domingo, septiembre 22, 2013
|
Hace unos días se ha abierto una recompensa en Internet para ofrecer unos US$16,000 dólares a quien sea que rompa la protección de Touch ID (el sensor de huellas digitales y sus tecnologías de cifrado asociadas) en el iPhone 5S. Y no, todavía nadie a podido romper la protección, pero un grupo de hackers (el Chaos Computer Club, o CCC) decidió tomar otra ruta: Duplicar una huella humana con una impresora 3D y algunos conocimientos de materiales.
A la fecha, sensores que no son resistivos y 3D como el del iPhone 5S, podían ser fácilmente pasados con solo fotocopiar una huella digital, imprimirla ante cualquier material biscoso, y poniéndolo sobre el sensor, técnica que no funciona con el lector del iPhone 5S. Así que los hackers del CCC probaron otra técnica (fuente): Subir una dimensión más... Para lograr el truco, lo que hicieron fue primero escanear una huella digital a 2400 dpi (2400 puntos por pulgada), pues el sensor del iPhone 5S detecta copias de baja resolución. Para que tengan una idea, una revista de la mejor calidad del mercado, está impresa a apenas 300dpi, por lo que hablamos de multiplicar por 8 la resolución. El próximo paso fue limpiar a mano (imaginen, Photoshop) cuidadosamente toda la huella (lo que sin duda tomó un poco de tiempo), para obtener una imagen de la huella "limpia". El paso siguiente fue convertir esos trazos de la huella con un programa especial de 2D a 3D, sin duda también dotando de los surcos de profundidad. Posterior a eso, enviaron el nuevo archivo que representa la huella del dedo en 3D, a una impresora tridimensional láser (no las relativamente baratas de baja resolución, sino las que imprimen en 3D a altas resoluciones) para esculpir la huella sobre látex (un material que se utiliza mucho en efectos especiales y maquillaje), y después se humedeció. El paso final fue poner la huella tridimensional y húmeda sobre un dedo normal, y presionar sobre el sensor. Y voila, el iPhone 5S cedió... Opinión eliax Ahora bien, por alguna razón extraña hay cientos de blogs actualmente celebrando este hecho, llamándolo una victoria sobre nuestra privacidad, y un sinnúmero de otras cosas con poco sentido, así que aclaremos unas cuantas cosas. 1. Este proceso no es tan trivial como lo quieren hacer creer los mismos hackers del CCC, ni como reportan algunos medios que no entendieron bien la técnica utilizada. La persona promedio no puede replicar esto tan fácilmente, al menos que tenga acceso a una impresora tridimensional del tipo láser y sepa lo que hace. 2. Es mucho más fácil sencillamente adivinar un código de 4 dígitos para desbloquear un celular, que hacer todo este proceso. Y la pregunta es, ¿hace esto al iPhone 5S, o cualquier otro celular de otra empresa que implemente esta tecnología, menos seguro que utilizar simples claves numéricas? La respuesta corta es no. Recuerden que cualquier entidad que tenga el conocimiento y los recursos financieros, de tiempo y personal para hacer todo esto, puede acceder a tus datos de formas mucho más sencilla que esto. Es muchísimo más fácil tener una cámara apuntando a tus manos en un supermercado para saber que código entras en tu celular (o que patrón de dedos mueves en tu pantalla, como se puede hacer en Android), que el buscar una buena huella de tu mano y hacer todo este proceso. Incluso después de haberse demostrado esta técnica, Touch ID (y futuros clones) será muchísimo más seguro que cualquier otra tecnología de claves de la actualidad. Noten además que nada impide que Apple (o Google, o Samsung, o Amazon, o Microsoft, o quien sea) implemente esta tecnología en conjunto a una clave tradicional para cosas que sean mucho más sensitivas que entrar a tu celular (como por ejemplo, el mover dinero), por lo que el mundo no se ha acabado con este desarrollo del CCC. Y por otro lado, quien crea que la seguridad total existe, es un iluso, y ciertamente ningún profesional que haya trabajado unos pocos años en la industria debería esperar que la seguridad al 100% existe. Y no solo eso, como siempre le digo a clientes que aconsejo sobre estos temas: Si alguien quiere acceder a sus sistemas, y tiene toda la intensión de hacerlo, y suficiente dinero, lo podrá hacer casi con 100% de certeza. Los sistemas se quiebran no solo a fuerza matemática bruta, sino además por "hacking social" (como por ejemplo, llamar a una secretaria y convencerla de que eres del equipo técnico de la empresa y que te de alguna clave que necesitas, como popularizó el hacker Kevin Mitnick), o en este caso, no atacando al sistema directamente sino replicando al usuario. Ahora, ¿cuál es el gran problema de utilizar solo una huella digital para acceder a datos importantes? Pues que si algún día alguien se le da con replicarte tu huella digital, que entonces esa persona tendrá de por vida una clave maestra que pueda utilizar para este tipo de ataques. Sin embargo, no duden que esta es apenas una primera versión de Touch ID, y que como expliqué recientemente esto es solo algo que por ahora Apple quiere probar con el iPhone 5S hasta perfeccionar, por lo que no me sorprendería o que veamos algún tipo de actualización de software, o futuras versión de Touch ID en futuros equipos de Apple que prevengan esta vulnerabilidad. Yo personalmente, espero con ansias un iPhone 5S en mis manos, y pueden estar seguros que por primera vez utilizaré Touch ID para desbloquear mi iPhone, pues me encuentro tan arcaico y lento el sistema actual de mover dedos en pantalla, que sencillamente prefiero no bloquear mi celular y permanecer "inseguro". Al final del día, hay que poner en una balanza las ventajas y desventajas de algunas cosas, y después tomar una decisión prudente. En mi caso, las ventajas del Touch ID son muchísimas más que esta desventaja de que alguien pudiese clonar mi dedo. Finalmente, ojo, no estoy diciendo que estoy feliz por esto y que nada me preocupa, sino que hay que ser pragmático y práctico en la vida. La seguridad al 100% no existe, pero tecnologías como Touch ID continúan siendo muchísimo más seguras que las tradicionales claves que utilizamos a diario. Actualización 24 de Septiembre 2013: Los hackers que lograron violar la seguridad de Touch ID aclararon muchas cosas sobre cómo lo lograron y crearon un nuevo video explicando el proceso. Como verán, ciertamente si se tienen los ingredientes para lograr el hack, y se sabe lo que hace, el proceso es relativamente sencillo. En este enlace pueden leer una explicación más abundante (en inglés) así como ver el video. autor: josé elías |
50 comentarios |
Apple / OS X , Opinión / Análisis , Software , Tecno-Seguridad |
Comentarios
Añadir Comentario |
"Vaya que nunca se sabe de dónde puede salir la esperanza... espero con todo mi ser que esta teoría sea cierta, de ser cierta eso significaría que existe al menos un yo, en algún universo, que no perdió al amor de su vida por falta de valor, y eso me alegra : )"
en camino a la singularidad...
©2005-2024 josé c. elías
todos los derechos reservados
como compartir los artículos de eliax
Seguir a @eliax
El mundo no se va a acabar por esto. Mi papá tiene su clave pegada en un papelito al monitor de su PC. Creo que el lector del 5S lo va a proteger mejor.