En este artículo repasamos la irrupción del iPhone y iPad en el entorno empresarial, así como la seguridad que ofrece el cifrado de estos dispositivos.
Revolución Apple
Es de sobra conocido el éxito que Apple ha tenido en los últimos años en el sector de los smartphones (iPhone), y posteriormente de las tabletas (iPad).
Apple sabe lo que es entrar en un sector dominado por varios competidores, y reventarlo con productos que arrasan aún cuando se les pueda criticar la falta de algunas características importantes, ya sean de hardware o de software. Desde que irrumpió en el mercado de la música en 2001, la empresa ha vendido más de 300 millones de iPods, por no hablar de miles de millones de canciones en la iTunes Store.
Pasaron los años y la compañía de la manzana siguió haciendo las delicias de propios y extraños con sus ordenadores y sus reproductores. Después de años de rumores, en 2007 finalmente Steve Jobs presentó lo que llamó "producto revolucionario": el consabido iPhone, un dispositivo personal de comunicaciones, un auténtico ordenador en el bolsillo, siempre conectado, en que la función de hacer llamadas parecía lo de menos.
La primera versión del dispositivo fue criticada, posiblemente con razón, por sus carencias de hardware (había dispositivos en el mercado con mayor capacidad de almacenamiento, mejor cámara...) y sobre todo de software: en iOS 1.0 (entonces llamado iPhone OS) no existía la App Store ni la posibilidad de instalar aplicaciones de ninguna clase, el dispositivo se limitaba a las aplicaciones instaladas de base: correo, calendario, notas, poco más. Eso sí, Safari ofrecía una experiencia de navegación web nunca vista hasta entonces en un teléfono, PDA, o similar. La única puerta a expandir de algún modo la funcionalidad del dispositivo era a través de "aplicaciones web", que evidentemente sólo funcionaban mientras el dispositivo tuviese una conexión de datos.
Un año después, el ecosistema de software alrededor de iOS comenzaba a existir: iPhone OS 2.0 trajo consigo la App Store y la posibilidad de que cualquier desarrollador pudiese distribuir sus aplicaciones (de pago o no). Al mismo tiempo Apple lanzaba el iPhone 3G y daba un salto hacia Europa y otros países. El juego empezaba a ponerse interesante.
El sector corporativo
En 2009 Apple lanzaba el iPhone 3GS, que manteniendo el diseño exterior encerraba un hardware totalmente renovado que llevaba el terminal a un nivel bastante serio. Era, digamos, una puesta al día necesaria en cuanto a especificaciones para ponerse al nivel de la competencia, manteniendo el mismo diseño. Llegaba iOS 3.0.
Ése fue probablemente el salto definitivo del iPhone al sector empresarial. Las BlackBerry que tanto habían dominado ese sector tiempo atrás, ya empezaban a perder cuota de mercado a pasos agigantados, en pos de nuevos y flamantes smartphones. Y de éstos, un pedazo cada vez más grande correspondía a Apple. Hay que comentar que al mismo tiempo, Android experimentó también un enorme ascenso debido a su adopción por multitud de fabricantes.
En sus 24 meses de vida (junio 2007 - junio 2009), el iPhone había demostrado que estaba a la altura, que podía ser un dispositivo de primera clase. El modelo 3GS añadió una característica (sostenida desde la versión 3 de iOS, liberado al mismo tiempo) que, si bien quizá no fue la más esperada, supuso un factor importante para el salto al sector corporativo: cifrado por hardware. Eso y algún detalle más, como la integración con Exchange, hizo que de repente el dispositivo tuviese cabida en infinidad de organizaciones, más o menos grandes, en cuyas políticas de seguridad no había encajado hasta entonces. Y evidentemente, cuando en 2010 llegó el iPad cuajó igual de bien en esos entornos corporativos.
Cifrado: algo que tienes, algo que sabes...
Lamentablemente (o no), es habitual que cualquier sistema de protección más o menos popular sea reventado por la comunidad hacker a los días de su lanzamiento. De esto saben mucho grandes compañías como Microsoft, Sony, y en general las distribuidoras de contenido audiovisual.
Sucede además que, si lo planteamos con un poco de lógica, un sistema de cifrado gestionado por el propio dispositivo implica que, necesariamente, las claves residen dentro del mismo. Y que, igual que el sistema operativo puede acceder a ellas para cifrar y descifrar los datos a su antojo, lo mismo puede hacer cualquier hijo de vecino con un poco de pericia que pase por allí (con bastante pericia, la verdad sea dicha). Incluso si suponemos que el cifrado puede estar apoyado en la contraseña que el usuario define sobre el dispositivo, la inmensa mayoría de dichas contraseñas son numéricas de 4 dígitos, lo cual es efectivo cuando el dispositivo está encendido y un humano debe teclear cada combinación (y además el dispositivo fuerza una espera cada vez mayor entre intentos fallidos, y/o permite un número máximo de intentos). Pero si se puede aplicar fuerza bruta, el espectro de claves es sencillamente ridículo.
En este sentido, una lectura muy interesante es iPhone data protection in depth. Sus autores, Jean-Baptiste Bédrune y Jean Sigwald, han desarrollado una serie de herramientas que permiten precisamente eso: hacer un volcado de un dispositivo iOS (incluso iOS versión 5), extraer las claves de cifrado, y descifrar la imagen (siempre que el código sea el simple: numérico de 4 dígitos). Como curiosidad, llama la atención que el proceso de romper la clave por fuerza bruta se debe realizar en el propio dispositivo, con lo que probar las 10.000 combinaciones posibles lleva algunos minutos (pero es cuestión de eso, minutos, menos de una hora).
Entre las limitaciones de la herramienta, posiblemente la más importante sea que necesita tener acceso al dispositivo en sí para extraer las claves de cifrado (no basta con tener una imagen forense del mismo). También cabe comentar que dichas claves cambian en cada reinstalación del dispositivo, por lo que si tenemos una imagen anterior, y acceso al dispositivo original pero éste ha sido reinstalado, no podremos extraer del mismo las claves necesarias para descifrar aquella imagen.
¿Qué podemos hacer?
Si queremos que los datos de nuestros dispositivos iOS estén debidamente protegidos, hay algunos pasos que nos ayudarán.
Probablemente es obvio decirlo a estas alturas, pero ahí va: es conveniente utilizar códigos de desbloqueo complejos (esto es, alfanuméricos de más de 4 dígitos). Teniendo en cuenta que las herramientas comentadas realizan el ataque de fuerza bruta dentro del propio dispositivo (esto es, dependen de su potencia computacional), podemos tener una cierta seguridad sin necesidad de utilizar claves extremadamente complejas.
De manera reactiva, si perdemos un dispositivo iOS, podremos hacer un borrado remoto siempre que el dispositivo: (a) tenga activada la función Buscar mi iPhone; o (b) tenga configurada una cuenta de Exchange. Nótese que esto incluye los servicios de Google Apps, muy extendidos en grandes organizaciones, ya que en dispositivos iOS se configuran como una cuenta de Exchange, y la interfaz de administración de Google Apps ofrece esa funcionalidad (en Organization & Users, tras pinchar en el usuario correspondiente, hay una lista de los Mobile Devices asociados y para cada uno de ellos la opción de Wipe this device.
Más adelante veremos qué se puede hacer cuando no podemos romper el cifrado (esto es, cuando el código de desbloqueo es alfanumérico).
Aquí otra herramienta efectiva para la gestion de dispositivos moviles como IPAD, iphones, etc. http://www.air-watch.com/.
ResponderEliminarHay que tener en cuenta que perfiles suelen tener este tipo de dispositivos y las presentaciones o documentos confidenciales que puede haber en un IPAD. Imaginad perder el IPAD del director general de una compañia internacional. Buen articulo, Pope