Desde que los Smartphones se han instalado en nuestras vidas, ya sea cotidianas o profesionales, uno de los mayores miedos es el de perderlo y no volver a encontrarlo. Aunque este miedo puede surgir por distintos motivos, uno de los principales es la cantidad de información sensible que almacena y a los que una persona malintencionada tendría acceso. Este problema se ve incrementado cuando se trata de smartphones profesionales, en los que no sólo tenemos información personal, sino información corporativa y sistemas de acceso al entorno corporativo.

¿Qué ocurre cuando perdemos el teléfono móvil? Si lo tenemos correctamente bastionado no será un problema mayor. La persona que haya encontrado el dispositivo deberá conocer el código o patrón de desbloqueo de pantalla. En el mejor de los casos, tras N reiterados intentos el dispositivo hará un wipe (borrado completo de los datos del usuario). (Nota de un paranoico: No dejar marcadas las huellas si usamos un patrón para desbloquear la pantalla).

Pero, ¿y si lo que queremos es localizarlo? Quién sabe, quizá nadie lo haya encontrado y siga en el mismo sitio donde se cayó. Para este caso necesitamos de terceras aplicaciones que nos permitan llevar a cabo estas acciones. Existen multitud de ellas, gratuitas o de pago, pero se van a describir brevemente las más conocidas, aunque cualquier aportación del lector es evidentemente bienvenida.

Productos comerciales

Por un lado tenemos las aplicaciones comerciales cuyo importe económico y si realmente merece la pena o no pagar por ello tendrá que ser valorado por cada persona.

StealthGenie

Este producto es de una compañía americana que ofrece un producto para realizar un rastreo completo de un dispositivo móvil con una aplicación disponible para Android, iOS o Blackberry.

A cambio es necesario desembolsar una cantidad considerable de dinero, $99.99, que son aproximadamente 77.14€/año.

La versión básica incluye las siguientes características:

• Registro de llamadas.
• SMS recibidos/enviados.
• Acceso a la agenda.
• Tareas y calendario.
• Historial y marcadores Web.
• GPS tracking.
• Notificación por cambio de SIM.

La versión ‘Platinum’ ofrece la posibilidad de escuchar las llamadas telefónicas realizadas entre otras opciones. Esta versión ‘full-equipe’ cuesta $199.99/año o lo que es lo mismo, 154.30€.

Es posible acceder a una demo del dashboard (o panel de control) en el siguiente enlace: http://demo.stealthgenie.com/dashboard

Cerberus

En alguna ocasión hemos hablado de Cerberus, como es el caso de un uso malintencionado visto en un post anterior.

Esta aplicación está disponible a partir de 2.99€, con una licencia vitalicia que permite controlar hasta cinco dispositivos distintos.

Desde el dashboard de Cerberus podemos encontrar la siguiente lista de posibles acciones que permite llevar a cabo para controlar el dispositivo, entre los que se encuentra el rastreo a través del GPS.

Este producto solo está disponible para smartphones Android.

Productos gratuitos

Por otro lado, existen otras aplicaciones que de forma gratuita permiten hacer un seguimiento del dispositivo móvil. Las características son más limitadas que las ofrecidas por las soluciones comerciales, pero para algunos usuarios pueden cumplir con las necesidades básicas.

InstaMapper

Esta sencilla aplicación únicamente permite el rastreo del dispositivo a través del GPS. Aunque es gratuita está en periodo de cierre. A partir del día 13 de Diciembre van a dejar de dar este servicio por no poder mantener el gasto que esto supone, aspecto que puede ser interesante para aquellos usuarios que actualmente la estén utilizando.

Este producto solo está disponible para smartphones Android.

Prey

Esta es una de las soluciones que más me ha llamado la atención, ya que desde sus comienzos era un producto para seguir el rastro de un equipo informático (Windows o Mac OS X). Poco a poco Prey ha ampliado su abanico y actualmente se puede instalar en Android, iOS e incluso Linux.

Las ventajas de este producto es que existe una versión de pago que va desde los 3,8€ hasta 308.61€ mensuales en función del número de dispositivos y funcionalidades requeridas. En la página del producto se puede encontrar más información.

A continuación se muestra una captura de pantalla del dashboard sobre un dispositivo Android que tiene este producto instalado.

Tal como se puede observar en la imagen anterior, la función de geolocalización no está activada a menos que se indique que el dispositivo ha sido extraviado, lo cual es una de las diferencias que tiene con Cerberus.

Otra opción a destacar es el bloqueo del dispositivo móvil con una contraseña. En el momento en que se activa esta funcionalidad (esté marcado el móvil como extraviado o no) el dispositivo se bloquea hasta que su propietario introduce una contraseña, especificada en el panel de control, tal como muestra la imagen:

Plan B

¿Qué ocurriría en caso de extravío si tenemos instalada ninguna de las anteriores aplicaciones? Como su nombre bien indica, hay un plan B.

Esta aplicación disponible para descargar desde Google Play puede instalarse remotamente en el dispositivo gracias a la función de instalación de aplicaciones desde Google Play. Hemos realizado la prueba de instalación y en cuestión de minutos ha aparecido la aplicación correctamente instalada.

Una vez instalada, en el momento que el dispositivo tiene cobertura GPS envía las coordenadas a la cuenta Gmail que hay asociada a éste a través de un correo electrónico.

Este producto solo está disponible para smartphones Android.

Valoraciones personales

Entrando en un enfoque más paranoico, la aplicación que mejor seguridad/privacidad (llamémosle confianza) aparenta tener es Prey, no sólo por disponer de una versión gratuita sino por las opciones de rastreo, que quizá no son tan completas como sus competidores, pero al tratarse de un producto OpenSource presenta la ventaja de que el código es auditable y se puede comprobar que no realiza acciones ilícitas a nuestras espaldas.

Por supuesto, con esto quiero volver a remarcar el peligro que vimos en el anterior post sobre encontrarse un dispositivo móvil por la calle y sin tomar las precauciones convenientes, comenzar a utilizarlo para nuestras tareas cotidianas (o comerciales, más peligroso todavía).

(N.d.E. Nótese que parte de los ataques a continuación descritos pueden y deben ser considerados actos delictivos, con las consecuencias que ello implica para la persona que los lleva a cabo. La presente entrada tiene como propósito poner de manifiesto la facilidad con la que una persona malintencionada podría obtener información valiosa de una potencial víctima, si ésta no tiene unas mínimas precauciones en la gestión de la información que maneja)

Continuando con la serie de artículos sobre posibles malas ideas con las que nos podemos encontrar, esta vez quiero dejaros caer una idea que llevo dándole vueltas desde hace tiempo y cualquier parecido con la realidad, es pura coincidencia ;)

Introducción

Cuántas aplicaciones existen para Android (desconozco iOS) que te permiten encontrar el móvil cuando lo perdemos. Cuántas de esas, además, permiten tomar una fotografía de la persona que está sujetando el móvil o de su entorno, gracias a la cámara trasera. Seguro que muchos de vosotros ya lo habéis pensado: Cerberus, esa aplicación para Android que tanto te permite hacer… incluso podríamos decir que demasiado.

Cerberus

[Read more…]

Siempre se ha hablado del problema de las redes sociales y de la política de privacidad, así como las consecuencias de subir una foto sin la autorización expresa de la persona que aparece en ella pero hoy vamos a hablar de un caso real.

Cuando por cualquier motivo vemos que aparece o nos llaman diciendo que ha aparecido una foto nuestra comprometida sin autorización y que pensamos que podría tener consecuencias graves, lo primero es no ponerse en contacto con la persona que ha difundido la foto, no sin haber hecho una captura de pantalla, sin haber descargado las fotos, en definitiva, no hacerlo si no hemos asegurado las evidencias. Evidentemente, esto dependerá de la gravedad de la fotografía, de las consecuencias que de ésta se deriven para nuestra persona y de si pretendemos seguir un cauce legal o no.

Una vez hecho y tengamos pruebas podremos ponernos en contacto con él y posteriormente si es necesario, formalizar la denuncia con dichas pruebas.

¿A qué viene todo esto? Hace unos días una persona cercana a la familia me llamó pidiendo ayuda, debido a que una amiga vio que se estaba difundiendo una foto suya por Twitter sin autorización y que tras llamar a la persona que la había publicado (persona conocida por la víctima), éste borró el tweet y la correspondiente foto quedándose esta persona sin las pruebas necesarias para una posible denuncia. En este caso, ¿qué podemos hacer?

En primer lugar, buscar en una página Web que cachee los tweets de un usuario (si no los tiene protegidos). Por ejemplo, www.topsy.com.

Si encontramos el tweet, podemos hacer una captura de pantalla y si aparece la foto, mejor todavía. Si no aparece, es más complicado ya que no resulta una evidencia suficiente. ¿Qué hacer en este caso? Nos pusimos en contacto con la persona que llamó a la víctima para preguntarle si ella había visto esa imagen publicada y como así había sido, le pedimos permiso para buscar en la cache y en el historial de su navegador. Afortunadamente, allí estaba la URL de la foto y sí, pese a borrar el tweet y tener la cuenta protegida, la foto era accesible públicamente. Veamos cómo.

Olfateando por la caché de Google Chrome

Existe una aplicación muy sencilla que permite ver todos los archivos que tiene Google Chrome en su cache, “ChromeCacheView”. Una vez descargada y ejecutada, buscamos la cadena “twimg.com/media”, ruta donde almacenan las fotografías subidas por los usuarios de Twitter, tal como podemos ver en la siguiente imagen:

Una vez localizada la foto que buscábamos (en nuestro caso nos guiamos por la fecha y hora aproximada de la publicación) si le hacemos doble clic nos abrirá una ventana como esta:

Seleccionamos la URL y vamos al navegador para verla… ¡et voila! Tal como indicábamos, aunque el usuario haya borrado el tweet, la imagen sigue estando ahí.

¿Son suficientes las pruebas?

Personalmente no estoy muy informado respecto a la validez legal de estas pruebas y en un proceso legal pueden existir complicaciones adicionales o evidencias de otras partes, pero al menos la víctima pudo averiguar qué escribieron en el tweet que luego borraron y qué foto publicaron. No hay que olvidar que hay precedentes de personas que colgaron fotografías por venganza y fueron luego declaradas culpables y obligadas a pagar a la víctima una indemnización

En este caso en particular, el asunto está en el aire ya que la historia va más allá de una simple foto publicada sin autorización, por lo que esperemos que todo se resuelva.

Por último, aunque en este caso la foto no fue subida a ninguna red social del estilo de Facebook, hay que ser conscientes de que todo lo que subimos a Internet puede potencialmente escapar de nuestro control en cualquier momento, sobre todo aquellos ficheros más “sociales” como las fotos y los vídeos. Así que tengan cuidado.

Desde siempre se ha debatido sobre la seguridad que nos ofrecen los Sistemas Operativos, actuales o no. Al fin y al cabo, aunque todos sabemos que la “última palabra” la tiene el usuario final, no deja de ser una ventaja que el SO nos ayude a lo que no podemos hacer los usuarios, aislar aplicaciones.

El día 03 de Septiembre se publicó la versión 1.0 de Qubes, un Sistema Operativo que, según palabras textuales de los autores, es “razonablemente seguro”. Para conseguir esto, emplea Xen, un monitor de máquinas virtuales desarrollado por la Universidad de Cambridge. ¿Qué diferencia a Qubes de los demás?

Esta es la pregunta que me ha venido a la cabeza nada más leer la noticia anunciando la v1.0. Tras leer más sobre el proyecto, he visto que han tardado aproximadamente tres años en sacar la versión actual a la luz, debido a que han sacado su propio micro-kernel, basado en Fedora 17, en la que viene habilitado “de serie” nuestro amigo Xen.

¿Cómo consigue Qubes esa seguridad extra?

Como hemos dicho, Qubes emplea Xen Hypervisor y crea “dominios” (máquinas virtuales) para un grupo de aplicaciones que el usuario puede modificar/añadir y organizárselo a su gusto. Existen una serie de dominios predefinidos para el usuario, estos son:

• Random: Navegación Web e instalación de aplicaciones en las que no confiemos al 100%:, una máquina virtual que no almacena información sensible y en caso de ser comprometida sabemos que no estamos en peligro de fuga de información.
• Social: Aplicaciones de uso cotidiano como pueden ser Facebook, Twitter, cliente de correo electrónico, etc. Están todas agrupadas en una misma VM ya que trabajan con información personal y/o de trabajo, por lo que se trata de dominio sensible.
• Shopping: Esta VM está pensada para tener todas las aplicaciones/navegadores Web que hagan uso del comercio electrónico.
• Bank: VM especial, el nombre lo dice todo; sólo permite navegación Web a través de HTTPS.
• Corporate: Tiene un cliente VPN conectado y sólo permite trabajar con la Red si la máquina está conectada a la VPN de la compañía o una VPN conocida.

Además, en el sistema, hay definidos otros dominios necesarios para el funcionamiento del SO:

• Network: Todos los drivers y aplicaciones que hacen uso de las comunicaciones.
• Storage: Drivers, pilas, sistema de ficheros, etc.
• Secure GUI: A través de este dominio, se le permite al usuario trabajar e interactuar con el resto de dominios. Para que sea completamente transparente, se le presenta al usuario como el tradicional escritorio de trabajo.

Aquí un pequeño esquema que seguro nos ayuda a entender su arquitectura:

A pesar de todas estas precauciones, todos sabemos que tarde o temprano es habitual que alguien desarrolle un método para saltarse este tipo de restricciones, de modo que un fallo de seguridad en Xen permitiría mediante un exploit local saltarse esta seguridad. Precisamente esto es lo que parece (no lo he analizado en profundidad) haber sucedido recientemente con una vulnerabilidad en Xen descubierta por Rafal Wojtczuk and Jan Beulich.

Poco más que añadir, os invito a que echéis un vistazo al proyecto en su Web oficial así como a un detallado e interesante documento de análisis de seguridad de Qubes.