Menú principal

domingo, 30 de septiembre de 2012

Mantener tu Mac OS X con el software actualizado

Una de las reglas de oro para tener un sistema operativo seguro es mantener todo el software actualizado. En los equipos con Mac OS X, todas las actualizaciones del sistema operativo y toda las que provengan de la propia Apple nos llegarán vía Software Update hasta Mac OS X Lion y vía Mac App Store en OS X Mountain Lion. Pero... ¿qué pasa con aquellas actualizaciones de aplicaciones que no vienen desde Apple?

En OS X Mountain Lion, todas las aplicaciones que hayan sido compradas vía Mac App Store tendrán un punto único de actualización, lo que simplifica mucho la tarea de mantenerlas actualizadas, pero hay otro buen montón de aplicaciones que probablemente tengas en tu sistema que no procedan de allí, ¿cómo las mantienes actualizadas?

Figura 1: Actualización de aplicaciones vía Mac App Store

Los grandes fabricantes de software suelen mantener alguna solución propia para tener el software actualizado. De esta forma Java de Oracle trae un sistema de comprobación de actualizaciones, al igual que Adobe,  en el caso de Microsoft tenemos la aplicación de AutoUpdate que comprueba periódicamente las nuevas versiones y en software tan popular como Mozilla Firefox hay opción de chequearlo en cada inicio o manualmente.

Figura 2: Actualizador de Oracle Java

Sin embargo, a pesar de estas soluciones parciales, nos encontramos con varios problemas aún por resolver, como son:
1) Un sistema descentralizado de actualizaciones2) Muchos sistemas dependen de la petición explícita del usuario para autorizar el actualizador o para hacer la comprobación manualmente3) Muchas aplicaciones no cuentan con ningún sistema de aviso de nueva actualización
Para simplificar esta tarea con todas las aplicaciones, los usuarios pueden utilizar I Use This, un sistema que avisa de las nuevas versiones de todas las aplicaciones que se utilizan en un determinada plataforma, y que para OS X tiene una lista enorme de aplicaciones.

Figura 3: I use this para OS X

Sin embargo, lo más cómodo es utilizar alguna herramienta que compruebe cuáles son las aplicaciones que tenemos instaladas en nuestro equipo y sepa donde ir a buscar las actualizaciones. Nosotros hemos probado AppFresh para Mac OS X, y los resultados son más o menos como esperábamos.

Figura 4: AppFresh for Mac

La solución muestra las aplicaciones que están sin actualizar, las que están actualizadas, y el peligroso grupo de "desconocidas", lo que nos crea más intranquilidad aún que las que sabemos que no están actualizadas porque debemos hacerlo manualmente. Desde la propia herramienta es posible descargarse directamente las actualizaciones lo que ayuda en gran medida a ahorrar tiempo de buscar en cada web la actualización pertinente.

Figura 5: Descarga de actualizaciones o nuevas versiones

Además, la solución muestra cuáles son las aplicaciones que deben actualizarse vía Mac App Store y se integra con otros sistemas de actualización tipo Microsoft AutoUpdate y comprueba los Plugins y Widgets cargados en el sistema para ver si hay nuevas versiones de ellos.

Figura 6: Aplicaciones que no sabe si están o no actualizadas

Puedes descargarte una versión de evaluación de 15 días, y si quieres, la propia aplicación se encarga de ir actualizando el software cuando una nueva versión haya disponible. La versión final tiene un coste de 14.99 $, por si os parece interesante comprarla y funciona en Mac OS X 10.6 Snow Leopard, Mac OS X 10.7 Lion y OS X 10.8 Mountain Lion.

Figura 7: Aplicaciones que deben ser comprobadas vía Mac App Store

Sea cual fuera tu sistema, procura tener tu software actualizado en tu Mac OS X, ya que al final el malware puede aprovechar cualquier fallo conocido no parchado, como hemos visto ya desde hace tiempo en plataformas Microsoft Windows.

sábado, 29 de septiembre de 2012

Ladrones de iPhones & iPads: Una plaga extendida

Los smartphones, y en especial los terminales iPhone y las tabletas iPad, se han convertido en un objeto de deseo para los ladrones. La Policía de Nueva York los define como magnet for crime, y tasa el incremento de delitos de robo de estos dispositivos en un 40%, lo que es un crecimiento brutal, y donde han tenido que hacer ya redadas contra mafias organizadas dedicadas al tráfico de iPhones & iPads, a pesar de que en algunos sitios, como La Policía de UK viera como en un intento de redada le devolvieran los teléfonos.

Esta atracción para el delito la hemos visto en casos como el del ladrón que robó el iPad de Steve Jobs, el camarero que se jugó su trabajo por robar un iPhone a una cliente o el del que pensó que era una buena idea robar un iPad en una feria de seguridad llena de cámaras de vigilancia.

Son muchos los casos de robos de estos dispositivos, y aunque hay casos fallidos, lo cierto es que los robos de los "tironeros" siguen siendo los más efectivos. Para frenar esto la Policia ha publicado un vídeo como el que podéis ver aquí en el que explican de qué manera tan rápida y sencilla se hacen con el terminal. Estos son los casos más complicados de resolver, ya que no da tiempo ni de ver al asaltante.


En el centro de Madrid se han visto muchos casos de grupos de jóvenes menores que, al amparo de la ley del menor, entran en los comercios del centro con la supuesta pretensión de conseguir una firma para apoyar una campaña o hacer una encuesta. El papel lo ponen con habilidad sobre el terminal que esté encima de la mesa y se lo llevan en una rápida carrera.

Figura 1: NYPD theft prevention form
La Policia de Nueva York ha creado un Formulario para la prevención del robo de dispositivos móviles, en el que, además de recoger información útil del dueño y del producto en cuestión, como el número de serie del terminal y el número de IMEI, enseña a los usuarios a activar los sistemas de localización en caso de perdida o robo y que la historia acabe bien, como la del ladrón que fue pillado por el servicio de backup online y Google StreetView.

Estos sistemas ayudan a evitar que los teléfonos robados no puedan utilizarse después de haber sido robados y, por supuesto, Apple lo hace con todos los dispositivos que tiene en sus tiendas Apple Store por todo el mundo, por lo que los que fueron robados en las revueltas de Londres o los iPhone 5 que han sido robados recientemente en las tiendas de Japón son bloqueados e inutilizados para su uso como terminales en las redes de telefonía.

Esto puede llevar a desagradables situaciones - como que te den un iPad de madera - si compras terminales robados, en garages, o al amigo de un amigo, ya que por mucho que estén en su caja, estos pueden ser banneados, como os explicamos en "Los peligros de comprar productos Apple robados". Por no hablar de que el estafado puede perder la cabeza, como el ciudadano chino que acuchilló al que le estafó con un falso iPhone.

La desesperación por conseguir uno de estos terminales lleva a cosas tan extremas, como alunizar una tienda Apple vestido de Ninja Blanco o a asaltar a una persona y a punta de pistola obligarla a comprarse un iPhone y luego robarlo - aunque en este último caso el "Genius" detectara la situación de tensión y llamara a la Policía.

Si tienes un smartphone o un tablet, ten mucho cuidado con él cuando circules por la vía pública, activa los servicios de Find My iPhone y anota los números de serie e IMEI para poder denunciarlo en caso de extravío o robo.

viernes, 28 de septiembre de 2012

Disponibles iPhone Configuration Utility 3.6 para Windows & iCloud Control Panel para Windows 2.0: Actualízate.

Para terminar con toda la avalancha de actualizaciones que Apple ha puesto durante esta última semana, hay que hablar de las actualizaciones disponibles para los sistemas operativos Microsoft Windows. En primer lugar hay que hablar de iPhone Configuration Utility 3.6 para Windows. 

Figura 1: iPhone Configuration Utility 3.6 para Windows

Esta solución permite configurar dispositivos mediante perfiles XML. Tienes una guía de uso de la herramienta que publicamos aquí: iPhone Configuration Utility: Políticas de Seguridad en iOS. Hay que recordar que, por el momento, esta es la única solución para configurar dispositivos en Windows, ya que Apple Configurator solo está disponible para sistemas Mac OS X.

La segunda de las actualizaciones disponibles para sistemas Microsoft Windows es iCloud Control Panel para Windows 2.0. En Mac OS X el control de los servicios de iCloud está incluido dentro de las preferencias del sistema, pero para equipos Microsoft Windows es necesario descargarse esta herramienta.

Figura 2: iCloud Control Panel para Windows 2.0

Para compartir fotos, marcadores de libros, vídeos, o contactos, es necesario que el sistema operativo del dispositivo iPad o iPhone sea iOS 5 o superior o que el sistema operativo Mac OS X sea Lion 10.7.2 o superior. Con esta herramienta se puede acceder al control de Apple iCloud desde Microsoft Windows.

jueves, 27 de septiembre de 2012

La gracia de los screenshots de pantallas bloqueadas

Hace tiempo os contamos el "fallo" que permite a los visitantes molestos y cercanos hacerte un ataque de la F1 a un MacBook Air o MacBook Pro, es decir, quitarle el brillo por completo a los equipos que están bloqueados para que el usuario piense que está bloqueado. Hoy os queremos traer otra "gracia" con la que hemos estado jugando internamente, en este caso para iPhone o para iPad: La gracia de los screenshots de pantallas bloqueadas.

A estas alturas de la historia, es probable que todos sepáis cómo se hace una captura de pantalla, o screenshot, de un iPhone o iPad mediante la pulsación de los dos botones de control al mismo tiempo, tal y cómo se muestra en la imagen siguiente.

Figura 1: Cómo hacer una captura de pantalla en iPhone

La gracia es que esta función está habilitada aún cuando el terminal está bloqueado, lo que es genial para hacer capturas y documentar artículos y posts de blogs. Sin embargo, el número de screenshots que se pueden hacer con la pantalla bloqueada no están limitados, y cada nuevo screenshots supone una nueva foto en el carrete. En un minuto es posible crear más de 30 ficheros, que el dueño del terminal deberá borrar cuando los descubra. Con un poco paciencia y tiempo, es posible llenar la tarjeta de memoria en el tiempo en que alguien se va al baño, y si no se da cuenta, la próxima vez que vaya a hacer una foto descubrirá que no tiene espacio - lo que será una "gracia" porque no podrá guardar la foto-, y tendrá que borrar una a una todas las fotos - lo que será la gran "gracia" -. 

Por si sirve de algo, nosotros le hemos enviado un correo electrónico a Apple pidiendo que limite a un número razonable la cantidad de screenshots que se puedan hacer con la pantalla boqueada, que pensamos que tiene lógica, ¿no?

Nuevo Firmware para MacBook Pro y MacBook Air

Esta semana pasada, dentro de la avalancha de actualizaciones que Apple ha puesto en Internet también le ha tocado el turno al firmware de muchas computadoras portátiles, en este caso actualizaciones de Firmware para equipos MacBook Pro y MacBook Air, así que comprueba si el tuyo está entre los afectados e instala la nueva versión.

Figura 1: Lista de actualizaciones de firmware publicadas el 19 de Septiembre

El software disponible es:
- MacBook Air EFI Firmware Update 2.5 para equipos de mediados de 2012 (4.76 MB)
- MacBook Pro EFI Firmware Update 2.9 para equipos de mediados de 2012(4.29 MB)
- MacBook Air SMC Update v1.7 para equipos de mediados de 2010 (658 KB)
- MacBook Pro Retina EFI Update v1.0 para equipos de mediados de 2012 (4.97 MB)
Las actualizaciones arreglan diversos bugs dependiendo del modelo y añaden soporte de Power NAP a los equipos de 2010, por lo que en todos los casos es recomendable instalar las nuevas versiones.

miércoles, 26 de septiembre de 2012

Actualiza la "Tele": Apple TV 5.1 arregla 21 security bugs

Este lunes Apple puso a disposición pública para descargar la versión de Apple TV 5.1 para modelos de Apple TV que sean de segunda generación o posteriores. Esta actualización viene acompañada del Security Advisory APPLE-SA-2012-09-24-1 Apple TV 5.1 en el que se informa de la solución de un total de 21 bugs de seguridad que existen en las versiones anteriores. 

Figura 1: Apple TV 5.1

Debido a esto, si tienes un Apple TV en tu casa te recomendamos que lo actualices lo antes posible ya que como dice en el advisory "ver una película maliciosa puede llevar a la ejecución de código arbitrario", y por película maliciosa no se refiere a una película de miedo. Toda la información de esta actualización está disponible en la knowledge Base en el artículo HT5504.

Jailbreak para iPhone 5 con iOS 6.0

La verdad es que una de las fotos más curiosas de esta semana ha sido la de Steve Wozniak haciendo la cola de una Apple Store para conseguir su iPhone 5, lo que parece transmitir un mensaje a los fans de que no solo ellos no lo han podido tener todavía. Son muchos los que ya están suspirando por tener un iPhone 5, pero este aún no ha llegado a las manos de todos.

Figura 1: Steve Wozniak haciendo cola para conseguir un iPhone 5

Sin embargo, sí son muchos los que ya lo tiene, y por supuesto la comunidad de jailbreakers, tras hacer las pruebas con iOS6 corriendo sobre iPhone 4S, han podido probar sus exploits ya en iPhone 5 para que tengamos ya las primeras noticias de un jailbreak en iPhone 5 con iOS6. En este caso han llegado de manos de chpwn, conocido de la comunidad de jailbreakers que ha mostrado en su cuenta Twitter imágenes de iPhone 5 corriendo con Cydia.

Figura 2: iPhone 5 con Cydia

Según parece ha podido utilizar la información descubierta en el concurso de Mobile Pwn2Own de la pasada EUSecWest, donde dos investigadores encontraron un bug en Apple Safari que fueron capaces de explotar de forma consistente. La información que ha proporcionado por Twitter deja claro que aún hay que hacer muchas pruebas de estabilidad, pero que parece que el jailbreak es totalmente funcional y muy estable.

Figura 3: Logo de la World Wide Jailbreak Convention 2012 de San Francisco

Parece que será esta semana en la World Wide Jailbreak Convention donde tendremos más noticias, ya que será allí donde se reúnan en San Francisco los principales miembros del iPhone-Dev Team y Chronic-Dev Team para hablar sobre el estado del jailbreak, además de dar talleres y formaciones para los que quieran aprender esta disciplina.

martes, 25 de septiembre de 2012

OSX/Imuler aparece en Virus Total como "Your Dirty Pics"

En Septiembre de 2011 tuvimos la primera noticia de la existencia de un malware para Mac OS X denominado con el nombre de OSX/Imuler distribuido con un fichero PDF para ser utilizado en ataques dirigidos. Un poco más tarde, en Marzo de 2012 dicho malware fue descubierto oculto en fotografías empaquetadas, de las cuales una de ellas era el malware. Ahora ha vuelto a ser encontrado en un fichero llamado "your dirty pics.zip" dentro del repositorio de Virus Total, según reporta Intego. En el fichero se pueden ver las siguientes fotografías, que realmente son una aplicación.

Figura 1: Fotos donde estaba OSX/Imuler (censuradas)

El fichero se está distribuyendo vía una campaña de correos electrónicos que van dirigidos a una persona en concreto. El mensaje con el que vienen las supuestas fotografías es el siguiente.

Figura 2: Mensaje con el que se distribuye OSX/Imuler en esta variante

Una vez hecho doble clic sobre la supuesta fotografía, el malware se borra a si mismo, extrae una fotografía de verdad de la aplicación y se muestra en la Vista Previa de fotografías, al tiempo que crea los siguientes archivos y directorios.
/tmp/.mdworker
/tmp/updtdata
/tmp/launch-IORF98
~/Library/LaunchAgents/ScheduledSync.plist
~/Library/LaunchAgents/ScheduledSync
Este backdoor, una vez instalado, permite al atacante buscar información en los datos de usuario, al mismo tiempo que puede tomar capturas de pantalla de las acciones que está realizando el usuario en el equipo.

Figura 3: Mostrar extensiones de archivo en Finder

Para evitar caer en este tipo de trucos, se recomienda mostrar las extensiones de archivos en el Finder, para poder ver que realmente no son fotografías sino una aplicación que va a ser ejecutada y tener instalado un antimalware profesional con protección en tiempo real, para detectar cambios en las partes importantes del sistema, que esté actualizado con las nuevas firmas de malware según se vayan descubriendo.

Mapas en iOS6 / iPhone 5: Un dolor de cabeza para Apple

En iOS 6 - y iPhone 5 - Apple ha tomado una decisión estratégica para la compañía como ha sido el cambio de mapas a Open Street Map dejando atrás Google Maps. Por supuesto, la decisión está basada en negocios y no en funcionalidad, algo de lo que se queja todo el mundo ahora mismo. La verdad es que el movimiento de Apple a Open Street Map acabará favoreciendo a todo el mundo, pero lo cierto es que con el cambio, los usuarios de iPhone e iOS 6 han perdido muchos datos útiles aportados por usuarios, tal y como recoge esta viñeta de Agent-X.

Figura 1: "¡La Tierra ha borrado todos los datos de localización útiles en los mapas de su último iPhone, General! ¡Nuestras tropas de invasoras no saben dónde aterrizar ahora!


Entre algunos de estos datos "perdidos" se han ido cosas como las ubicaciones exactas de las Apple Store como la de Sydney, lo que ha llevado a que haya burlas entre los competidores, y que incluso están utilizando en sus campañas de publicidad y marketing, tren al que se ha sumado también Motorola. Lo cierto es que hasta Apple ha publicado ofertas de trabajo para mejorar los mapas ya.

Figura 2: Ofertas de trabajo en Apple para el grupo de Maps

Nosotros pensamos que es un movimiento bueno para el futuro, pero tras probarlos, lo cierto es que faltan muchos datos a los que ya estábamos acostumbrados con Google Maps e incluso algún hacker está portando el uso de Google Maps a iOS 6... pero es necesario el jailbreak.

lunes, 24 de septiembre de 2012

Apple Safari 6.0.1 para OS X: 61 bugs corregidos

Tras actualizar tu sistema operativo con el software de OS X Mountain Lion 10.8.2 o Mac OS X Lion 10.7.5, tendrás instalado ya el nuevo Apple Safari 6.0.1 que soluciona 61 CVEs, algunos de severidad Highly Critical, ya que visitar una página web puede llevar a la ejecución de código arbitrario como bugs que ya hemos en el pasado como el de parent_stylesheet explotado por Canvas,  el bug de Java CVE-2012-4681 en OS X Mountain Lion 10.8.1, o el CVE-2012-3230 en Apple Safari 5.

Todos estos bugs están recogidos en el Security Advisory APPLE-SA-2012-09-19-3 Safari 6.0.1, y en el documento de la Knowledge Base HT5502. Otra vez Google tiene mucha presencia en esta actualización, ya que de los 61 bugs, 35 de ellos han sido reportados por el Google, en concreto 34 desde el Google Chrome Security Team y uno más de un empleado de la compañía. Esta versión está disponible solo para Mac OS X Lion 10.7.5 y OS X Mountain Lion 10.8.2

OS X Mountain Lion 10.8.2, Mac OS X Lion 10.7.5 y Security Update 2012-004 para Mac OS X Snow Leopard

Esta semana Apple, además de poner a disposición pública iOS 6 junto con iPhone 5, ha lanzado una serie de actualizaciones de seguridad que hay que tener muy presentes. Entre ellas, destacan las actualizaciones para los sistemas operativos OS X Mountain Lion, Mac OS X Lion y Mac OS X Snow Leopard, que pueden ser obtenidas en diferentes formatos. Estas actualizaciones de seguridad corrigen 35 bugs de seguridad en total - aunque no todos afectan a todas las versiones de los sistemas operativos - que han sido recogidos en el Security Advisory APPLE-SA-2012-09-19-2.

Algunos de estos fallos corresponden a actualizaciones esperadas de módulos de servidor como PHP, Apache, Ruby o BIND, y otras más centradas en el sistema operativo en general, como el Kernel o aplicaciones de usuario como Quick Time. Muchos de estos fallos tienen un grado de severidad crítica, por lo que se recomienda aplicar la actualización lo antes posible.

Las actualizaciones están disponibles a través de la Mac App Store en el caso de OS X Mountain Lion, vía Software Update en Mac OS X Snow Leopard y Mac OS X Lion, además de poder hacer uso de los siguientes enlaces de descarga directa para la versión concreta de tu sistema operativo.
- OS X Mountain Lion 10.8.2 (665.48 MB)
- OS X Mountain Lion 10.8.1 Combo (665.39 MB)
- Mac OS X Lion 10.7.5 Cliente (1.14 GB)
- Mac OS X Lion 10.7.5 Cliente Combo (1.91 GB)
- Mac OS X Lion 10.7.5 Server (1.22 GB)
- Mac OS X Lion 10.7.5 Server Combo (1.99 GB)
- Server Admin Tools para Lion 10.7.5 (195.67 MB)
- Mac OS X Snow Leopard Security Update 2012-004 (2.36 MB)
- Mac OS X Snow Leopard Security Update 2012-005 Server (276.45 MB)
No parece haber ningún exploit utilizando los bugs solucionados en estas actualizaciones, pero aún así el nivel de severidad es crítico, por lo que os recomendamos que actualicéis lo antes posible.

domingo, 23 de septiembre de 2012

Fue Noticia en Seguridad Apple: 10 al 23 de Septiembre

Poco a poco van pasando los días y nos plantamos en otro resumen bi-semanal de lo publicado en el blog. Con una velocidad asombrosa van cayendo los días, y los anuncios, pues este ha sido el periodo en el que Apple, por fin, sacó iPhone 5 y su sistema operativo iOS 6. Han sido muchas las noticias en este periodo, y tenemos encoladas una buena cantidad de ellas para analizar durante esta semana, pero vamos con el resumen de lo que ya hemos publicado.

El 10 de Septiembre comenzamos con una noticia muy importante para nosotros: Seguridad Apple alcanzaba los 1.000 posts y 1.000.000 de páginas vistas, algo que decidimos que fuera nuestra noticia del día.

El martes continuamos con la serie dedicada a Desplegar iPhone & iPad en la empresa con Apple Configurator, y que iríamos publicando a lo largo de este periodo en cuatro partes.


El sábado 15 la noticia fue para la actualización de Apple iTunes 10.7, que solucionaba 163 bugs de seguridad, un numero alto que la convierten en una actualización crítica que hay que aplicar ya.

El domingo pasado le dedicamos la entrada a Double Robotics, un sistema curioso para dotar a los iPads de ruedas y crear sistemas de vídeo conferencia ad-hoc o guardias de seguridad móviles por fábricas. Desde luego son dignos de ver en acción.

Este lunes publicamos una referencia a la existencia de malware en las búsquedas del fichero publicado por Anonymous del mismo en Torrent, algo que se hace con todas las cadenas de búsqueda populares en según que webs.

Coche que vendía el ladrón
El miércoles 19 la noticia fuer para la historia de un ladrón de iPad y MacBook Pro que fue pillado por medio de un sistema de backup online de fotos que había instalado en un MacBook Pro donde se copió la foto de un coche que iba a poner a la venta. Una vez localizado con el sistema de Backup Online la zona por la dirección IP de conexión, las víctimas fueron buscando la casa que se veía al fondo de la foto de venta del coche mediante Google StreetView. Al final la Policia no solo recuperó el MacBook Pro, sino que el ladrón tenía un buen alijo de drogas. 

Este jueves hablamos de iOS 6 y sus 197 bugs de seguridad arreglados. 197 bugs de seguridad que no se podrán aplicar a los poseedores de iPad 1, ya que ha sido abandonado en esta update. Entre los fallos solucionados hay que citar el del famoso SMS Spoofing publicado por Pod2g y uno en el cliente Mail reportado por nuestro amigo Ángel Prado.

El viernes le dedicamos la entrega al primer bug conocido en iOS 6, descubierto por dos investigadores de seguridad en el concurso Mobile Pwn2Own de la EU CanSecWest por el que usando un fallo en el WebKit los investigadores fueron capaces de acceder a todo el sistema de ficheros del terminal saltándose el code-signing. Luego decidieron destruir el exploit para que nadie lo usara, porque vender exploits de 0day "is boring".

Ese mismo día, publicamos un Security Advisory de Apple sobre Apple Remote Desktop al que no encontramos ningún sentido. Si tú se lo encuentras, avísanos por favor.

Para concluir la semana, ayer publicamos el Curso de Desarrollo de Aplicaciones iOS para iPhone & iPad que vamos a realizar en Informática 64 durante la primera semana de Octubre. Apúntate ya si quieres ponerte las pilas con una de las tecnologías más emergentes de la actualidad.

Como ya anunciamos en la anterior publicación de esta sección, además de recuperar los posts que hemos publicado, queremos citar también aquellas historias que no hemos podido tratar, pero que nos parecen muy interesante dejarlas aquí por si se os han pasado.

http://www.egarante.com
En este periodo se lanzó también el servicio eGarante, una solución magnífica para que cualquier persona pueda generar evidencias digitales firmadas por un tercero que además tengan su sello de tiempo, pudiendo garantizar que una web publicó un determinado contenido en un determinado momento, o que un correo electrónico, con un mensaje fue enviado en un instante de tiempo. El servicio se llama eGarante, y puedes firmar y sellar tus correos electrónicos así como las páginas web.

Con la salida de iOS 6, en MacWorld hicieron una serie de test de rendimiento, para poder ver si los diferentes terminales en los que funciona este nuevo sistema van más rápido o menos, y la verdad es que los números dejan muy bien a iOS 6 - a pesar de los mapas -.

Y por supuesto, las mismas pruebas fueron hechas comparando iPhone 5 con el resto, donde ahí sí que no queda ni la más mínima duda de que iPhone 5 es el mejor iPhone de la historia - al menos en cuanto rendimiento se refiere -.

Por último, el 20 de Septiembre Microsoft publico Microsoft Office 2011 para mac versión 14.2.4, solucionando no solo fallos de funcionalidad, sino además corrigiendo bugs críticos de seguridad, por lo que si eres usuario de Office para mac te recomendamos que lo apliques cuanto antes.

Y esto ha sido todo, que no es poco, esperamos veros par esta sección dentro de dos semanas y cada día en Seguridad Apple.

sábado, 22 de septiembre de 2012

Curso: Desarrollo de aplicaciones iOS para iPhone & iPad. Del 1 al 5 de Octubre en Informática64 (Móstoles - Madrid)

Para todos los que queráis aprender a programar aplicaciones para iPhone & iPad, durante la semana del 1 al 5 de Octubre, en horario de mañana de  09:00 a 14:00 horas, tendrá lugar el Curso de Desarrollo de Aplicaciones iOS para iPhone & iPad, en las oficinas de Informática64 en Móstoles. El profesor será Juan Miguel Aguayo, autor del libro “Desarrollo de aplicaciones iOS para iPhone y iPad: Essentials” que cubre gran parte de los contenidos del curso. La descripción detallada de todos los contenidos que se verán en ese curso es la siguiente:

Curso de Desarrollo de Aplicaciones iOS para iPhone & iPad

Descripción

Los smartphones y los dispositivos móviles están en auge, y están revolucionando tanto en el mundo corporativo, como a nivel de usuario particular, la manera de comunicarse, de compartir, de acceder a recursos, de trabajar, de jugar.

Es innegable el crecimiento exponencial que han experimentado las tecnologías móviles en los últimos años, y en concreto los dispositivos iOS. La mayoría de empresas, pymes o multinacionales, desean tener su app en la App Store, y superar la barrera de visibilidad, ya sea como canal de distribución, como posicionamiento, integración con redes sociales, o simplemente por aprovechar el alto ROI de las apps móviles.

Si desea convertirse en desarrollador iOS, realizar apps corporativas, o las suyas propias, este curso le proporcionará una visión global e introductoria a la programación en dispositivos iPhone/iPad, y le permitirá comenzar a desarrollar apps inmediatamente.

El curso de desarrollo básico de aplicaciones en iOS, tiene un enfoque eminentemente práctico, con lo que los alumnos estarán la mayor parte del tiempo, enfrentándose a ejercicios y problemas a resolver en el entorno de desarrollo Xcode, con lo que la carga teórica queda en un 30%, y la parte práctica en un 70%.

Objetivos

El objetivo del curso es proporcionar a los alumnos, una base estable de programación con el SDK de iOS. Al finalizar la acción formativa, se estará en condiciones de comenzar a desarrollar apps para iPhone/iPad/iPod Touch.

A lo largo del curso se aprenderá a manejar el kit completo de herramientas de desarrollo que proporciona Apple. El IDE Xcode, el constructor de interfaces gráficas Interface Builder, a utilizar el iPhone/iPad Simulator, medir rendimiento con Instruments, etc. Los alumnos aprenderán también las bases del lenguaje Objective-C, repasando conceptos de programación orientada a objetos (OOP).

Los alumnos estudiarán la arquitectura iOS, los paradigmas de diseño (MVC, delegación, gestión de memoria manual y automática o ARC, target-action y outlets), aprenderán a utilizar las clases de los frameworks de Cocoa Touch, a construir interfaces gráficas utilizando las principales vistas y contenedores del framework UIKit, ya sea de manera programática o utilizando StoryBoards, y a conectar objetos con dichas interfaces. Además el alumno aprenderá a utilizar la documentación oficial que existe en el propio entorno de trabajo, y se proporciona una lista de recursos para el desarrollador (pdfs, videos , podcast, portales iOS, etc.).

Audiencia

Desarrolladores de otras plataformas móviles, desarrolladores que deseen introducirse en el mundo de los dispositivos móviles, y en general cualquiera interesado en aprender a trabajar con el SDK de iOS, eso sí, preferiblemente con cierta experiencia en programación, y si es programación orientada a objetos, mejor aún.

Temario

1. Introducción.
  • Mac OS X, Cocoa y iPhone.
  • Dispositivos iPhone, iPad y iPod.
  • Tipos de aplicaciones: nativas y aplicaciones web.
2. Xcode.
  • Xcode IDE.
  • Interface Builder.
  • Simulador iPhone/iPad.
  • Instruments.
3. Introducción a Objective-C.
  • Características generales.
  • Tipos de datos. Envío de mensajes.
  • Clases, interfaz, implementación.
  • Categorías y extensión de clases.
  • Getters y setters.

  • Propiedades.

  • Protocolos.
  • Enumeración rápida.
4. Paradigmas de programación en iOS.
  • Modelo MVC.
  • Delegation.
  • Target-Action.
  • Memory management (MRC y ARC).
5. Cocoa Touch y sus frameworks.
  • Cocoa Touch.
  • Foundation Framework.
  • UIKit Framework.
6. Creación de interfaces gráficas.
  • Tipos de interfaces o view controllers y contenedores.
  • XIB, NIB, Outlets y Actions.
  • IB y conexiones.
  • StroyBoards.
Si quieres más información del registros, tienes los datos completos en: Curso de Desarrollo de Aplicaciones iOS.

viernes, 21 de septiembre de 2012

Apple publica Remote Desktop 3.5.3. What The F**K?

El 21 de Agosto Apple publicó el Security Advisory APPLE-SA-2012-08-20-1 en la que anunciaba la versión Apple Remote Desktop 3.6.1 que arreglaba la vulnerabilidad CVE-2012 CVE-2012-0681 por la que aunque se eligiera la opción de cifrar la comunicación con un servidor de terceros, si esta no podía negociarse, la comunicación iba en claro sin avisar al usuario.

Figura 1: APPLE-SA-2012-08-20-1

Ahora, el 17 de Septiembre Apple ha publicado el Security Advisory APPLE-SA-2012-09-17-1 en el que anuncia Apple Remote Desktop 3.5.3 ue arreglaba la vulnerabilidad CVE-2012 CVE-2012-0681 por la que aunque se eligiera la opción de cifrar la comunicación con un servidor de terceros, si esta no podía negociarse, la comunicación iba en claro sin avisar al usuario.

Figura 2: APPLE-SA-2012-09-17.1

Seguro que tiene mucho sentido, pero nosotros no se lo hemos encontrado aún, así que algo no ha quedado suficientemente claro por parte de Apple al explicarlo. ¿Está claro para ti? ¡Cuéntanoslo!

Actualización: Para más confusión, Apple ha publicado el 24 de Septiembre la versión 3.6.1.. otra vez WTF2?

Figura 3: Nuevas actualizaciones el 24 de Septiembre

iOS 6 hacked en el Mobile Pwn2Own de Amsterdam

iOS 6 corriendo en un iPhone 4 fue hackeado
Esta semana en Amsterdam ha tenido lugar la popular competición Pwn2Own de EUSecWest, donde el nuevo y flamante iOS 6 - que ya solucionó ayer 197 bugs - cuenta con uno nuevo, descubierto por un equipo de hackers que en la sección mobile fue capaz de tomar control de un iPhone 4S con iOS 6 mediante un bug de Apple Safari que pudo ser explotado de forma consistente. El equipo ganador que ya ha dejado con un 0day al nuevo iOS - y probablemente al nuevo iPhone 5 - ha ganado un premio de 30.0000 USD por este ataque de drive-by-download que podría ser utilizado para hacer jailbreak al nuevo iPhone 5.

Según las palabras Joost Pool, uno de los ganadores, a ZdNET, hacer el exploit les llevó más o menos tres semanas, comenzando desde cero, y trabajando en hacerlo consistente, limpio y funcional. Siempre invirtiendo horas fuera de su jornada de trabajo. Según explican, la parte fácil fue localizar el fallo en el Webkit, pero conseguir hacer el exploit les obligó a encadenar un montón de trucos y técnicas diferentes para conseguir que fuera funcional, que se saltase las restricciones de código firmado por Apple y la un poco menos restrictiva sandbox de Mobile Safari.

Con el exploit consiguieron acceder a la libreta de direcciones, las fotos y vídeos en el terminal, el historial de navegación, aunque no a los correos electrónicos ni mensajes SMS que están cifrados. Para conseguir el acceso al terminal, una vez conseguido escribir en la memoria del iPhone 4S a través del bug en Webkit, escribieron una función que utilizaba el motor JIT para ejecutar los comandos y saltarse la protección de código firmado de Apple.

Figura 1: Daan Keuper y Joost Pol

Por último, cabe resalta que para Joost Pol y Daan Keuper, iPhone es el dispositivo más seguro disponible, pero aún así, en tres semanas fueron capaces de saltarse la seguridad, lo que deja a las claras cuánto se puede confiar en los dispositivos móviles hoy en día para almacenar datos valiosos.

Lo más curioso de la historia es que los creadores dicen haberlo hecho solo como reto personal y nunca pensando en cuánto podría valer la vulnerabilidad en el mercado, ya que para ellos vender 0days es "boring". De hecho, afirman haber borrado completamente todo el trabajo y el exploit una vez publicado y conseguido su reto. Tras haber logrado hacer este exploit, las frases que resumen lo sucedido podrían ser estas:
"People think that these things are so hard to do, that it's only theoretical and that it's only Charlie Miller or Willem Pinckaers (previous Pwn2Own winners) capable of doing this. There are many people -- good and bad -- who can do this. It's important for people to understand, especially businesses, that mobile devices should never be used for important work."

"La gente piensa que este tipo de cosas son difíciles de hacer, que son sólo teóricas y que solo Charlie Miller o Willen Pinckaers (ganadores anteriores de Pwn2Own) son capaces de hacer esto. Hay mucha gente -- buena y mala -- que puede hacer esto. Es importante que la gente entienda, especialmente en el mundo de los negocios, que los dispositivos móviles nunca deben ser utilizados para las cosas importantes"

"The CEO of a company should never be doing e-mail or anything of value on an iPhone or a BlackBerry. It's simple as that. There are a lot of people taking photos on their phones that they shouldn't be taking."


"El CEO de una empresa nunca debería leer el correo o nada de valro en un iPhone o una BlackBerry. Es tan simple como esto. Hay un montón de gente tomando fotos en sus teléfonos que nunca deberían ser tomadas".
¿Qué pensarán nuestros jueces y políticos en España de estas afirmaciones?

jueves, 20 de septiembre de 2012

Apple publica iOS 6 con 197 bugs de seguridad corregidos

Apple ha puesto disponible la nueva versión de su sistema operativo para dispositivos móviles, iOS 6. Esta nueva versión viene anunciada con más de 200 nuevas características, que supongo que iréis disfrutando ya de ellas, siempre y cuando tu dispositivo la soporte, que como sabéis la lista de compatibilidad de características es curiosa.

Los dispositivos en los que se puede instalar iOS 6 son iPhone 5, por supuesto, iPhone 4S, iPhone 4 - sin soporte para Maps flyover, Turn-by-turn navigation, FaceTime sobre 3G y soporte de ayuda para la audición - y los iPhone 3GS - sin soporte además de lo anterior de listas VIP, listas de lectura online y Siri. En el caso de iPad se puede instalar en el Nuevo iPad (aka iPad 3), y en el iPad 2, pero sin soporte para Siri, FaceTime sobre 3G y ayuda a la audición. Como se puede ver iPad 1 es definitivamente olvidado. Por su parte, en iPod Touch solo en los de 4ª generación.

Ahora que ya sabes que si tienes un iPad 1 has sido olvidado por Apple en esta actualización, lo siguiente que debes conocer desde el punto de vista de seguridad es que se han corregido 197 fallos de seguridad en iOS 6, que están presentes en iOS 5.1.1, así que más vale que actualices tu dispositivo si no quieres que algún "malo" lo utilice.

Figura 2: Bug en Mail descubierto por Ángel Prado

Entre ellos, hay un CVE descubierto por Ángel Prado, un joven investigador gallego que encontró un bug en el cliente de Mail que permitía generar comportamientos explotables en esquemas de phishing manipulando los IDs de los adjuntos en los correos electrónicos.

miércoles, 19 de septiembre de 2012

Ladrón pillado por Backup Online y Google StreetView

Interesante la historia que leímos en el portal de noticias TheNextWeb, donde otra vez podemos ver reflejada la importancia de poder contar con un software de rastreo de dispositivos robados/perdidos. Pero esta vez el desenlace tuvo el aliciente de que no sólo se localizó el MacBook, sino que acabó en una redada de drogas. Pongámonos en situación, así que ahí van los hechos iniciales:

Dos chicos alquilan un coche y dejan su material informático formado por un MacBook Pro, un iPad y otros gadgets dentro de sus mochilas en el maletero para irse a la convención Maker Faire de Detroit. Un ladrón, mediante un destornillador, abre el maletero y roba el citado material informático.

Como es lógico, los dos chicos fueron a una Comisaría de Policía a denunciar el hurto y a dar toda la información que pudieran recordar. Aunque uno de los chicos probó la funcionalidad de Find my iPad, no obtuvo ningún resultado. Todo lo contrario ocurrió con el otro chico, pues recordó que se había suscrito un servicio de Copia de Seguridad Online - para archivos personales e imágenes - llamado Backblaze y que lo había configurado en su MackBook. Dicho software de backup incorporaba la funcionalidad Locate My Computer, con el que pudieron - después de varios intentos y pasado ya un día - localizar la zona donde supuestamente se encontraba su MacBook.

Figura 1: Servicio Online de Locate My Computer en Blackblaze

Una vez comunicado el acontecimiento a la Policía de la supuesta localización, se les comunicó que sin una ubicación exacta, el Departamento de Policía de Detroit no podía hacer nada. Y ahí es donde doña fortuna llamó a la puerta de los chicos, puesto que el ladrón estaba buscando vender su coche y se le ocurrió la brillante idea de poner unas cuantas fotos del mismo en el MacBook Pro, por lo que dicho servicio de copia de seguridad transmitió las fotos a la nube.

Una vez con la foto del coche a la venta - el cual aparecía en la puerta del garaje de una casa - , las victimas del robo se dedicaron a patrullar las calles de la zona hasta que obtuvieron la dirección del autor y el número de teléfono. La curiosidad es que la patrulla de la zona no la hicieron a pie o en coche, sino que fue una patrulla virtual mediante la comparación de la casa que se veía al fondo del coche con lo que iban viento usando el servicio Google StreetView

Una vez localizada, fueron también capaces de identificar un anuncio en Craigslist de la venta del coche del supuesto ladrón, con lo que tenían una doble confirmación de la ubicación exacta para avisar a la Policia, que decidió que tenía la información suficiente para solicitar una orden de intervención.

Figura 2: Foto del coche que se puso a la venta con la casa que se buscaría en Google StreetView al fondo

La sorpresa vino a continuación. La Policía, una vez hubo llamado a la puerta del amigo de lo ajeno con la orden de allanamiento en mano, y tras no recibir respuesta alguna, anunció la intención de entrar, forzando la puerta con una barra Halligan.

Una vez dentro, la casa fue registrada y el MacBook Pro localizado en una habitación del segundo piso. Lo mejor fue que la Policía encontró en la casa todo un arsenal de drogas - Marihuana, Estupefacientes, etcétera - en el piso. Por desgracia, el iPad y los otros componentes informáticos no fueron encontrados, pero al ladrón le salió cara la broma del robo. Este caso recuerda al del ladrón de iPhone pillado por iCloud, y por supuesto merece pasar a ser uno más de los ladrones en modo EPIC FAIL.

martes, 18 de septiembre de 2012

Desplegar iPhone & iPad: Apple Configurator (4 de 4)

Para terminar con esta serie, vamos a centrarnos en esta parte en cómo se realiza el proceso final de asignación de dispositivos a usuarios de la organización.

Asignar dispositivos

La asignación de dispositivos tiene como objetivo realizar un seguimiento de despliegues de dispositivos a largo plazo, o para compartir dispositivos a corto plazo. Cuando se asigna un dispositivo a un usuario, éste puede personalizarlo con documentos y datos. Si se realizan las respectivas copias de seguridad y se restauran posteriormente, cada usuario puede tener la sensación de tener su dispositivo propio, y acceder a sus datos, con independencia de que dispositivo utilice. Durante este apartado se muestra un ejemplo de cómo se realiza la asignación y registro un dispositivo iPad. A continuación se muestra el aspecto de la sección “Asignar”:

Figura 23: Sección Asignar

Lo primero que se hace es crear los grupos y usuarios necesarios. Para crear/eliminar grupos usuarios tan sólo hay que hacer clic en el “+/-” en cada correspondiente sección. Se puede añadir un imagen de cada usuario (arrastrándola), y se pueden arrastrar usuarios a cada grupo de usuarios. Además se pueden añadir usuarios desde un servidor MDM o utilizando un servicio de directorio, configurado previamente en panel de “Preferencias del Sistema” de nuestro equipo.

Figura 24: Añadiendo usuarios con el servidor MDM

El siguiente paso es añadir todos los documentos que se desean desplegar en los dispositivos, específicamente para cada usuario o grupo de usuarios. En la figura anterior, se aprecia como para el usuario “John Doe”, se han añadido dos documentos, un archivo en formato Word y otro en formato PDF. Para añadir un documento basta con hacer clic en el ya habitual signo “+” y aparece un cuadro de diálogo como el siguiente:

Figura 25: Selección de la app iFile para importar documentos específicos

En dicho cuadro, hay que seleccionar la aplicación deseada para importar el documento o documentos especificados y listo, ya están los documentos deseados configurados para dicho usuario o grupo de usuarios. Una vez se han configurado los grupos y usuarios deseados, y los documentos que se desean instalar en el dispositivo, llega el momento de asignar dispositivos.

Cuando se hace clic sobre el botón “Prestar”, aparece el cuadro de diálogo en donde se deben parear los usuarios con los dispositivos, tal y como se aprecia a continuación:

Figura 26: Cuadro de diálogo para asignar dispositivos

Cuando se hace clic en el siguiente botón “Prestar”, comienza la instalación de los perfiles, las aplicaciones y se copian los documentos indicados

Figura 27: Mensajes de información mientras se realiza la asignación del dispositivo

Cuando finaliza la configuración del dispositivo, el botón “Prestar” se cambia por el botón “Registrar”, tal y como aparece en la siguiente captura:

Figura 28: Dispositivo "iPad i64 2" asignado al usuario "John Doe"

Y ahora se muestra una captura de la aplicación iFile en el dispositivo asignado, en donde se aprecia los documentos desplegados en la asignación:

Figura 29: Dispositivo iPad asignado con los documentos instalados en iFile

Además una vez se ha finalizado de instalar los perfiles de configuración, el terminal iPad solicitará que se le introduzca una contraseña para cumplir con la política indicada en el perfil, tal y como se muestra en la siguiente captura:

Figura 30: iPad solicitando un passcode acorde a la política del perfil desplegado

Ahora queda ver como se registra un dispositivo. Cuando se hace clic sobre el botón registrar, habiendo seleccionado previamente el usuario al que se le ha prestado el dispositivo, Apple Configurator comienza a recuperar los documentos del usuario. En esta parte cabe decir que si el usuario ha generado nuevos documentos, o incluso ha importado algunos desde iTunes, todos serán salvaguardados. Además se realiza una copia de seguridad que se comprime. A continuación se muestran mensajes de estado mientras se está registrando un dispositivo:

Figura 31: Mensajes de estado de Apple Configurator mientras registra un dispositivo

Es importante tener en cuenta que, cuando se registra un dispositivo, el dispositivo se restaura a la configuración que se había especificado inicialmente para ese dispositivo, cuando se preparó para ser supervisado. Si se selecciona una copia de seguridad como parte de la configuración inicial del dispositivo, se borrarán todos los datos de usuario, sin embargo, en el caso de que no haya copia de seguridad especificada para la configuración inicial, los datos permanecerán en el dispositivo hasta que sea prestado a otro usuario.

Por último, cabe decir que se puede revisar los avances de los usuarios, en los documentos desplegados en los dispositivos prestados. Se pueden revisar los documentos en un Mac OS X, conectando el dispositivo a Apple iTunes y descargando el documento, o bien, con la opción de exportar de Apple Configurator. De esta manera se puede exportar un documento, realizar modificaciones, y desplegar en todos los dispositivos la versión actualizada.

Copias de seguridad

Dentro del artículo se ha hablado varias veces de que el sistema realiza una Copia de Seguridad, y queremos matizar cómo es está. Una Copia de Seguridad es una operación que permite guardar y restaurar los datos y ajustes de un dispositivo. Incluye información como la disposición de la pantalla de inicio, datos de aplicaciones - como los favoritos de Apple Safari y los eventos de Calendario, por ejemplo -, las opciones definidas en Ajustes en el dispositivo - tales como restricciones, certificados y algunos tipos de cuentas, entre otros -, los contactos y el carrete - pero no los álbumes de fotos -.

Las copias de seguridad no incluyen las aplicaciones y contenidos que suelen sincronizarse mediante Apple iTunes o almacenarse en Apple iCloud. Una copia de seguridad de un dispositivo no supervisado es idéntica - intercambiable - a una copia de seguridad de Apple iTunes y puede restaurarse solo en un dispositivo no supervisado. Análogamente, una copia de seguridad de un dispositivo supervisado únicamente puede restaurarse en otro dispositivo supervisado.

Importante: Hay que tener muy en cuenta, que las copias de seguridad pueden contener información privada, como datos de aplicaciones, información de cuentas y contraseñas y el historial del navegador.

Con esta parte termina la serie dedicada a Apple Configurator. Esperamos que os sirva como ejemplo para entender mejor la herramienta y poder aplicarla en vuestros entornos de trabajo.

========================================================================
- Desplegar iPhone & iPad: Apple Configurator (1 de 4)
- Desplegar iPhone & iPad: Apple Configurator (2 de 4)
- Desplegar iPhone & iPad: Apple Configurator (3 de 4)
- Desplegar iPhone & iPad: Apple Configurator (4 de 4)
========================================================================
Artículos relacionados

Otras historias relacionadas

Entradas populares