrá ayudar. Podremos ver una llave al lado del cuadro de texto donde introducimos la contraseña. Si hacemos clic en dicha llave, se nos abrirá una ventana con diferentes opciones para hacer una contraseña más segura teniendo en cuenta factores de longitud, tipo y la valoración de su calidad.
Según el tipo de usuario que se utilice se podrá evitar que se modifiquen unas opciones u otras de dentro de las preferencias del sistema.
Figura 14: Asistente para contraseña
CD y DVD
Para securizar los CD y DVD tendremos que evitar que se realicen acciones automáticas cuando estos se insertan en el ordenador. Para su configuración iremos a Preferencias del sistema > CD y DVD. Una vez allí tendremos que establecer todas las acciones a “Ignorar”.
Figura 16: Preferencias de CDs y DVDs.
Fecha y hora
Una fecha y hora incorrectas pueden ser un problema de seguridad. Protocolos de autenticación como Kerberos, necesitan de una fecha y hora correctas.
Figura 17: Icono de Fecha y Hora
Deberemos establecer fecha y hora mediante un servidor Network Time Protocol
(NTP). Ve a Preferencias del sistema > Fecha y hora. Seleccionaremos que la fecha y
la hora se ajusten automáticamente.
Salvapantallas y escritorio
Ve a Preferencias del sistema >E scri tor io y salvapantallas. Una vez allí, hacer clic
sobre la «pestaña» salvapantallas.
Figura 19: Icono de Escritorio y Salvapantallas.
El salvapantallas debería tener un tiempo de inicio de actividad corto, se prop one no más de cinco minutos. También habría que configurar «Esquinas activas» para iniciar el salvapantallas rápidamente si ponemos el ratón sobre una de las equinas de la pantalla.
Compartir recursos
Existen una serie de servicios que comparten recursos del sistema con otros usuarios. De esta manera se pueden compartir DVDs, archivos, el escáner o acceso remoto al sistema. Técnicamente existen los siguientes servicios:
Pantalla compartida. La pantalla compartida utiliza VNC (virtual network computing). Permite a otros usuarios compartir la visualización de tu pantalla y su uso remotamente. La comunicación no está cifrada por lo que solamente se debe de utilizar en entornos de red seguros.
Escáner compartido. Permite el uso remoto de tu escáner compartido.
DVD y CD compartido. Permite el uso remoto de tu unidad de DVD o CD compartida. Es importante tener en cuenta que este servicio no cifra los datos que se trasmiten.
Bluetooth compartido. Permite a otros ordenadores mediante Bluetooth, compartir archivos.
Archivos compartidos. Permite compartir archivos con los protocolos AFP (Apple Filing Protocol), FTP (File Transfer Protocol) y SMP (Server Message Block). No se debe utilizar el protocolo FTP pues no cifra las comunicaciones.
Login remoto. Permite acceder a tu ordenador de forma remota. Se deberá usar SSH si se habilita.
Escritorio remoto. Permite el uso del escritorio remoto de Apple. Eventos remotos. Permite recibir eventos Apple de otros ordenadores.
Por defecto solamente está activo el Login remoto y no se recomienda la activación de ningún otro servicio compartido a no ser que realmente se vaya a hacer uso de este servicio.
En la sección Preferencias del sistema >Compartir , se recomienda cambiar el nombre
del sistema para que sea más difícil la identificación. Por defecto, si utilizan datos de nombre y apellidos para nombrar la máquina al compartir recursos.
Figura 22: Preferencias de Compartir
Seguridad General
Ve a Preferencias del sistema > S eg ur i da d . En otras distribuciones del sistema más
actuales se llama Seguridad y privacidad. Habrá que considerar la siguiente configuración:
Solicitar contraseña tras inactividad o salvapantallas. Esto previene el acceso sin autorización, en ordenadores desatendidos.
Desactivar el inicio de sesión automático. Es necesario de que todos los usuarios, con permisos restringidos o no, introduzcan su usuario y clave para acceder al sistema.
Desactivar los servicios de localización. Es importante no proporcionar la localización de nuestro ordenador a ninguna de nuestras aplicaciones. Sería una estrategia de prevención de acceso físico.
Desactivar el receptor de infrarrojos. Pese a que anteriormente ya hemos desactivado hardware que pudiera ser peligroso, no estaría de más también realizar esta acción desde las propiedades del sistema.
Cerrar sesión tras inactividad. Se recomienda un tiempo elevado de inactividad para que la sesión se cierre. Al menos sesenta minutos.
Figura 23: Icono de Seguridad.
Figura 24: Preferencias de Seguridad.
En otras versiones posteriores a la 10.6 se puede configurar, para que se pida una contraseña de administrador para acceder a las preferencias de todo el sistema, p ara que se cierre la sesión de usuario tras cierto tiempo de inactividad o para que solo se permitan aplicaciones descargadas del App Store o de desarrolladores de confianza (según Apple).
Figura 25: Preferencias de Seguridad y privacidad en versiones posteriores
FileVault
Ve de nuevo a Preferencias del sistema > S eg ur i da d . En otras distribuciones del
sistema se llama Seguridad y privacidad. Iremos a las «pestaña» FileVault.
FileVault cifra la información de la carpeta de los usuarios. Utiliza un cifrado de 256- bit (AES-256). El uso de FileVault implica que, internamente, los archivos de los usuarios se muevan a una imagen de disco que se cifra. Si se eliminan archivos de la carpeta de un usuario con el FileVault activo, el tamaño en disco tarda algo de tiempo en recuperarse. Tras la optimización de la carpeta será posible el acceso a archivos rápidamente.
En versiones posteriores FileVault no solo cifra la carpeta de los usuarios, sino que cifra todo el disco duro mediante nuestra contraseña maestra. Además, cuando se cifra el disco, crea automáticamente una clave de recuperación por si olvidamos la primera. En caso de perder ambas, se perderían todos los datos.
Figura 26: Preferencias de FileVault
Firewall
Ve de nuevo a Preferencias del sistema > S eg ur i da d . En otras distribuciones del
sistema se llama Seguridad y privacidad. Iremos a las «pestaña» Firewall.
El Firewall solo vigila los protocolos TCP y UDP. Esto no se aplica a Apple Talk. Por defecto, solamente se permite que las aplicaciones firmadas, por autoridades de certificación reconocidas, puedan establecer comunicaciones a través de internet. De manera avanzada se pueden especificar a qué aplicaciones se les permite establecer conexiones.
Se recomienda tener el Firewall activado y que se bloqueen todas las conexiones entrantes, permitiendo solamente, servicios específicos. OS X 10.6 Snow Leopard, incluye dos tipos de firewall, el de aplicación y el IPFW .
Por otro lado, se debería activar el modo encubierto. Este modo encubierto evita que el ordenador responda a mensajes ICMP. De esta manera no daremos pistas de la existencia de nuestro ordenador a posibles atacantes.
Figura 28: Preferencias avanzadas del Firewall
IPFW2 Firewall
Es un proyecto de código abierto parte de FreeBSD, incorporado en MAC OS X hasta la versión 10.7 donde fue sustituido por PF (Package Filter Firewall). Es comparable al iptables de Linux.
IPFW2 es un conjunto de reglas que realizan acciones sobre paquetes. Para ver las reglas aplicadas en cada momento se puede ejecutar el siguiente comando:
# ipfw print
Actualización del sistema
Ve a Preferencias del sistema > A ctual i za ci ón de S of tw ar e. En otras distribuciones
posteriores del sistema se llama App Store. Iremos a las «pestaña» Búsquedas programadas.
Figura 29: Icono de Actualización de Software
Figura 30: Preferencias de Actualización de Software
Tras la descarga de las actualizaciones, estas son verificadas mediante las firmas realizadas sobre estas. De esta manera evitamos la instalación de software malicioso y la integridad de nuestras descargas. Las actualizaciones depen den de la política de empresa pero nosotros recomendamos que se busquen pero no se descarguen las actualizaciones automáticamente
Figura 31: Ventana de actualización de software
En las versiones actuales de OS X, las actualizaciones se realizan mediante el uso del App Store. Las opciones de configuración de la actualización del App Store son las mismas.
Back Ups con Time Machine
Ve a Preferencias del sistema > Time Machine.
Figura 32: Icono de Time Machine
Time Machine mantiene al día una copia de todos los archivos personales que tienes en tu ordenador. La copia de toda tu información se mantiene sin cifrar por lo que se aconseja tenerla en un lugar donde nadie pueda acceder a ella. Una solución es crear una imagen de disco cifrada, montarla y determinar en ella nuestras copias de seguridad.
Figura 33: Preferencias de Time Machine.
Seguridad en las utilidades del sistema
Llaveros
Para accede a la utilidad de llaveros hay que ir a Utilidades > Acceso a Llaveros.
Figura 35: Accedemos a Llaveros.
Figura 36: Ventana principal de Acceso a Llaveros
Esta aplicación contiene claves cifradas, certificados y otra serie de valore privados llamados «Notas Seguras». Se pueden crear múltiples llaveros que aparecerán en la lista de Llaveros. Cada llavero contiene una colección de usuarios y contraseñas, y las protege con una única clave. Usado la utilidad de Llaveros, solamente las aplicaciones expresamente autorizadas pueden tener acceso a estos valores.
Llaveros permite que cuando navegamos por Internet (en una página web específica) o cuando usemos una aplicación asociada, esta aplicación de Llaveros se encargará de proveer el usuario y clave de la otra aplicación o la página web.
Por ejemplo, si vamos a Gmail e introducimos nuestro usuario y contraseña, el navegador nos preguntará si queremos que este usuario con esta clave asociada se guarde. Al guardarse, esta clave irá a Llaveros.
Figura 37: Opción de guardar la contraseña en Llaveros
Una vez guardado, iremos de nuevo a la utilidad de Llaveros e iremos a «Items Locales» y es allí donde aparecerá la nueva entrada. Si queremos ver los detalles o incluso la contraseña guardada haremos clic con el botón derecho del ratón y seleccionaremos «Obtener Información».
Esta aplicación permite que cada página o aplicación utilizada, tenga una clave distinta o incluso aleatoria. De esta manera una aplicación maliciosa no podría robarte esta misma clave para meterse en tu cuenta de correo, pues en muchos casos repetimos las mismas claves en diferentes servicios en los que estamos dados de alta. Llaveros guarda todos los datos cifrados.
Por defecto, al crear un nuevo usuario, se crea el llavero «Inicio de sesión» para este usuario. El «Inicio de sesión» se mostrará desbloqueado. Para securizar el uso de Llaveros, deberemos tener el «Inicio de sesión» y otros llaveros asociados a este usuario, bloqueados al iniciar sesión y al despertar al ordenador de la opción de reposo. Para esto deberemos de bloquear los llaveros para que su clave de desbloqueo sea diferente a la clave con la que el usuario comienza su sesión. De esta manera no se desbloquearán.
Para cambiar la contraseña de uno de los llaveros ve a Utilidades > Acceso a Llaveros, iremos al llavero que queremos modificar su contraseña y en el menú iremos a Edición > Cambiar contraseña del llavero. También tendremos que cambiar los ajustes del llavero en Edición > Cambiar ajustes del llavero. Seleccionaremos «Bloquear tras seleccionar en reposo» y deseleccionaremos «Sincronizar con MobileMe».
La utilidad de discos
Ve a Utilidades > Unidad de discos.
La utilidad de discos de Mac OS X la podemos utilizar en varios procesos de cifrado y eliminación segura de datos.
Podremos cifrar datos en una imagen de disco para su posterior traslado o bien para su montaje en nuestro sistema de archivos:
1. Archivo > Nueva > Imagen de disco vacía.
2. Elegimos el nombre y dónde la queremos almacenada.
3. Introduce el tamaño de la imagen que necesitemos. Este tamaño no se puede cambiar posteriormente sin borrar la imagen.
4. Introduce el método de cifrado. Elegiremos entre AES 128 y AES 256. 5. Elige el formato.
6. Haz clic en crear.
7. Introduce tu clave y no la añadas al llavero.
También podemos realizar una imagen desde unos archivos ya existentes. Para esto se realizaría un proceso parecido al anterior pero yendo a Archivo > Nueva > Imagen de disco a partir de carpeta.
Otra opción interesante es la de poder eliminar para siempre los archivos que han si do borrados correctamente. A modo de apunte, explicar que cuando eliminamos los archivos de la papelera haciendo clic con el botón derecho sobre esta y seleccionando «Vaciar Papelera», solo estamos borrando las referencias que tiene el sistema de archivos hacia esos archivos.
Figura 40: Opción de vaciar la papelera.
Para eliminar correctamente los archivos del disco i mplica la eliminación de la referencia a nuestros archivos en el disco y la sobreescritura de los archivos en el disco con un array de ceros. Para hacer esto hay que pulsar la tecla comando y hacer clic derecho sobre la papelera de reciclaje y elegir «Vaciar Papelera de forma segura».
Figura 41: Opción de vaciar la papelera de forma segura
Cuando no realizamos esto o cuando terceras aplicaciones borran archivos, suele ser una práctica segura eliminar para siempre el espacio vacío del disco duro. Hay que tener en cuenta que cuando se eliminan para siempre archivos, estos no se podrán recuperar jamás, por lo cual podríamos perder datos. Se aconseja destruir los datos cuando se sabe que estos son sensibles y realmente no los vamos a querer recuperar más adelante.
Para eliminar el espacio vacío del disco duro, dentro de la Utilidad de discos hay que hacer clic derecho sobre la unidad que queramos y pulsar el botón «Borrar espacio libre».
3.3. Dispositivos móviles
La evolución tecnológica que han sufrido los dispositivos móviles en los últimos años ha sido enorme. Desde los primeros teléfonos móviles creados por Motorola en 1973 hasta los últimos
S mar tphon e creados por marcas como Apple, HTC o Samsung hay millones de diferencias cualitativas y económicas.
Los primeros teléfonos móviles creados pesaban alrededor de un kilo y su coste variaba entre los 3.000 y 4.000 euros. Su funcionalidad se
limitaba únicamente a la telefonía y no estaban muy extendidos en la sociedad. En
cambio, los Smartphone creados en el sigloXXI gozan de gran popularidad en la sociedad
como navegador GPS, radio, reproductor MP3, juegos, cliente de correo electrónico, mensajería instantánea, cámara de fotos, etc. aparte de la propia función de telefonía.
Debido a esta popularidad, los Smartphone están sufriendo cada vez más los ataques de los «piratas informáticos», que intentan burlar su seguridad para hacerse con el control del dispositivo o robar datos confidenciales contenidos dentro del terminal, como números de cuenta bancaria, contraseñas, contactos, fotografías, etc.
Algunas últimas funcionalidades que están ya con nosotros, es el pago electrónico utilizando simplemente el teléfono móvil. Esta tecnología utiliza el chip NFC (Near Field Communication). Se trata de una tecnología de comunicación inalámbrica, que permite la posibilidad de transmitir datos entre dispositivos situados entre 5 y 10 milímetros de distancia permitiendo realizar pagos simplemente acercando el teléfono móvil a un lector.
La tecnología de los dispositivos móviles ha experimentado una gran mejora, lo que ha hecho que haya que tratar su protección como si de un PC convencional más se tratará. También ha aumentado exponencialmente el número de tipos de dispositivos, introduciendo cada vez más funcionalidades, pasando de servir esencialmente para realizar llamadas y conservar contactos, a servir para navegar por Internet, descargar música, hacer fotografías y un largo etc.
Android
Android es un sistema operativo basado en el kernel de
Linux 2.6 y adaptado para móviles. Por otro lado, el sistema operativo de Android tiene diversas versiones en las que se producen cambios para el soporte de tamaño de pantallas grandes ( Android 3.0) o sensores como el NFC ( Android 2.3). Actualmente las distribuciones más extendidas son Jelly Bean ( Android 4.1 – 4.3) y KitKat ( Android 4.4). La última versión es Lollypop ( Android 5.0).
IMPORTANTE: los ejemplos mostrados de configuración en este documento son orientativos y podrían variar según el fabricante del dispositivo o la versión del sistema operativo. Si se usa un emulador es posible que ciertas opciones no se encuentren.
Los aspectos que necesitamos para securizar nuestro dispositivo móvil engloban el propio dispositivo, las comunicaciones de este dispositiv o y el almacenamiento de datos.
Para saber más de las versiones y su evolución visita la siguiente dirección: http://developer.android.com/about/dashboards/index.html
Hace una referencia a todas las versiones actuales y sus diferencias, como pueden ser los tamaños de pantalla soportados, las estadísticas de su uso, etc.
La arquitectura de seguridad de Android
El objetivo de la arquitectura de seguridad de Android, pretende hacer un sistema operativo seguro y usable para las plataformas móviles. Esto se traduce en la protección de los datos del usuario, la protección de los recursos del sistema y el aislamiento en la ejecución de los programas.
Para realizar los objetivos de seguridad, Android implementa un kernel de Linux, ejecuta las aplicaciones en Sandbox, realiza procesos intermedios en las comunicaciones, requiere la firma de las aplicaciones e implementa un sistema de granulado de definición de permisos. Además, Android se ejecuta dentro de una máquina virtual llamada Dalvik.
En la siguiente figura se puede ver el resumen de los componentes y la arquitectura de Android. Cada componente, asume que el componente inmediatamente inferior,
se ejecuta de forma segura. Excepto los componentes del kernel de Linux, todo el
Figura 42: Arquitectura y componentes de Android
La actualización de Android
No existe un modelo común y estándar de actualización de Android. La actualización de los diferentes dispositivos depende del fabricante de dicho dispositivo. No hay una publicación oficial de los fallos de seguridad que se solucionan con las actualizaciones . Aun así, es recomendable instalar todas las actualizaciones que se publican. Sí que existe la National Vulnerability Database en la que podremos encontrar las vulnerabilidades conocidas:
http://web.nvd.nist.gov/view/vuln/search-results?query=android&search_type=all&cves=on
Google tiene un modelo de publicación de actualizaciones y resolución de problemas de seguridad. Sin embargo la complejidad de dichas actualizaciones junto con la personalización de Android que cada fabricante hace de cada dispositivo, hacen que la solución a dichos problemas de seguridad tarde demasiado tiempo en publicarse. Además los fabricantes suelen tener desatendidas versiones antiguas de sus dispositivos, actualizando únicamente los dispositi vos más modernos, por lo que estos modelos antiguos quedarán siempre vulnerables.
Las actualizaciones del sistema de Android pueden ser proporcionadas como una imagen parcial o una imagen completa. Si es una imagen parcial solamente se modificarán los archivos necesarios y si es una imagen completa se sobrescribirán todas las preferencias. Por otro lado, se recomienda hacer una copia de seguridad del sistema antes de actualizarlo.
Para actualizar el sistema operativo suele existir la opción en A j ustes > A cer ca del
teléfono > Actualizaciones del sistema. Evidentemente, esta opción depende del fabricante.
Figura 43: Opción de Actualización de software
También está disponible la opción de actualización manual mediante la descarga de actualizaciones oficiales desde la web de Google.
Para la actualización de las aplicaciones en Android se u sa el servicio de Google Play Store, aunque también es posible utilizar otros proveedores de ap licaciones distintos al Google Play Store. La seguridad en el uso de estos proveedores de aplicaciones de Android será igual que el propio Play Store de Android pero en general se recomienda el uso de Google Play Store. Para poder instalar aplicaciones desde otro proveedor distinto al Play Store ve al menú A j ustes > S eg ur i dad y haz clic en Orígenes desconocidos.
Figura 44: Opción de
Figura 44: Opción de orígenes desconocidos en Seguridad.orígenes desconocidos en Seguridad.
Para actualización de aplicaciones en
Para actualización de aplicaciones en Google Play Google Play iremos al icono de iremos al icono de Play StorePlay Store y y en el menú iremos a
en el menú iremos a Mis AplicacionesMis Aplicaciones, una vez allí, si existen actualizaciones, una vez allí, si existen actualizaciones disponibles, pulsaremos en «
Figuras 45, 46 y
Figuras 45, 46 y 47: Actualizar las aplicaciones de Play Store47: Actualizar las aplicaciones de Play Store
La Sandbox La Sandbox
Android
Android desarrolla una desarrolla una SandboxSandbox haciendo uso de los permisos de usuario que haciendo uso de los permisos de usuario que ofrece el
ofrece el kernelkernel dede LinuxLinux.. Android Android asigna un id único de usuario ( asigna un id único de usuario (UIDUID) a cada) a cada aplicación y la ejecuta en un proceso aparte.
aplicación y la ejecuta en un proceso aparte.
Por defecto las aplicaciones no pueden interactuar entre ellas y tienen un uso limitado Por defecto las aplicaciones no pueden interactuar entre ellas y tienen un uso limitado del sistema operativo. Sin los permisos sufi
del sistema operativo. Sin los permisos suficientes, la aplicación A no podrá conseguircientes, la aplicación A no podrá conseguir datos de los archivos de la aplicación B o usar la cámara del sistema operativo, por datos de los archivos de la aplicación B o usar la cámara del sistema operativo, por ejemplo.
ejemplo.
En resumidas cuentas, mediante la
En resumidas cuentas, mediante la SandboxSandbox se consigue un se consigue un aislamiento de lasaislamiento de las aplicaciones
aplicaciones, con ella rodeamos con una capa de seguridad toda la arquitectura de, con ella rodeamos con una capa de seguridad toda la arquitectura de Android (excepto el
Figura 48: Funcionamientos de la
Figura 48: Funcionamientos de la Sandbox.Sandbox.
El cifrado del dispositivo El cifrado del dispositivo
Desde la versión
Desde la versión 3.0 de3.0 de Android Android se permite el se permite el cifrado completo de la memoriacifrado completo de la memoria de forma nativa. Para cifrados de versiones
de forma nativa. Para cifrados de versiones 2.x2.x de de Android Android existen aplicaciones en existen aplicaciones en Google Play
Google Play (por ejemplo APG) que realizan dicho (por ejemplo APG) que realizan dicho cifrado pero no en la totalidad decifrado pero no en la totalidad de la memoria.
la memoria.
Para cifrar el dispositivo ve a
Para cifrar el dispositivo ve a A A jj uuss tes tes > > SS egeg uurr ii dada d d > > EE nncrcr ii ptpt ar ar didi sspopossii titi vvoo.. Según el dispositivo la opción puede que aparezca en un sitio difer
Según el dispositivo la opción puede que aparezca en un sitio difer ente. En la siguienteente. En la siguiente imagen se pueden ver las opciones de seguridad y entre ellas
imagen se pueden ver las opciones de seguridad y entre ellas Encriptar dispositivoEncriptar dispositivo y
y Encriptar la tarjeta de memoria externaEncriptar la tarjeta de memoria externa..
Puede pasar que la opción de encriptación de la
Puede pasar que la opción de encriptación de la memoria externamemoria externa no exista en todos no exista en todos los dispositivos, ya sea porque el di
los dispositivos, ya sea porque el dispositivo no la soporte o porque la hagspositivo no la soporte o porque la haga por defectoa por defecto cada vez que acceda a ella.
Figura 49: Opción de Encriptar dispositivo. Figura 49: Opción de Encriptar dispositivo.
Por otro lado, hay que tener en cuenta que muchas
Por otro lado, hay que tener en cuenta que muchas memorias externasmemorias externas están están previamente formateadas en
previamente formateadas en FATFAT oo FAT32FAT32 y son sistemas de archivos que y son sistemas de archivos que nono establecen permisos
establecen permisos. Si la memoria no tiene un sistema de archivos con soporte. Si la memoria no tiene un sistema de archivos con soporte para permisos, cualquier aplicación con permisos de tarjeta podrá tener acceso a para permisos, cualquier aplicación con permisos de tarjeta podrá tener acceso a todos los datos guardados en ella.
todos los datos guardados en ella.
Con la memoria cifrada, los datos que necesitan ser usados serán previamente Con la memoria cifrada, los datos que necesitan ser usados serán previamente descifrados. En el proceso inverso de grabar datos en la memoria esos datos serán descifrados. En el proceso inverso de grabar datos en la memoria esos datos serán previamente cifrados. El cifr
previamente cifrados. El cifrado y descifrado de los datos se hace de forma ado y descifrado de los datos se hace de forma totalmentetotalmente transparente para el usuario del dispositivo.
transparente para el usuario del dispositivo.
Al cifrar el dispositivo, será
Al cifrar el dispositivo, será imprescindible implementar el bloqueo de pantalla imprescindible implementar el bloqueo de pantalla con lacon la clave de la tarjeta SIM o bien con una contraseña que se decida.
clave de la tarjeta SIM o bien con una contraseña que se decida.
Mediante el cifrado de la memoria se evitan ataques de
Mediante el cifrado de la memoria se evitan ataques de acceso físicoacceso físico a los datos a los datos almacenados en dicha memoria. Se recomienda al menos cifrar la memoria interna almacenados en dicha memoria. Se recomienda al menos cifrar la memoria interna del dispositivo, pues en ella se
Gestión Empresarial de Android
Desde la versión 2.2 de Android, los administradores de dominio, desde Google Apps, tienen la posibilidad de gestión sobre el dispositivo. Este servicio puede ser usado desde la plataforma web de Google Apps sin necesidad de otras implementaciones para su gestión.
Para poder implantar las políticas de seguridad en Android es necesario tener instalado la aplicación Google Apps Device Policy en el dispositivo Android y una cuenta Google Apps Work (gratis por 30 días).
Figura 50: Aplicación de Google Apps Device Policy
La gestión empresarial desde Google Apps, tiene la capacidad de políticas de gestión seguridad en los aspectos:
o Borrado remoto del dispositivo.
o Bloqueo remoto del dispositivo móvil.
Mediante una consola de administración de Google Apps Work, podremos manejar nuestros dispositivos asociados.
Figura 51: Consola de administración de Google Apps Work.
Protección contra el acceso físico
o Bloqueo de la tarjeta SIM
Para usar el servicio telefónico en nuestro dispositivo, tendremos que introducir el PIN de dicha tarjeta. Este PIN protege el uso de la tarjeta SIM y sus servicios. La primera vez, si arrancamos el dispositivo con esta tarjeta nos pedirá el código de ella, y no podremos saltarnos la autenticación, pero si quitamos esta tarjeta sí que se podrá acceder sin problemas.
Figuras 52 y 53: Acceso con (derecha) y sin (izquierda) tarjeta SIM
El código PIN de la tarjeta suele ser un código de 4 dígitos numéricos. Este PIN se puede modificar hasta poner 8 dígitos. Se recomienda modificar el número de 4 dígitos que viene con la tarjeta a uno de 8. Las cifras del nuevo PIN nunca deberán ser iguales o consecutivas (por ejemplo: “22222222” o “12345678”).
Para cambiar el PIN de la tarjeta tendremos que ir a A j ustes > S eg ur i da d > B loqueo de la tar jeta SI M > Cambiar PI N de la tar jeta. Una vez en la pantalla, ir a la opción Cambiar PIN de SIM.
Figuras 54 y 55: Cambiar clave de la tarjeta SIM.
Por otro lado, la tarjeta del teléfono se protege contra el acceso por fuerza bruta de la clave PIN, limitando los intentos a 3. Una vez superado el límite de 3 intentos la tarjeta se bloquea y para desbloquearla deberemos introducir el código PUK.
o Bloqueo del dispositivo
Como hemos podido ver antes, si el dispositivo no tiene una tarjeta SIM no pedirá autenticación para acceder a él, por ello el bloqueo de nuestro dispositivo móvil evita que extraños puedan usar el dispositivo.
En un dispositivo encendido, tras un tiempo de inactividad o bien pulsando el botón de encendido, la pantalla se bloquea. Para mostrar la pantalla de desbloqueo
tendremos que pulsar de nuevo el botón de encendido.
Los dispositivos de Android disponen de una pantalla de bloqueo general que consiste generalmente en deslizar el dedo por la pantalla para poder acceder al resto de las aplicaciones. Esta pantalla proporciona una mala seguridad, solo para evitar el acceso descuidado al meter el móvil en el bolsillo, no por un acceso mal intencionado…
Figuras 56 y 57: Desbloqueo de la pantalla inseguro.
Tras esta pantalla de desbloqueo, dependiendo de la configuración del bloqueo de la pantalla, se nos pedirá un PIN, una contraseña, un patrón o bien nos dejará entrar libremente. La opción más segura es el uso de una contraseña o un patrón. Tras introducir mal cinco veces una contraseña, PIN o patrón, el dispositivo se bloqueará por al menos treinta segundos.
Para ver las opciones de bloqueo del dispositivo ve a A j u stes > S eg u r i da d >
B loqueo de pantalla. Como se puede ver en la siguiente imagen, existen varias formas de bloqueo del dispositivo.
o Bloqueo con Patrón: el patrón ofrece una forma visual y fácil de memorizar de
bloqueo de un dispositivo. Si seleccionamos este método se nos mostrará una pantalla con nueve puntos. Deberemos trazar una línea por al menos cuatro puntos.
Figura 59: Bloqueo mediante patrón.
Para realizar un Patrón más seguro, se recomienda realizar un patrón complejo utilizando de seis a nueve puntos. También, si es que nos muestran la opción, configurar para que no vibre y no se muestre en patrón a la hora de introducirlo.
El uso de patrón está muy extendido pero tiene un problema, la marca que se deja en la pantalla al introducir el patrón a veces es bastante clara y un atacante podría usarla para imitar el patrón y acceder al dispositivo.
o Bloqueo con código PIN: mediante el desbloqueo del dispositivo con el código
PIN, se pedirá un número. El número que introduciremos deberá ser de 9 números. Dicho número tendrá que ser introducido cada vez que queramos usar el dispositivo. Sería importante que el código que introducimos sea fácil de recordar y debería ser diferente al de la tarjeta SIM.
o Bloqueo con Contraseña: el bloqueo mediante contraseña funciona igual
que el bloqueo con número PIN, pero esta vez el código introducido podrá contener caracteres alfanuméricos. Para especificar una mayor seguridad, se
recomienda una contraseña compleja con números, letras y caracteres especiales. La contraseña puede tener de cuatro a dieciséis caracteres.
Este suele ser el método más seguro, pues la cantidad de combinaciones posibles para la contraseña es mayor que en los otros métodos.
La seguridad a nivel de una aplicación de Android
Como ya se ha comentado, las aplicaciones se ejecutan dentro de una Sandbox. De esta manera evitamos posibles fallos de seguridad entre aplicaciones y el propio sistema operativo. Como el sistema de procesos en Sandbox no permite, por defecto, acceso a recursos del sistema que no sean los de la propia aplicación, es necesario que estos sean explícitamente declarados. Para declarar los permisos, cada aplicación proporciona el archivo AndroidManifest.xml.
En el siguiente ejemplo se ve una configuración del AndroidManifest.xml. Se
pueden ver resaltadas dos etiquetas con el nombre uses-per missi on, que declaran
explícitamente los permisos de acceso a internet y de escritura en el almacenamiento externo. <?xml version="1.0" encoding="utf-8"?> <manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.example.app.myapplication" > <application […]> […] </application> <uses-permission android:name="android.permission.INTERNET"/> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> </manifest>
Tal y como aparece en la siguiente imagen, los permisos específicos declarados en AndroidManifest.xml, los acepta el usuario cuando va a instalar la aplicación.
Figura 60: Aceptar permisos para instalar una aplicación.
El sistema de Android no permite la aceptación parcial de los permisos. Sin embargo, en la versión 4.3 de Android hubo un intento de deshabilitar permisos individuales. Dicha opción fue escondida alegando problemas de seguridad.
AppOps es una aplicación de Android 4.3 y 4.4 y que permite gestionar los permisos de las aplicaciones individualmente:
