Monday, October 11, 2010

Android Hardening en Motorola i1



El viernes me entregaron un equipo Motorola i1 de Nextel, el cual viene con Android 2.0. Es un smartphone con apariencia robusta y lo debe ser porque es el primero con militar-spec 810F.


Ademas de los atributos de un smartphone, una pantalla táctil capacitiva HVGA, una cámara de 5 MP, Bluetooth stereo, WiFi, navegación GPS, compatibilidad Exchange, navegación a sitios web con el apoyo de Adobe Flash Lite, y una ranura para tarjetas microSD de hasta 32 GB, trae la tecnologia de Nextel Push to Talk (PTT). No soy experto en Smartphone, por lo tanto no puedo decir mucho mas del telefono.
Respecto a las pruebas que debe pasar un equipo para cumplir con el grado militar-spec 810F son las siguientes :

LABORATORY TEST METHODS

500 Low Pressure (Altitude)

501 High Temperature

502 Low Temperature

503 Temperature

504 Contamination by Fluids

505 Solar Radiation

506 Rain

507 Humidity

508 Fungus

509 Salt Fog

510 Sand and Dust

511 Explosive Atmosphere

512 Immersion

513 Acceleration

514 Vibration

515 Acoustic Noise

516 Shock

517 Pyroshock

518 Acidic Atmosphere

519 Gunfire Vibration

520 Temperature, Humidity, Vibration, and Altitude

521 Icing/Freezing Rain

522 Ballistic Shock

523 Vibro-Acoustic/Temperature


El manual sobre esta norma militar se puede bajar desde http://www.everyspec.com


Muchos dispositivos dicen que cumplen con estas características, pero dado que no hay un organismo de certificación, no se puede verificar esto como verdadero. Los fabricantes dicen que cumplen con el standard pero casi nunca fueron probados por ser estos tests demasiado caros de implementar. No se si es el caso de este teléfono.

Ya habíamos hablado en un post anterior sobre las mejores practicas para aplicar a un Smartphone :

http://d3ny4ll.blogspot.com/2008/11/smartphone-best-practices.html


Estas incluían en forma resumida las siguientes practicas :


  • Política de Seguridad de la empresa sobre el buen uso de los equipos.
  • Uso de encripcion y autenticacion en caso de que el equipo sea robado o perdido.
  • Transmisión de datos desde medios seguros
  • Sincronizacion del equipo en forma regular para tener un backup de la información.
  • Ejecutar un antivirus en el equipo
  • Conectarse en forma remota por medio de VPN
  • Si el equipo contiene informacion sensible, tener un software para wipping de la información.
  • Bajar informacion solo de lugares confiables y leer el EULA para evitar instalar spyware.

El siguiente post contiene esta información pero aplicada a un Smartphone con Motorola i1 con Android 2.0

Seguramente deben existir usuarios que tengan mas consejos sobre Android, yo solamente tuve el telefono en mis manos un fin de semana, por lo tanto esto que detallo a continuación son consejos básicos.


Esta guía como todo, es algo que continuamente se debe actualizar, ya que nuevas amenazas surgen cada dia.

La aplicación de la misma corre bajo la responsabilidad de los usuarios.




Hardening Smartphone Motorola i1

La totalidad del software que aquí se detalla es open source y gratuito, existen aplicaciones pagas que tienen en algunos casos mayores prestaciones, como no las probé no puedo recomendarlas.
Como un principio de seguridad basico que aplico es la defensa en seguridad, los siguientes consejos tratan de aplicar varias capas de protección al equipo, de manera tal de no depender de una sola linea de defensa.

0 ) La regla Primordial.

Nunca dejes tu teléfono fuera de tu alcance por mucho tiempo.
Nunca dejes tu teléfono en manos de una persona que no es de absoluta confianza.
Nunca dejes tu teléfono sin bloquear.



1 ) Wipping inicial


Teniendo en cuenta que los smartphone pueden venir con programas maliciosos de fabrica, como fue en el caso de los equipos Vodafone con Android (http://isc.sans.edu/diary.html?storyid=8389) o se nos pueden entregar con software para monitoreo de nuestros movimientos, como en el caso del software Prey ( www.preysoftware.com ), recomiendo realizar un reset a los valores de fabrica del dispositivo.

En el caso del equipo Motorola i1, esto se realiza con el telefono apagado, mediante la presión de las siguientes teclas en forma simultanea :


Vol up, vol down, tecla red, tecla central y tecla green.




De esta manera, se eliminaran todos los datos, programas y cuentas que contenga el teléfono. Vale aclarar que no se eliminaran los datos en las tarjetas SD.

Para eliminar la información que pueda contener la tarjeta microSD, debemos seguir los siguientes pasos :

Desde Windows podemos ejecutar la herramienta cipher.exe, como muestra este link.

Desde Linux podemos utilizar la herramienta dd : dd if=/dev/urandom of=/dev/(sd device )

2 ) Identificación del dispositivo

Es conveniente identificar el dispositivo para poder recuperarlo en caso de perdida, se puede colocar un teléfono de contacto en el salva pantallas o una etiqueta en la parte posterior del equipo, con un telefono o un mail de contacto. Siempre es mejor no colocar datos personales.


3 ) Seguridad de acceso al dispositivo


Conexiones Inalambricas


WIFI


Vamos a Configuracion del dispositivo y comenzamos por las Conexiones Inalambricas :

Damos de alta nuestra red Wifi siguiendo los patrones de seguridad mínimos, nada de conexión a redes abiertas o wep.

BLUETOOTH


Motorola indica que en forma nativa no esta permitida la transferencia de archivos por medio de bluetooh desde el equipo, pero existen aplicaciones que si lo permiten, por lo tanto.


Habilitar bluetooth solo cuando es absolutamente necesario.
No habilitar el modo descubrimiento, hacerlo cuando es absolutamente necesario.
Conectarse con otro equipo en un área segura
No ingresar una clave cuando es pedida sin un requerimiento previo.

Seguridad y Ubicación


Los siguientes puntos se utilizan para el caso de geolocalizacion.


Usar redes Inalambricas.


Este punto si se habilita, permite que Google recopile datos de todos los dispositivos tanto publicos como privados para utilizarlos al momento de la Geolocalizacion del telefono.
Recomiendo no habilitar esta opcion.


Habilitar uso de GPS


Habilitarlo solo en caso necesario


Usar red celular

Habilitarlo solo en caso necesario


Candado

El candado bloquea la pantalla luego de un tiempo determinado, hay dos tipos de forma de desbloquearlo, por medio de un código de al menos 4 dígitos y por medio de un patrón visible.

Bloqueo de tarjeta SIM

Este bloqueo se utiliza en el caso de querer bloquear el teléfono y pedir el numero de PIN cuando se enciende. Si se ingresa mal, se nos pedirá el numero PUK que solo lo entrega la operadora.
Por lo tanto hay que estar seguro al momento de habilitar esto.




4 ) Instalar software básico de protección de datos


Siguiendo con la guía y luego de aplicar la seguridad básica aplicaremos herramientas que mejoren la

Confidencialidad e Integridad


Este punto fue uno de los cuales mas demore en encontrar una solución, Android no trae una aplicación de encripcion de forma nativa, incluso en el caso de las tarjetas SD vienen con formato VFAT lo cual no da la protección de permisos que trae Linux, por lo tanto crea un problema mayor al momento de almacenar información confidencial.

De los software free que vi, el que mas adecuado me parecio es APG en conjunto con OI-Filemanager y k9-Mail permite guardar documentos y enviar mails encriptados con claves generadas por OpenPGP.

Android  Privacy Guard


Entre las posibilidades que brinda se encuentra.
  • ImportaExport GPG key rings y exporta keys desde/hacia la tarjeta SD.
  • Encripta y firma mensajes y los envia por la aplicacion de mail designada.
  • Desencripta mensajes y verifica la firma
  • Responde a los mensajes desencriptados marcando las respuestas y automaticamente llenando la llave y firma del receptor.
  • Soporta file managers para la seleccion de archivos.
  • Encripta y desencripta archivos con llaves simetricas y asimetricas.

IO File Manager



Algunas de sus características
  • Muestra lista de archivos
  • Iconos para el directorio root y la tarjeta SD
  • Estructura de directorio accesible mediante click de botones
  • Soporta muchas extensiones de archivos y mime types.
  • Crea directorios, renombra y borra archivos.
  • Mueve archivos
  • Envia archivos por mail.




K9 email



La principal característica que puedo nombrar es que permite enviar y recibir mails encriptados con APG.

    Una articulo muy bueno de la integración de APG + K9 mail


    Disponibilidad




    Contar con un backup de nuestros datos es fundamental, para eso una aplicación que nos puede ayudar es
    Titanium Backup. el único inconveniente es que nuestro dispositivo debe tener acceso de root.

    Algunas de las características de la versión free

    • Sin limite de tiempo
    • Backup/Restore de aplicacion y seteos
    • Backup/Restore de de seteos del sistema
    • Restore interactivo
    • Programacion semanal de backup




    5 ) Comunicación segura




    Para comunicarse en forma remota la mayoría de las aplicaciones de VPN , necesitan acceso root al dispositivo. Una alternativa a esto es conectarnos mediante una vpn con SSH.


    Aquí dejo dos links con ambas alternativas :


    SSHVpn


    IpsecVPN




    6 ) Wipping


    Siempre es mas seguro tener los datos encriptados que depender de borrar en forma remota los mismos.
    Remote Wipe es una aplicacion que nos permite borrar los datos en forma remota, enviando un SMS al dispositivo.
    Como otras aplicaciones, necesita acceso root al mismo.


    7 ) Proteccion contra robo


    Este punto para mi es un poco controversial, dado que estas herramientas ponen nuestros datos en manos de terceros.
    Existen muchos programas de rastreo, incluso este modelo de Motorola trae la aplicacion iAlarm el cual mediante la presion de un boton de emergencia envia un SMS a los contactos definidos con la localizacion del telefono.

    http://preyproject.com/ es otro software que nos permite rastrear el dispositivo, y ubicarlo en caso de robo.
    Hay que tener presente que como se utiliza para el bien, puede ser utilizado para el mal como un programa para el monitoreo de lo que hacen terceros.

    La geolocalizacion del dispositivo es bastante precisa, el único inconveniente es que el tamaño de un smartphone no se asemeja al de un conteiner, por lo tanto la precisión también es relativa.

    Si el equipo fue robado por alguien con mínimos conocimientos, lo primero que hará es quitar las baterías, el SIM e ir a un lugar donde no llegue la señal de telefonía y resetear a los valores de fabrica el equipo.

    Si fue robado por un simple ratero, ahi puede que tengamos mas posibilidades de recuperarlo.



    8 ) Otras aplicaciones.

    El sitio securitybydefault tiene una serie de posts con aplicaciones para Android orientadas a la seguridad, les recomiendo pasar por alli.

    www.securitybydefault.com



    Conocen otras aplicaciones o como mejorar el documento actual ? Espero los aportes.

    Quienes este interesados en conocer mas sobre la seguridad de Android, les recomiendo leer el documento Google Android: A State-of-the-Art Review of Security Mechanisms








    1 comment:

    Rod said...

    la version de android del I1 es la 1.5 y no las 2

    saludos