Breve Análisis de Seguridad del Sistema Operativo Palm

Introducción

 Las PDA’s han evolucionado, desde sus inicios, ofreciendo cada día mejor tecnología y una mayor posibilidad de comunicación de datos: desde el básico HotSync hasta el avanzado Bluetooth y el Wifi. Muchos de los usuarios y poseedores de PDA’s no se dan cuenta, en la mayoría de las veces, que la información almacenada en sus dispositivos es, por lo general, confidencial y que debe ser utilizada por ellos mismos.

 Todos los sistemas operativos existentes, presentan múltiples vulnerabilidades que hace posible que cualquier persona, con algo de conocimientos de programación, pueda sacar provecho de estos errores, la mayoría de las veces desconocidos por los desarrolladores. En nuestro caso, el sistema operativo Palm no es la excepción.

 PalmOS ofrece a todos los usuarios aplicaciones para proteger las datos que así lo consideren, utilizando passwords. Estos se pueden encontrar en las aplicaciones básicas (nativas) del sistema operativo: direcciones, block de notas, notas, tareas, agenda. Los registros individuales pueden ser marcados como “privados” por lo que serían visibles únicamente con la introducción del password correcto.

 Otro ejemplo de protección que nos ofrece PalmOS es el “Beam Bit” flan (técnicamente hablando), que es usado para prevenir que los datos sean transferidos por el puerto infrarrojo.

 Estos dos ejemplos, utilizan métodos de protección muy básicos que hacen a los usuarios sentirse “seguros” de que su información está resguardada íntegramente contra terceros. Afortunadamente, existen varias formas de que nuestra información sea almacenada de manera segura utilizando rutinas de: criptografía y encriptación. Este tipo de aplicaciones requieren de sistemas operativos estables y seguros para que permitan su implementación.

Códigos Maliciosos

 Virus: es un archivo que viene adjuntado a un archivo ejecutable. Cuando este archivo es ejecutado, el virus también se ejecuta e incluso, es capaz de reproducirse a si mismo, infectando a otro archivo.

Caballo de Troya: Es un código malicioso que se oculta en una aplicación. El objetivo de este código es hacer creer al usuario que está ejecutando una aplicación cuando en realidad el propósito de esta es otra. El caballo de troya es similar al virus, excepto que no se duplica asimismo.

Gusano: Es una código que se copia asimismo y no requiere de un programa adicional para ejecutarse. Es comúnmente hallado en las redes.

Arquitectura de PalmOS

 A grandes rasgos, el interior de un dispositivo que utiliza PalmOS, al igual que otros dispositivos PDA puede dividirse en tres capas: Aplicación, Sistema Operativo y Hardware. Cada una de las capas tiene una función específica. A grandes razgos:

1. Aplicación: Espacio en que una aplicación se ejecuta.
2. Sistema Operativo: Como su nombre lo indica, en donde se almacena el PalmOS.
3. Hardware: Son todos los dispositivos PDA.

 Almacenamiento de Passwords

 PalmOS maneja dos formas de almacenar los passwords y estos dependen de la longitud del mismo: de 1 a 4 caratecteres y de 4 en adelante. Ambas formas utilizan métodos matemáticos para almacenarse.

Recomendaciones

Anular el intercambio de información: Esto es, desactivando la opción de infrarrojo, bluetooth, etc. para  impedir que nuestra información se transmita involuntariamente.

HotSyncID: Procurar que el nombre de usuario sea siempre único y no usar nombres comunes. Esto reduce el riesgo de que nuestra información pueda ser traspasada y leída por dispositivos con el mismo nombre.

Políticas de encriptación: Procuremos siempre el activar la casilla en donde la PDA nos pida el password de encendido. Esto nos ayuda a que usuarios no autorizados puedan acceder a nuestro dispositivo y con ello, compartir información.

Utilizar tipos deferentes de passwords: Aplicaciones de otras compañías nos permiten poder poner passwords con métodos diferentes: ya sea por escritura, presionando una serie de botones en orden específico. Actualmente, los passwords gráficos para PDA están en estudio.

Aplicación recomendada

SplashID

Esta es una aplicación comercial, especialmente dirigida a los usuarios de asistentes personales (da soporte a los sistemas operativos PalmOS y PocketPC), aunque también dispone de una versión para Windows, que se sincroniza con los datos del asistente personal. También cifra la información con el algoritmo Blowfish.

Para finalizar

En nuestras manos está el que la información almacena sea resguardada confiablemente.

Este documento es meramente informativo y por su carácter breve, no abarca otros muchos estudios sobre seguridad que se han realizado.

Fuentes:

www.atstake.com

www.hispasec.com

www.splashdata.com/splashid/index.htm
www.splashdata.com/ppc/splashid/index.htm

————————————–

Este tema fué expuesto en la Reunión del Mes de Septiembre en HispaPUG Yucatán