Menú principal

viernes, 31 de octubre de 2014

CurrentC, un competidor de Apple Pay, ha sido hackeado

Sistema de pagos móviles CurrentC
Los participantes del programa piloto han anunciado que existen posibles brechas de seguridad en el competidor de Apple Pay denominado CurrentC. Este es un popular sistema de pago que compite con AppleGoogle. Este miércoles se anunció que había sido hackeado y que los datos de algunos usuarios pueden haber sido filtrados. CurrentC proporciona tecnología a otros proveedores e implementa ciertas funcionalidades pero no de todas. Cuando un proveedor utiliza otros componentes que no están bajo su control se transfiere el riesgo y la preocupación es que si CurrentC es hackeada pueda afectar a otros sistemas.

MCX es la compañía que se encuentra detrás de CurrentC y enviaron el anuncio este miércoles, revelando que sus sistemas de seguridad fueron vulnerados por terceros sin autorización. La compañía ha indicado que sus investigaciones sobre el hecho sugieren que se obtuvieron direcciones de correo electrónico sólo de los usuarios, pero no se tiene toda la información para poder afirmar al 100% este hecho. 

El sistema se ha encontrado en el medio de una polémica que existe entre los sistemas de pago de Google y de Apple. La polémica surgió porque los que participan en CurrentC tienen prohibido ofrecer sistemas de pago móviles alternativos. Recientemente, se ha lanzado Apple Pay permitiendo a los usuarios utilizar sus datos de tarjetas en cualquier instante. También es compatible con la tecnología basada en NFC tap to pay, que ha sido ofrecida por los chicos de CurrentC durante años con servicios existentes en Google Wallet.

Figura 1: Promoción del sistema de pagos móviles Currentc

MCX se defendió en su blog con una entrada en la que matizó que los datos sensibles del cliente se guardan en el cloud, en lugar de en el smartphone de un usuario. MCX sigue insistiendo en qué sus servidores son seguros y que el problema no ha sido provocado por inseguridad en sus servidores. A continuación os dejamos el contenido de lo que la empresa MCX comunicó el pasado miércoles:
Gracias por el interés en CurrentC. Usted está recibiendo este mensaje porque usted es participante de nuestro programa piloto. Dentro de las últimas 36 horas, nos hemos visto involucrados ante un ataque de terceros no autorizados que han obtenido direcciones de correo electrónico de algunos de ustedes. Sobre la base de la investigación que se está llevando a cabo por el personal de seguridad de MCX, sólo estas direcciones de correo electrónico fueron involucradas y ninguna otra información sensible.
En un exceso de precaución, hemos querido hacerle consciente de este incidente y le instamos a no abrir enlaces o archivos adjuntos de desconocidos. También saben que ni CurrentC ni MCX le enviarán correos electrónicos solicitando su cuenta financiera, número de seguridad social u otra información de identificación personal. Así que si se diera este hecho, usted puede estar seguro que no somos nosotros.
MCX continua la investigación sobre esta situación y proporcionará actualizaciones según sea necesario. Nos tomamos la seguridad de su información muy en serio, disculpen las molestias y gracias por su apoyo. 
Seguiremos atentos a la evolución de la noticia, aunque lo que tenemos claro es que los pagos a través de estas plataformas proporcionarán grandes noticias en un corto período de plazo.

jueves, 30 de octubre de 2014

Knock Knock: Saber qué se ejecuta al arrancar OS X

El investigador Patrick Wardle ha lanzado en la última Virus Bulletin Conference una herramienta que permite revelar los ejecutables que se inician automáticamente en OS X. Ha sido denominada como Knock Knock y es de código abierto, se puede encontrar en Github, y está construido en un marco extensible para alentar a la comunidad a evolucionar la plataforma. El investigador, comentó que diseñó la herramienta con el objetivo de identificar malware persistente que se inicia en la máquina al arrancar. Esta preocupación justificó su trabajo, y dijo que dada la débil protección antivirus de la que se cuenta en sistemas OS X y que existe gran cantidad de piezas de malware descubiertas el año pasado, decidió trabajar en este proyecto. 

Según comentaba Wardle, él se encontraba muy preocupado por el hecho de que no sabía a ciencia cierta lo que se estaba ejecutando de forma automática en su equipo, o si había cualquier tipo de malware persistente en su equipo. La herramienta Knock Knock debe mostrar todo lo que se ejecuta automáticamente cuando se arranca el sistema o se reinicia.

Figura 1: Diseño de Knock Knock

Como curiosidad, en la presentación cuenta que cuando Wardle llevó a cabo las pruebas de la herramienta en los Mac de diversos amigos, cuando la mayor sorpresa es que en estos equipos él se encontró diverso software malicioso que era ejecutado al arrancar el sistema. Para él como para muchos expertos en seguridad, un sistema OSX totalmente parcheado no es del todo seguro, y los mecanismos antimalware son insuficientes para defender un equipo. En este vídeo podéis ver la conferencia completa.


Figura 2: Conferencia sobre Methods of Malware Persistence on OS X

En su presentación ha mostrado un ejemplo en el cual se detecta un malware persistente simplemente cuando se enumeran todos los binarios no firmados por Apple, enseñando lo fácil que es localizar ahí los binarios que ya están en las bases de conocimiento que se tiene sobre malware para OS XKnock Knock dispondrá de diversos plugins para poder añadirse y acoplar nuevo código con el que explorar en busca de nuevas técnicas de persistencia para mantenerlo al día de las amenazas y para analizar automáticamente los binarios sospechosos. De esta forma, cualquiera puede ayudar a mejorar la herramienta y potenciar las vías para luchar contra el malware en OS X

miércoles, 29 de octubre de 2014

Password managers más Touch ID en tu iPhone con iOS 8

Entre las novedades que incorpora iOS 8, hay una relacionada con la seguridad que llama especialmente la atención. En versiones anteriores del sistema operativo, el usuario tenía que decidir entre las características de seguridad nativas de iOS, como TouchID, y la comodidad y utilidad de los gestores de contraseñas de terceros. Disfrutar de ambos era incompatible.Ahora, tal y como se explica en Gigaom, gracias a la decisión de Apple de abrir TouchID a desarrolladores ajenos a la compañía para que integren esta tecnología en sus propias apps, ya es posible combinar las ventajas de ambos, ya que la utilidad de un gestor de contraseñas va más allá de recordar unas credenciales.

En iOS 7 Apple intentó implementar su propio gestor, iCloud Keychain, una característica que trataba de sincronizar usuarios y contraseñas, información de tarjetas de crédito, e información de redes WiFi entre todos los dispositivos del usuario. iCloud Keychain era seguro, pero tenía varias limitaciones. Para empezar, el proceso de añadir un nuevo dispositivo a la lista de dispositivos sincronizados requería de una especie de handshake en el que un dispositivo ya sincronizado se utilizaba para aprobar nuevos dispositivos. Por otra parte, no permitía gestionar la información de seguridad, solo consultarla. Para cambiar unas credenciales, había que acceder a un sitio seguro con otro usuario y contraseña. Además, no permitía introducir información adicional para, por ejemplo, recuperar una contraseña (preguntas de seguridad, etc...).


Figura 1: 1Password con Touch ID

Otros gestores de contraseñas, como 1Password - que añadiría rápido soporte para Touch ID -y LastPass, sí que cubren estas carencias, no limitándose al mero almacenamiento de información. Es posible organizar credenciales en diferentes categorías y carpetas, añadir información extra (incluso no relacionada con páginas web), etc... Con iPhone 5s llegó TouchID, que permitía utilizar la huella dactilar para autenticarse en el dispositivo, eliminando de esta forma la necesidad de recordar una password o un passcode complejo, lo cual supuso un gran paso hacia la usabilidad.

Figura 2: Touch ID habilitado para Latch.

En versiones previas de iOS no era posible utilizar TouchID con ningún gestor de contraseñas, lo que obligaba a los usuarios a memorizar una clave larga y complicada para acceder a sus credenciales. Sin embargo, con iOS 8 ya es posible, lo cual agiliza notablemente el acceso a la información. Basta con habilitar TouchID desde las settings de la propia aplicación. La última versión de Latch, la aplicación que proporciona un segundo factor de autenticación para las identidades digitales del usuario, también incorpora soporte para TouchID.

Además, en iOS 8 los gestores de contraseñas ya se pueden utilizar desde Safari, cosa que antes tampoco era posible. Para habilitarlo, hay que escoger el gestor de contraseñas desde la lista de extensiones del navegador que aparece al presionar el botón Share. Sin duda esta decisión de Apple es muy positiva y redunda en beneficio de los usuarios, que ahora pueden gestionar todas sus credenciales de forma cómoda y segura.

martes, 28 de octubre de 2014

Apple iTunes 12.0.1 y QuickTime 7.7.6 para Windows: Mismos Bugs y más Librerías inseguras

El investigador de seguridad Stefan Kanthak ha publicado que aunque Apple iTunes 12.0.1 ha sido liberado recientemente, algunas de las librerías de terceros utilizadas por iTunes y QuickTime son vulnerables a día de hoy. Hace unos meses, el propio Stefan publicó estos hechos y nosotros hablamos de ello en Seguridad Apple. Como se podía ver las siguientes librerías presentaban vulnerabilidades conocidas, además, hacia bastante tiempo:

  • ibeay32.dll y ssleay32.dll 0.9.8.d tienen más de 7 años y 27 vulnerabilidades conocidas. 
  • libcurl.dll 7.16.2 con al menos 18 vulnerabilidades conocidas. 
  • libxml2.dll 2.6.0.0 con 17 vulnerabilidades conocidas. 
  • La última se puede consultar a través del CVE-2013-0339. icuuc40.dll, icuin40.dll, icudt49.dll, libicuuc.dll y libicuin.dll 49.1.1 con al menos 4 vulnerabilidades conocidas. Pueden ser consultadas por CVE-2013-2419, CVE-2013-2383, CVE-2013-2384, CVE-2013-1569. 
Según publica Stefan de nuevo, no se han actualizado las librerías de terceros, por lo que se sigue estando expuesto a estas vulnerabilidades, aunque la versión de iTunes haya pasado de la 11.2.2 a la 12.0.1. Estos bugs, como ya se ha visto, permiten realizar elevación de privilegios y ataques D.O.S. en Windows por medio de las rutas inseguras.

Figura 1: Automatic Updates de Apple también arrancaba desde rutas inseguras

Además, estos fallos de seguridad se presentan también en la aplicación de reproducción de video de Apple QuickTime 7.7.6. Parece que en el roadmap de Apple no entró el solucionar estos problemas, seguiremos atentos para ver qué ocurre a corto plazo.

lunes, 27 de octubre de 2014

Jailbreak para iOS 8: La sospecha y la instalación de Cydia

El Jailbreak a la versión de iOS 8, pero la noticia es que no se fía mucho la gente de este Jailbreak. El mismo equipo chino que liberó el Jailbreak para iOS 7 con tanta polémica en esa primera versión, como en la siguiente, ha publicado para iOS 8.1 una nueva versión. Actualmente, sólo las versiones Windows disponen de la posibilidad de utilizar la app con la que jailbrekear el terminal. Hay algunas cosas que tenemos que tener en cuenta como que Cydia no es instalado por defecto.

La recomendación es que si realizas este proceso hazlo con mucho cuidado hasta que no se sepa algo más sobre ello. Existían rumores inicialmente que hablan de que el Jailbreak para iOS 8 pudiera tener algún tipo de malware, aunque estos son riesgos que el usuario corre cuando realiza el proceso. Los usuarios han informado de que el uso de Cydia y algunos ajustes más no funcionan. Cydia ha sido actualizado y requiere una instalación manual a través de SSH. La instalación de Cydia de forma manual en iOS 8 se puede visualizar en el siguiente video: 

Figura 1: Vídeo de instalación de Cydia en iOS 8

Desde el sitio web de Pangu se puede descargar la herramienta para realizar el Jailbreak al sistema operativo, pero debemos tener en cuenta que está bajo sospecha. Seguiremos de cerca la noticia.

domingo, 26 de octubre de 2014

Fue Noticia en Seguridad Apple: Del 13 al 26 de Octubre

Una vez más llega el domingo, y con él como hacemos cada dos semanas llega el momento de repasar todos los temas que hemos ido publicando en Seguridad Apple durante las últimos catorce días, así como las noticias relacionadas con la seguridad y con los productos Apple que se han publicado en otras web para que no te pierdas absolutamente nada. Vamos con el repaso.

Comenzamos este repaso por el lunes 13 de Octubre, donde os contamos una manera cómoda de desactivar la previsualización de iMessages en OSX, lo cual siempre ayuda a proteger nuestra privacidad de miradas indiscretas.

El martes el tema que nos ocupó fue la posibilidad de que se incluyan sensores biométricos en el Touch ID de los nuevos dispositivos iOS, el iPad Air 2 y el iPad Mini retina, como así resultó al final.

Latch 1.5 para iOS
A mitad de semana, con el Security Innovation Day 2014 a la vuelta de la esquina, os anunciamos la versión de Latch for iOS 1.5, ahora con soporte para Touch ID, que incluye nuevas funcionalidades para el servicio de 2FA.

Sin duda, el evento de la semana, el jueves nos dedicamos en exclusiva a hablar del Security Innovation Day 2014, donde Eleven Paths anunció sus novedades en cuanto a seguridad digital, con productos como Latch, Faast, Metashield y Path5. Pero también donde se anunció el Concurso de plugins de Latch por el que podrás ganar hasta 10.000 USD en BitCoins. Apúntate y haz el tuyo.

El viernes os presentamos el nuevo parche publicado por Microsoft para Office 2011 for Mac, la versión más reciente disponible para OSX. La actualización mejora la seguridad de la aplicación. evitando entre otras cosas la posibilidad de sobreescritura de memoria.

Comenzamos el fin de semana con el anuncio por parte de Apple de su parche para Poodle en OSX, publicado junto a otros Security Advisories cuya instalación es altamente recomendable para evitar problemas de seguridad.

Apple actualizó iOS Security Guide
Para cerrar el fin de semana nos centramos en la nueva versión de Apple iTunes, la 12.0.1, que solucionó hasta un total de 83 bugs de seguridad, muchos relacionados con WebKit.

El lunes 20 os mostramos las principales actualizaciones que Apple ha incluido en su guía de seguridad,un PDF de 48 páginas titulado iOS Security donde se hace especial hincapié en Apple Pay.

El martes una nueva polémica relacionada con China llamó nuestra atención. El gobierno chino ha estado realizando ataques Man In The Middle contra iCloud, utilizando certificados falsos firmados por ellos mismos, para de esta forma robar credenciales. Según parece, el ataque al final no era del gobierno sino del mundo del cibercrimen, aunque hay bastantes dudas al respecto

El miércoles 22 llegó la actualización 8.1 de iOS, que incluye el cierre de cinco CVEs, incluido el bug de las contraseñas en los teclados predictivos, y activa ya por fin Apple Pay.

El jueves os presentamos un breve tutorial step-by-step acerca de cómo instalar Latch para proteger tu sistema OSX de forma sencilla y de esta forma evitar accesos no autorizados. Prueba Latch en tu propio Mac OS X o como control parental de las cuentas que desees.

El último día laborable de la semana lo dedicamos al troyano Ventir para OSX, un software malicioso que se distribuye a través de otro software, y que incluye un keylogger Open Source, que registra ls pulsaciones de teclado, pudiendo robar credenciales.

Para acabar el repaso, ayer sábado la noticia fue para el enfado del FBI con Apple y Google por las medidas de seguridad que están añadiendo en sus servicios con el objeto de mejorar la privacidad de los usuarios y, por tanto, dificultar las labores de espionaje por parte del gobierno.

Hasta aquí todo lo publicado en nuestra web, pero ha habido otra buena cantidad de noticias que pasamos a recoger en un resumen que os lleve a lo mejor.
- Concurso de creación de plugins para Latch: Gana 10.000 USD, 5.000 USD o 1.000 USD todo ellos en BitCoins y una beca para trabajar en Eleven Paths. Toda la información en Latch Contest. 
Controlar conexiones de red en OS X con Little Snitch: Artículo en SecurityBydefault sobre cómo controlar las conexiones de red que hace un equipo Mac. Muy recomendable su lectura. 
- Estudio del troyano Selfmite.b y los que pueden estár detrás de él: Reflexión en el blog de Eleven Paths sober quién puede salir ganando con el troyano Selfmite.b que se ha popularizado en sistemas operativos Android. 
- Una mirada Faast a Apple buscando a Poodle: Análisis de dominios de Apple vulnerables a Poodle y casos en los que la suma de pequeñas debilidades facilitan su explotación. 
- Zenity, un bash gráfico para sistemas UNIX: Artículo en hackplayers sobre este interfaz de comandos Bash con GUI. Muy recomendable. 
- Deshabilitar el envío de búsquedas de Spotlight a Apple: Ha generado mucha controversia que Apple reciba de Spotlight todas las búsquedas que se hacen en el sistema operativo. En este artículo se explica cómo deshabilitar este envío. 
- Campaña en Change.org para cambiar la definición de hacker en la RAE: Ahora existe el término oficialmente pero la definición no ha gustado a muchos y se  ha pedido un cambio a la RAE. 
- Premio bitácoras al mejor blog de seguridad 2014: Ha empezado la campaña de votaciones públicas. En la lista de seguridad está Seguridad Apple, El lado del mal de nuestro compañero Chema Alonso y el blog de Eleven Paths. Si quieres puedes votar hoy mismo. 
- Sale Jailbreak para iOS 8 en China: Sin embargo la recomendación es esperar a que se analice, después de ver lo que ha pasado con las últimas herramientas de Jailbreak en China. 
- Un Apple I vendido por 905.000 USD: Si eres amante de las historias de hackers, seguro que entiendes por qué alguien lo pagaría.
Y hasta aquí dio esta sección. Esperamos que paséis un buen domingo y veros dentro de dos semanas en este resumen bi-semanal y cada día en los artículos de Seguridad Apple.

sábado, 25 de octubre de 2014

El FBI critica las medidas de seguridad de Apple y Google

Apple y Google han mejorado las medidas en lo que respecta a proteger la privacidad de sus usuarios desde que hace poco más de un año Edward Snowden, ex-agente de la NSA, desveló cómo esta agencia espiaba las comunicaciones de cientos de millones de personas en el mundo y accedía a datos de usuarios con impunidad, con o sin consentimiento de los proveedores. Recientemente Apple y Google han anunciado que implantarán en sus dispositivos un sistema de cifrado mucho más fuerte, a fin de salvaguardar la información de los usuarios – fotografías, SMS, e-mails, etc...-. Ambas compañías insisten en que ni siquiera ellas tendrán acceso a la clave de cifrado usada.

Según Apple, será totalmente imposible incluso para sus técnicos extraer datos de equipos con iOS 8, aun habiendo una orden judicial de por medio. De esta manera, la compañía se evita estar en una posición incómoda entre autoridades y usuarios. Toda información almacenada en el dispositivo del usuario estará fuera del alcance de los organismos legales. Sin embargo, esta medida no se aplica a la información alojada en los servidores de Apple, principalmente backups almacenados en iCloud, los cuales si podrán ser proporcionados bajo autorización legal a los organismos que así lo requieran.

Esta medida no ha sentado nada bien en el seno del FBI, que la considera desmesurada y contraria a sus intereses. En palabras de James Comey, director del FBI, esta forma de actuar sitúa a los usuarios por encima de la propia ley, lo cual puede derivar en una amenaza para la seguridad nacional, dejando sin poder de actuación a las autoridades. Por ahora, nada parece indicar que Apple y Google vayan a cambiar de opinión, así que se puede asegurar que en iOS 8 y Android la información de los usuarios estará más protegida que nunca, y a salvo de miradas indiscretas.

viernes, 24 de octubre de 2014

El troyano Ventir para OS X y el keylogger LogKext

A través de Intego hemos conocido la existencia de un nuevo troyano para sistemas OS X al que se ha llamado Ventir. Este troyano es un software malicioso que se distribuye dentro de algún otro software - no se conoce exactamente su vector de infección en cada caso - pero que tiene una estructura modular para poder cargar a gusto las opciones de cada una de las infecciones que se realizan con él. Una vez que un sistema OS X es infectado, los directorios de instalación dependerán de los permisos con que cuente el troyano. Si se tiene acceso de administrador (root) entonces el malware se instala en /Library/.local y en /Library/LaunchDaemons y comienza a descargar el resto de componentes en ellos.

Si por el contrario no tiene acceso como administrador (root), entonces los ficheros se cargan en el perfil del usuario, en las rutas ~/Library/.local y ~/Library/LaunchAgents.

Figura 1: Artículo sobre Ventir Trojan en Intego


Entre los módulos que lleva, uno de ellos es el keylogger Open Source para sistemas OS X conocido como LogKext. Este software, que está disponible en múltiples repositorios de Internet, se puede conseguir y utilizar en cualquier otro programa malicioso y cuando infecta una máquina captura todas las pulsaciones de teclado que se realizan, dejándolas en un fichero de texto que luego el troyano Ventir se llevará.

Figura 2: Información sobre logKext

Para saber si se está infectado deberías revisar la existencia de esos directorios, teniendo en cuenta que hay que mostrar los archivos ocultos, por lo que es más sencillo usando un terminal y haciendo un ls -al en los directorios Library. Si existe el directorio .local, entonces el keylogger LogKext tendrá sus propio archivo en /System/Library/Extensions/updated.kext. Además, deberás comprobar la lista de agentes en el fichero .plist com.updated.launchagent.plist en /Library/LaunchDaemon/ o en ~/Library/LaunchAgents/ que tendrá alguna referencia a la carga del troyano desde .local, tal y como explican en Intego.

Figura 3: Fichero de carga de agentes con acceso al troyano

Por supuesto, ya hace mucho tiempo que el malware está en los sistemas OS X, así que toma todas las precauciones posibles. Mantén tu sistema operativo actualizado, protegido con un antimalware con protección en tiempo real y fortificado para evitar que sea fácil quedarse infectado. 

jueves, 23 de octubre de 2014

Instalar y Configurar Latch para proteger OS X

Cada vez son más los usuarios que protegen sus identidades digitales con Latch, al igual que cada vez son más los servicios y plataformas que integran Latch. En el artículo de hoy vamos a mostrar de forma sencilla como se puede integrar Latch en tu OS X. El plugin lo podemos descargar desde el GitHub de ElevenPaths. Tras realizar la descarga, y disponer una cuenta de desarrollador en el sitio web de Latch, ya podremos llevar a cabo la instalación del plugin y la configuración de éste para poder proteger nuestra sesión de OS X. Pero, tenemos que tener claro que no solo es la sesión lo que podemos proteger, ya que podemos "latchear" el servicio de SSH, sudo, su, etcétera. 

Paso 1: Creación de la aplicación Latch

En primer lugar, como comentamos anteriormente, nos dirigimos al Developer Area del sitio web de Latch. En esta página disponemos de un menú a la izquierda con el cual debemos seleccionar "Mis aplicaciones". Desde esta vista podremos añadir una nueva aplicación.

Figura 1: Mis aplicaciones - Developer Area

Cuando vamos a crear la aplicación se muestra información sobre la misma. Los datos que debemos tener en cuenta son el ID de Aplicación y el Secreto. Además, hay más parámetros que pueden ser útiles para el desarrollador:
  • Nombre. Este campo refleja el nombre de la aplicación con la que los usuarios finales la verán en su dispositivo móvil.
  • Imagen. Icono que representa a la aplicación y que se verá en el dispositivo móvil.
  • 2º Factor OTP (One-Time Password). Posibilita que el servicio esté protegido además por una contraseña, que se le enviaría al usuario final en el momento en que quisiera acceder al servicio.
  • Bloqueo tras consulta. Posibilita que el servicio se bloquee automáticamente una vez que se ha accedido al mismo.
  • Correo electrónico de contacto y teléfono de contacto. Cuando se produzca una notificación al usuario, estos datos serán mostrados.
  • Operaciones. Se corresponde con cada una de las acciones incluidas en el servicio pero independientes entre sí, y que el desarrollador quiere proteger con Latch.
Figura 2: Edición de la información de la aplicación

Paso 2: Instalación del plugin de Latch en OS X

Tras descargar el plugin abrimos una terminal en OS X y ejecutamos, sobre la carpeta descargada, la siguiente instrucción ./configure && make && sudo make install.

Figura 3: Compilación del plugin de Latch for Mac

Tras la compilación, el módulo PAM de Latch, pam_latch.so, se instala en el sistema operativo en el directorio /usr/local/lib. Ahora debemos copiar, con permisos de administrador, la librería en el directorio /usr/lib/pam. Tras reubicar el módulo PAM, hay que mover el binario de Latch a /usr/bin y asegurarse de que los permisos del archivo son 755, mediante la instrucción sudo chmod 755 /usr/bin/latch.

Figura 4: Binario de Latch

Ahora tenemos que editar la configuración del servicio PAM, para ello vamos a la carpeta /etc/pam.d. Podemos editar los servicios que se encuentren dentro de la carpeta, en este caso vamos a editar el de autorización. Para editar, abrimos por ejemplo con nano y con permisos de administrador, y añadimos la siguiente línea en el fichero:
auth required pam_latch.so config=/etc/latch/latch.conf accounts=/etc/latch/latch.accounts operation=alias_de_operacion otp=yes|no.
En este caso de ejemplo, el alias de operación se corresponde con login que es el que podríamos utilizar en la operación dentro del Developer Area.

Paso 3: Configurar el App_id y el Secret de la aplicación Latch

Por último debemos añadir el app_id y secret_key en el fichero latch.conf y también el ID de la operación login. En la siguiente imagen podemos ver cómo quedaría el fichero. Tras realizar esta acción tendremos integrado Latch en el login de tu sistema OS X.

Figura 5: Configuración del fichero latch.conf

Paso 4: Pareando nuestra cuenta de usuario Latch con el servicio de Lath para OS X

Para realizar el pareo, simplemente hay que solicitar el token de pareo en la aplicación del Latch en el móvil y ejecutar el binario de latch con la siguiente sintaxis:
latch -p token
Con la app del dispositivo móvil solicitamos crear un nuevo servicio y nos proporcionarán un nuevo token  el cual debemos introducir como parámetro al binario.

Figura 6: Pareado con Latch

Cuando el usuario pone su Latch a su cuenta de OS X y éste intenta entrar se encontrará con la notificación de intento de acceso, cuando la contraseña se configure correctamente. Por cada operación configurada con el plugin de OS X podremos observar qué operación ha generado la notificación. En otras palabras, si tenemos configurado Latch en OS X para operaciones como sudo, su o conexiones a SSH.

Figura 7: Bloqueo de login en OS X

Como se puede visualizar en la imagen junto al nombre que elegimos para nuestra aplicación Latch, en este caso  Mac OS X, encontramos la operación que ha generado la notificación, en este caso el login. En la pantalla de login de OS X no nos proporcionará ningún mensaje de error y simplemente no se permitirá el acceso. En este caso, OS X no indica ningún error, simplemente sacude la caja de texto dónde se introduce la contraseña para indicar que no se puede acceder, mientras que como hemos visto antes recibimos la notificación en nuestra app móvil de Latch.

Figura 8: Login en OS X

Paso 5: Configurar Latch para proteger operaciones su

De manera sencilla podemos añadir Latch, simplemente tenemos que añadir operaciones en nuestra cuenta de Developer Area y nuestra aplicación Mac OS X. Tal y como se puede visualizar en la imagen podemos añadir distintas operaciones, tenemos que tener claro que cuando bloquemos, activemos Latch, la aplicación todas las operaciones quedarán protegidas por Latch.

Figura 9: Adición de operación para su

Para configurar Latch para OS X con la operación su, una vez que obtenemos el token de la operación abrimos el fichero de configuración de Latch, que se encuentra en la ruta /etc/latch/latch.conf. En este fichero debemos añadir en la sección de operaciones este valor junto al ID de la operación. En la imagen se puede ver como todas las operaciones que quisiéramos añadir también deberíamos pegarlas en este fichero.

Figura 10: Operaciones en el fichero latch.conf

Además, debemos recordar que su es un servicio PAM, por lo que debemos modificar en el fichero /etc/pam.d/su el contenido e indicar lo siguiente:
auth required pam_latch.so config=/etc/latch/latch.conf  accounts=/etc/latch/latch.accounts operation=alias_de_operacion otp=yes|no. 
Una vez realizamos esta operativa, al ejecutar su para cambiar de cuenta o identidad ocurre lo que se puede ver en la imagen.

Figura 11: Bloqueo del comando su
Paso 6: Configurar Latch para proteger operaciones sudo

En el caso de sudo la operativa es idéntica. En primer lugar generar la operación en el Developer Area, añadir la operación al fichero de latch.conf y posteriormente en el servicio PAM de sudo, que se encuentra en /etc/pam.d/sudo añadir la línea:
auth required pam_latch.so config=/etc/latch/latch.conf  accounts=/etc/latch/latch.accounts operation=alias_de_operacion otp=yes|no
Donde alias de operación es el nombre que le hayamos puesto a la operación en el fichero latch.conf, por ejemplo sudo. El resultado, como puede verse en la imagen es el mismo que en el caso anterior, no se consigue realizar el sudo, ya que tenemos activado Latch.

Figura 12: Bloqueo de sudo

El resultado se refleja en el dispositivo móvil dónde se puede observar la notificación instantánea dónde ver que alguien ha utilizado nuestra identidad. En este caso se puede ver fácilmente qué operación ha sido la que ha generado la notificación.


Figura 13: Notificación de bloqueo de sudo en OS X

Paso 6: Configurar Latch para proteger conexiones SSH

Para disponer de Latch con nuestro servicio de SSH, lo primero que debemos realizar el configurar el servicio PAM de SSH. Para ello modificamos el fichero de SSH, que se encuentra en /etc/pam.d/sshd. Posteriormente debemos editar el fichero sshd_config, generalmente situado en el directorio /etc, y añadimos o modificamos los siguientes valores a las directivas:
  • UsePAM yes
  • ChallengeResponseAuthentication yes
  • PasswordAuthentication no
Una vez configurado esto, el acceso queda protegido con Latch, pero además, podemos proteger el uso de las claves públicas y privadas. Esto es realmente interesante y  otorga un control total sobre el nivel de exposición de estas claves.

¿Cómo protegemos las claves públicas/privadas?
  1. Mover, con permisos administrativos, el fichero latch-shell dónde se ubico el binario de latch, por ejemplo. Los permisos que debe tener el fichero latch-shell deberían ser 4755. 
  2. Se debe modificar cada una de las claves que queramos proteger, añadiendo una instrucción que nos permita utilizar Latch antes de realizar la autenticación. Estas claves se encuentran, por defecto, en el fichero ~/.ssh/authorized_keys:
command="latch-shell -o alias_sshd_keys ssh-rsa clave alguien@host

Figura 14: Bloqueo de conexión SSH con Latch

En este caso el alias es el que se utilizará en la operación tanto en el Developer Area como en el fichero latch.conf. Si quisiéramos añadir más operaciones, en primer lugar las crearíamos en el Developer Area, para posteriormente añadir el ID en la sección Operations del fichero latch.conf. Realmente, podemos integrar Latch en diversas operaciones que realicemos desde nuestro OS X de manera sencilla.

Paso 7: ¿Qué ocurre si el sistema no tiene conectividad en Internet?

Por defecto el plugin está configurado para que, en caso de no disponer de conectividad, se pueda iniciar sesión sin contactar con Latch. Este es el comportamiento permisivo, pero el usuario pude configurar un comportamiento más restrictivo, el cual dice que si no se puede consultar el estado de Latch, no se podrá iniciar sesión.

Figura 15: Acciones disponibles cuando Latch no está disponible

¿Cómo se configura esto? En el fichero latch.conf, el cual se encuentra en /etc/latch, existe una directiva denominada action. Por defecto, el valor de la directiva es de open, pero si queremos que en caso de no existir conectividad el login u otra operación sea restrictiva por omisión, debemos cambiar el valor de la directiva a close.

miércoles, 22 de octubre de 2014

iOS 8.1: Apple Pay, Poodle y el bug que muestra tu clave

Se esperaba que iOS 8.1 fuera liberado esta semana y así ha sido. Diferentes CVEs han sido parcheados en esta nueva versión del sistema operativo, la cual ofrece también mayor estabilidad con la nueva familia de iPhone. En la publicación de la actualización se puede ver, al menos, 5 CVEs entre los que se encuentran el bug de publicación de contraseñas en los teclados predictivos y el ya famoso bug de Poodle en SSL que también afecta a iOS. Esta es la lista detallada de los CVE corregidos en esta versión.
  • CVE-2014-4428. Disponible desde iPhone 4S y superior. La vulnerabilidad residia en conexiones no cifradas, por lo acciones maliciosas por parte de un atacante podrían desembarcar en un spoofing.
  • CVE-2014-4448. Los archivos podían ser transferidos a un directorio de aplicación y no ser cifrados con clave generada por HW. 
  • CVE-2014-4449. Un atacante en una red de área local podía forzar a que iCloud tuviera fugas de información debido una incorrecta validación del certificado TLS.
  • CVE-2014-4450. Quicktype aprende contraseñas y podría anunciarlas en el autocompletado, por lo que, como ya hablamos en Seguridad Apple, es algo peligroso para las fugas de información.
  • CVE-2014-3566. Un atacante puede descifrar datos protegidos por SSL 3.0. Esto es un parche para el famoso Poodle.
Para actualizar a iOS 8.1 podemos realizarlo a través del software de actualización a través de los dispositivos iOS. También podemos realizarlo a través de Apple iTunes. Además, en esta versión se activa ya Apple Pay para todo el mundo, aunque solo para tarjetas emitidas en USA. El resto de tarjetas deberán esperar.

martes, 21 de octubre de 2014

El gobierno Chino haciendo Man in The Middle a iCloud

Ya hemos hablado muchas veces del Gran Firewall que usa el gobierno de la República Popular China para analizar e interceptar las comunicaciones. Cualquier mecanismo de evasión en el pasado ha sido bloqueado, como por ejemplo comunicaciones vía sistemas VPN o HTTPs. De hecho, no sentaron demasiado bien cosas como el uso de HTTPs para todas las conexiones a las tiendas de apps, aunque por desgracia la implementación de Apple no sea perfecta y cargue contenido vía HTTP abriendo la puerta a los ataques de SSL Strip.

Ahora, desde Ars Technica podemos ver que el gobierno está utilizando certificados firmados por ellos mismos para el dominio de Apple iCloud, lo que les permitiría acceder a los usuarios y contraseñas de cualquier usuario que se conecte a ellos aceptando la alerta de la conexión.

Figura 1: Certificado falso usado para firmar el dominio iCloud.com en China.

Una vez que tengan el control de las credenciales, todos los servicios asociados, como por ejemplo backups, servicios de localización o almacenamiento de documentos quedarán bajo supervisión del gobierno. Si viajas a China, ten mucho cuidado con dónde te conectas que ya ves cómo las gastan.

lunes, 20 de octubre de 2014

Apple actualiza la guía de seguridad con detalles sobre Apple Pay

iOS Security
Apple ha publicado un PDF de 48 páginas, el cual se titula iOS Security. La fecha de publicación del documento es Octubre de 2014. Sobre este documento ya hemos hablado en Seguridad Apple, pero es interesante ver el nuevo documento por estar al tanto de las novedades que presenta iOS en cuanto a seguridad se refiere. En esta nueva versión podemos identificar el Apple Pay como una novedad muy interesante, y se presenta su arquitectura de seguridad en este documento. 

En otras palabras, este documento será de interés para empresas que implementan un gran número de dispositivos iOS y ver como su arquitectura de seguridad ayuda a mantener un entorno seguro alrededor de dicha tecnología. ¿Qué hay de nuevo? El Apple Pay. A partir de la página 24 se describe como es el Apple Pay y como ha sido implementado. Como ejemplo, podemos visualizar la sección de authorization para el pago:
La comunicación entre el Secure Enclave y el Secure Element se realiza a través de una interfaz en serie, con el elemento seguro conectado al controlador NFC, que a su vez está conectado al procesador de aplicaciones. A pesar de que no está conectada directamente, el elemento enclave y el elemento seguro puede comunicarse de forma segura usando una clave de emparejamiento compartida que se solicita durante el proceso de fabricación. La clave de emparejamiento se transfiere de forma segura desde el enclave seguro a un módulo de seguridad de hardware.  El cifrado y la autenticación de la comunicación se basa en AES.
Figura 1: Apple Pay en la Guía de iOS Security

Las explicaciones de Apple en el documento y la descripción de los detalles sobre el funcionamiento del Apple Pay se realizan para indicar que la seguridad del iPhone no puede verse comprometida durante la fabricación.

domingo, 19 de octubre de 2014

Apple iTunes 12.0.1 soluciona 83 fallos de seguridad

Además de todas las actualizaciones de OS X que os contamos ayer referentes al ya famoso "bug del caniche", Apple también se tuvo que ocupar de los bugs de Apple iTunes y ha publicado la versión 12.0.1 en la que se solucionan un total de 83 bugs de seguridad, lo que la convierte en una actualización de seguridad de las gordas. Muchos de esos bugs provienen de WebKit que este tiempo atrás ha tenido una actualización masiva de seguridad. Google Chrome lo sufrió en sus carnes al poner en circulación la versión 38 con 159 bugs de seguridad.

La lista completa de los 83 CVE que se corrigen en Apple iTunes 12.0.1 está disponible en el Security Advisory APPLE-SA-2014-10-16-6 iTunes 12.0.1, donde puedes ver también el crédito de los descubridores.

Figura 1: Security Advisory de Apple iTunes 12.0.1

La nueva versión está disponible vía Software Updates o vía Mac App Store, así que aprovecha el fin de semana para dejar listo tu sistema operativo OS X o Windows con todo el software actualizado.

sábado, 18 de octubre de 2014

Apple parchea Poodle en OS X, incluido Yosemite

Esta vez Apple, aprovechando que tenía el evento de presentación de los nuevos productos, se ha dado prisa en actualizar Poodle, así que ha lanzado nuevas versiones y los correspondientes Security Advisories para que los clientes podamos actualizar el software y erradicar este bug de los sistemas.

Figura 1: CVE de Poodle en los Security Advisories de Apple

Esta es la lista completa de los Security Advisories que Apple ha publicado, así que toma nota y actualiza ya tu software:
- APPLE-SA-2014-10-16-5 OS X Server v2.2.5: Arregla solo el CVE-2014-3566 correspondiente a Poodle.
- APPLE-SA-2014-10-16-4 OS X Server v3.2.2: Arregla solo el CVE-2014-3566 correspondiente a Poodle.
- APPLE-SA-2014-10-16-3 OS X Server v4.0: Arregla Poodle y 17 CVEs de seguridad más.
- APPLE-SA-2014-10-16-2 Security Update 2014-005: Actualización para OS X aplicable a OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5 que arregla única y exclusivamente Poodle.
- APPLE-SA-2014-10-16-1 OS X Yosemite v10.10: La actualización de OS X Yosemite 10.10 viene con un total de 86 bugs de seguridad resueltos, incluido, como no, Poodle.
Esta es la lista de Security Advisories que han salido afectando a Poodle. Ahora tú debes actualizar tu software, al igual que Apple debe preocuparse por los posibles bugs de Poodle que afectan a su infraestructura que también se ha visto afectada.

viernes, 17 de octubre de 2014

Microsoft lanza un nuevo parche para Office 2011 for Mac

Microsoft ha lanzado Office 2011 para Mac, en su versión 14.4.5, la cual proporciona al usuario correcciones de errores críticos y mejoras de seguridad. Ahora el usuario puede descargar el parche de 113 MB desde el sitio web del mismo Microsoft. La actualización se recomienda para todos los usuarios de Office 2011, que es la versión más reciente de la suite de productividad ofimática para los sistemas OS X.

Si eres usuario de Microsoft AutoUpdate recibirás a través de esta herramienta el aviso con toda la información, tal y como se puede ver en la siguiente imagen:

Figura 1: Actualización de Office 2011 for OS X 14.4.5

A continuación podemos visualizar qué cosas podemos encontrarnos: "Esta actualización soluciona problemas críticos y también ayuda a mejorar la seguridad, incluyendo para ello revisiones para evitar que un atacante pueda sobreescribir la memoria del equipo con código propio. En otras palabras, se evita la ejecución de código arbitrario."

jueves, 16 de octubre de 2014

Sigue el Security Innovation Day 2014 de Eleven Paths por Streaming

Ha llegado el día, ElevenPaths anunciará sus novedades en las que hemos ido trabajando. Tal y como podemos ver en la Agenda publicada para el evento, a partir de las 15.00 horario local de España podremos disfrutar de:
  • Security NEEDS Innovation
  • Document protection technologies to prevent identity theft
  • Mobile authentication
  • New trends in cyber attacks
  • Codename Path 5
Figura 1: Security Meets Innovation
El evento podrá seguirse vía Streaming a través de la web oficial del evento. Además, os dejamos el hashtag #SID2014 para que podáis seguir todos los comentarios que en Twitter se vayan haciendo sobre la keynote.

miércoles, 15 de octubre de 2014

Disponible Latch for iOS 1.5 con soporte de Touch ID

Esta semana, como parte de los preparativos del Security Innovation Day 2014 que podréis seguir por streaming o por Twitter mediante el hashtag #SID2014 se ha publicado la nueva versión de Latch for iOS en su versión 1.5.0. En esta nueva release se han implementado nuevas funcionalidades que aumentan las posibilidades de la herramienta tanto para los usuarios como para los desarrolladores que la implementen en sus sistemas. Las novedades de Latch abarcan todos los aspectos de la herramienta a nivel usuario y a nivel empresa.A continuación se enumera un resumen de las mejoras que la nueva versión de la app proporciona al usuario.

  • Posibilidad de reordenar y renombrar los servicios y operaciones que tengamos dados de alta en la aplicación.
  • Autobloqueo por uso.
  • El proveedor del servicio puede deshabilitar la utilización de contraseñas de un solo uso
  • Touch ID disponible para autenticarnos en la cuenta de Latch y poder gestionar tanto cuentas de servicios como operaciones.
Reordenar y Renombrar Servicios en la app de Latch

La posibilidad de reordenar y renombrar servicios ayudará a que el usuario tenga un control de gestión en Latch. Esta funcionalidad permite que el usuario pueda identificar y configurar sus servicios más críticos por orden dentro de la aplicación. Como se puede ver en la imagen, simplemente con pulsar sobre el título de la app o de la operación se puede renombrar.

Figura 1: Personalización de un servicio
Autobloqueo por Uso

El autobloqueo por uso permite al usuario activar Latch, una vez que se ha entrado a la sesión. En otras palabras, si indicamos que una cuenta u operación tenga autobloqueo por uso, cuando entremos con nuestro usuario y contraseña, automáticamente la cuenta se bloqueará, para que cuando salgamos de la sesión, nuestra identidad digital quede protegida.

Figura 2: Autobloqueo por uso

El Touch ID en Latch para iOS 8

En esta nueva versión se ha añadido la posibilidad de acceder a las cuentas de Latch a través del Touch ID de iOS 8. Esto lo podemos utilizar como segundo factor, ante la ausencia de un passcode en el terminal iOS. Para habilitar esta funcionalidad dentro de la cuenta de Latch accedemos a las opciones en la parte derecha superior. En la parte de configuración podemos visualizar diferentes opciones, entre ellas  la posibilidad de habilitar el Touch ID.

Figura 3: Configuración del Touch ID
Cuando el usuario cierra la aplicación y vuelve a entrar puede introducir usuario y contraseña, o utilizar Touch ID. Esto lo podrá realizar cuando se le indique al usuario que puede llevar a cabo esta acción con el mensaje que se puede ver en la siguiente imagen.

Figura 4: Touch ID solicitado en Latch para iOS

Para obtener la nueva versión de Latch para iOS se puede realizar a través de la App Store. Más novedades en el evento del día 16 de Octubre que Eleven Paths llevará a cabo denominado Security Innovation Day.  Nota, también está disponible la nueva versión de Latch para BlackBerry.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares