Hoy toca realizar el primer repaso del año, aunque como sabéis la mayoría de los artículos fueron publicados aún en el pasado 2014. Como siempre, vamos a intentar recoger en este post no solo todo lo que hemos publicado en nuestro sitios, sino una lista de referencias a artículos que por su interés no debéis perderos bajo ningún concepto.
Comenzamos este resumen pues, con lo que acaecido por aquí a finales del mes de Diciembre del ya olvidado año 2014. Allá, en el lunes 22 de Diciembre os informamos de que se había publicado la versión beta para beta testers de OS X Yosemite 10.10.2, disponible para descarga ya en la web de Apple.
El martes de esa semana, Apple sacaba fuera de ciclo un hotfix de emergencia para el servicio NTP (Network Time Protocol) debido a que un bug permitía la ejecución remota de código arbitrario en todos los sistemas operativos. El parche fue distribuido para todas las versiones con soporte de OS X.
 |
| Phishing de Navidad |
El día de Noche Buena, os anticipamos la noticia de la presentación que se iba a dar en el Chaos Computer Club sobre cómo meter un bootkit en un equipo Mac a través del puerto Thunderbolt con el que vienen todos los equipos Apple. Una semana después se desvelaría.
En el día de Navidad nos paramos a ver cómo estaba funcionando una nueva estafa de Phishing de Apple ID que se estaba distribuyendo a través de spam.
El 26 de Diciembre os publicamos una Prueba de Concepto que habíamos realizado en Eleven Paths. En este caso la explotación de un bug de ShellShock a través de la navegación de un terminal iPhone por las páginas de un servidor web malicioso. Es decir, un empleado navega con su iPhone desde la red de la empresa por la web del atacante, y el servidor web consigue explotar ShellShock en un servidor interno de la empresa no publicado a Internet.
 |
| Investigador recrea huella dactilar |
Para el 27 y 28 de Diciembre de este año hicimos un recorrido por los mejores artículos publicados durante este año en dos tandas, Enero a Junio y Julio a Diciembre. También hicimos un pequeño repaso a lo sucedido en 2014 en seguridad y tecnologías Apple.
El día siguiente tuvimos la presentación en el CCC sobre cómo un investigador había sido capaz de falsificar la huella dactilar de la Ministra de Defensa de Alemania solo con sacarla de una foto. El problema de la biometría es que si se pierde una vez, se pierde para siempre.
El penúltimo día del año le dedicamos la entrada a los riesgos que puede tener una persona al comprar un equipo MacBook o iMac de segunda mano, ya que si proviene de un hurto, puede estar denunciado a Apple y a la Policía y el uso de ese equipo no pueda realizarse si viene bloqueado, ni llevándolo a un servicio técnico oficial.
 |
| Feliz 2015 |
Para Nochevieja contamos ya con la publicación de los detalles de Thunderstrike, el sistema que permite meter un Bootkit en un Mac a través del puerto Thunderbolt. En la prueba de concepto fueron capaces de cambiar las claves públicas del firmware de los Mac.
El día de Año Nuevo decidimos descansar, así que solo os dejamos una pequeña felicitación de 2015 para todos los lectores.
El 2 de Enero de 2015 la entrada se la dedicamos a los riesgos de conectar un terminal iPhone o iPad con jailbreak a un equipo con Windows o con OS X que no esté bien cuidado, ya que cualquier malware instalado en ellos podría infectar todo tu terminal, como ya hemos visto en el pasado.
Por último, ayer 3 de Enero la noticia fuer para iDictPy, una herramienta para hacer ataques de diccionario a servidores de autenticación de Apple con el objeto de sacar la contraseña de la cuenta, así que hay que tomar medidas.
Hasta aquí todo lo que publicamos en nuestro blog, pero como es tradición, os seleccionamos una pequeña lista de artículos de otros blogs para que estéis bien informados. Estas son nuestras recomendaciones de este primer resumen.
- Publicados los vídeos de CCC 31: Ya están disponibles todos los vídeos de las conferencias de esta edición del Chaos Computer Congress. Nuestros amigos de Cyberhades los han recuperado todos.
- En las Apps de Android en Google Play hay hasta usuarios: Ya se ha hablado veces anteriormente de qué tipo de información es posible extraer de las apps publicadas en Android. En esta ocasión enlaces a localhost, dropbox y hasta a ficheros con contraseñas.
- Lista de ataques y brechas de seguridad del 2014: En hackplayers han recapitulado los principales ataques, mes a mes, que se han producido durante el año 2014.
- Desde el 1 de Enero Facebook no es un lugar para amigos, sino para la NSA: Cada vez Facebook está recopilando más y más información de los dispositivos en los que está instalado. Cuidado con él.
- Cómo te pueden espiar por Telegram: No es todo tan seguro como parece, y aquí hay algunas formas de espiar Telegram.
- Apple Recibe demanda por disminuir espacio en los iPhone de 16 GB con iOS 8: Según los demandantes, con la llegada de iOS 8 el espacio ha disminuido con el objeto de vender Apple iCloud.
- Espiar WhatsApp está penado con la cárcel: Artículo en ADSLZone que informa a sus lectores de las consecuencias legales que tiene el querer espiar WhasApp.
- Latch compatible con WordPress 4.1 y con Joomla 3.3.6: Desde el equipo de QA de Eleven Paths se han probado los plugins para estas nuevas versiones de WordPress y Joomla.
- Cuando la guía de usuario de Apple lo explicaba todo: Curioso artículo con aire retro en el que se hace un repaso a la antigua guía de usuario de un Mac en donde se puede ver todo explicado. Hoy en día es impensable.
- Descubriendo el Backdoor para obtener WiFi gratis: Curioso ejemplo de cómo conseguir WiFi gratis en un hotel, algo que muchos miran antes de decidirse a pagar.
Y hasta aquí fue todo. Os esperamos ver en esta misma sección dentro de dos semanas y cada día en los artículos que os traemos en Seguridad Apple. Que disfrutéis mucho este año que ya arranca.
No hay comentarios:
Publicar un comentario