Menú principal

viernes, 31 de diciembre de 2010

Las 10 entradas más vistas en Seguridad Apple en 2010

El 2010 se rompe hoy y, tras 5 meses de vida de este joven blog, hemos querido hacer balance de cuáles han sido las 10 entradas que más han gustado a los lectores, o que más repercusión han tenido y que, por tanto, más visitas han recibido una vez desaparecieron de la página principal. Los resultados son más bien curiosos y nos dejan claro el espíritu de los que venís por aquí :)

En décima posición ha quedado la entrada iPhone xGFD: eXGirlFriend Detector una entrada sobre una posible tool para detectar en que posición del planeta se encuentra tu exnovia (o exnovio) a partir de la información GPS que va dejando en los sitios sociales como Twitter, Facebook o FourSquare.

En novena posición ha quedado la entrada sobre La preocupación de Steve Jobs por la estética de la placa base de los Macintosh. Una bonita historia en la que Steve Jobs deja clara su impronta y en la que llega a valorar un diseño tecnológico en función de la impresión artística que le genera cuando la ve, llegando a invertir dinero para generar un nuevo diseño más estético. Sí, no más rápido, más barato o más eficiente, simplemente más estético. Una bonita historia que venía desde el equipo de Cyberhades.

En octava posición ha quedado el chiste que nos llega desde el blog de Agent-X, donde queda claro que a todo el mundo no le gustan las pantallas táctiles, llegando a crear un Club de odiadores de pantallas táctiles en el que se encuentran algunos personajes dignos de tener en cuenta, como son Lobezno, Eduardo Manostijeras o Freddy Krueger.

En séptima posición se quedó la entrada en la que hablamos de la suite AirCrack para Crackear claves Wifi con dispositivos iPhone. Una entrada en la que veíamos los pros y los contras de esta suite en la que, de momento, para iPhone, no dispone de capturador de paquetes y solo hay disponible el crackeador.

En sexto lugar una historia divertida con el Ataque David Hasselhoff a una tienda oficial de Apple. Este ataque se aprovecha de los usuarios despistados que dejan los equipos de trabajo sin bloquear la sesión - hicimos un artículo para que aprendas a Cerrar una sesión de forma rápida en Mac OS X - para "castigarlos", y que aprendan a tomarse en serio la seguridad de sus equipo, con un bonito fondo de escritorio con el gran David Hasselhoff en paños menores rodeado de perritos. Un poema de arte multimedia.

En quinto lugar un bug de seguridad en Apple Safari que permite hacer ataques de phishing de forma muy sencilla. Bajo el título de iOS: Un caramelito para el Phishing debido al diseño contamos la historia de este fallo, por el cual un programador puede quitar de la pantalla la barra de direcciones del navegador y sustituirla por una barra de direcciones totalmente falsa. Un fallo de seguridad bastante grande que afecta a los usuarios de iPhone, iPad o iPod Touch.

En cuarta posición ha quedado un post divertido en el que vemos Cómo convertir un PC en Mac a lo MacGyver. La foto no tiene desperdicio y es normal que muchos se hayan echado unas risas al verla...

En tercer puesto el bug de regresión que entró en los dispositivos iPhone por el cual, haciendo uso del sistema de llamadas de emergencia, cualquiera se podía saltar la clave de protección y llamar desde tu teléfono iPhone. Un fallo bastante gordo que enfadó a muchos de sus usuarios... y a otros no, que así son las cosas con los que adoran/mos a Apple, que incluso con estos fallos hacen/mos "pelillos a la mar".

La segunda entrada más leída de este año ha sido la que alertaba el peligroso acercamiento de los equipos Mac OS X a los kits de exploits, apareciendo ya en varios kits de infección como objetivo del malware. Este año han aparecido distinto malware como Koobface o Boonana migrados a Mac OS X, y como Apple aparecía en kits de infección como BlackHole o Eleonore II.

Visto lo visto durante este año, si tienes un equipo con Mac OS X, también hay que protegerse con un buena solución antimalware. Es por este motivo que quisimos llegar a un acuerdo comercial con Bitdefender para ofrecer una solución profesional a buen precio.

Y la entrada más leída del año ha tenido que ver con Hacking, un post en el que adaptamos la herramienta Firesheep para que fuera capaz de robar las sesiones de Tuenti en redes inseguras. Con esta herramienta y el sencillo script de configuración que adaptamos es posible hacer un hijacking a las cuentas de usuarios que están conectados en nuestra misma red WiFi en Tuenti.


Y esto es todo, ya nos vemos el año que viene, con más ganas de hacer cosas, que para algo amamos la tecnología. Es nuestro trabajo, es nuestra pasión, es nuestra vida.

Desde Seguridad Apple os deseamos un Feliz 2011.

jueves, 30 de diciembre de 2010

Scany, escaneando la red con iPhone (1 de 2)

========================================================================
- Scany, escaneando la red con iPhone (1 de 2)
- Scany, escaneando la red con iPhone (2 de 2)
========================================================================

Hoy vamos a ver una sencilla y cómoda aplicación que seguro que te gusta llevar en tu iPhone. Scany es un scanner de puertos y red, con funciones como traceroute, ping, whois o wake on lan. Es una suite bastante completa con la que se puede analizar los equipos de una red, ya sea una Intranet o Internet desde tu iPhone. La idea es que mientras visitas un lugar, puedes ir auditando la red mientras paseas por la oficina con tu iPhone. Es bastante curioso que en la palma de la mano se tenga una herramienta de este índole.

Primer contacto con Scany
Interfaz principal de Scany

Esta aplicación se encuentra traducida a varios idiomas, entre ellos el español, y actualmente está estabilizada en su versión 1.9, funcional para iOS 4.0. El precio es asequible ya que por 1.99$ se puede adquirir,, aunque siempre habrá quien piense que es caro.

El primer contacto visual con Scany muestra un interfaz que, como se puede ver en la imagen, es bastante intuitivo. Un botón central que dice "Escanear Nuevo Host" y botones inferiores para configurar la aplicación de manera muy sencilla.

En la imagen de la derecha se puede observar la pantalla principal de la aplicación, dónde se puede observar un histórico de los escaneos que se van realizando.

En cualquier momento esa lista puede ser eliminada, o algún host quitado de ella, además de poder ser, también, enviada por correo electrónico, o exportada a formato Net Status. Es decir, los resultados pueden ser utilizados en procesos de auditoría como parte de los informes que se generan.

Botones de configuración y uso de la herramienta

En la imagen se puede observar la agrupación de los botones por categoría. Los que se encuentran en el recuadro amarillo, se observa que la aplicación dispone de 3 botones que son para programar escaneos. El primer botón sirve para realizar un escaneo a un host explícito. El segundo botón sirve para realizar un escaneo en un rango de direcciones IP de una red explícita, y el tercer botón sirve para realizar un escaneo sobre la red en la que el dispositivo se encuentra.

Recuadrado en rojo se observa el botón de edición de la lista del histórico. Con este botón se puede eliminar algún informe del registro de escaneos de la aplicación.

Recuadrado en azul se observa el botón para realizar envíos de la información recopilada mediante correo electrónico o exportando la información a Net Status. Por otro lado, también se puede realizar una copia de la información para poder pegarla en cualquier otra aplicación de nuestro dispositivo móvil.

Recuadrados en naranja se observa el botón de configuración y el de información de la aplicación. El botón de información muestra los "créditos" de la herramienta mientras que el botón de configuración permite establecer las políticas de cómo serán los escaneos, es decir, si se escaneará solo los que respondan a ping o no, establecer los límites de timeout en 'x' segundos, etcétera.

Realizando el escaneo de un host

Plantillas de configuración de scaneos
Para realizar un escaneo de un host, tal y como se comentó anteriormente, se debe pulsar sobre el botón con un '+', es decir, el primero de la botonera. Una vez que se ha introducido el nombre del host o su dirección IP se puede elegir el tipo de escaneo entre la lista de plantillas que existen. En la imagen de la izquierda se puede observar como hay 5 tipos distintos de escaneos sobre los equipos por defecto.

Scany proporciona unas plantillas interesantes, como para detectar ls servicios UNIX, que son los 993 puertos más utilizados en sistemas *NIX*, o proporciona también un rango de puertos y una lista de puertos configurable por el usuario para poder detectar los servicios que se precisen en una auditoria.

Por ejemplo, se podrían buscar los puertos AFP abiertos de los Mac OS X de una empresa estableciendo el puerto de escaneo al 548.

Una vez configuradas todas las opciones al antojo del usuario de la aplicación, se pulsará sobre el botón Scan y comenzará el escaneo sobre el host.

Resultados del proceso de scanner

En la imagen de la derecha se pueden observar los resultados del escaneo anterior. Tal y como se aprecia, see obtiene la resolución del nombre del host, si no se había introducido con anterioridad. Los puertos TCP/UDP que están a la escucha, dentro del rango de los configurados para analizar en la plantilla, y para cada uno de ellos los servicios reconocidos. Además muestra información útil como la dirección MAC del equipo escaneado, con la traducción de los bits del fabricante de la tarjeta de red.

Resultados del proceso de scaneo de un host concreto

Además, en el mismo menú, tal y como se ve a la derecha, hay opciones para lanzar un ping, un traceroute o una petición de wake on lan, junto con el valor RTT con el tiempo de respuesta calculado en las peticiones ping hechas sobre ese host en concreto.

========================================================================
========================================================================

miércoles, 29 de diciembre de 2010

Beta testers para realizar Jailbreak untethered en iOS 4.2.1

Son muchos los que están esperando poder desenjaular su móvil iPhone, su iPad o su iPod Touch con una versión definitiva de Jailbreak untethered para sistemas operativos versión iOS 4.2.1. Para todos aquellos que comienzan a leer sobre el tema, Jailbreak es el proceso que permite ejecutar aplicaciones en nuestro iPhone distintas a las alojadas en el App_Store, sitio oficial de Apple de descarga de programas para estos dispositivos, - como son los servidores Cydia - y el término untethered (“sin ataduras”) significa que no es necesario conectar nuestros dispositivos iOS a nuestros ordenadores cada vez que sean reiniciados para mantener el Jailbreak.

Discusión entre p0sixnija y MuscleNerd por twitter
Después de las primeras noticias descorazonadoras que nos llegaron por parte de dos de los miembros del iPhone Dev Team, concretamente de P0sixninja y MuscleNerd, acusando el primero al segundo de haber filtrado el exploit SHAtter (exploit utilizado para realizar la liberación) en un chat privado donde se encontraban 15 personas más, al final parece que ya se va viendo la luz al final del túnel.

Días más tarde, MuscleNerd nos ponía en pista anunciando un plan de contingencia en el que se indicaba que para el fin de semana de navidad se liberaría una nueva de redsn0w para realizar Jailbreak Untethered 4.2.1, invitándonos a participar en dicho proceso,  funcionando a modo de prueba en un principio solo para entornos Mac OS X

Pues bien, el momento ya a llegado y aquí os dejo el enlace a dicha invitación de RedSn0w.

Invitación a ser beta tester de redsn0w
Los requisitos necesarios para ser betatester impuestos por el grupo IPhone Dev Tem son:

- Ser una persona valiente sin miedo a perder fotos u otros elementos multimedia que se incluyan en el dispositivo que no hayan sido guardados ya que las cosas pueden ir de mal a peor ;) ¡¡Qué bueno!! Aquí os dejo esta primera apreciación literal: 

“This is a beta tester program. It’s not a general release! Things can go very wrong, so please don’t even consider testing if you have pictures or other media on your device that you haven’t backed up!”

- Funcionalidad Bluetooth desactivada, hasta que consigan solventar determinados problemas producidos en el entorno.

- Limitado a iPhone4, iPad, e iPod touch 4G

- Disponer de los SHSH de iOS 4.2b3 guardados, comprueba que los tienes en Cydia.

- Disponder del software usbmuxd instalado y ejecutándose en el Mac OS X.

Hay quien ya se ha animado a hacer un tutorial de dicho proceso. Desde Actualidad iPhone nos presentan paso a paso como realizar el JailBreak Untethered iOS 4.2.1 con la versión de RedSn0w 0.9.7b2. Eso sí, solo para iPhone 4, iPad e iPod Touch 4G.

martes, 28 de diciembre de 2010

Apple vuelve a sacar una consola de videojuegos

NOTA: Esta noticia es una inocentada del día 28 de Diciembre, día de los Inocentes en España

Sí señores, por enésima vez, Apple vuelve a sacar una consola de juegos para el hogar, pero... ¿será la consola de diversión definitiva? Repasando la historia de Apple con sus plataformas de juegos lanzadas en años anteriores, las cuales no tuvieron mucho éxito, se puede estar ante la confirmación de Apple como constructor de consolas de vídeojuegos... ahora, y de una vez por todos, sí, a pesar de que muchos detractores piensen que fallará.

Uno de los pilares en los que se basan todos los productos de Apple es la estética de éstos. A día de hoy vivimos en un mundo de pura estética. Se puede saber, por filtraciones, una especie de Apple Leaks, que la consola que Apple prepara para 2011 tiene un diseño que será más o menos como el que se puede observar en la fotografía.

Imagen del prototipo de Apple iConsole

Es un dispositivo con un diseño muy parecido a dispositivos ya lanzados por Apple, como puede ser el antiguo AppleTV o un Mac Mini. Se observa en la imagen como el dispositivo obsequiará a sus usuarios con un Apple Remote, el mando mítico de Apple. Pero, ¿por qué es el modelo antiguo del Apple Remote? A esta pregunta nadie de Apple ha querido responder. ¿Será para contentar a los más mitómanos de los productos Apple?

Mando de la consola

Aparte del Apple Remote, con el cual se supone que se podrá gestionar la biblioteca de iTunes y escuchar música o reproducir películas, la consola trae de 1 a 2 mandos, en función del pack que se adquiera. El mando tendrá un diseño ergonómico como el que se puede observar en la imagen, para los más gamers.

"No queremos ver a la gente saltando delante de sus televisores para jugar a juegos simples, queremos que los juegos más emocionantes y que más horas han disfrutado los más jugones estén en esta consola. ¿Te puedes imaginar jugando al Tekken a alguien usando Kinect o la Wii? En Apple no, y queremos que los  que más saben de juegos aplaudan esta renovación, por eso haremos mandos complejos, para gente de reflejos.  ¿Podrías hacer un fatálity con el nuevo mando de la nueva consola de Sony? Nosotros pensamos que no. Queremos que juegos del estilo de Mortal Combat, Call of Duty o Tekken, se disfruten en nuestras consolas", ha comentado T. McClure, responsable de la división de juegos en Apple, de la Costa Oeste, en el último, Apple Encounter 2010 que ha tenido lugar en la central de la casa de la Manzanita.

Además de esto,  Apple lleva la importancia del diseño hasta el último extremo, dotando al dispositivo de una línea futurista digna de la compañía. El mando dispone de una distribución de botones digna de comparación con mandos como los de Play Station o X-Box. 2 Pad analógicos, con 4 botones de dirección a la izquierda y 4 botones de acciones a la derecha. ¿No se echa en falta los típicos L1, R1 de los mandos de la Play?

También hay rumores de que el mando tiene 2 posiciones, una es la de mando con 'asas', es decir, sin los 2 trozos de plástico que le salen por debajo, y otra tal y como se ve en la figura. Esto implica que el usuario pueda sentirse más cómodo de una manera en unos juegos y de otra en otros. Apple siempre está pensando en la comodidad del usuario.

Conexiones de la consola

En la siguiente imagen se puede observar los distintos tipos de conexiones de los que dispone el dispositivo. Llama la atención la ranura para tarjetas SD. Los dispositivos con iOS no traen ranuras para tarjetas SD, ¿Será esto más fácil de piratear?¿Apple busca más mercado a base de dejarse piratear?

También se han de nombrar los 4 puertos USB, el puerto HDMI y el puerto Fast-Ethernet, del que se rumorea que irá con velocidades de 1Gbit a 100 Gbits.

¿Cuál será el nombre definitivo?

El nombre de la consola podría ser iPlay, o iConsole, pero aún no está confirmado. Muchas otras personas lo llaman iBox, otros iGame, pero esto es uno de los secretos mejor guardados del momento en Cupertino. Quizá se pueda saber dentro de 1 año, el mismo 28 de Diciembre, pero esta vez en 2011. Desde Seguridad Apple os deseamos que paséis un feliz día esperando tener en vuestras manos ya este juguete.


NOTA: Esta noticia es una inocentada del día 28 de Diciembre, día de los Inocentes en España

lunes, 27 de diciembre de 2010

Wikileaks: Borrado de la App Store y financiación literaria

Por mucho que se hayan empeñado en querer borrar de Internet los documentos publicados por Wikileaks en la última tacada, ha resultado imposible. Desde el primer segundo en que se pusieron los cables en la web y alguien los vio, se produjo una copia de información vírica que hace que sea imposible parar el número de copias de la información que circulan por la red.

Una de esas copias acabó en una aplicación en el App Store, donde alguien, por un precio de 1.99 $ cualquiera podría descargar la aplicación y acceder tranquilamente a todos los documentos de las embajadas americanas y seguir la cuenta de twitter del proyecto. En teoría, este era un proceso que en Apple Insider han catalogado de "semicaridad" ya que el creador de esta aplicación, Igor Barinov, comentó en TechCrunch que el solamente se quedaba 30 centavos de cada descarga, ya que 1 $ lo destinaba a apoyar la causa de Wikileaks y 60 centavos eran para Apple.


Apple, al final decidió eliminar de la App Store, ya que si una aplicación infringe la legislación local de un país debe ser eliminada, según la política de publicación de aplicaciones de la tienda, y como es de suponerse, en Estados Unidos ya se han encargado de criminalizar cualquier contenido promovido por Wikileaks.

El caso es que ahora, cualquier iniciativa para generar dinero a Wikeleaks le va a hacer falta, ya que el coste del proceso judicial en que el gobierno americano y los países aliados van a meter a todos los miembros de este proyecto hacktivista pueden ser una lacra para la continuidad del mismo.

Julian Assange
De hecho, Julian Assange, ha llegado a un acuerdo de 1 millón de Libras Esterlinas, es decir, algo más de 1.57 millones de dólares americanos, según informa The Age, para la publicación de sus memorias en un libro. Todo el dinero, según se anuncia desde Wikileaks, para garantizar la continuidad del proyecto que lidera y poder cubrir los gastos de defensa legales, donde dice que ya se ha gastado 2 millones de Libras Esterlinas.

Esta claro que la próxima batalla que se quiere llevar contra Wikileaks va a ser la económica, tras el cierre de las cuentas de Paypal y MasterCard, así que habrá que ver cuáles son los próximos movimientos.

domingo, 26 de diciembre de 2010

Utilizar PGP en Mac OS X (III de IV)

========================================================================
========================================================================

En el artículo anterior se explicó cómo crear, importar y exportar el par de claves (privada y pública) necesarias para la interactuación con PGP. El paso anterior es necesario para poder realizar el envío de ficheros mediante cualquier tipo de red, ya que será necesario tanto la clave pública como la privada si queremos firmar y/o cifrar ficheros.

Para las pruebas realizadas, que acto seguido se detallarán, se ha utilizado un escenario donde existe un círculo de confianza entre el “usuario unoy el “usuario dos”. Es decir, ambos tienen la clave pública del otro usuario y ellos poseen tanto su clave privada como su clave pública.

En la siguiente imagen se puede apreciar el “llavero” del usuario uno”, el cual contiene su clave privada, su clave pública y la clave pública del “usuario dos”.

Figura 7: Llavero del usuario uno

Envío y recepción de archivos cifrados y/o firmados

Una vez creado un círculo de confianza mediante la importación/exportación de las claves públicas pasaremos al envío y recepción de información de los usuarios del círculo de confianza.

En el siguiente ejemplo el usuario_unoenviará un archivo de texto cifrado y firmado al usuario_dos”. Gracias a la criptografía de clave pública veremos cómo únicamente el usuario_dosserá capaz de descifrar e identificar la integridad del archivo sin necesidad de conocer una clave precompartida.

Para generar archivos cifrados nos dirigimos al módulo PGP Zip y pulsamos sobre “Create new PGP Zip”. Se abrirá un asistente de PGP, el cual mediante dos pestañas, nos permitirá añadir los ficheros que deseamos cifrar (pestaña “Files”) y asignar la función de deseamos hacer con ese fichero (pestaña “Security”).

Figura 8: Generación de fichero cifrado

El apartado de “Security” nos muestra las diferentes opciones que podemos realizar con el fichero añadido.

·         Signature: Permite seleccionar el usuario que firmará el fichero confidencial. (Para poder firmar es necesario poseer la clave privada del usuario, nuestro caso “usuario_uno”)  
·         Encrypt with recipient keys: Permite añadir una lista claves públicas, las cuales serán los destinatarios que podrán abrir y verificar el contenido del fichero. (Nuestro caso “usuario_dos”)
·         Encrypt with passphrase only: Permite cifrar un fichero mediante una “passphrase”, sin utilizar criptografía asimétrica.
·         Sing Only: Únicamente firmará el fichero, no lo cifrará. Esta función se puede asociar directamente a los pilares de seguridad de integridad y no repudio.

Una vez finalizado el asistente de configuración y pulsado sobre “Save”, se habrá generado un archivo con extensión .pgp en la ruta especificada, y borrado el fichero original de forma segura.

Figura 9: Fichero Confidencial

En este momento el “usuario_uno” podrá enviar el archivo por cualquier red sin miedo que cualquier usuario que intercepte el fichero pueda leer la información confidencial que este contiene o comprometer su integridad.

Una vez el “usuario_dos” ha recibido el fichero remitido por el “usuario_uno”, es hora de descifrar la información. Para realizar esta acción nos dirigimos a la aplicación PGP Desktop del  “usuario_dos” y pulsamos sobre “File ->Decrypt/Verify”, acto seguido seleccionaremos el archivo recibido.

Podremos observar una imagen como la siguiente, donde nos pedirá la “passphrase” con la que hemos cifrado nuestra clave pública. Dicho paso es de vital importancia, ya que gracias a esto única y exclusivamente el poseedor de la clave privada y su “passphrase” podrá descifrar su contenido.

Figura 10: Descifrado del fichero

Acto seguido se podrá observar una pantalla que contendrá información del archivo cifrado y/o firmado junto a todos los ficheros que contenía éste, dando la posibilidad de visualizar los que deseemos.

Figura 11: Comprobación de integridad y firma digital del fichero

Cabe destacar que como en nuestro círculo de confianza esta agregada la clave pública del “usuario_uno, la aplicación ha detectado que el archivo había sido firmado por dicho usuario y que la integridad del archivo es correcta.

Para finalizar, nos dirigimos al fichero extraído y comprobamos que la información confidencial no ha cambiado y que en este momento ya es legible para el “usuario_dos”.

Figura 12: Visualización del fichero
========================================================================
========================================================================

sábado, 25 de diciembre de 2010

Feliz Navidad desde Seguridad Apple & Bitdefender

Hoy dejamos los contenidos habituales del blog aparte para desearos unas Felices Fiestas. Para ello hemos seleccionado la postal navideña de uno de nuestros colaboradores, Bitdefender, porque el deseo escrito de que vivas tus sueños es compartido por todos los miembros que trabajamos en Seguridad Apple.


viernes, 24 de diciembre de 2010

Hohoho: En Nochebuena Papa Noel llama a tu iPhone

Figura 1: Llama Santa Claus
Hoy es día 24 de Diciembre y esta entrada en el blog de Seguridad Apple va dedicada a las fiestas navideñas y a nuestro querido iPhone, aquel dispositivo que ha dado tantas alegrías a unos y ha recibido tantas críticas por otros.

Conseguir que Papa Noel salga de nuestro iPhone

Es normal que no se pueda conseguir que Papa Noel llame a nuestro iPhone durante Nochebuena, ya que con todo el trabajo que tiene hoy, es lógico que no se pueda reproducir lo de la imagen, pero sí nos ha dejado un mensaje para  que los papas le ayuden para que todos aquellos niños que esperan esta noche todos sus deseos y sus regalos sean un poco más felices.

Ringtone de Papa Noel

Para obtener el ringtone del gran Santa, se puede descargar totalmente gratis desde la web de mytinyphone. Una vez se prueba el ringtone y es el Santa que se quiere, se tiene que pasar al iPhone. Una de las maneras es pasarlo mediante iTunes.


Figura 2: GarageBand - Send Ringtone to iTunes

Por ejemplo, se puede usar el Software Garage Band para convertir un fichero MP3 en fichero ACC (la extensión de los ringtones). En el menú “Compartir” de GarageBand presionas en la opción “Enviar tono a iTunes”, ahora sólo queda sincronizar tu iPhone con iTunes para tener el tono listo en tu teléfono.

A continuación se tiene que configurar la alarma de tu teléfono iPhone para poder programar la hora exacta a la que Santa cantará su famoso "HoHoHo".

Configurando alarma

Se debe abrir la aplicación de Reloj del iPhone. Se pulsa sobre el '+' para añadir una alarma al programador de alarmas del dispositivo. Se introduce la hora a la que se quiere que Santa grite, y después se selecciona el sonido que se quiere para esa alarma. En la lista de sonidos disponibles debe aparecer el ringtone de Santa, se selecciona y a la hora programada Santa gritará "HoHoHo".

Otras aplicaciones navideñas para el iPhone

Figura 3: Cut the Rope
La aplicación Cut the Rope, es un alegre videojuego navideño en el que se deberá alimentar a un pequeño bicho con caramelos navideños. Pero tened cuidado estas navidades con este juego ya que es muy adictivo!

Figura 4: Christmas-Mishap
Una de las aplicaciones favoritas de estas navidades es la de Christmas-Mishap. Esta aplicación presenta a Papa Noel para que se le pueda manejar e ir recogiendo regalos.

Es el típico juego de plataformas en el que el bueno es papa noel y se deben ir recogiendo todos los regalos que se han perdido, además no todos los regalos sumarán puntos, por lo que hay que escoger bien que regalos se recogen y cuales no.

Figura 5: SMSXmas
Talking Santa for iPhone  es una aplicación de interacción con Santa. En esta aplicación Santa hablará con el usuario y tendrás que ganarte tu regalo de algún modo. Si enfadas a Santa te quedas sin regalo. En el juego se puede dar galletas a Santa, hacer cosquillas, puedes darle algún toquecito, pasarle por encima con una gigantesca bola de nieve, etc. Un juego apropiado para la época navideña.

La última aplicación que se presenta hoy es SMSXmas. Con esta aplicación se puede enviar ingeniosos SMS felicitando las fiestas, mandar emails con ambientes navideños o escribir en tu muro del facebook algo navideño. Esta es la aplicación para ello, facilita el trabajo de tener que pensar mensajes ingeniosos.

Desde Seguridad Apple os deseamos que paséis una ¡Feliz Nochebuena! y que no os atragantéis con el pavo, cordero, cochinillo o derivados que tengáis esta noche.

jueves, 23 de diciembre de 2010

SSHFS: Montar en tu Mac OS X los ficheros de tu iPhone

SSHFS (Secure SHell File System) es un sistema de ficheros remoto al que se accede por medio del protocolo SSH. SSHFS proporciona al usuario un sistema de archivos montado en local, en el lugar especificado por el usuario, que le permite acceder de forma remota y segura al repositorio original. De este modo, el usuario podrá tener al alcance de su Finder los archivos de su cuenta remota en otro equipo sin riesgo para su seguridad. En este ejemplo, queremos recoger el proceso para acceder, por medio de SSHFS, a los archivos de un iPhone, así que vamos a ponernos manos a la obra.

Preparando el entorno en Mac OS X

Para la instalación del sistema de ficheros SSHFS en Mac OS, se necesitan las siguientes aplicaciones:

- Los binarios de SSHFS.
- MacFUSE.
- Interfaz Gráfico de Usuario (GUI) para MacFUSE, realizada por MacFusion.

Para simplificar todo este proceso, el paquete completo de herramientas se puede descargar del proyecto MacFusion de forma totalmente gratuita.

Requisitos para iPhone: Instalación de un servidor SSH

El requisito único es tener un servidor SSH instalado en el dispositivo móvil. En Seguridad Apple se explicó cómo configurar un servidor SSH seguro en iPhone. Una vez se tiene instalado el servidor SSH en el dispositivo móvil ya se puede acceder mediante SSHFS al contenido de cualquier cuenta que la política del servidor SSH del equipo remoto permita acceder.

Ejecutando por primera vez MacFusion

En la primera ejecución se deberá configurar la conexión SSH de la cuenta con la que se quiera acceder al iPhone. Como se puede ver en la imagen de la izquierda, se ha especificado la dirección IP del servidor SSH en iPhone, la cuenta mobile, su contraseña y la carpeta $HOME del usuario en él como información remota.

En la pestaña SSH Advanced, si se hubiera cambiado el puerto del servidor SSH, se puede configurar el valor del puerto de conexión al servidor entre otros valores avanzados de la conexión SSH. La pestaña Macfusion da la posibilidad de modificar el icono con el que se mostrará la aplicación y elegir el punto de montaje donde colgará este sistema de ficheros.

Montaje del sistema de ficheros remoto en local

Una vez configurada la aplicación se podrá iniciar la conexión con el servidor para el montaje en la ruta especificada en el cuadro anterior. Como se puede observar en la imagen la cuenta se montará simplemente pulsando en mount.

Montar y desmontar el sistema SSHFS desde Macfusion con un solo clic

Cuenta montada en el equipo

En la imagen de la izquierda se puede observar como queda la cuenta montada como un dispositivo más. MacFusion ofrece la cuenta como si fuera un dispositivo físico cualquier conectado a nuestro sistema Mac OS X.

Por último, hay que recordar que la seguridad está garantizada con el protocolo SSH de fondo. Siempre se puede mejorar ampliando los bits de las claves o logueando a través de clave pública-privada como se explicó en en el artículo dedicado a la fortificación del servidor SSH en un iPhone. Todas las opciones de configuración del cliente, se configuran en Macfusion en el panel de SSH Advanced.

miércoles, 22 de diciembre de 2010

Gira Up To Secure 2011: Mac OS X & Malware en la empresa

La Gira Up to Secure 2011 ya está aquí. Un año más recorrerá 10 ciudades españolas abordando temas de actualidad relativos a seguridad informática y, para ello, contará con la participación de expertos en la materia aportados por empresas profesionalizadas en Seguridad Informática.


Entre las empresas que participan este año se encuentra Bitdefender, que impartirá una sesión interesante sobre los sistemas Mac OS X en la empresa y el malware que hay hoy en día existente para ellos, ayudando a los administradores de sistemas a controlar también la seguridad de estas plataformas en un entorno corporativo. Esta es la agenda de las jornadas

09:00 – 09:30 Registro

09:30 – 10:15  Mac OS X & Malware en tu empresa

Durante esta sesión se mostrará como aquellos tiempos en que se podía pensar que vivir con sistemas operativos Mac OS X sin riesgo a sufrir una mala experiencia con el malware han terminado. Si a esto le añadimos la cada día más creciente participación de los equipos de Apple en las empresas, el riesgo se dispara. En esta sesión verás cómo poder proteger también esa tecnología sin necesidad de cambiar la forma en que gestionas tu empresa. Desde Bitdefender obtendremos soluciones.

10:15 – 11:00 Protege tus teléfonos móviles... forever!

Los aún llamados “teléfonos móviles” son equipos informáticos de gama alta que almacenan datos privados, secretos comerciales y mucho más. Son una herramienta de trabajo que nos acompaña de viaje en el tren, avión e, incluso, navegando en vacaciones. ¿Quieres proteger tus datos y tu dispositivo aun cuando lo hayas perdido? En esta sesión, los profesionales de Telefónica te darán soluciones.

11:00 – 11:45 Café

11:45 – 12:30 Quest Software: ¿Son seguras las soluciones en “la Nube”?

El uso de soluciones basadas en Cloud Computing se está extendiendo rápidamente. Pero no todo el mundo confía en la seguridad que ofrecen las distintas compañías de servicios y muchos clientes temen por la integridad de sus datos. Quest Software quiere desmitificar las ideas relativas a la carencia de seguridad en la Nube y mostrar sus soluciones Quest OnDemand bajo plataforma Windows Azure.

12:30 – 13:15 La seguridad Sí importa: Windows Live & IE9

Hoy en día, la gran mayoría de profesionales cuenta con correos personales que coordina con los correos corporativos, correos personales que extienden la vida personal y profesional de los usuarios a través de Internet. En esta sesión veremos los problemas de seguridad y las herramientas que ofrecen los servicios de Windows Live para protegernos del spam, los ataques de spoofing, el robo de contraseñas y los ataques de botnets. Sí, ven a verlo. 

13:15 – 13:30 Preguntas & Respuestas

El registro a estos eventos es gratuito, y la agenda completa de ciudades publicadas, ya que aún falta Sevilla, es la siguiente:

- 11 de Enero: Pamplona [Agenda y Registro]       - 12 de Enero: Zaragoza [Agenda y Registro]
- 13 de Enero: Barcelona [Agenda y Registro]      - 18 de Enero: Valladolid [Agenda y Registro]
- 19 de Enero: Vigo [Agenda y Registro]               - 20 de Enero: A  Coruña [Agenda y Registro]
- 25 de Enero: Valencia [Agenda y Registro]         - 26 de Enero: Madrid [Agenda y Registro]
- 27 de Enero: Tenerife [Agenda y Registro]           - Febrerro: Sevilla [TBA]

martes, 21 de diciembre de 2010

aMSN vulnerable a ataques de Man in the Middle (Mitm)

aMSN es uno de los clientes más populares en sistemas tanto Linux como Mac OS X para conectarse a la red MSN Messenger de Microsoft. En otras palabras, se trata de un clon gratuito y de código abierto para conectarse.

Desde Seguridad Apple hemos realizado algunas pruebas de seguridad sobre esta conocida aplicación, y hemos detectado que Amsn es vulnerable a un ataque de Man In The Middle durante el proceso de autenticación. Cuando el usuario se conecta a la red de MSN sus credenciales son enviadas a través de una capa segura SSL que se cifra con el servidor. Para ello, el cliente debe estar seguro de que está cifrando la conexión con uno de los servidores de MSN y no con un atacante y aMSN no lo hace.

Para llevar a cabo esta prueba de seguridad que puedes replicar fácilmente solo son necesarias las herramientas Cain & Abel y BurpSuiteCain es una popular herramienta para sistemas operativos Windows especializada en llevar a cabo ataques de Mitm Man In The Middle mediante la técnica de ARP-Poisoning.

Figura 1: Ataque de Mitm de Arp-poisoning con Cain & Abel

BurpSuite es un servidor proxy web mediante con el que se puede inyectar un certificado digital falso  entre el cliente aMSN y el servidor de MSN. De este modo la transmisión de datos se realizará como muestra el siguiente gráfico:

Figura 2: Esquema del ataque Mitm

Una conexión segura, como por ejemplo hace el cliente Windows Live Messenger de Microsoft no permitiría establecer una conexión SSL con el servidor si el certificado es inválido - si está caducado, no corresponde al nombre del servidor o está firmado por una entidad que no es de confianza - , ya que si el certificado no es el original, se podría descifrar el tráfico y obtener las credenciales de acceso del usuario que se conecta.

Como se ve a continuación en esta captura de BurpSuite, el cliente aMSN no comprueba que el certificado sea original y realizan la conexión de todos modos sin ni siquiera mostrarnos un aviso. Tras analizar las conexiones realizadas a través del proxy web son visibles en texto claro las credenciales introducidas por el usuario en los campos y .

Figura 3: Credenciales capturadas en Burp Suite

Esta vulnerabilidad es Crítica y se recomienda a todos los usuarios de aMSN que no utilicen este cliente en redes inseguras, WiFi o compartidas sin tomar medidas de protección extras ya que sería muy fácil robar las credenciales. En siguientes artículos trataremos temas sobre cómo detectar y cómo protegernos de ataques de Man In The Middle basados en ARP-Poisoning en Mac OS X.

UPDATE: El cliente de Microsoft Windows Live Messenger para conectarte a la red Microsoft MSN no es vulnerable a ataques Mitm en el proceso de login y puede ser descargado desde la siguiente URL: Descargar Microsoft Messenger para Mac OS X versión 8.

lunes, 20 de diciembre de 2010

Utilizar PGP en Mac OS X (II de IV)

========================================================================
Utilizar PGP en Mac OS X (I de IV)
- Utilizar PGP en Mac OS X (II de IV)
- Utilizar PGP en Mac OS X (III de IV)
- Utilizar PGP en Mac OS X (IV de IV)
========================================================================

Una vez realizada la instalación y el primer vistazo a PGP Desktop, se pasará a interactuar directamente con la aplicación. Para realizar este paso es necesario disponer de un par de claves (pública y privada) que nos permitirán cifrar y/o firmar todo tipo de información confidencial que queramos asegurar, ya sea localmente o información que vaya a circular por cualquier tipo de red.

Generación de claves

PGP proporciona una interface muy intuitiva para la generación del par de claves.

No se va a entrar en detalle de cómo internamente PGP crea el par de claves, comentar que es necesario la generación de dos claves:

·         Clave pública: Es la encargada de unir todo el círculo de confianza dentro de la criptografía de clave pública, por lo tanto, dicha clave es de libre distribución.
·         Clave privada: Es la encargada de descifrar o firmar toda información confidencial, por lo que dicha clave es personal e intransferible. La pérdida o robo de la clave privada podría provocar una suplantación de identidad o el descifrado de información sensible por un usuario malintencionado.

Para más información de la generación de dichas claves, cómo de la propia criptografía asimétrica podéis visitar el siguiente enlace de la Wikipedia: Criptografía_asimétrica.

Para iniciar la generación del par de claves se pasará a pulsar en el menú de la aplicación sobre “File/New/PGP Key”, y acto seguido se nos abrirá el asistente para la generación de llaves PGP. Cabe destacar que el propio asistente nos permite la creación de las claves en “modo experto”, lo que nos permitirá configurar en más detalle el tipo de claves que deseamos generar.

Si se navega por el asistente de generación de llaves se llegará a la pantalla de configuración de las llaves donde se pide introducir el nombre del usuario que va generar las claves y la dirección de correo electrónico.

Acto seguido se llegará a la pantalla donde se configurará de forma avanzada la generación de claves PGP pudiendo indicar configurar diferentes opciones:

·         Key Type: Establece el tipo de algoritmo que se utilizara para la generación de las claves de criptografía de clave pública. (RSA o Diffie-Hellman)
·         Signing Key Size: Tamaño de la clave de firma (2048 se considera un tamaño de clave seguro)
·         Encryption Key Size: Tamaño de la clave de cifrado (2048 se considera un tamaño de clave seguro)
·         Key Expires: Indica la caducidad de las claves. Es recomendable no superar los dos años, ya que es un tiempo razonable para que el algoritmo de generación no haya sufrido vulnerabilidades. (Aplicamos que expire al año)
·         Allowed Compression: Permite indicar los algoritmos de compresión que soportarán las claves. (Por defecto)
·         Allowed Ciphers: Permite indicar los algoritmos de cifrado que soportarán las claves. (Por defecto)
·         Allowed Hashes: Permite indicar los algoritmos de hash que soportarán las claves. (Por defecto)
·         Preferred Cipher y Preferred hash: Permite indicar los algoritmos de cifrado y hash preferidos. (Por defecto, AES-256 y SHA-2-256 se consideran algoritmos robustos)
·         Keyserver: Permite indicar un servidor de claves de confianza. (Por defecto)

En la siguiente captura se puede observar cómo quedarían las opciones avanzadas después de la configuración.

Figura 3: Configuración de opciones avanzadas en la creación de claves

Si seguimos con el asistente de generación de claves, llega el momento de introducir la contraseña que utilizará la aplicación para cifrar la clave privada. Es muy recomendable utilizar una contraseña de una longitud larga y caracteres alfanuméricos, a ser posible una frase sin sentido.

Una vez introducida la contraseña robusta, se pasará a realizar el proceso de la generación del par de claves. Una vez finalizado, se podrá observar en el menú principal de la aplicación cómo ya se han generado el par de claves y han sido introducidas en el administrador de llaves de PGP.

Figura 4: Par de claves generadas

Como curiosidad si nos dirigimos a las propiedades de una clave generada o importada mediante “Botón derecho/Show Key Info” obtendremos una serie de parámetros configurables (contraseña clave privada, fotografía asociada a la clave pública, opciones avanzadas, etcétera) para cada una de ellas.

Figura 5: Información de claves

Importación y Exportación de la clave pública

Bien, ¿Pero cómo distribuimos información cifrada y/o firmada a otros usuarios? Para poder enviar o recibir información cifrada y/o firmada es necesario poseer la clave pública del destinatario de la información, por o tanto, los usuarios que quieran compartir información contigo será necesario que obtengan tu clave pública.

Para exportar tú clave pública únicamente es necesario pulsar sobre la tu clave con el botón derecho y seleccionar la opción de exportar. Acto seguido aparecerá una pantalla donde permitirá elegir la ubicación de destino de la clave pública. Dicha clave se guardará en formato asc.

Figura 6: Exportación de claves

Una vez exportada la clave pública a un fichero ya es posible la distribución de esta por cualquier canal de confianza para poder crear el círculo. Cuando haya sido recibida la clave pública de un usuario de confianza, es necesario importar la clave a la aplicación PGP para incluir dicho usuario a nuestro círculo de confianza. Dicha función se realizará de forma sencilla arrastrando el fichero que contiene la clave pública sobre la aplicación PGP.

Por último, recordar la importancia de que la clave privada únicamente la debe poseer el propietario de la misma, ya que sino toda la información cifrada o firmada por o para esa clave quedaría totalmente comprometida.

En el próximo post de la serie "Utilizar PGP en Mac OS X" se detallará el modo de cifrar y/o firmar información confidencial para su posterior envío.

========================================================================
Utilizar PGP en Mac OS X (I de IV)
- Utilizar PGP en Mac OS X (II de IV)
- Utilizar PGP en Mac OS X (III de IV)
- Utilizar PGP en Mac OS X (IV de IV)
========================================================================

domingo, 19 de diciembre de 2010

Fue noticia en Seguridad Apple: del 6 al 19 de Diciembre

Y como cada dos semanas, estamos aquí haciendo recuento de los artículos que hemos publicado, para que ninguno se te pase por alto. Otras dos semanas y otro buen montón de información que queda aquí. Ahí va la lista.

El lunes 6 de Diciembre comenzamos la semana haciendo una reflexión sobre si realmente, pese a las denuncias de ciertas aseguradoras, el MagSafe de tu Apple puede ser peligroso y quemarte la casa. Bajo nuestra opinión, hay más de intereses económicos que de realidad detrás de estas reclamaciones.

El día 7 hablamos de Forefront UAG 2010, una solución de VPNs corporativa de Microsoft que verifica la seguridad de los sistemas Mac OS X antes de que estos sean autorizados para entrar en la red de la empresa. Sí, hemos dicho de Microsoft.

El día 8 hablamos de WaterRoof y Noobroof, dos front-ends con cómodos interfaces gráficos para configurar el firewall de Mac OS X. También ese día tocó hablar de la actualización de vulnerabilidades de QuickTime. Un parche que solucionaba 13 vulnerabilidades para este producto. Solo disponible para Leopard.

El viernes 9 nos hicimos eco de la presentación de Stefan Esser, un investigador de seguridad, que iba a dar en la conferencia The Power of Comunity, donde presentó una solución para añadir soporte ASLR a dispositivos iPhone con iOS que estuvieran jailbreakados.

El sábado 10 tocó el turno de actualizar MS Office 2008 para Mac OS X. Microsoft sacó un paquete de actualizaciones que arreglaba, entre otras, una vulnerabilidad crítica que solamente había parcheado en MS Office 2011 para Mac OS X.

El día 11, un post divertido con el Agent-X y su Reunión inaugural de odiadores de pantallas táctiles. No tiene desperdicio.

El día 12 un aviso para los usuarios de MacBook Air, ya que hay disponible una actualización de software y otra de firmware para este capricho de computadora portátil.

Para el lunes 13 dos noticias, la primera relativa a las estafas de SMS que utilizan los dispositivos iPhone como gancho, y la segunda relativa a los AR Drones, cuadricopteros que pueden ser controlados por iPhone o iPad de una manera muy precisa, para poder convertirse en "paparazzies".

El martes 14 comenzamos la serie dedicada a utilizar PGP en Mac OS X. Una serie de cuatro artículos que  está ya iniciada y en la que aprenderás a instalar las claves, a utilizarlas para firmar documentos y archivos o cifrar tus datos.

Para el día 15 guardamos un post con una petición de un lector que quería saber cómo podía averiguar en Mac OS X qué aplicaciones habían abierto qué puertos de red. Para él, y para todos, hicimos un pequeño artículo que lo explicaba.

El día 16 una solución para limpiar en tu Mac OS X los metadatos de las fotografías que tiras con tu iPhone ya que en ellos queda hasta la información GPS de dónde se tomó la imagen.

El viernes la noticia fue para la Dirty Dozen, una lista generada por la empresa Bit9 en la que se recogen los 12 productos con más vulnerabilidades de criticidad alta o mayor, en la que aparecen 3 productos de Apple.

Y por último en este resumen, ayer le tocó el turno a LifeHacker, un sitio web al que le han robado las contraseñas de todos sus usuarios, y que nos aporta jugosos tutoriales, como por ejemplo el de Cómo convertir tu iPod Touch en un iPhone con servicios de VoIP o Cómo construirte un Hackintosh.

Y esto es todo en este resumen, nos vemos el año que viene en esta sección. ¡Felices fiestas navideñas!


sábado, 18 de diciembre de 2010

Se un Hacker con LifeHacker. Haz un hackintosh o un iPhod

LifeHacker es una web fantástica en la que puedes encontrar tutoriales fantásticos para hacer lo más sorprendente con lo más inesperado. Aquí nos hemos hecho eco de, por ejemplo, el artículo en el que explicaban Cómo instalar Android en iPhone en 6 sencillos pasos. Sin embargo, esta semana han sido noticia porque las contraseñas de sus usuarios han caído, y están disponibles todas ellas en Internet.

El discurrir de los hechos viene dado por una vulnerabilidad encontrada en el servidor de Gawker Media, donde residen, no solo Lifehacker.como, sino muchos más blogs famosos, que han visto como la base de datos con las cuentas y contraseñas de sus usuarios acaban en ficheros que están disponibles para descarga a través de Torrent.

Sin embargo, en este post de hoy queremos que seas un hacker, pero no descargándote las identidades de los usuarios, sino haciendo un par de hacks con dispositivos Apple, que publicaron hace tiempo en Lifehacker.

Cómo convertir tu iPod Touch en un iPhone: La idea de este tutorial es aprovechar la cobertura que tienen las operadores WiFi que, en ubicaciones comoEstados Unidos, es ampliamente superior a la cobertura que tienen en servicios 3G operadoras como AT&T, para, usando servicios de Voz sobre IP (VoIP), disfrutar de más o menos los mismo servicios que trae un iPhone con un iPod Touch. Lo que podríamos llamar un "iPhod"

Cómo hacer un Hackintosh e instalar un Mac OS X en él: En este tutorial, en LifeHacker nos enseñan a montar un Macintosh clónico, es decir, lo que se conoce como un Hackintosh, y cómo instalar en él un sistema operativo Mac OS X.

Es curioso este tutorial pues, lo que a priori puede parecer una tarea bastante sencilla, tiene muchos pasos que hacer para conseguir que todo salga correctamente. Eso sí, al final, lo consiguen perfectamente. 

En definitiva, al margen del problema con las contraseñas - si tienes cuenta en LifeHacker, ¡cambia la password ya! - una web muy recomendable para todos los aficionados a los hacks de la que Cyberhades ha hecho una selección.
Artículos relacionados

Otras historias relacionadas

Entradas populares