Menú principal

sábado, 31 de octubre de 2015

Internet of Things Day: Hackaton con Latch & IoT @Madrid

IoT Day
El próximo 19 de Noviembre OpenBank organiza un hackathon dónde los participantes podrán presentar prototipos e ideas innovadoras sobre nuevas tecnologías y el Internet de las Cosas. En las bases legales del concurso se indica que hay 4 áreas temáticas en las que participar que son la seguridad y autentificación de usuarios y cuentas, IoT, servicios financieros y gamificación. Además, los participantes pueden hacerlo de forma individual o en grupo. El premio para el ganador de la categoría individual son 3.000 euros y 1 Smartwatch Samsung, mientras que para la categoría de grupo son 3.000 euros, viaje a Londres para dos personas dónde realizarán actividades de formación e irán al evento Finovate

En este evento celebrado en Madrid con el apoyo de diferentes empresas entre las que se encuentran Telefónica y Eleven Paths se contará con la participación de Chema Alonso, Tomasso Canonici, Roberto Espinosa y Sergio Cortés.  Además, nuestro compañero de Eleven Paths Jorge Rivera, autor de las integraciones de Latch con un timbre usando Arduino y de Latch con un cerrojo físico, dará un taller para integrar Latch con otros dispositivos, como por ejemplo los smartgrids.

Figura 1: Ponentes del Internet of Things Day

Con lo que se verá en el taller y con vuestras ideas desarrolladas durante el hackaton de IoT os animamos a que participéis también en el concurso de plugins de Latch de 2015, dónde podréis ganar enormes premios y conseguir que vuestros proyectos ayuden a mejorar la seguridad en Internet. Os animamos a que participéis en la Comunidad de Eleven Paths en la que podrás interactuar con profesionales de la Seguridad de la Información.

viernes, 30 de octubre de 2015

Las aplicaciones de Apple líderes en bugs para Windows

Apple ha superado a Oracle como fabricante de aplicaciones con mayor índice de vulnerabilidades según refleja la firma de seguridad Secunia. En el informe trimestral de 2015 la firma de seguridad ha recopilado datos desoladores en cuanto a las versiones de las aplicaciones de Apple que se ejecutan en los PC. Las aplicaciones son antiguas, sin parches instalados y versiones sin soporte. Esto presenta un grave problema para el usuario y los sistemas en general.

En el informe reportado por Secunia se indica que los PC están plagados de aplicaciones vulnerables sin parches de fabricantes como Apple, Adobe y Oracle. Históricamente Java suele ser el líder de las aplicaciones con más vulnerabilidades. Sin embargo, Apple ha superado a Oracle y ha comenzado a liderar la lista durante los últimos tres meses. En ese tiempo ha habido 18 vulnerabilidades en Apple QuickTime 7 en el momento del estudio.

Figura 1: Resumen de datos de bugs en PC hecho por Secunia

En el informe de Secunia se muestra que una de cada 20 aplicaciones están al final de su vida o soporte. El 12 por ciento de los sistemas Windows se encuentran sin parchear y, por primera vez, Java no encabeza la lista de programas más expuesto o con mayor número de vulnerabilidades. Esta vez es Apple quien lidera la lista. Es difícil encontrar a los culpables en este tema, pero parece que entre la no concienciación de los usuarios y la dejadez de los desarrolladores y empresas para parchear es el problema. En el informe se calcula que el 5,5 por ciento de aplicaciones de PC han dejado de existir a los ojos de los desarrolladores. 

Los atacantes se benefician de la insuficiencia de los usuarios al desinstalar aplicaciones que no tienen soporte y se encuentran en el final de su vida. Demasiados usuarios instalan y olvidan. El mantenimiento del software no es algo importante en las prioridades del usuario medio, que tiende a instalar cualquier aplicación que necesita en un momento dado y dejarla en el olvido.

jueves, 29 de octubre de 2015

Pangu Jailbreak para iOS 9 está disponible para OS X

Hace unas semanas que salió el Jailbreak para iOS 9, aunque el binario era solo para sistemas Windows. Finalmente el equipo de Pangu ha publicado la versión del Jailbreak para los sistemas OS X. Esta vez tan solo ha habido que esperar un par de semanas para disponer del binario para sistemas OS X. Al igual que en la versión para sistemas Windows la aplicación puede hacer Jailbreak a cualquier dispositivo iPhone, iPad o iPod Touch con iOS 9 a 9.0.2.  La versión de iOS 9.1 se encuentra fuera de este Jailbreak, por lo que si actualiza su dispositivo a esta versión perderá la posibilidad de realizar el Jailbreak de momento.

Los enlaces de descarga pueden ser encontrados en el sitio web de Pangu. Es totalmente recomendable que antes de realizar el Jailbreak se haga una copia de seguridad completa del dispositivo iOS, ya que si algo va mal se podrían perder datos. Después de realizar el Jailbreak hay que tener en cuenta la comprobación de los ajustes para que sean compatibles con iOS 9.

Figura 1: Jailbreak de iOS 9 en OS X

También comentar que muchos tweaks de Cydia están teniendo problemas con el paso al nuevo sistema operativo de Apple. Tal y como ha ocurrido con las aplicaciones de la AppStore en las que muchas han tenido que ser actualizadas para ser compatibles con iOS 9.

miércoles, 28 de octubre de 2015

Apple ofrece Carrier Billing en Alemania con Telefónica

Apple ha decidido, por primera vez desde que iTunes Store fuera lanzado allá por 2003, añadir una nueva forma para que los clientes puedan realizar compras sin necesidad de utilizar una tarjeta de crédito, de débito o una tarjeta de regalo de iTunes. A partir de ahora gracias a un acuerdo con Telefónica, por medio de O2 en Alemania, podrá ser vinculada con el cliente y realizar el pago a través de la operadora usando lo que se conoce como "Carrier Billing". En otras palabras, el cliente podrá vincular un número de teléfono a su cuenta y las compras serán facturadas a través de dicha cuenta.

El nuevo método de pago permite a los millones de clientes pagar por aplicaciones, canciones, series, películas, iBooks y otros contenidos de iTunes sin necesidad de introducir la tarjeta de crédito o débito.  En su lugar, se añaden las compras a cuenta de la línea telefónica del usuario, recibiendo los gastos en su cuenta a final de mes, o cuando el usuario pague la factura telefónica.

Figura 1: Configuración de la nueva forma de pago con O2 en Alemania

Los clientes sin contrato pueden tener compras mediante el uso de una cantidad prepago aplicada al dispositivo. La empresa Telefónica confirmó que está trabajando en la facturación del operador con Apple. El pago a través de la factura telefónica en O2 está disponible para Apple Music, iTunes, AppStore e iBooks Store. El servicio se está implementando gradualmente y estará disponible para todos los clientes de O2 en Alemania a principios de Noviembre de 2015.

martes, 27 de octubre de 2015

"Oye Siri" deja de escuchar si das la vuelta al iPhone 6s

Mucha ha sido la controversia con el servicio "Oye Siri" lanzado en iOS 9, pero apoyándose en los sensores de proximidad que traen los iPhone 6s, el sistema operativo es capaz de detectar que el terminal ha sido dado la vuelta en la mesa. Como cuando lo pones para que nadie pueda ver ninguna información en la pantalla que te pueda llegar. Esta es una costumbre de privacidad cada vez más extendida entre los usuarios de smartphone que evitan que nadie vea mensajes o llamadas de sus contactos.

Figura 1: Sensor de Proximidad en iPhone 6s

Pues bien, si se hace esto con un iPhone 6s, la pantalla se puede apagar - ya que detecta que no hay nadie mirando -, pero al mismo tiempo los ingenieros de Apple han decidido tomar ese gesto como que no se desea que el servicio "Oye, Siri" siga escuchando las conversaciones que se produzcan a su alrededor.

Figura 2: Configuración de "Oye Siri" en iOS 9

Recordad, que para que Siri sepa que te diriges a él con un "Oye Siri", debe estar escuchando constantemente, aunque se almacene localmente, y el micrófono seguiría funcionando.

lunes, 26 de octubre de 2015

Apple patenta un protector de pantalla retráctil para iPhone

El pasado 22 de Octubre salió a la luz una nueva patente presentada por Apple en la que propone añadir un dispositivo de protección físico retráctil a las pantallas de su terminales iPhone - en principio, aunque se supone que esto también podría ser válido para el resto de dispositivos como iPod Touch, Apple Watch o iPad - que estaría dentro del terminal y saldría para proteger la pantalla cuando no se esté utilizando. La patente está descrita en el documento Active Screen Protection for Electronic Devices y en ella se explica que el funcionamiento es totalmente retráctil.

No se espera que a corto plazo Apple pretenda añadir este tipo de elementos de seguridad a las pantallas de los terminales, pero no deja de ser curioso ver este invento de seguridad física dentro las patentes solicitadas por la compañía.

Figura 1: Patente que describe la invención

Figura 2: Descripción del funcionamiento retráctil del protector

Parece más una patente defensiva que busca proteger cualquier evolución que se pueda hacer en el futuro con materiales, tales como pantallas flexibles que permitan cosas como sean enrolladas y guardadas dentro del smartphone. No obstante, no deja de ser curioso.

domingo, 25 de octubre de 2015

Fue Noticia en Seguridad Apple: del 12 al 25 de Octubre

Son ya dos semanas desde el último Fue Noticia, así que ha llegado el momento de echar el freno -temporalmente- y recapitular. Como solemos hacer en Seguridad Apple, este domingo os ofrecemos el mejor resumen de los posts publicados en el blog durante los últimos quince días, y una selección de las noticias más relevantes aparecidas en otros sitios.
El lunes 12 comenzamos con la noticia del bug bounty publicado por Zerodium en busca de una herramienta para hacer jailbreak de dispositivos con iOS 9.

Al día siguiente os hablamos de una nueva campaña de phishing para robar cuentas de iCloud, dirigida a usuarios con dispositivos que hacen uso de Activation Lock.

A mitad de semana os explicamos cómo el juez federal de Brooklyn ha revocado la sentencia que obligaba a Apple a desactivar el cifrado en un dispositivo incautado por el gobierno.

La noticia del jueves fue que Pangu liberó un Jailbreak Untethered para iOS 9 y 9.0.2, de momento solo disponible en forma de binario para sistemas operativos Windows.


El viernes os resumimos una charla que tuvo lugar en la JAMF Nation User Conference de Minneapolis, centrada en el modelo de defensa en profundidad y seguridad por capas, poniendo énfasis en hardening de OS X El Capitán.

Comenzamos el fin de semana con una actualización de Apple que corregía cuatro CVEs críticos que afectaban a Pages, Numbers y Keynote tanto en OS X como en iOS, y que permitían la ejecución arbitraria de código.

Cerramos la semana con el interesantísimo hack que dos investigadores franceses del ANSSI han presentado, con el cual es posible realizar una inyección de comandos de voz en Siri mediante una pequeña antena portátil.

El lunes 19 os presentamos el nuevo Latch Plugin Contest 2015, un concurso que busca el mejor hack para Latch con un premio de 5000 $ en BitCoins. Además, os recordamos la posibilidad hacks de Latch como trabajo de fin de máster.

Al día siguiente os detallamos el nuevo parche para Office for Mac 2011 que ha publicado Apple, solucionando 2 CVEs de criticidad alta que permitían la ejecución de código arbitrario en las máquinas de los usuarios.

La retirada de más de 250 apps de la AppStore por robo de datos, tal y como se indica en un estudio de Ars Technica,  fue la noticia que centró nuestra atención el miércoles.

La actualización de iOS 9.1 acaparó nuestra atención el jueves, ya que soluciona la nada desdeñable cifra de 49 bugs de seguridad, y desgraciadamente, deja inhabilitado el jailbreak de Pangu del que os hablamos con anterioridad.

Cerramos la semana laboral con nuevas actualizaciones de seguridad, concretamente las versiones OS X El Capitan 10.11.1, Apple Safari 9.0.1 y Apple iTunes 12.3.1, además del nuevo Security Update 2015-007, que cierran un total de 81 bugs.

Y para terminar, las últimas actualizaciones de la semana con 19 bugs repartidos entre Watch OS 2.0.1, XCode 7.1, OS X Server 5.0.15 y Mac EFI Security Update 2015-007, para que tengas tu equipo al día completamente.

Como es habitual, además de lo publicado, os traemos una lista de noticias publicadas en otros blogs, para que podáis tener toda la información de este periodo condensada en una única lectura. Estas son las que he os hemos seleccionado.
- Cómo relacionar las familias de adware en Android: Una investigación realizada por Eleven Paths ha demostrado cómo varias familias de malware descubiertas por diferentes casas de seguridad son realmente creadas por los mismos cibercriminales. En este estudio se pueden ver las pistas que los relacionan. 
- Oracle actualiza Java... y mucho más: En total 154 bugs han sido corregidos por Oracle, así que si tienes Java en tu OS X no te olvides de ir al panel de control de Java y actualizar, que ya la tendrás allí disponible.
Figura: Actualización de Oracle Java 8 Update 64 build 17 para OS X El Capitan
- Todo el Security Innovation Day 2015 en vídeo: Ya están subidas todas las conferencias del Security Innovation Day 2015 en vídeo, para que puedas verlas online en cualquier momento. 
- Vídeo tutoriales de Metasploit: En Cyberhades nos traen una selección de vídeo-tutoriales para aprender a sacarle partido a Metasploit. Anótatelo. 
- La estafa del Millón de dólares en tarjetas Apple regalo: Un empleado de Apple Store creo 1M de USD en tarjetas fraudulentas de Apple Gift. Después, esas tarjetas regalo fueron usadas a lo largo del tiempo pero ya habían sido marcadas como fraudulentas. 
- Apple culpable en el juicio de patentes por A7: Al final, Apple ha sido declarada culpable y deberá pagar 234 MUSD por infringir patentes en la construcción de su chip A7. 
- Tu próximo Mac podría traer Touch ID: Todo apunta a que esto será así, pero cada día aparecen nuevas pruebas que confirman este camino. 
- Controlar los accesos a todas tus identidades: Con la nueva característica de Log & Stats de Latch se tiene un control fantástico de todo lo sucedido con tus identidades mientras que han estado protegidas por Latch. Recupera el control
Y esto fue todo. Os esperamos ver dentro de dos semanas en esta misma sección y cada día, como es habitual, en los artículos que publicamos en Seguridad Apple. Que tengáis un gran domingo.

sábado, 24 de octubre de 2015

Y las últimas actualizaciones: WatchOS 2.0.1, OS X Server 5.0.15, XCode 7.0.1 & Mac EFI Security Update 2015-007

Y hoy terminamos por fin con las últimas actualizaciones que Apple puso en circulación la semana pasada, y que deberás instalar si quieres corregir todos los bugs que arreglan, que son muchos y de severidad crítica. Para hacerte corto el proceso te hemos recopilado en una sola lista los Security Advisories junto con la lista total de CVEs que son solucionados en cada una de las actualizaciones, así que toma nota y ponte en serio a actualizar tu software:
- Apple Watch OS 2.0.1: Se solucionan 14 CVEs
- OS X Server 5.0.15: Se corrigen 3 CVEs
- Apple XCode 7.1: Se corrige un bug
- Mac EFI Security Update 2015-007: Se corrige 1 CVE de seguridad
En total se arreglan en estos cuatro Security Advisories un total de 19 vulnerabilidades, así que si quieres dejar en las últimas versiones todos tus programas de Apple, debes instalar las updates ya mismo.

viernes, 23 de octubre de 2015

OS X El Capitan 10.11.1, Security Update 2015-007, Apple Safari 9.0.1 y Apple iTunes 12.3.1 suman 81 bugs

Apple esta semana ha lanzado al mercado una buena cantidad de actualizaciones de seguridad, y si tienes la última versión de OS X en tu Mac, debes ponerte todas las que te afectan, que son varias. Hoy os traemos las que tienen que ver con OS X El Capitan, que llega a us versión 10.11.1 arreglando un total de 60 CVEs de seguridad, muchos de ellos de severidad crítica. Para las versiones anteriores de OS X se ha puesto en circulación la Security Update 2015-007 que trae los parches para OS X Yosemite y OS X Mavericks. Recordad que los sistemas anteriores ya están sin soporte. Todos los bugs los tienes descriptos en le Security Advisory asociado.

Figura 1: Security Advisory de OS X El Capitan 10.11.1 & Security Update 2015-007

También Apple ha actualizado Apple Safari 9.0.1 con un total de 9 CVEs de seguridad de severidad crítica, así que hay que actualizar lo antes posible. La lista de bugs corregidos está descrita en el siguiente Security Advisory:

Figura 2: Security Advisory de Apple Safari 9.0.1

Por último Apple iTunes también viene en su nueva versión con bugs de seguridad. Un total de 12 CVEs han sido corregidos en la nueva versión en el mercado Apple iTunes 12.3.1, que ya tienes disponible vía Mac App Store.

Figura 3: Security Advisory de Apple iTunes 12.3.1

Aún ha puesto Apple más actualizaciones de seguridad, así que este fin de semana te traeremos la lista completa para que puedas dejar todos tus sistemas al día. La verdad es que esta forma de actualizar todo el software de Apple al mismo tiempo nos hace trabajar, pero hay que tener los sistemas protegidos y al día.

jueves, 22 de octubre de 2015

iOS 9.1 soluciona 49 bugs de seguridad y cierra Jailbreak

Ayer puso Apple en circulación la nueva versión de iOS 9.1, junto con un ingente conjunto de actualizaciones de seguridad para otros productos de la compañía. En concreto, con esta release 9.1 Apple ha resuelto un total de 49 bugs de seguridad, que son un buen número teniendo en cuenta que hace no mucho teníamos las últimas versiones de 9.0.1 y 9.0.2. La enumeración completa de los bugs que han sido resueltos está descrita en el Security Advisory de iOS 9 que ha sido publicado en todas las listas de seguridad.

Entre los fallos que se han solucionado se encuentran los que utilizaba la última versión de Pangu para hacer untethered jailbreak, así que en el momento en que actualices a esta versión ya no se podrá realizar jailbreak al dispositivo.

Figura 1: Apple Security Advisory de iOS 9.1


Si no tienes intención de hacer un jailbreak a tu dispositivo, nuestra recomendación es que, como siempre, actualices lo antes posible pues si nadie puede hacer el jailbreak, tampoco un malware que se vaya a utilizar en un ataque dirigido.

miércoles, 21 de octubre de 2015

Apple quita más de 250 apps de AppStore por robo datos

Según se ha publicado en Ars Technica, un grupo de investigadores de seguridad ha sido capaz de localizar hasta 256 apps que ya han sido eliminadas de AppStore por Apple que estaban robando datos de los terminales en que se instalaban. Esto es debido a un SDK de publicidad que estaba siendo usado por todas estas apps y que los desarrolladores incluían con el objeto de conseguir monetizar sus aplicaciones, pero realmente estaban ayudando a que se llevaran muchos más datos de los que el usuario que la instalaba conocía antes de proceder a su descarga.

Este grupo de investigadores ha reportado que el SDK de publicidad se estaba llevando de cada dispositivo en que se instalaba una app que lo incluía:
- La lista de todas las apps instaladas en el dispositivo
- El número de serie de iPhone o iPad en dispositivos con versión antigua de iOS
(Las nuevas ya no permiten acceder fácilmente a esta información)
- La lista de componentes hardware y dispositivos si tenía una versión actual de iOS
- La cuenta de Apple ID asociada a este dispositivo
Figura 1: Artículo de Ars Technica que recoge el caso

Al final, este SDK estaba haciendo una base de datos de cuentas de Apple ID asociadas a dispositivos sin que los usuarios lo conocieran, lo que ha llevado a que se retiren todas las apps de AppStore. Entre la lista de apps afectadas por este SDK se encuentra la app oficial de McDonalds en chino, pero no se ha publicado la lista completa de apps

martes, 20 de octubre de 2015

Office for Mac 2011 parchea 2 CVE críticos de seguridad

Esta semana pasada Microsoft lanzó el Security Advisory MS15-110: Security update for Office for Mac 2011 donde se solucionan dos CVE de nivel de severidad crítico. Ambos bugs son producidos por bugs de Use-After-Free que permiten a un atacante ejecutar código arbitrario en la máquina vulnerable por medio de ficheros maliciosos. Las vulnerabilidades tienen los códigos CVE-2015-2555 y CVE-2015-2558 y afectan a todas las versiones de la aplicación Excel.

Figura 1: MS Office for Mac 2011 14.5.7 Update a través de Microsoft Autoupdate

Como de puede ver, para los usuarios de Mac la actualización se está sirviendo ya a través de Microsoft Update, donde se proporciona la nueva versión 14.5.7. Se recomienda actualizar lo antes posible para evitar estos fallos de seguridad.

lunes, 19 de octubre de 2015

5.000 $ en BitCoins con un Hack para Latch en tu Watch

La última vez que hablamos de Latch para Apple Watch aún no estaba aprobada la app en la AppStore, pero desde hace un par de días la app ya está disponible para que desde tu Apple Watch puedas controlar los estados de latches de tus identidades digitales, además de para recibir en tiempo real en él todas las alertas de seguridad. Como sabes, en la nueva versión de Latch para iPhone hemos añadido nuevas características de Renombrar, Agrupar, Silencia y Logs&Stats que puedes utilizar a tu antojo para hacerte la experiencia mucho más gratificante con Latch.
Pero lo importante es que si eres desarrollador, tienes un Proyecto de Fin de Carrera o Fin de Master que realizar, estás buscando cómo conseguir un portfolio de trabajos que sean tu entrada al mundo laboral, o directamente quieres ganarte hasta 5.000 USD en BitCoins, puedes participar desde ya en el Latch Plugin Contest 2015

Figura 2: Latch Plugin Contest '15

El objetivo no es otro que premiar a los mejores Hacks & Plugins que se realicen con Latch, al igual que se hizo el año anterior. Puedes hacer lo que se te ocurra, sacando partido de todas las características que nosotros hemos puesto en nuestra plataforma Latch a tu disposición. 


Si quieres debatir, preguntar, obtener ayuda de nuestros ingenieros, etcétera, puedes además hacer uso de nuestra Comunidad de Eleven Paths, donde vamos recogiendo todos los temas que pueden ser de interés para ti. El objetivo es centralizar toda la información sobre Latch y las tecnologías de nuestra empresa en un solo punto, así que puedes sacarte una cuenta y tener un contacto directo con nosotros. Y sí, le puedes poner Latch a tu cuenta de nuestra comunidad.

domingo, 18 de octubre de 2015

Tú no me oyes pero sí lo hace Siri. Hackear iPhone con RF

Esta semana la noticia sobre seguridad en dispositivos iPhone e iPad ha sido sin duda el inteligente hack que han publicado los investigadores Jose Lopes Esteves y Chaouki Kasmi de la agencia de seguridad informática de Francia ANSSI en el que han demostrado cómo es posible controlar remotamente un iPhone o iPad a través de tus cascos. El escenario es muy curioso, pero lo cierto que sorprende por lo imaginativo, ya que se puede hacer, por ejemplo, que un terminal iPhone que tiene activado Siri y conectados los cascos, realice una llamada al atacante o lea los correos electrónicos que está recibiendo.

Para ello, los atacantes utilizan una antena que emite señales de Radio Frecuencia (RF) que están enviadas directamente a los cascos conectados al terminal iPhone. La señal que emite son comandos de voz para Siri no audibles por nadie, pero que sí se escuchan por los cascos y se transmiten a través de la conexión de audio como si fuera el dueño del terminal hablando a Siri con un "Oye, Siri."

Figura 1: Conferencia de You don´t hear me but your phone's voice interface does

El resto, ya os lo podéis imaginar, desde enviar correos electrónicos, poner alarmas, hacer llamadas, etcétera. Si el terminal está bloqueado el número de acciones que se pueden hacer es menor, pero si está desbloqueado se puede hacer de todo. En la conferencia, que se hizo en la pasada Hack In Paris, podéis ver las demos. Disfrutadla hoy domingo.

sábado, 17 de octubre de 2015

Apple corrige 4 CVE críticos en Pages, Numbers, Keynote para OS X e iWork para iOS

Apple ha sacado un Security Advisory para corregir 4 CVE críticos en las applicaciones de su suite ofimática. En concreto son cuatro bugs que afectan a la versión para iOS de iWork y a las versiones de Pages, Numbers y Keynote para OS X, que han sido publicados en las listas de seguridad de Bugtraq y en las Mailing Lists de Apple.

Figura 1: Security Advisory APPLE-SA-2015-10-15-1

En este Security Advisory alertan de que los bugs pueden ser explotados por medio de archivos maliciosos que al ser abiertos provocan la ejecución arbitraria de código, por lo que pueden ser utilizados por kits de exploits para la distribución de malware vía campañas de spam o forzando su apertura desde enlaces en la web, por lo que es muy importante que, si eres usuario de estas herramientas de Apple, actualices cuanto antes.

viernes, 16 de octubre de 2015

Guía de uso de rootless en OS X El Capitán de JNUC'15

Guía sobre uso de Rootless en OS X
En estas fechas se ha celebrado la JNUC, JAMF Nation User Conference, celebrada en Minneapolis. En una de las charlas se ha presentado una guía basada en el modelo defensa en profundidad. Para los que no estén muy cerca de dicho modelo se refiere a la implementación de distintas capas de seguridad por niveles, yendo desde el nivel físico al nivel de aplicación, pasando previamente por perímetro, red interna y bastionado de servidores. 

En la charla se hace un repaso por una serie de elementos para fortificar o realizar hardening a los sistemas OS X. Los elementos que se trabajan son los que todos vosotros ya conocéis en mayor o menor medida. Desde hablar de Gatekepeer y sus usos y configuraciones hasta hablar de sandboxing, pasando por diferentes permisos POSIX, o la nueva capa de seguridad denominada rootless.  Ya hemos hablado de rootless como una declaración de guerra de Apple contra intenciones de romper sus sistemas. Además, es una de las novedades más importantes respecto a la seguridad de los sistemas OS X.

Figura 1: System Integrity Protection

Una vez que la charla llega al System Integrity Protection y la configuración de rootless se puede ver como las slides son de esta nueva característica. Se detalla la configuración de rootless en la guía y cómo realizar pequeños ejemplos que demuestren el funcionamiento del sistema. Charla y slides recomendadas para que aprendáis más sobre elementos de seguridad en OS X.

jueves, 15 de octubre de 2015

Pangu libera un Jailbreak para versiones de iOS 9 a 9.0.2

La noticia de la semana, y quizá del mes, Pangu ha liberado un Jailbreak Untethered para iOS 9 a 9.0.2. Es decir, hasta la última versión del sistema operativo tendría posibilidad de realizarse el Jailbreak. Muchos usuarios estaban aguantando la versión 8.4 de iOS para mantener su Jailbreak, pero esto ahora no hace falta. La verdad que sorprende que el Jailbreak salga ahora. También comentar que muchos tweaks de Cydia están teniendo problemas con el paso al nuevo sistema operativo de Apple. Tal y como ha ocurrido con las aplicaciones de la AppStore en las que muchas han tenido que ser actualizadas para ser compatibles con iOS 9.

La gente de Pangu solo ha liberado el binario para hacer Jailbreak para el sistema operativo Windows, por lo que los usuarios de OS X tendrán que esperar, como ocurrió en el pasado. Los dispositivos compatibles con Pangu Jailbreak for iOS 9 a 9.02 son los siguientes:
  • iPod Touch.
  • iPhone 4S, iPhone 5, iPhone 5S, iPhone 5C, iPhone 6 e iPhone 6S.
  • iPad mini 2, iPad mini 3, iPad mini 4, iPad, iPad Air e iPad Air 2.
Figura 1: Pangu libera el Jailbreak para iOS

La descarga de la nueva herramienta puede realizarse desde el sitio web oficial de Pangu. Seguro que pronto tenemos nuevas noticias sobre esto, y Apple responde con una nueva actualización con la que cerrar el nuevo camino de la comunidad Jailbreak para realizarlo.

miércoles, 14 de octubre de 2015

Un juzgado declina que Apple deshabilite el cifrado en su dispositivo

Llevamos ya tiempo hablando sobre el cifrado de iOS y los problemas, que por ejemplo, han causado en Nueva York y los casos judiciales sin resolver. Hoy la noticia es otra, un juez federal en Brooklyn niega la orden de que la empresa de Cupertino tenga que desactivar la seguridad en un dispositivo incautado por el gobierno. Según dijo el magistrado James Orenstein el congreso no ha hecho nada que fuerce a Apple de proporcionar la asistencia que el gobierno solicita ahora. 

El magistrado no ha proporcionado detalles sobre la solicitud del pasado jueves, dónde el gobierno solicita que obligue a Apple a ayudar. James Orenstein sólo indicó que el gobierno tenía una orden para confiscar los dispositivos, pero no para poder acceder a la información, y que no se puede obligar a Apple a romper dicha barrera. Lo que queda claro es que hay una ausencia clara de legislación sobre el asunto. Durante meses el gobierno de Obama ha estado lidiando con la cuestión del acceso a la información cifrada en el dispositivo, instando a Apple y Google a construir backdoors en su cifrado con el que los funcionarios puedan acceder a la información.

Figura 1. James Orenstein jurando cargo

Se ha introducido parte de legislación para prohibir exactamente lo que el gobierno está solicitando, y éste hecho es importante, ya que muestra como no hay acuerdo entre las diferentes partes en lo que se refiere al asunto de la privacidad en Estados Unidos. Seguramente no estemos ante el último capítulo de esta serie por lo que seguiremos atentos.

martes, 13 de octubre de 2015

Phishing de iCloud para robar cuentas con Activation Lock

Desde hace unas horas muchos usuarios de Apple están recibiendo algunos correos electrónicos, e incluso algunos SMS, en el que se indica que se ha encontrado su dispositivo iPhone. Los delincuentes pasan al usuario un sitio web para que se introduzcan las credenciales, ya que el dispositivo fue previamente bloqueado por los propietarios del dispositivo con Activation Lock. El objetivo es claro engañar a las personas que han perdido en algún momento su dispositivo y que éstas introduzcan sus credenciales en este tipo de sitios. 

El sitio que se presenta al usuario para localizar su iPhone perdido es el que se puede visualizar en la imagen. Como se puede ver tiene un estilo muy similar al de iCloud, el cual puede hacer sentir al usuario como en casa. El dominio debe hacernos desconfiar, e incluso el método de notificarnos que el dispositivo ha sido encontrado es muy extraño, por lo que de primeras sabemos que se trata de una campaña de phishing. La dirección URL http://iphone-localizar.tk no pertenece a Apple

Figura 1: phishing de iCloud

Analizando un poco lo que hay detrás podemos hacer una pequeña prueba y ver a dónde van los datos que se introducen aquí. Inventándonos datos en el Apple ID y password utilizamos un proxy para comprobar a que dominio se conecta tras el submit. Tal y como puede verse en la imagen siguiente los datos son enviados a un PHP que se encuentra bajo el dominio icloud-lost.com. De nuevo este dominio no es de Apple.

Figura 2: Análisis de envío de datos

Desde Seguridad Apple pedimos que los usuarios tengan mucho cuidado con esta campaña de phishing, ya que está siendo utilizada para desbloquear cuentas de dispositivos robados bien por correo electrónico o incluso por iMessage. De momento navegadores como Chrome o Firefox no están incluyendo estos dominios en los listados de sitios no seguros o de phishing, pero esperamos que ocurra pronto como ya se ha hecho con otros.

lunes, 12 de octubre de 2015

Zerodium: En busca de un JailbreakMe 4.0 para iOS 9

1 Millón de Dólares de Recompensa
A finales de Septiembre, una empresa en busca de darse a conocer como broker en la compra de vulnerabilidades y 0days, publicó un Bug Bounty muy específico para iOS 9. Este reto está dotado de un premio de 1.000.000 de dólares USA a cambio de un exploit funcional que permita sin interacción con el usuario, hacer un jailbreak a un dispositivo iOS 9 actualizado de forma permanente. Es decir, que el exploit debe ser similar a las versiones anteriores de JailbreakMe, en las que con solo entrar en una página web se podría realizar el jailbreak al dispositivo. Hay que decir que desde la aparición de JailbreakMe 3.0 no se ha conseguido ningún jailbreak que funcione de esa forma y todos los que hemos visto se han tratado de herramientas en las que desde el sistema operativo pareado se explotaba alguna función insegura en todo el sistema operativo.

Restringir el exploit a que sea remoto cierra la superficie de exposición a solo el navegador o los mensajes que se reciben vía SMS, iMessage, MMS, etc... Esto hace pensar en la aparición de algún bug tipo StageFright de Android, que permitía realizar exactamente eso. Recordad que al final, JailbreakMe 3.0 se pudo convertir en JailOwnMe para controlar cualquier iPhone no actualizado. El código de JailOwnMe se liberó hace tiempo.

Figura 1: El Bug Bounty de iOS 9 publicado por Zerodium

Si esta compañía consigue este exploit, por 1 Millón de dólares USA, estaría comprando barato hoy día, ya que si decidieran venderlo en privado a un gobierno, el poder hacer una ataque dirigido a un terminal iPhone o iPad concreto sin necesidad de interacción con el usuario, es decir, simplemente con enviarle un mensaje o hacer que visite una web (hay mil formas de hacer esto último), probablemente pagarían mucho más en el escenario actual. No obstante, no será tarea fácil encontrarlo.

domingo, 11 de octubre de 2015

Fue Noticia en Seguridad Apple del 28 de Septiembre al 11 de Octubre

Durante los últimos quince días han sucedido varios acontecimientos de especial relevancia en el mundo de la seguridad informática. Como solemos hacer en Seguridad Apple, llega el momento de ofreceros un escueto pero completo resumen de todas las publicaciones recientes de este blog, así como de otros sitios de referencia.

El lunes 28 os contamos la historia de cómo Pangu ha publicado en su website una herramienta que permite verificar si tu dispositvo iOS está infectado con el ya archifamoso malware XCodeGhost, que ha sembrado el caos en la AppStore de China.

Al día siguiente os explicamos los motivos por los cuales no es posible localizar un iPhone usando un dispositivo Android, ya que iCloud no soporta los navegadores de este sistema operativo.

El miércoles 30 os explicamos las novedades que se presentarían en el Security Innovation Day de Eleven Paths el día 8 de octubre, un evento en el que ponentes de prestigio internacional darán su visión sobre el estado actual de la seguridad.

Comenzamos el mes de Octubre con la noticia de que un nuevo bypass de la aplicación Gatekeeper permite la instalación de aplicaciones maliciosas sin conocimiento por parte del usuario de que esto se estaba produciendo.

Arrancamos el fin de semana con la actualización iOS 9.0.2 y Safari 9, que ponen punto y final a más de cuarenta bugs de seguridad que ponían en riesgo la seguridad y privacidad de los usuarios, permitiendo incluso acceder a contenido multimedia.

El domingo os contamos una opción poco conocida de iOS 9, denominada Wi-Fi Assist, que se asegura de que la velocidad de navegación sea máxima, con la contrapartida de que puede incrementar el gasto de datos del dispositivo.

La nueva semana empezó con el anuncio de las Impact Talks, una serie de conferencias en la UEM entre cuyos invitados estará Steve Wozniak, cofundador de Apple, que estará presente en la apertura dela nueva Impact Business School.

El martes os hablamos de YiSpecter, un malware descubierto recientemente que afecta dispositivos iOS independientemente de que tengan jailbreak o no. Este malware utiliza una gran variedad de técnicas para propagarse.

Apenas un día después, Apple emitió un comunicado en el que arrojaba algo de luz sobre YiSpecter, estableciendo que tan solo afectaba a usuarios de versiones antiguas de iOS, aquellas anteriores a iOS 8.4.

El jueves 8 os explicamos cómo funciona el 2FA que ha presentado Apple para autorizar dispositivos, y que ya ha sido desplegado con la release del sistema operativo OS X El Capitan.

Para este viernes, la noticia fue para la preocupación de Apple con ciertas apps de la AppStore que podrían ser peligrosas para la seguridad del usuario al instalar certificados digitales raíz en los dispositivos, pudiendo de esa forma interceptar el tráfico del usuario - entre otras cosas para eliminar los adds -.

Por último, ayer sábado le dedicamos la entrada a la próxima versión de Latch para Apple Watch que se anunció en el último Security Innovation Day 2015 de Eleven Paths.

Como es habitual, además del resumen de todo lo publicado, os dejamos una lista de otras noticias que también han pasado durante este periodo y que no debes dejar de conocer. Esta es la pequeña selección que hemos hecho.
- Gana hasta 5.000 USD en este concurso: Eleven Paths ha lanzado dos concursos. En primer lugar el Latch Plugin Contest 2015 para premiar a los tres mejores desarrollos de plugins para Latch y en segundo lugar el Sinfonier Community Contest para premiar a la mejor topología de seguridad Sinfonier y al mejor Bolt desarrollado para la plataforma.  
- Latch y el Internet de las cosas: Además de la integración que ya os habíamos enseñado antes con los SmartMeters, y con el mismo pestillo físico de una casa, ahora nuestro compañero Jorge Rivera ha hecho una integración de Latch con el timbre de tu casa, para saber cuándo alguien llama y decidir si queremos que suene o no la alarma. 

Figura: Latch controlando el sonido de un timbre
- Hackeando el portero automático de tu casa: Siguiendo con "las cosas", desde Hackplayers nos traen un trabajo sobre cómo se puede hackear el portero automático de tu casa y conseguir hacer nuevos tricks. Solo falta integrarlo con Latch. 
- Malware en la tienda de apps de Windows: No solo en AppStore o Google Play hay malware, también lo tenemos en la tienda de apps de Windows que recientemente se ha visto implicada en un caso de malware, como nos cuentan en Una al Día. 
- Nueva comunidad de usuarios y desarrolladores de Eleven Paths: Este jueves se ha lanzado la nueva comunidad de desarrolladores y usuarios de Eleven Paths, para tener un punto de contacto y comunicación en el que debatir sobre las tecnologías de Eleven Paths. Puedes sacarte un usuario y ser parte de la comunidad, y además puedes utilizar Latch para proteger tu cuenta. 
- Introducción a la seguridad de los cajeros automáticos: En Security By Default nos traen un artículo muy interesante para conocer el funcionamiento de la seguridad de los cajeros automáticos. Para aprender más sobre algo que muchos desconocen. 
- Vídeos y presentaciones de BlackHat USA 2015: Ya están disponibles todos los vídeos y presentaciones de esta conferencia. En ella, recordad, se presentaron los hackeos a los coches, el hack al rifle, los bugs de Stagefright, etc... Para estudiar el puente.
Y esto fue todo por hoy. Esperamos veros dentro de dos semanas en esta misma sección y cada día en los artículos que publicamos en Seguridad Apple. Que tengáis un buen domingo.

sábado, 10 de octubre de 2015

Latch para Apple Watch espera aprobación en AppStore

Durante el pasado Security Innovation Day 2015, una de las pequeñas novedades que se presentó fue el nuevo soporte de Latch para Apple Watch. Hemos estado trabajando para que el funcionamiento sea lo más sencillo posible además de cómodo, así que directamente desde la app de Latch para Apple Watch se pueden abrir y cerrar los latchs de las identidades que se tengan pareadas, además de que se reciben todas las alertas de seguridad cuando se produce un acceso no deseado, también en la app de Latch para Apple Watch.

Aún no está aprobado en AppStore, pero ya está subida la nueva versión de Latch para iPhone y la nueva Latch para Apple Watch, que os mostraremos en detalle, pero para que os hagáis una idea de cómo funciona, aquí os dejamos este vídeo de unos segundos robado mientras el equipo de QA lo repasaba antes del evento.


Figura 1: Latch para Apple Watch en QA

Aprovechamos para recordaros que desde el jueves está lanzando el Latch Plugin Contest 2015, para que ganes hasta 5.000 USD en Bitcoins con el mejor plugin, integración o uso de Latch en el mundo físico o digital. Anímate a participar. Tienes más información en nuestra comunidad de Eleven Paths donde también puedes usar ya Latch.

viernes, 9 de octubre de 2015

Apple elimina algunas apps de la AppStore por sospechas

Apple ha comentado este jueves que había retirado algunas aplicaciones de la AppStore expresando suu preocupación por la seguridad de los datos personas de algunos usuarios que podrían verse comprometidos en ciertas circunstancias. La compañía de Cupertino explicó que las aplicaciones amenazaban la seguridad de los usuarios mediante la instalación de certitificdos que pueden exponer datos para el tracking de éstos por terceros. Apple no especificó el número preciso de aplicaciones que han sido retiradas, pero este número puede ser alto.

Hay que tener en cuenta que desde la aparición del malware XCodeGhost, Apple ha decidido hacer limpia de la AppStore, tanto manual como automática a través de las nuevas condiciones de uso y necesidades que deben ser cubiertas para poder subir la app de nuevo para que sea compatible con iOS 9. Hay que tener en cuenta que XCodeGhost fue utilizado para realizar phishing para robar cuentas de iCloud.

Figura 1: Preocupación de Apple en Reuters

El comunicado de Apple, además, indica que la compañía está profundamente comprometida con la protección de la privacidad del cliente y la seguridad. Apple se encuentra trabajando con los desarrolladores para obtener rápidamente las aplicaciones de nuevo en la AppStore, y empleando el tiempo en garantizar la privacidad del cliente.  Un portavoz de Apple añadió al comunicado que la empresa publicará un sitio web de soporte dónde poder ayudar a los usuarios a quitar las aplicaciones en cuestión de sus dispositivios, pudiendo filtrar un listado con las aplicaciones que no cumplen con la nueva política de seguridad de la compañía en cuanto al AppStore.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares