Menú principal

domingo, 31 de diciembre de 2017

Por qué está teniendo Apple tantos problemas de seguridad últimamente

Apple es hasta ahora, uno de las plataformas más seguras que existen. Pero debido a los problemas que está teniendo, no sólo con Sierra, sino también con iOS, esta imagen de plataforma segura se está dañando. En menos de un mes Apple ha tenido que reparar dos bugs críticos, el problema del root sin contraseña en macOS y en iOS el de una aplicación de terceros capaz de recuperar las contraseñas almacenadas en el keychain. ¿Qué está pasando?

En el caso del acceso root sin contraseña establecida, era un fallo tan grave que Apple sacó el parche en el mismo día de enterarse de su existencia. Esto es algo realmente impresionante para una empresa de este tamaño. Apple se disculpó ante los usuarios y dijeron que mejorarían la auditoría a los equipos de desarrollo para que este suceso tan grave no se volviera a repetir. 

Pero estos problemas de seguridad parece que no vienen solamente de este último mes. Durante 2017 han aparecido varios problemas en todas los productos Apple siendo el mes de mayo el que más problemas tuvo (66 vulnerabilidades en total). Luego en septiembre apareció otro problema, esta vez no de seguridad pero muy visible para el usuario. De repente al intentar escribir la letra "i" era la letra "A" la que aparecía. Este último ejemplo, aunque no sea de seguridad deja en evidencia la raiz del problema: según WiredApple tiene que mejorar las pruebas (test) de sus productos antes de sacarlos al mercado.


Figura 1. Algunas de las vulnerabilidades encontradas en Apple en mayo de 2017. Fuente.

Y es que Apple tiene que sacar productos nuevos cada 12 meses como máximo (ciclo en el que se presenta algún producto nuevo)  sin contar los productos que ya están en el mercado y que tiene también que actualizar. Los últimos problemas que hemos comentado tanto para macOS y iOS son un claro ejemplo que demuestra que a los equipos de QA parece que no tienen tiempo suficiente para testear o probar debidamente los productos antes de lanzarlos al mercado, poniéndolos en circulación demasiado pronto. Lejos quedan atrás aquellos días como cuando se lanzó el Apple OS X 10.6 Snow Leopard en 2009, uno de los lanzamientos más robustos de la compañía en el cual pusieron todo el esfuerzo posible para que saliera al mercado con el menor número de bugs posible. 

De hecho, en el mundo Apple es bastante habitual encontrar usuarios que mantienen una versión anterior del sistema operativo por su estabilidad, evitando actualizar a la última versión hasta que no ha pasado un tiempo razonable. De todas formas, como dijimos al principio, Apple es una de las empresas con los productos más seguros al mercado y seguro que pondrán más medios para las pruebas y más atención en el futuro a los nuevos productos que saquen al mercado en los próximos meses.

sábado, 30 de diciembre de 2017

Fue noticia, en la historia de Apple: 1 de abril 1976 hasta hoy

Apple tiene una gran cantidad de anécdotas e historias que contar desde su fundación en abril de 1976. No sólo por ser una empresa pionera en el mundo de la informática sino también por la peculiar personalidad de uno de sus fundadores, Steve Jobs. El otro fundador, Steve Wozniak, es el icono de hacker a seguir, demostrando su amor por la tecnología. Hemos seleccionado estos diez artículos que hemos publicado relacionados con la historia de Apple:

La Blue box que ayudó a fundar Apple y a crear el Apple I. Cuando Steve Jobs tenía 22 años tuvo que vender su flamante furgoneta Volkswagen por 1.500$ y Steve Wozniak, que tenía 26 años por aquella época, también tuvo que vender su querida calculadora HP-35 por 500$ para poder reunir el dinero suficiente y fundar Apple. Pero este no fue el primer negocio que hicieron juntos, su primer negocio fue vender y fabricar Blue boxes ...

Cream Soda Computer, el primer ordenador fabricado por Wozniak antes del Apple I. El Apple I apareció en el mercado en 1976, cambiando para siempre la industria de la informática de consumo. Pero este no fue el primer ordenador que Steve Wozniak había diseñado y fabricado. Unos años antes, en concreto en 1971, Wozniak ya había terminado de fabricar un ordenador con la ayuda de su buen amigo Bill Fernandez: Cream Soda Computer ...

Ron Wayne, el co-fundador de Apple que dejó la compañía por 800$. La firma de Ron Wayne, el menos conocido de los fundadores de Apple, está en el documento de fundación de la empresa, junto a de Steve Jobs y de Steve Wozniak. Por ser co-fundador de Apple, le correspondía el 10% de las acciones. Si Ronald Wayne hubiera guardado dichas acciones, ahora tendría 7 mil millones de dólares más en el banco. Pero no, las vendió por 800$ de la época. Y además no se arrepiente de ello...

La increíble fuente de alimentación del Apple II que marcó toda una industria. El Apple II fue una creación de Steve Wozniak. Prácticamente lo fabricó él solo desde cero, pero existía una parte del ordenador que no fue creada ni diseñada por él. Nos referimos a la fuente de alimentación. No se suele prestar mucha atención a este componente fundamental de los ordenadores, excepto para referirnos al ruido que genera o su potencia...

"Si Wozniak no puede desprotegerlo, entonces es seguro". Documentación original de Apple sobre sus sistemas de protección anti-copia de 1979 y 1980. En un archivador dentro de un mueble donado a Seattle Goodwill, organismo sin ánimo de lucro la cual se dedica a reciclar y luego vender con fines benéficos, un editor de Reddit encontró documentación muy interesante la cual nos permite echar un vistazo a una parte de la historia dorada de Apple ...

El primer virus en un ordenador personal apareció en un Apple II. En 1981, el ordenador más extendido no era el IBM PC (el cual salió al mercado justo ese mismo año) y tampoco lo era por lo tanto el sistema operativo MSDOS. El más utilizado en aquella época era el Apple II (sobre todo en EEUU) por lo tanto era de esperar que el primer virus fuera creado para ser ejecutado en su plataforma, en concreto para DOS 3.3. En 1982 apareció el primer virus de ordenador con capacidad para infectar otros ordenadores...

Apple hizo pasar por Internet Explorer su navegador Safari para mantenerlo en secreto. En la famosa MacWorld Expo celebrada en Boston en 1997, un renacido Steve Jobs (que acaba de volver triunfante a su querida Apple) anunciaba una serie de acuerdos con Microsoft, centrados sobre todo en el uso de patentes y la implementación de Office para Mac. Este vídeo ya lo conocéis por su parte mítica donde aparece Bill Gates ante el estupor y rabia de todos los asistentes...

Susan Kare, la creadora de los iconos del Macintosh que humanizó los ordenadores. En los primeros ordenadores personales, la línea de comandos era la única vía de interacción con el sistema. No había entornos gráficos hasta que apareció el famoso Apple Macintosh en 1984, después de que Apple copiara la idea del ratón y el entorno Xerox (creada por el genio Doug Engelbart) y la hiciera el estándar de sus nuevos ordenadores. Hoy día todo esto nos parece algo natural, usar iconos, escribir con un tipo de letra, etc...

Apple Pippin: El intento fallido de Apple para entrar en el mundo de las videoconsolas. En 1995, Apple se unió al mercado de las videoconsolas para intentar emular el éxito de Sony, Nintendo y SEGA. Pero la apuesta de Apple iba más allá de los videojuegos, la idea era crear una plataforma multimedia completa, orientada a la educación y también al entorno doméstico ofreciendo incluso acceso a Internet desde la televisión. La idea era muy ambiciosa pero a la vez era realmente buena...

Apple también compró un Sistema Operativo de Disco (DOS), igual que Microsoft. Todos conocemos la historia de cómo Microsoft consiguió vender a IBM un sistema operativo de disco (DOS) sin tener absolutamente nada desarrollado. Se limitaron a comprar uno llamado QDOS (que al parecer era una copia del CP/M) y sobre este realizar los cambios que necesitaban. Pues Apple también tiene su caso QDOS, además incluso es anterior al de Microsoft, ya que este se desarrolló durante la puesta en el mercado de la unidad de disco del Apple II en 1978.

El año que viene continuaremos con estas historias de Apple. ¡¡Feliz Año Nuevo!!

viernes, 29 de diciembre de 2017

El director de AI de Apple revela información sobre el coche autónomo que están construyendo

Apple es una empresa mundialmente conocida principalmente por la venta de dispositivos móviles y ordenadores personales, pero ¿Quién dijo que esto es lo único a lo que se dedican? Hace unos meses se hizo pública una noticia que tuvo una gran relevancia, Apple recibía un permiso en California para experimentar con coches autónomos. Esta noticia reforzaba las sospechas de algunos que pensaban que la multinacional estadounidense quería introducirse en el mercado de los vehículos autónomos. Unos meses después Tim Cook, CEO de la compañía, cerraba el círculo y confirmaba estas sospechas.

Tras todos estos sucesos todo indica que efectivamente Apple podría estar construyendo un coche autónomo, y ha sido en el evento que ha tenido lugar hace unas semanas donde el nuevo director de inteligencia artificial de la compañía, Ruslan Salakhutdinov, ha vuelto a revelar información y a generar expectación.

Figura 1: Apple recibe licencias para probar su coche autónomo.

Salakhutdinov reunió a más de 200 expertos en inteligencia artificial que acudieron para enterarse de los últimos avances de la compañía en este ámbito. Entre otros proyectos, presentó técnicas para analizar grandes cantidades de datos proporcionados principalmente por cámaras y sensores, así como formas de utilizar esta información para construir mapas tridimensionales de ciudades, trazar rutas en terrenos desconocidos o identificar ciclistas y peatones. Uno de los proyectos presentados que más aceptación tuvo, fue el que la multinacional había hecho público hace unas semanas:

Figura 2: Explicación del funcionamiento de VoxelNet.

En él se trata reiteradamente los conceptos de sistema autónomo o vehículo autónomo, así como técnicas de construcción de mapas tridimensionales en gran detalle, que permiten plasmar cosas como marcas viales y semáforos o una técnica de detección tridimensional denominada “lidar” que permite identificar peatones o ciclistas, y que es utilizada en la mayoría de los vehículos autónomos hoy en día.

Además de esto, Salakhutdinov, presentó otros proyectos que no habían sido previamente publicados, en los que se mostraba software capaz de detectar otros coches en la vía o señales y partes de la carretera. Otro de los temas que se trataron fue el de la toma de decisiones de forma dinámica, algo con una gran relevancia y que está siendo abordado por todas las compañías involucradas en el desarrollo del vehículo autónomo, que fue representado mediante una imagen en la que se mostraba un coche y una traza alrededor de un peatón.


En resumen, aunque todavía no se ha confirmado oficialmente que Apple este trabajando en un proyecto relacionado con el vehículo autónomo, y todo lo relacionado con ello se mantenga bajo estricto secreto y se revele con cuentagotas, toda la información disponible indica que hay altas probabilidades de que esto sea así. Por lo tanto, y teniendo todo esto en cuenta, solo nos queda formularnos una pregunta, ¿Cuándo podremos disfrutar de nuestro iCar para circular por las calles de nuestra ciudad?

jueves, 28 de diciembre de 2017

Como podría el navegador Safari salvar tus navidades

Desde hace unos años los anuncios web son un “mal necesario” para mantener algunos sitios web, en cualquier otra época del año aunque sean molestos pueden resultar inofensivos, sin embargo si estás pensando en realizar tus compras de navidad por internet pueden jugarte una mala pasada. Muchas empresas anunciantes utilizan el fingerprinting para ofrecer una publicidad personalizada, solo tienes que buscar algún producto por internet para que las próximas veces que navegues por la red todos los anuncios estén relacionados con el producto que buscaste, algo que puede acabar con el factor sorpresa a la hora de hacer regalos navideños.

Para poder evitar situaciones como esta Apple ha provisto a su navegador con algunas herramientas que deberían ayudarte a acabar con estos anuncios, a continuación os explicaremos cuales son y cómo funcionan.

Machine Learning: Con esta funcionalidad Safari aprende a detectar cuales son los cookies necesarios y cuáles no, esto bloquea su uso a terceros al superar el día de antigüedad.

Posibilidad de acabar con el Site Tracking: Apple ha desarrollado dos herramientas (Una para Mac y otra para iOS) capaces de reducir el seguimiento realizado por las empresas anunciantes cuando navegamos.

Modo privado: El mejor método para que nadie sepa que has podido comprar es realizar tus compras a través de navegación privada.

Figura 1: Bloqueador de anuncios.

Bloqueadores de anuncios: La opción más eficaz para prevenir los anuncios personalizados es a través de un bloqueador de anuncios, podrás encontrarlos como aplicaciones o extensiones de tu navegador.

Uso del modo lectura: Desde hace un tiempo Apple te permite acceder a algunos sitios web en modo lector, evitando así parte de la publicidad.

Desactivar los cookies: Con este método puedes acabar con los anuncios pero también te resultara más difícil navegar por algunas de tus páginas web habituales.

Bloqueo de ventanas emergentes: Bloquear las ventanas emergentes es muy sencillo, solo tendrás que acceder a los ajustes de safari y buscar la opción de bloqueo de Pop-ups en el apartado de seguridad.

Estas son algunas de nuestras sugerencias para que podáis guardar el secreto de vuestras sorpresas navideñas tan solo realizando algún pequeño cambio en la configuración de vuestro navegador.

miércoles, 27 de diciembre de 2017

ElevenPaths Talks: Pentesting con FOCA Open Source

El próximo 28 de diciembre de 2017, tenemos un nuevo ElevenPaths Talks, en esta ocasión un Special Edition, dónde hablaremos sobre la "nueva" FOCA. En este caso, será Pablo González el que llevará el timón del talk. Le acompañará Fran Ramirez. El talk Pentesting con la "nueva" FOCA nos enseñará las nuevas características de la nueva FOCA Open Source, cómo llevar a cabo la descarga y la instalación y casos de uso. Sin duda un exquisito talk para finalizar la tercera temporada de ElevenPaths Talks.

FOCA se creó hace diez años y es, a día de hoy, una de las herramientas de pentesting más descargadas y utilizadas por los desarrolladores. Esta versión renovada incluye, entre otros, un nuevo diseño y un código mejorado. FOCA Open Source se ha desarrollado con el objetivo de aumentar y actualizar las funcionalidades que ya tenía la primera versión de esta herramienta. Así, hemos logrado también mejorar la auditoría pentesting driving en la búsqueda de las vulnerabilidades más comunes. Si quieres profundizar en FOCA, puedes ver el libro de 0xword.

Figura 1: Pentesting con FOCA

La sesión comenzará a las 15.30, hora española. El talk dura unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y 10 minutos sobre consejos y herramientas. Se publicarán en nuestro canal de Youtube. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

martes, 26 de diciembre de 2017

#CodeTalks4Devs Latch Router: Proteger tu OpenWRT integrando Latch a distintos niveles

El próximo 27 de diciembre nuestro compañero Fran Ramirez llevará a cabo un talk muy especial dónde contaremos con Javier Alcaraz. Javier es una persona que ha hecho un TFM con ElevenPaths y que nos contará su experiencia, además de contarnos la parte técnica de su TFM. Anímate a realizar con ElevenPaths uno de los distintos TFM que ofertamos cada año. El TFM trata sobre la implementación de Latch en OpenWRT con el objetivo de proteger a distintos niveles.

Los dispositivos de red de tipo router son la puerta de entrada y salida a la gran red de Internet. Por esta razón, entre otras muchas, es un punto crítico en el que las amenazas se encuentran presenten en el día a día. El presente proyecto propone integrar Latch en un sistema OpenWRT y proporcionar una capa de abstracción a la complejidad de la seguridad en red. Esta solución ha sido llevada a cabo dentro del programa de Universidades de ElevenPaths como Trabajo Final de Grado. En la charla se podrá ver cómo se llevó a cabo el diseño de la solución, la integración de Latch en diferentes partes del router y diferentes funcionalidades y cuál fue el resultado de la implementación desde el punto de vista de desarrollador.

Figura 1: ElevenPaths Code Talks for Devs

Si quieres saber más sobre la implementación de MicroLatch te esperamos el próximo miércoles 27 de diciembre a las 15:30h (CET) en nuestro canal de YouTube y también en nuestra comunidad, donde nuestros expertos estarán disponibles para responder cualquier tipo de duda respecto al webinar ¡Te esperamos!

lunes, 25 de diciembre de 2017

Seguridad Apple te desea felices fiestas

Desde el equipo de Seguridad Apple no queríamos dejar pasar la oportunidad de felicitaros las fiestas. A vosotros lectores que nos leeis, que nos elegís para informaros sobre el mundo tecnológico y, en especial, del mundo Apple. Ha sido un año repleto de información, noticias y sucesos interesantes. Sin duda, un año de mucho trabajo dónde nos hemos dejado la piel para estar al día y poder acercaros lo mejor de la actualidad y lo mejor en contenido técnico. 

Queremos hacer una mención especial a nuestro querido Dirtytooth. Sin duda, uno de nuestros proyectos estrella este año. 


Disfruta de este día en familia. Nos vemos mañana con más actualidad, con más noticias y siempre al pie del cañón en Seguridad Apple.

domingo, 24 de diciembre de 2017

Si tu viejo iPhone va lento, una nueva batería puede solucionar el problema

Todos los usuarios de iPhone saben perfectamente que los dispositivos se van ralentizando en su funcionamiento a medida que pasa el tiempo. Este problema de lentitud no es sólo por el relativo envejecimiento del hardware, también existen otros factores como por ejemplo las continuas actualizaciones de software y del sistema operativo. Desde un foro de Reddit han aparecido algunas teorías nuevas muy interesantes sobre lo que puede estar sucediendo, al menos en el caso del iPhone 6.

Parece que todo empezó con un incidente que ocurrió el año pasado donde varios usuarios del iPhone 6 sufrieron apagados aleatorios del dispositivo. Apple parece ser que intentó solucionar este problema con iOS 10.2.1. En efecto, parece ser que el update solucionó el problema de los apagados pero los usuarios notaron una disminución en el rendimiento de los iPhone. Durante un tiempo se estuvo especulando que esta actualización de iOS realizaba algunos ajustes al sistema de energía y la batería.

Es en este punto cuando un usuario de Reddit comenta que después de instalar un programa para medir el rendimiento del iPhone (GeekBench), la puntuación obtenida era realmente baja respecto a la que debería de ser. Este hilo fue creciendo y al final muchos de los usuarios respondieron que cambiando la batería obtuvieron una mejora significativa del rendimiento.




Ahora tenemos que volver al iOS 12.2.1 y la actualización realizada. Lo que esta actualización estaba haciendo era cambiar de forma dinámica la velocidad máxima de reloj (ajuste que afecta al rendimiento directamente) en función del voltaje de salida de la batería. De esta forma se evitaba que el iPhone consumiera demasiada energía y se apagara, eso sí, a costa de una bajada considerable de rendimiento. Esta operación es más o menos como poner el iPhone en modo de ahorro de energía.

Una de las teorías que se barajaban era que Apple había detectado que había muchas baterías defectuosas en los iPhone 6 y en vez de cambiarlas, sacaron el parche que soluciona el problema pero a la vez, provoca esos problema de rendimiento. Por lo tanto, cuanto más tiempo tenga la batería o más deteriorada esté (algo totalmente normal con el paso de los años), más lento iría el iPhone. Así que además de no durar demasiado la batería, encima el teléfono iba muy lento.

Este problema no ocurre en el iPhone 7 y superiores, ya que los chips A10 y A11 incluyen una estructura de gestión de energía que es capaz de dividir el consumo repartiendo tareas entre aquellas que consumen mucha energía o poca. De esta forma se optimiza en todo momento el consumo total de energía.

sábado, 23 de diciembre de 2017

Visicalc: La hoja de cálculo que llevó Apple al éxito empresarial

En 1977 Apple lanzó al mercado al famoso ordenador Apple II. Este ordenador que revolucionó la informática, era considerado un juguete por muchos, casi una videoconsola, ya que eran  mayoritariamente juegos el tipo de software que se podía encontrar. Pero todo cambió en 1979 cuando un programa orientado a los negocios llamado VisiCalc empezó a vender para esta plataforma. Gracias a él, Apple comenzó su camino para convertirse en la empresa de éxito que es hoy día. Ese programa orientado a negocios no era ni más ni menos que la primera hoja de cálculo.

En 1978 Dan Bricklin estaba realizando un Master en la Escuela de Empresariales de Harvard y en esas clases era habitual que el profesor pusiera como tarea ejercicios los cuales constaban de multitud de cálculos aritméticos además de mucho texto que definía el tipo de operación. Una de las cosas que más solía ocurrir en este tipo de trabajos era que cometer un error en uno de los cálculos intermedios hacía que todo el trabajo final fuera incorrecto. Además, una vez que encontráramos el error, habría que volver a calcular el resto de operaciones de nuevo hasta tener el resultado final. Y fue en una de esas clases, viendo uno de estos errores cuando se le ocurrió la idea de automatizar estas operaciones y trasladarlas a un ordenador.

Figura 1. VisiCalc en un Apple II. Fuente.

Inmediatamente se puso a trabajar en un prototipo en una de las terminales de Harvard (Dan había estudiado programación antes de Ciencias Económicas). Pensando en la forma de distribuir toda la información en pantalla se lo ocurrió la idea de poner los números dentro de una matriz con columnas y filas, de esa forma podría se podrían referenciar celdas utilizando las coordenadas de su localización. Este primer prototipo sólo tenía 5 columnas por 20 filas, además de ser muy lento y poco estable. Entonces Dan llamó a su amigo Bob Frankston que por aquella época era un estudiante del MIT y juntos comenzaron a afinar mejor el nuevo producto. Finalmente tenían que decidir sobre qué plataforma crear la aplicación y contactaron con una empresa llamada Personal Software que desarrollaba programas de ajedrez para el Apple II para que les distribuyera su nuevo software. Esta compañía se ofreció pero les puso como condición que lo hicieran para el ordenador Apple II, ya que era la plataforma en la cual ellos trabajaban.

Finalmente en 1979 terminaron su primer prototipo de hoja de cálculo para el Apple II llamada VisiCalc (contracción de Visible Calculator). El diseño constaba de una matriz donde las columnas eran letras y las filas números. VisiCalc estaba programada en Integer BASIC (que fue programado por Steve Wozniak) y luego en ensamblador 6502. Había nacido la hoja de cálculo. No os perdáis la charla que Dan Bricklin realizó en TED y que podéis ver a continuación:




VisiCalc tiene el mérito de ser el detonante que hizo ver a las empresas la utilidad de los ordenadores, los cuales eran considerados por aquella época como objetos sólo para aficionados a la electrónica y la programación. Apple fue la primera y gran beneficiada con este cambio, ya que de la noche a la mañana, convirtió su juguete para hackers, el Apple II, en una herramienta de negocio. Es curioso como la hoja de cálculo se ha integrado y revolucionado nuestra sociedad hasta el punto de parecer que siempre ha estado ahí (de hecho es así, nació a la vez del ordenador personal). Pocas veces nos sentamos a pensar en la gran importancia hoy día de las hojas de cálculo para la ciencia (muchos avances científicos no se podrían haber llevado a cabo sin ellas), la economía, etc. Este es nuestro pequeño homenaje a dos hombres no muy conocidos, Dan Bricklin y Bob Frankston que cambiaron para siempre la informática y también nuestra sociedad.

viernes, 22 de diciembre de 2017

Apple recompensa a un adolescente por encontrar un fallo de seguridad

Un adolescente turco encuentra un defecto en Siri. Apple lo ha recompensado. El joven, llamado Yiğit Can Yılmaz, es un estudiante de secundaria que vive en Turquía. Él ha detectado un defecto en la seguridad de Apple y ha sido recompensado por ello. Yilmaz descubrió que el asistente de voz, Siri, seguía teniendo acceso a las notificaciones, incluso cuando las notificaciones estaban desactivadas. Esto parece un fallo "absurdo" por parte de la manzana mordida, pero puede ser un descuido en su configuración.

El chico de 16 años comentó que encontró el fallo de seguridad en Siri durante unas pruebas que él realizó. Siri seguía teniendo acceso y leyendo el contexto de las notificaciones, incluso si un usuario las desactivaba. Esto significa que Siri sigue teniendo acceso y reconociéndolas. El jovén indicó que informó del fallo de seguridad al equipo de Apple responsable de la seguridad. Yilmaz afirmó que el fallo de seguridad afectaba al iPhone 5, 6, 7, 8 y X, así como también al iPad Air y al iPod Touch de sexta generación.

Figura 1: El joven que ha descubierto uno de los últimos fallos en Siri. Fuente: dailysabah.com

Yilmaz dijo que también encontró un fallo de seguridad, el cual permitía la fácil modificación de la barra de direcciones en Safari. Él ha notificado de nuevo a Apple de este fallo. El joven indicaba que se puede hacer fraude a un usuario, ya que es una vía para temas phishing y spoofing, como el bar spoofing, del cual hemos hablado en Seguridad Apple. Apple parece haber solucionado este problema y agregará el nombre del joven a su lista de reconocimiento. Por úlitmo, Apple dio una recompensa de 2.000 dólares al joven y le puso en su lista de contribuciones.

jueves, 21 de diciembre de 2017

Un nuevo [Retro] JailbreakMe para iOS 9.1 o iOS 9.3.4 en sistemas de 32 bits

Se ha liberado un nuevo JailbreakMe para hacer Jailbreak a cualquier iPhone, iPad o iPod Touch de 32 bits que ejecute iOS 9.1 o iOS 9.3.4. El desarrollador e investigador conocido como @tihmstar ha sido el que ha lanzado esta nueva herramienta, tras un mensaje en el que indica que ha sido un proyecto divertido y en el que ha aprendido bastantes cosas. Lo más interesante de la herramienta publicada es que no requiere ningún PC o Mac. Al igual que ocurría con el clásico JailbreakMe, el usuario simplemente puede acceder a un sitio web con el navegador y ejecutar el Jailbreak.

Sabemos que la noticia no tendrá gran repercusión, y eso mismo ha pensado el desarrollador, ya que hoy en día vamos por la versión de iOS 11 y esto afecta a los sistemas antiguos de iOS 9. Por ello, el desarrollador ha declarado que ha sido un proyecto divertido, como comentamos anteriormente, y que no tiene ningún uso práctico. También ha aconsejado a los usuarios que ejecutan versiones de iOS heredadas que solo utilicen versiones de iOS 9 si tienen dispositivos de prueba, y que no ejecuten un firmware tan antiguo en su uso diario.


Si tienes algún iOS con el que probar la nueva herramienta de JailbreakMe 4.0 y ha tenido algún problema, el creador indica que puede utilizar la herramienta HomeDepot. Sin duda, una noticia llamativa en el mundo del Jailbreak de iOS, aunque no tenga uso práctico, sin duda aumenta la lista de posibilidades en versiones de iOS heredadas.

miércoles, 20 de diciembre de 2017

ElevenPaths Talks: Las fuerzas de seguridad y el cibercrimen

El próximo 21 de diciembre de 2017, tenemos un nuevo ElevenPaths Talks, la serie dónde nuestros expertos hablan de seguridad y de temas de actualidad. Nos toca hablar, en esta ocasión, sobre las fuerzas de seguridad y el cibercrimen. Nuestros expertos, de la mano de Jorge Rivera y Carlos Ávila, contarán la situación de las fuerzas de seguridad y la luca contra el cibercrimen. Sin duda un exquisito talk para finalizar la tercera temporada de ElevenPaths Talks.

Algunas fuerzas de seguridad o de protección ciudadana vieron la necesidad de formar áreas especializadas en cibercrimen hace mucho tiempo, en cambio otras fuerzas han empezado recientemente, y otras ni siquiera han comenzado. Aunque muchos piensen que las investigaciones de estas fuerzas son llevada a cabo tal cual un capítulo de CSI Cyber, la realidad de la policía dista mucho de estas situaciones, sobre todo si consideramos cuestiones básicas como el tiempo de preparación de los miembros en la materia, de la cantidad de efectivos con el conocimiento y dedicación necesaria, de los recursos que les brindan, y especialmente por el aumento de casos relacionados con el cibercrimen. Las fuerzas de seguridad muchas veces atienden casos de problemas de pareja (que uno le robó la identidad al otro por venganza), de chicos haciendo Cyberbullying, de casos de porno-venganza, hasta casos que van aumentando su complejidad, como estafas masivas, redes de narcotráfico o pedofilia, etc, donde los criminales no son simples usuarios de PC o telefonía, sino que muchas veces son especialistas (o están asesorados por ellos) en técnicas de evasión u ocultamiento, borrado de rastros, etcétera.

Figura 1: ElevenPaths Talks
 
La sesión comenzará a las 15.30, hora española. El talk dura unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y 10 minutos sobre consejos y herramientas. Se publicarán en nuestro canal de Youtube. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

martes, 19 de diciembre de 2017

Un Zero-day en iOS HomeKit permite acceder remotamente a accesorios como cerrojos o puertas de garaje

Hace unos días Apple ha lanzado una nueva actualización de versión para los dispositivos que forman parte de su sección HomeKit. Si leemos los detalles de la actualización, podemos ver que los motivos por los cuales se ha realizado no son baladíes. Como afirma la revista 9to5Mac, un investigador les ha demostrado que la anterior versión de iOS 11.2 es vulnerable a un fallo de seguridad que permitiría tomar control remoto de algunos dispositivos de Apple, llegando incluso a abrir y cerrar cerrojos o puertas de garaje.

Tal ha sido el impacto, que la compañía llegó a realizar un arreglo provisional en la parte que proporciona el servicio para prevenir el acceso no autorizado asumiendo una reducción en la funcionalidad de sus servicios, en concreto,  Apple le proporcionó la siguiente información a la revista 9to5Mac:

“The issue affecting HomeKit users running iOS 11.2 has been fixed. The fix temporarily disables remote access to shared users, which will be restored in a software update early next week.” 

Tras la nueva actualización emitida el 13 de diciembre de 2017 la compañía ha vuelto a restaurar la funcionalidad completa del servicio, arreglando el fallo, esta vez, en los dispositivos de los clientes.

Figura 1: Actualización 11.2.1 de HomeKit.


Esta es una demostración más de la importancia de la seguridad en los dispositivos inteligentes, donde los problemas que aparecen en el plano digital se traducen de manera muy directa al mundo físico en el que vivimos. Por ello, cuando compramos un dispositivo que va a interaccionar con nuestras actividades diarias es muy importante ser consciente de que requiere un mantenimiento, y eso pasa por mantenerse al día de las últimas actualizaciones disponibles y aplicarlas lo antes posible.

lunes, 18 de diciembre de 2017

iOS 11.2.1 ya liberado: Si eres usuario de HomeKit debes actualizar ahora mismo

Que Apple está involucrado con el tema de la domotica y la automatización de las tareas de casa es una realidad. Desde que apareció HomeKit, Apple no ha hecho más que potenciarlo y hacer que su uso sea cada vez más cómodo para el usuario. Uno de los pilares que ya habíamos visto en el que Apple había puesto foco es poner seguridad robusta al HomeKit, pero, por desgracia, no hay nada 100% seguro. Recientemente, se ha descubierto una vulnerabilidad en el HomeKit, la cual afecta a la versión 11.2 de iOS

Apple ha liberado la versión 11.2.1 de iOS con la que se soluciona este grave problema de seguridad que afecta al HomeKit. En este fallo de seguridad, un potencial atacante podría alterar o modificar el estado de la aplicación saltandose la seguridad de la tecnología. El CVE asociado es el 2017-13903. Sin duda, un fallo que debemos parchear lo antes posible en nuestros iPhone. La actualización está disponible para iPhone 5S y posterior, iPad Air y posterior e iPod Touch de sexta generación.

Figura 1: Vulnerabilidad en iOS 11.2


Sin lugar a la duda, estamos ante una actualización importante que se debe tener en cuenta. Si tienes iOS actualiza lo antes posible a la nueva versión iOS 11.2.1. Estaremos atentos en Seguridad Apple para daros más detalle acerca de esta vulnerabilidad que afecta, potencialmente, a las casas de los usuarios de iOS.

domingo, 17 de diciembre de 2017

Fue Noticia en seguridad Apple: del 4 al 17 de diciembre

Con las navidades a la vuelta de la esquina en Seguridad Apple no nos cansamos de traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de Cupertino. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 4 avisamos de la llegada de iOS 11.2, versión que acaba con algunos de los problemas relativos al reinicio automático de algunos terminales e incluye funcionalidades nuevas como Apple Pay Cash.

El martes 5 os contamos que hay indicios de que el nuevo iMac Pro incorporará “Hey Siri” además del nuevo chip A10, lo que podría suponer un gran cambio en la mecánica de arranque de los nuevos terminales de Apple.

El miércoles 6 os avisamos de la llegada de otra de nuestras ElevenPaths Talks, en este caso el tema de la Talk fue el mundo del Open Data, sin duda un tema muy interesante. A su vez os invitamos a seguir de cerca esta tercera temporada y os recordamos que podéis encontrar las temporadas anteriores en nuestro canal de YouTube.

El jueves 7 os contamos cómo podéis ver vuestro historial de facturación desde dispositivos iOS utilizando Face ID o Touch ID, todo ello gracias a los nuevos ajustes de seguridad incorporados en la aplicación de ajustes.

El viernes 8 analizamos con vosotros la grave vulnerabilidad “I Am Root” de macOS High Sierra, vulnerabilidad que permitía a cualquier usuario obtener permisos root sin necesidad de introducir la contraseña.

El sábado 9 echamos la vista atrás para indagar un poco en la hhttp://www.seguridadapple.com/2017/12/los-portales-de-phishing-estan-usando.html istoria de Apple y contaros cómo no todo en la historia de la manzana son triunfos, en este caso os hablamos de Lisa, un ordenador adelantado a su tiempo que no logró calar entre el público.

El domingo os contamos cual ha sido el último debate sobre la seguridad de iOS en Twitter, uno en el que se han visto involucrados algunos expertos en seguridad de Elcomsoft y Capsulate8.

El lunes 11 comenzamos la semana preguntándonos si es posible acabar con el Phishing a través de la IA y el Machine Learning, ya que el 91% de los ataques comienzan con un proceso de Phishing.

El martes 12 os avisamos de que las vulnerabilidades en MacOS High Sierra persisten y como un incorrecto proceso de actualización puede hacer que la vulnerabilidad “I Am Root” siga funcionando en High Sierra 10.13.1.

El miércoles 13 os contamos cómo las páginas de Phishing están adoptando protocolos de cifrado para parecer legítimas y cómo esta práctica ha incrementado en los últimos años.

El jueves 14 os avisamos de la llegada del primer jailbreak para iOS 11.1.2. En este caso el jailbreak será llevado a cabo por el equipo de Project Zero de Google.

El viernes 15 os explicamos como resetear el Face ID en el nuevo iPhone X en tan solo 5 sencillos pasos.

Finalmente, el sábado hablamos sobre la famosa Blue Box que ayudó a fundar el Apple I en los años en los que Wozniak y Jobs eran jóvenes emprendedores.

Con esto os dejamos por Navidad, esperamos que disfrutéis de las fiestas, nosotros seguiremos informando sobre las novedades en el mundo de la manzana mordida, por lo que podréis seguir leyendonos diariamente.

sábado, 16 de diciembre de 2017

La Blue box que ayudó a fundar Apple y a crear el Apple I

Cuando Steve Jobs tenía 22 años tuvo que vender su flamante furgoneta Volkswagen por 1.500$ y Steve Wozniak, que tenía 26 años por aquella época, también tuvo que vender su querida calculadora HP-35 por 500$ para poder reunir el dinero suficiente y fundar Apple. Pero este no fue el primer negocio que hicieron juntos, su primer negocio fue vender y fabricar Blue boxes pero además su diseño también lo utilizó más tarde para fabricar el Apple I.

Una Blue box es un dispositivo que permitía simular los tonos de llamada de las viejas líneas telefónicas permitiendo realizar diferentes operaciones, como por ejemplo llamadas de larga distancia o incluso realizar llamadas sin coste alguno. Steve Wozniak supo de la existencia de este dispositivo el día antes de empezar las clases en la Universidad de Berkely (en otoño de 1971, Woz tenía 21 años) cuando leyó un artículo en la revista Esquirre. En este artículo (al que Wozniak se refiere a él como "el mejor artículo que ha leído nunca") se hablaba de un grupo de personas (llamadas "phone phreakers") cuya identidad permanecía anónima ya que ellos se dedicaban a engañar a la compañía telefónica utilizando un aparato llamado Blue box.

Figura 1. Blue box original fabricada por Steve Wozniak. Fuente.

Cuando terminó de leer el artículo llamo rápidamente a su nuevo amigo, llamado Steve Jobs para contarle lo que acababa de leer. En menos de una hora ya estaban de camino al SLAC, Standford Linear Accelerator Center, en la Universidad de Standford. Allí había una gran librería técnica donde podían buscar material el cual tuviera impreso un listado con todos los tonos de frecuencia utilizados en los teléfonos. Finalmente lograron encontrar una publicación que contenía dicho listado, habían encontrado la piedra filosofal de la Blue box, ahora sólo quedaba fabricarla.

Figura 2. Detalle del interior de la Blue Box creada por Wozniak. Fuente.

Las Blue box que había hasta el momento eran analógicas. El problema con este tipo de circuitos analógicos es su imprecisión debido a los componentes con los cuales estaban fabricadas (básicamente resistencias, condensadores y bobinas). Pero Wozniak tenía experiencia en diseñas y construir circuitos eléctricos (creando por ejemplo el "Cream Soda Computer"). Pero estos circuitos eran digitales, muchos más precisos que los analógicos. Es entonces cuando Wozniak decide construir su Blue box con circuitos digitales (usando chips) y además utilizaría un cristal de cuarzo (oscilador) para sincronizar las operaciones y obtener más precisión en los cálculos. 

Este detalle del cristal de cuarzo para sincronizar las operaciones de todo el circuito, lo pondría de nuevo en práctica cuando fabricó el Apple I y es muy importante, ya que lo reutilizó en el diseño del Apple I. Pero este no fue el único elemento revolucionario, también utilizó circuitos impresos para la fabricación de la Blue box que también utilizó en el Apple I.

Figura 3. Esquema de la Blue Box de Wozniak firmado por él mismo, propiedad de Chema Alonso.

Por lo tanto, la fabricación de una Blue box fue la base no sólo económica de la fundación de Apple, también fue la base técnica del desarrollo del Apple I, el ordenador que revolucionó la informática. Pero Chema Alonso seguro que algún día nos podrá contar más sobre este tema, ya que el mismísimo Wozniak, señalando el esquema de la Blue Box que le llevó para que se lo firmara y dijo  "esta zona de aquí la utilicé en el diseño del Apple I ..."

viernes, 15 de diciembre de 2017

Cómo resetear Face ID en 5 sencillos pasos

Face ID es probablemente la característica más llamativa del nuevo iPhone X. Es seguro, rápido y sencillo de utilizar una vez te has acostumbrado a ello. Independientemente, si no te convence el funcionamiento de Face ID o si no lo configuraste correctamente en un principio resetearlo podría ayudarte a mejorar tu experiencia con esta herramienta. A continuación os contaremos como resetear vuestro Face ID en cinco sencillos pasos.

  1. Para comenzar deberemos abrir la aplicación de ajustes y acceder al apartado "Face ID & Passcode".                                                                                                                                       
  2. A continuación introduce tu contraseña para poder entrar a los ajustes de Face ID y después busca la opción “Reset Face ID”.                                                                                                               
  3. Ahora que has reseteado Face ID pulsa en “Set Up Face ID” para reconfigurar Face ID.              
  4. Coloca el iPhone en una posición alejada de tu cabeza y ve girándola para que el sensor obtenga todos los detalles de ella.                                                                                                                                        
  5.  Para terminar con el proceso de escaneo pulsa el botón “Done”.

Figura 1: Ajustes de Face ID.

Esta es la forma de resetear Face ID y reconfigurarlo de nuevo. Es importante saber que Face ID es una herramienta que va aprendiendo a medida que se usa, cada vez que desbloqueemos el iPhone utilizándola ira almacenando más detalles de nuestra cara y será más rápida y eficaz a la hora de hacer su trabajo.

jueves, 14 de diciembre de 2017

Project Zero publica nuevos detalles del Jailbreak para iOS 11

La semana pasada, el equipo de Project Zero de Google soltó una bomba. La noticia de un exploit de iOS creado por el equipo de Google ha puesto el foco de la seguridad en esta noticia. La vulnerabilidad encontrada en el kernel de iOS se ha compartido públicamente. El investigador de seguridad de Project Zero, Ian Beer, comentó la semana pasada de que pronto compartiría uno de los muchos exploits de iOS que encontró recientemente. Apple ha estado proporcionando parches de seguridad mediante la nueva versión de iOS 11.2. Beer estuvo en lo cierto y los detalles del exploit han llegado. 

Parece que el primer Jailbreak de iOS 11 será llevado a cabo por Project Zero. Ian Beer tuiteó para compartir los detalles sobre el exploit, tal y como se puede ver en la imagen. El investigador también agregó que este Jailbreak debería funcionar en todos los dispositivos, pero no fue capaz de probarlos personalmente, por lo que no es un hecho confirmado. Este exploit proporciona control completo del sistema con el máximo privilegio.

Figura 1: Tuit de Ian Beer

Es cierto que la popularidad del Jailbreak ha disminuido, tanto desde una perspectiva o punto de vista del usuario como del desarollador de aplicaciones, si que es verdad que sigue existendo interés por parte de la comunidad de seguridad con este Jailbreak de iOS 11.1.2 y el exploit anterior. En otras ocasiones hemos comentado la existencia de un Jailbreak para iOS 11, el cual no era público y fue mostrado.

miércoles, 13 de diciembre de 2017

Las páginas de Phishing están usando páginas con HTTPS para parecer legítimos

Actualmente más de la mitad de sitios web usan protocolos de cifrado de Internet para mantener los datos protegidos. Esto se debe a que desde hace ya unos años ha surgido un esfuerzo masivo para cifrar el tráfico web, hoy en día es habitual ver candados verdes y direcciones con "HTTPS". Esto ha supuesto un gran avance para la ciberseguridad, pero como con cualquier reforma amplia, el progreso viene acompañado de nuevas oportunidades para el fraude. La semana pasada PhishLabs publicó un nuevo análisis en el que se muestra un notable incremento del uso del protocolo HTTPS en páginas fraudulentas.

El Phishing es uno de los métodos más utilizados por los ciberdelincuentes para exfiltrar datos, es habitual que en este tipo de ataques se proporcione un enlace a una página supuestamente legítima en la que se solicitan los credenciales de alguna de nuestras cuentas. Muchas veces su apariencia idéntica a la página oficial o el simple hecho de que la página disponga de cifrado proporciona a las victimas una falsa sensación de seguridad que les puede acabar saliendo muy cara. El estudio realizado por PhisLabs ha revelado que el 24% de estos sitios fraudulentos disponen de cifrado frente al 3% obtenido en un estudio similar realizado hace 2 años. Esto se debe a que muchos estafadores implementan el protocolo HTTPS a propósito o construyen su sitio web a través del secuestro de otro sitio web legítimo.

Figura 1: Pagina fraudulenta de iCloud.

"En dos tipos sumamente frecuentes de estafas con PayPal y Apple como objetivo, aproximadamente el 75 por ciento de los sitios usaban el protocolo HTTPS, de hecho los atacantes optan por esta opción aunque no sea necesario para completar el crimen." ha dicho Crane Hassold, director de inteligencia en PhishLabs.

No cabe duda de que el uso del protocolo HTTPS ha sido un gran paso para incrementar nuestra seguridad en la red, sin embargo esto no nos protegerá frente a un ataque Phishing. La función de este protocolo es garantizar que la información intercambiada entre nuestro navegador y los servidores viaje cifrada, en el caso de los ataques Phishing la información no estaría siendo enviada a los servidores de una empresa legítima sino que estaría siendo enviada directamente a los servidores de un ciberdelincuente.  

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares