Menú principal

sábado, 31 de diciembre de 2011

Los diez artículos más vistos en 2011 en Seguridad Apple

Ya llegó el momento de concluir. Ya se acaba este año 2011, por lo que tenemos que ir pensando ya en los propósitos del, que se encuentra más que cercano, año de 2012. Así, justo después de cenar en familia o con amigos, tomar las respectivas uvas y salir a celebrar como se merece la llegada del nuevo año, podamos también comenzar a cumplirlos... más o menos.

Sin embargo, antes de que eso pase, nosotros vamos a recuperar en una lista los 10 artículos más vistos de 2011 como post de despedida de este año por si quieres leer algo antes de lanzarte de cabeza a las celebraciones.


Esperamos que lo paséis muy bien todos en la celebración de esta Noche Vieja, y veros aquí sanos, salvos, y ávidos de conocimiento el año que viene. Un cordial saludo del equipo de Seguridad Apple.

viernes, 30 de diciembre de 2011

Back To The Past: Los clones de Mac

Para hoy viernes, en nuestra sección de cosas curiosas o humorísticas, os traemos un vídeo vintage de los empleados de Apple. En el año 1996 cuando Michael Spindler era CEO de Apple, se arrancó un proyecto para licenciar Mac OS a fabricantes, lo que no gustó demasiado a muchos empleados que lo vieron como una forma de hacerse más "Windows" y entrar en una guerra de precios con fabricantes en Asia.... De ahí surgió este vídeo de coña.


Visto en TNW


Años después, con el velo de los años, no solo tiene gracia por lo que significa, sino por la estética del mismo.

Saber dónde está el iPad robado no garantiza recuperarlo

Y es que nos han enseñado, desde muy pequeños, que todos los cuentos siempre tienen un final feliz pero, ¿qué pasa cuando no es así? Fácil. Sentimientos como inquietud, frustración y desespero afloran, haciendo que se nos revuelva el estomago y tengamos esa sensación constante de malestar. Así es como se debió de sentir Jonh Doe  - nombre omitido a petición de la victima -, de 41 años, hoy protagonista de nuestra historia.

Es vox populi que herramientas de seguimiento y detección de dispositivos robados como Find My iPhone, Prey o Hidden tienen un alto éxito a la hora de recuperar y devolver a sus propietarios los equipos robados. El hecho de contar con alguna de estas herramientas en nuestras computadoras portátiles, terminales iPhone o iPad, nos proporciona un alto grado de garantía de recuperación en caso de robo o pérdida de los mismos.

Aun así, toda precaución es poca y nunca es bueno confiarse. La reciente noticia emitida desde el periódico Folha de Sao Paulo (Brasil) nos demuestra como los mencionados sentimientos de frustración acabaron haciendo mella sobre Jonh Doe, profesor brasileño que hizo todo lo imposible para recuperar su iPad, aunque sin éxito alguno.

Desde el citado periódico, podéis visualizar la imagen correspondiente al sufrimiento que tuvo que soportar nuestro querido Jonh Doe, con desplazamientos continuos del material sustraído, que no tiene desperdicio, aunque pasamos a resumirla en las siguientes líneas.

Figura 1: El calvario del iPad

El citado personaje fue atracado a punta de pistola el domingo 11 de diciembre de 2011 a eso de las 21.15 horas al volver a casa desde el aeropuerto de Sao Paulo en taxi, quitándole el iPad, el reloj, dinero en efectivo, la computadora portátil y una mochila.

Como es de suponer, inmediatamente se puso en contacto con la policía local, los cuales hicieron una ronda por el barrio en cuestión para intentar, sin éxito, localizar al ladrón. 

Una vez que Jonh Doe se encontró en casa, con el correspondiente malestar, se acordó que había instalado en el iPad el software Find my Phone, por lo que, una vez iniciado sesión en el citado software, detectó que su iPad se encontraba ya en un barrio diferente al que le habían atracado.

Acto seguido, y como es lógico, volvió a ponerse en contacto con la policía, para denunciar el suceso, solamente para escuchar como el departamento de policía le indicaba que no podía hacer nada porque se encontraba fuera de su jurisdicción.

Cuando Jonh Doe se puso en contacto con la policía correspondiente al nuevo barrio donde se encontraba su iPad, volvió a suceder el mismo problema. Su iPad ya había cambiado de ubicación y se encontraba a millas de distancia, en otra localidad.

Sin llegar a desesperar, volvió a ponerse en contacto, por tercera vez, con la policía jurisdiccional correspondiente a la nueva ubicación, esta vez sin perder de vista la geo-localización del dispositivo, aunque cada vez, como es lógico, con un mayor sentimiento de impotencia, porque según nos cuenta, cada llamada a la policía era desesperante:
- “Las orientaciones proporcionadas por el interlocutor de la policía eran contradictorias, cada paso a dar era más absurdo que el anterior por lo que me sentí desamparado”
Al final, cerca de la 1 de la madrugada, el dispositivo dejó de desplazarse, ubicándose en un inmueble de la ciudad de Sao Bernardo do Campo, en las afueras de Sao Paulo.

Jonh Doe se desplazó al citado inmueble dos veces, una primera con un policía local, el lunes por la mañana y una segunda con sus amigos por la tarde, pero en ninguna de las ocasiones tuvo éxito en la recuperación del material sustraído, porque no contaba con la orden judicial correspondiente para registrar el domicilio.

Una vez Jonh Doe interpuso la denuncia formalmente en la citada localidad, se detuvo al sospechoso, que fue brevemente retenido, para ser liberado a las pocas horas por falta de pruebas - no se presentaron testigos, y las imágenes de televisión de circuito cerrado recabadas del lugar donde se produjo el robo llegaron tarde -. Por este motivo, al no disponer de pruebas convincentes para que un juez emitiera un orden judicial de registro, se liberó al supuesto ladrón hasta la fecha del juicio.

El final de la historia ya os la podéis imaginar, Jonh Doe se quedó sin todo lo sustraído en espera de un juicio donde no se sabe si se podrá condenar al ladrón, ya que suponemos que tendrá tiempo de sobra para deshacerse del material robado.

Jonh Doe, por otro lado comentó que esperará a comprar otra iPad en el siguiente viaje a un país extranjero - imaginamos que debido a que el precio de un iPad en Brasil es de 867 dólares USA -. Triste final de esta historia.

jueves, 29 de diciembre de 2011

Disponible Untethered Jailbreak para iOS 5.0.1

El día 27 de Diciembre, Pod2g publicó que ya estaba disponible el esperado Untethered Jailbreak para dispositivos con microprocesador A4, tal y como estaba anunciado desde hacía ya unos días. Desde ya están disponible Redsn0w del iPhone Dev Team y Greenpois0n del Chronic Dev Team para realizar el proceso de jailbreak en los dispositivos: iPhone 3GS, iPhone 4, iPhone4 CDMA, iPad, iPod touch 3G y iPod touch 4G. Los usuarios de iPhone4S e iPad2 aún tendrán que esperar, aunque se ha anunciado que muy posiblemente pronto esté disponible.

Algunos compañeros nuestros han probado este jailbreak y no han tenido ningún problema en el proceso. Con este post no queremos posicionarnos a favor o en contra de realizar jailbreak, ya que como hemos dicho realizar un jailbreak a un dispositivo Apple tiene ventajas o inconvenientes.

No obstante, el que se pueda realizar a dispositivos con iOS 5.0.1 permite a todos los usuarios que quieren hacer jailbreak contar con todas las novedades de seguridad de iOS 5 y parches de seguridad en iOS 5.0.1 y tener más protegido su terminal. Además, si los usuarios contaban con un dispositivo al que se había realizado un Tethered Jailbreak basta con buscar en Cydia Corona 5.0.1 Untether, instalar, reiniar y listo.

miércoles, 28 de diciembre de 2011

Steve Jobs llamaba "Gordo" a Steve Ballmer

Que Steve Ballmer siempre ha tenido algo de sobrepeso siempre se ha sabido, y que Steve Jobs ya se vió en peleas con él cuando aún Bill Gates trabaja en Microsoft lo pudimos leer en la famosa historia de la pelea por Halo que tanto enfureió a Steve Jobs. Así, no ha extrañado a propios y ajenos que al hacerse pública una filtración en Digg de las conversaciones que Steve Jobs mantenía con su iPhone particular, apareciera una con Bill Gates en la que le pedía que le dijera al Gordo que dejara de molestarle con las patentes.

Figua 1: Conversación entre Steve Jobs y Bil Gates

La relación entre Steve Jobs y Bill Gates siempre ha sido un misterio, a pesar de tener miles de episodios públicos y otros contados. Años trabajando juntos y compitiendo, creando historia, apareciendo juntos en programas de televisión, obligados a llegar a acuerdos y viendose superados el uno por el otro una vez sí, una vez no, parece que llegó a crear un vínculo difícil de entender por el resto de los mortales.

No obstante, parece que esa relación tan especial con Bill Gates no la heredó con el puesto Steve Balmer, al que Steve Jobs siempre consideró un perro guardián en Microsoft, y nunca con el nivel de CEO.

Actualización: Esta es una inocentada del día 28 de Diciembre, día de los Inocentes en España. La captura se hizo con iFakeText.

martes, 27 de diciembre de 2011

Entrevista a Steve Dispensa de PhoneFactor

Recientemente el mundo entero se hizo eco de la aparición de PhoneFactor para iPhone, una solucion de autenticación fuerte de doble factor basada en terminales móviles. PhoneFactor es la compañía lider en soluciones de autenticación fuerte para la empresa implementando doble factor de autenticación basado en teléfonos móviles. A nivel mundial proporciona estos servicios a gobiernos, instituciones médicas, bancos, empresas y cualquier aplicación web que lo requiera. El objetivo de esta empresa es convertir el dispositivo que todo el mundo tiene, el teléfono, en una herramienta que ayude a securizar de forma efectiva y a un buen coste los sitemas de autenticación de las organizaciones.

Uno de los co-fundadores de PhoneFactor y CTO de la compañía es Steve Dispensa, es un speaker y escritor habitual sobre la seguriad de los sistemas de autenticación, y fue el co-autor del RFC 5746, que solucionó al debilidad de TLS-renegotiation que descubrió junto con su compañero Marsh Ray, y que les llevó a las primera página de las noticias por encontrar un fallo de seguriad explotable en las conexiones TLS. Además, Steve Dispensa tiene la curiosidad de haber sido premiado cinco veces por Microsoft como MVP (Most Valuable Professional) en el area de desarrollo de drivers para el kernel.

Steve Dispensa

A parte de todo esto es un tipo simpático y cercano, con el que nuestro compañero Chema Alonso tuvo el gusto de hacer amistad en la conferencia Troopers de alemania, donde fueron speakers los dos últimos años. Así que, aprovechándose de este nexo de amistad, le pedimos que le hiciera una entrevista a Steve Dispensa sobre la solución y aquí están las preguntas y las respuestas en Español e Inglés.

1.- First of all, Steve, I would like to make clear what are the advantages of using the phone as second authentication factor instead of a RSA Tokens of Secure ID.

RSA tokens (SecurID), and similar products like OATH tokens, soft token apps, etc., are quite common, and they all work approximately the same way: the token generates a one-time passcode (OTP), which is usually a six-digit number, every minute or so. The user enters the number into the application when prompted, proving that the user is in control of the token.

The most common password-stealing attacks these days involve malware (sometimes called “man-in-the-browser” attacks). The problem with OTPs is that they are re-entered into the same computer that is infected with the malware, so the malware simply steals the OTP and forwards it onto an attacker somewhere else in the world who’s ready and waiting. The attacker then logs in using the stolen OTP.

This isn’t theoretical, either – banks all around the world have been attacked in this way, resulting in real losses to banking customers.
  
1.- Lo priemro de todo, Steve, me gustaría que quedaran claras cuáles son las ventajas de utilizar un teléfono como segundo factor de autenticación, en lugar de utilizar un Token RSA de SecureID.

Tokens RSA (SecureID), y productos similares como los tokens OATH, applicaciones de soft token, etc... son bastante comunes, y todos ellos funcionan aproximadamente de la misma forma: El token genera un código de paso de un solo uso (OTP), normalmente un número de 6 cifras, más o menos cada minuto.

El ataque más común hoy en día para robar las contraseñas incluye el uso de malware, los llamados “ataques de man in the browser”. El problema con los OTP es que estos deben ser re-ingresados en la misma máquina que está infectada con el malware, por lo que el software malicioso símplemente roba también el código OTP y lo envía a un atacante en algún lugar del mundo que está listo y esperando. El atacante se conecta en ese instante utilizando el OTP robado.

Este no es un ataque teórico, bancos por todo el mundo han sido atacados hoy en día de esta froma, generando pérdidas reales para los clientes del banco.

2.- Lot of companies are using SMS as a second authentication mechanism. What are the security risks related to SMS as a second factor?

SMS is certainly better than nothing, but the usual way SMS is implemented involves sending an OTP that is typed back into the user’s computer. So, the same considerations apply – if the user’s computer is infected with malware, that malware has direct access to the OTP, and can steal it on behalf of an attacker.

Not all SMS is vulnerable to this attack, though. PhoneFactor’s own SMS solution is two-way out-of-band, meaning that users reply directly to received messages with another SMS. This system isn’t vulnerable to those attacks.

2.- Michas empresas están utilizando los SMS como un segundo mecanismo de autenticación. ¿Cuáles son los riesgos de seguridad relativos al uso de SMS como segundo factor de autenticación?

Usar SMS es ciertamente mejor que nada, pero la forma habitual en la que los códigos SMS son implementados es para enviar un OTP que se vuelve a introducir en la computadora del suairo. Así que la misma consideración anterior se aplica: si la computadora del usuario está infectada con malware, ese mismo malware tiene acceso directo al OTP, y puede robarlo en nombre del atacante.

Aunque no todos los mensajes SMS son vulnerables a este ataque. PhoneFactor tiene su propia solución de envío de SMS de doble sentido y por un canal alternativo (out-of-band), lo que significa que el usuario responde directamente a los mensajes SMS recibidos con otro mensaje SMS. Este sistema no es vulnerable a ese tipo de ataques.

3.- What are the security protections in PhoneFactor?. Do you have any extra protection against man in the mobile attacks?

Good question. If the user is using a computer to access the protected app and a phone to handle the authentication, the job of an attacker is twice as hard, because he has to compromise both devices in a simultaneous and coordinated fashion in order to gain control of both of the factors (password / phone). If the user is running an app from the same phone that handles the authentication, the attacker still has to compromise both the affected application and the PhoneFactor app. This is an improvement on soft-token systems that have you type an OTP back into the (potentially infected) phone browser, which can be compromised by a single piece of malware.

Platforms like iOS make this separation a little easier, which is one of the reasons we’ve launched the iOS app first. But in any case, this kind of architecture is always going to be safer than simple passwords or OTP tokens/soft tokens.

3.- ¿Cuáles son las medidas de seguridad en PhoneFator? ¿Tenéis alguna protección extra contra ataques de man in the mobile?

Buena pregunta. Si el usuario esta utilizando una computadora para acceder a una aplicación protegida y un teléfono para manejar la autenticación, el trabajo del atacante es dos veces más duro, porque tiene que comprometer ambos dispositivos de manera coordinada y simultanea para conseguir obtener el control de ambos factores (contraseña / teléfono). Si el usuario está ejecutando una aplicación del mismo teléfono que gestiona la autenticación, el atacante aún tendría que comprometer la aplicación y la palicación de PhoneFactor. Esta es una mejora respecto a los sistemas de token por software en los que se debe introducir el OTP de nuevo en un navegador del teléfono (potencialmente infectado), que puede ser comprometido de nuevo, por una única pieza de malware.

Plataformas como iOS hacen esta separación mucho más fácil, que es una de las razones por las que hemos lanzado la aplicación para iOS antes. Pero, en cualquier caso, este tipo de arquitectura siempre va a ser más seguras que contraseñas simples o tokens OTP por hardware o por software.



Funcionamiento de PhoneFactor

4.- Why an app for Apple devices? Are you planing to release PhoneFactor in Android, BlackBerry or Windows Phone?

We started with iPhones for a few reasons. They have a lot of market share, of course, and particularly among our enterprise users. iOS also has a stronger security model than, e.g., Android, so we felt comfortable starting there. Additional phone OSes will be supported in the future, although release dates are not set yet.

4.- ¿Por qué una aplicaicón para dispositivos Apple? ¿Tenéis planes para lanzar PhoneFactro en Android, BlackBerry o Windows Phone?
Comenzamos con iPhones por unas pocas razones. Ellos tienen una gran cuota de mercado, por supuesto, y particularmente entre los usuarios de nuestras empresas. IOS además tiene un modelo de seguridad más fuerte que, por ejemplo, Androd, así que nos sentimos muy cómodos comenzando por aquí. Sistemas operativos de teléfonos serán soportados en el futuro, aunque las fechas de lanzamiento no están definidas aún.

5.- What is necessary to be accomplished for a company to deploy your solution?

PhoneFactor is generally straightforward to set up. It has out-of-the-box support for a variety of common enterprise environments, such as RADIUS, LDAP authentication, IIS-based websites including Outlook Web Access, Windows Terminal Services, and more. It also has built-in support for synchronization with Active Directory and other LDAP directories, user self-service, automated enrollment, and more. Deploying the iPhone app requires that users enable the user self-service portal, which runs on IIS as well. The total work depends mostly on how complex the existing environment is.

5. ¿Qué necesita cumplir una empresa para desplegar vuestra solución?

La configuración de PhoneFactor suele ser muy directa. Nada más ponerla en ejecución tiene soporte para una buena variedad de entornos empresariales, como RADIUS, autenticación LDAP, sitios web basados en IIS – includio Outlook Web Access, Windows Terminal Services, y más. Tiene tamibén soporte incorporado para sincronización con Active Directory y otros directorios LDA, autoservicio de usuarios, aprovisionamiento automatizacion, y alguna cosa más. El despliegue de la aplicaicón para iPhone requiere que los usuarios habiliten el portal de autoservicio para los usaurios, que también correo sobre IIS. El trabajo final depende mayormente de cómo de complejo es el entorno existente.

6.- In some cases, you don´t have Internet connection in the mobile, because you are in other country or without signal from your mobile company. Do you have any solution for storing codes in advance?

Currently, the phone app requires either a 3G connection or a Wi-Fi connection to work. We’ve found it’s unusual for users to have Internet access on their computer (to log into something) but not on their phones. But, this is something we are considering for a future release.

6.- En algunos casos te encuentras con que no hay conexión en el terminal móvil, porque estás en otro país o sin señal de la compañía telefónica. ¿Tenéis alguna solución para guardar códigos por anticipado?

Actualmente la aplicación requiere o una conexión 3G o una conexión WiFi para funcionar. Hemos encontrado inusual que los usuarios tengan Internet en la computadora para conectarse a la aplicación pero no en el teléfono. Pero esto es algo que estamos considerando para una futura versión.

7.- Let´s suppose one of our readers wanted to deploy your solution in Spain. What are the necessary steps to do it? Do they need special servers or technologies in their companies?

PhoneFactor integrates well in a variety of enterprise environments. The PhoneFactor software itself runs on Windows Servers. From there, integration with existing apps needs to be done. So, for example, to protect a PPTP VPN, you would use RADIUS integration, or to protect Citrix Web Interface, you’d use the IIS plug-in. Then you’d need to set up user synchronization with AD or LDAP (or manually enter users), and install the user self-service portal to enable users to activate their iPhones and iPads.

Enrollment is largely automatic: users are sent welcome e-mails by the PhoneFactor software as they are imported, and those e-mails link the user back to the self-service portal, where enrollment and training are completed. After that, the user is up and running.

7.- Supongamos que uno de nuestros lectores quisiera desplegar vuestra solución en España. ¿Cuáles son los pasos necesarios para hacerlo? ¿Necesitana servidores o tecnologías especiales en sus compañías?

PhoneFactor se integra en una variedad de entornos empresariales. El software de PhoneFactor corre en servidores Windows. A partir de ahí, es necesario integrarlo con las aplicaciones existentes. Así, por ejemplo, para proteger una conexión VPN PPTP, sería necesario hacer una integración con RADIUS, o para proteger un interefaz web de acceso a Citrix, se debería utilizar el plug-in para IIS. Luego sería necesario configurar la sincronización de usuarios con Active Directory o LDAP (o meter los usuarios manualmente), e instalar el portal de autoservicio para permitir a los usauiros activar sus terminales iPhone o iPad.

8.- Now, talking about your company. What other security solutions are you developing in your company? It´s possible to have something similar to this in a Mac OS X platform?

Beyond the iPhone app, PhoneFactor also supports making phone calls for authentications as well as sending two-way SMS messages. PhoneFactor also includes the Universal Web Gateway, which is a reverse proxy component that can add two-factor security to any web app on any platform, advanced event confirmation and transaction verification functionality, and more. Mac OSX clients are generally supported seamlessly, and server software that integrates through a standard mechanism (e.g., RADIUS, PAM, LDAP, …) is supported as well. The Universal Web Gateway can be used to protect websites hosted on OSX or on any other UNIX-like system. Integration with LDAP directory servers allows user synchronization as well.

8.- Ahora, centrandonos en vuestra empresa, ¿qué otras soluciones de seguridad estáis desarrollando? ¿Es posible tener algo similar a esto en una plataforma MAC OS X?

Más allá de la aplicación para iPhone, PhoneFactor también soporta la realizacion de llamadas de teléfono de autenticación así como el envío de mensajes SMS en dos direcciones. PhoneFactor tamién incluye el Universal Web Gateway, que es un componente de proxy reverso que puede añadir seguridad de doble factor a cualquier aplicación web en cualqueir plataforma, confirmación de eventos avanzadas y funcionalidades de verificación de transacciones, y más. Los clients Mac OS X son generalmente soportados sin ningún problema, y el software de los servidores también es sofportad y se integra a través de mecanimos estándar, por ejemplo, RADIUS, PAM, LDAP, etc.... El Universal Web Gateway puede ser utilizado para proteger sitios web hosteados en servidores OS X o en otros systemas UNIX-like. LA integración con directorios LDAP también permite la sincronización de usuarios.

9.- Now, in confidence, how an ex-Microsoft MVP end up publishing iOS Applications?

J I have always thought Windows had the best kernel and base OS (well, at least since around Win2k), but my current feeling is that Apple has the best mobile OS. But more importantly, iOS has good market share, a better security model than its peers, and it makes our app look good! I’m not a big fan of the walled garden approach, philosophically, but it makes good business sense. But, iOS isn’t the only platform we’re going to do a mobile app on…

9.- Y ahora, en confianza, ¿cómo un ex-Microsoft MVP termina publicando aplicaciones para iOS?

Siempre pensé que Windows tenía el mejor kernel y sistema operativo base (bueno, al menos desde Windows 2k), pero mi sentimiento actual es que Apple ha desarrollado el mejor sistema operativo de dispositivos móviles. Pero lo que es más importante, iOS tiene una buena cuota de mercado, un modelo de seguridad mejor que sus competidores iguales, ¡y eso haer que tu aplicación luzca bien! Filosóficamente, no soy un gran fan del modelo de Walled Garden - N.T: en el que Apple controla el sistema operativo, la distribución de aplicaicones y lo que se puede instalar en el dispositivo -, pero permite un modelo de negocio con sentido. Aún así, iOS no es la única plataforma para la que nosotros vamos a hacer una aplicación móvil...

10.- You and Marsh became famous due to the TLS-Renegotiation bug... Do your applications have extra security checks against this?

You can be sure we've tested for that case. :-) But actually we got a bit lucky when we designed our system, before we knew about the bug, and ended up with an architecture that didn't rely on TLS renegotiation. So it was easy to disable once we discovered the bug.

10.- Tú y Marsh os hicísteis famosos debido al fallo de TLS-Renegotiation... ¿Tienen vuestras aplicaciones alguna comprobación de seguridad extra contra esto?

Puedes estar seguro de que hemos testeado nuestras aplicaciones contra este caso :) Pero de hecho tuvimos un poco de suerte cuando diseñamos nuestro sistema antes de que supieramos nada acerca del bug y termino siendo una arquitectura que no se apoyaba en la renegociación TLS. Así que fue fácil deshabilitarlo una vez que descubrimos el bug.

lunes, 26 de diciembre de 2011

Si Papá Noel te dio un iPad o iPhone aquí va tu Phishing

Informan desde Intego que se ha detectado una campaña masiva de phishing sobre la Apple Store para robar cuentas Apple ID que se ha lanzado el mismo día 25 de Diciembre - tal vez tú descanses, pero ni Papá Noel ni el mundo del Fraude Online lo hacen -. El mensaje de correo electrónico que se está enviando simula provenir de appleid@id.apple.com y lleva como asunto del mensaje: Apple update your Billing Information.

Todo hace pensar que tiene como objetivo claro engañar a los nuevos poseedores de un iPhone, iPod Touch o iPad regalado por Papá Noel, es decir, nuevos clientes de Apple no acostumbrados a los procedimientos de la compañía y que pueden pensar: "¡Qué rápido se han enterado de que tengo un iPad!" o "¡Qué servicio más eficiente el de Apple!".

Figura 1: El spam que se está enviando

Sin embargo, aunque el mensaje tenga un estilo Apple, el enlace delata claramente que es un phishing, y los usuarios más precavidos sabrán reconocerlo.

Figura 2: El enlace apuntando a un servidor malicioso

Si conoces algún familiar que haya pasado a formar parte de la lista de clientes de Apple estas navidades gracias a la siempre alegre visita de Santa Claus, no estaría de más que le dieras un aviso de este hecho.

Curso de Análisis Forense de iDevices (iPhone e iPad)

Juan Garrido "Silverhack", conocido analista forense, especialista en seguridad informática y hacking, escritor del libro "Análisis Forense Digital en entornos Windows", y responsable de los servicios de Análisis forense de dispositivos móviles y Borrado seguro de datos en dispositivos móviles, va a impartir, dentro de las actividades de la conferencia de seguridad y hacking RootedCON 2012, un RootedLab de 8 horas centrado en el análisis forense de dispositivos móviles de Apple, los iDevices. El curso se realizará en Madrid, el día 28 de Febrero de 2012 y con la siguiente información:

Descripción: Cada vez los dispositivos móviles de Apple son más importantes en nuestro día a día, llamadas, agendas, notas y fotografías, pueden ser utilizados para cometer un delito o fraude. Este Training proporciona los conocimientos y las habilidades necesarias para llevar a cabo una investigación sobre terminales Apple mediante diversas herramientas. Los alumnos adquirirán experiencia práctica con las imágenes del teléfono y el análisis de tarjetas SIM y tarjetas de memoria.

Audiencia: Analistas forenses, técnicos de seguridad y cualquier persona con interés en la seguridad informática.

Objetivos: El objetivo de este curso es dotar a los alumnos de los conocimientos, procedimientos y herramientas para los dispositivos móviles más utilizados hoy de Apple: iPhone, iPad y iPod Touch.

Contenidos:

1. Telefonía Móvil
     1.1. Introducción a la telefonía móvil
     1.2. Consideraciones legales en España
     1.3. Como iniciar un proceso forense
2. Tarjetas SIM
     2.1. Creación de un entorno de laboratorio
     2.2. Tarjetas SIM
     2.3. Análisis de tarjetas SIM
     2.4. Clonadoras de SIM y dispositivos
3. Análisis de Herramientas
     3.1. Forense de Dispositivos móviles
     3.2. Utilización de Bitpim
     3.3. Utilidades Device Seizure
     3.4. Oxygen Forensics
4. Análisis de dispositivos Apple
     4.1. Versiones de iOS
          4.1.1 Principales vulnerabilidades y cambios en versiones
     4.2. Estructura de ficheros y protección del sistema
     4.3. Backups de iOS vía iTunes
     4.4. Archivos de datos
     4.5. Apple Safari en iOS
     4.6. Aplicativos más comunes en sistemas iOS
5. Oxygen Forensics for iOS
     5.1 Versiones
     5.2 Realización de un análisis completo de un iPhone
     5.3. Reporting

El número de plazas disponibles para este curso es de 12, y tienes toda la información, de horarios y registros en la web de los RootedLabs. En el precio del seminario se incluye el desayuno y la comida conjunta con ponentes y asitentes.

domingo, 25 de diciembre de 2011

Seguridad Apple os desea Felices Fiestas

Hoy día 25 de Diciembre, desde Seguridad Apple os queremos desear lo mejor para estos días y que disfrutéis de vuestro seres queridos. Ha sido un año en el que hemos perdido a Steve Jobs, en el que nos ha tocado pelear, trabajar, aprender y luchar mucho, pero también aprender, disfrutar, conocer y descubrir nuevas personas y cosas distintas. Que sean las cosas que nos llenan de alegría las que hagan que nuestra vida tenga sentido.


Queremos dejaros para este día el árbol de navidad como tributo que le han hecho a Steve Jobs recordándo sus éxitos en la vida, alguien a quién, además de todos nosotros, lejos de multitudes y admiración mundial, seguro que sus seres más cercanos echarán mucho de menos estas navidades.


Felices Fiestas a todos.

sábado, 24 de diciembre de 2011

Google cierra 27 aplicaciones fraudulentas para Android

El ingente número de personas que cada día se conectan a internet para trabajar, informarse o simplemente divertirse con una partida de poker online, hace que la picaresca y las ganas de enriquecerse de algunas personas les lleve a tratar de engañar a los usuarios. Además, la seguridad en la red está cada vez más garantizada y eso hace que los internautas habituales se confíen y den una información o accedan a ciertas páginas en las que antes no lo hubieran hecho.

La última noticia acerca de aplicaciones fraudulentas es que Google se ha visto obligado a cerrar 27 de ellas. En éstas, el usuario, a través del mercado de Android, tenía la oportunidad de descargarse diversos juegos y aplicaciones, sin embargo, cuando el internauta en cuestión aceptaba las condiciones, sin leerlas, todo sea dicho, automáticamente se le activaba un servicio de mensajería SMS con costes que podría conllevar importantes gastos.

Para ser sinceros, hay que decir que, aunque en las condiciones apareciera este detalle, la intencionadamente engañosa redacción es previsible que evitara la comprensión por parte del usuario.  Es decir, que quien lo creó sabía perfectamente lo que estaba haciendo y cuáles eran sus ilegales objetivos. Los países de los que se sabe, a ciencia cierta, la existencia de este tipo de aplicaciones son Rusia, Polonia, Ucrania, Estonia, Reino Unido, Italia, Israel, Francia y Alemania.

En definitiva que todos los que utilicen habitualmente Internet, desde navegador o aplicaciones de smpartphones, deben extremar las protecciones, ya sea cuando entran en una red social, en un periódico, pero mucho más cuando se quieren realizar compras, realizar apuesta o entrar en una página de juegos online, entrando únicamente en páginas de fiar y reconocidas para comprar, apostar o jugar al poker de forma segura.

Por su parte, la App Store de Apple, aunque de vez en cuando cuenta con aplicaciones fraudulentas que se usan para realizar estafas a través de iTunes, a día de hoy cuenta con una protección más robusta que está permitiendo controlar mejor el número de aplicaciones maliciosas detectadas.

viernes, 23 de diciembre de 2011

Si Chuck Norris llama a tu iPhone, tú no le rechazas

Suponemos que ahora que está empezando el flujo de mensajes de teléfono, correos electrónicos y llamadas navideñas aún no estáis saturados, pero las próximas dos semanas que se nos vienen encima pueden ser muy duras en cuanto a comunicación intensa con la familia, así que seguro que más de uno de vosotros comenzará a dejar de contestar alguna que otra llamada. Sin embargo, hay una llamada que no puede ser rechazada nunca, la llamada de Chuck Norris.

Visto en Señoras que

Ya sabes que Chuck Norris es el único hombre que ha contado hasta el infitito... dos veces, así que para él no hay nada irrealizable. Queremos dejar constancia con este post que nos declaramos fan a muerte de Chuck, que le deseamos sus mejores vacaciones, y que vamos a comprar todos los productos de la tienda de su web... pagando, ¿eh?

Felices Fiestas a Chuck Norris... y a vosotros también.

PD: Si vas a entrar a la web de Chuck Norris, activa el audio para oirle saludándote.

SealSign: Firma digital de documentos con iPhone o iPad

La consumerización del mundo empresarial tiene su máximo exponente en la utilización de terminales iPhone y tablets iPad personales para el trabajo diario en la empresa. Es por ello que los fabricantes de tecnología están haciendo todo lo posible para asimilar estos productos a las necesidades de seguridad de las organizaciones.

Un punto clave en el que se mezclan estos dispositivos móviles y el mundo empresarial es la firma digital. Así, el poder firmar ordenes de compra, aprobar vacaciones a empleado o cualquier otro procedimiento interno de una organización desde un terminal móvil hace que los procesos internos sean más ágiles, y por tanto la compañía en sí mucho más productiva.


SmartAccess y Mina Software, dos empresas españolas centradas en la tecnología de firma digital la primera y de intranets corporativas con SharePoint la segunda, han unido sus areas de experiencia para sacar una solución de firmado digital capaz de utilizar el mismo DNI-e para, desde un iPad o un iPhone firmar digitalmente documentos.

La solución se llama SealSign, y durante la próxima Gira Up To Secure 2012 que se va a realizar de Enero a Marzo de 2012 y que irá por 10 ciudades españolas, será presentada en una sesión de 45 minutos titulada:
Firma digital y biométrica en smartphones y tablets

La firma de documentos electrónicos en los smartphones/tablets permiten implementar una estrategia para reducir el uso del papel en muchos procesos de negocio con trazabilidad, menores costes, mayor productividad y garantías legales. Se acabo ir a la oficina para firmar un documento o autorizar una transacción. Esta sesión será impartida por SmartAccess.
No hay que olvidar que SmartAccess cuenta con amplia experiencia en el mundo de la firma digital y las tencologías del DNI-e, algo que dejó plasmado en la realización del libro "DNI-e: Tencnología y usos". Asi que, si estás pensando en utilizar servicios de firma digital en tu empresa y tienes terminales móviles, no deberías dejar de comprar y leerte el libro de Rames Sawart y asistir a la Gira Up To Secure 2012.

jueves, 22 de diciembre de 2011

Pwned: Lady Gaga regala iPads 2 y MacBooks por Twitter

Los famosos tienen que empezar a tomarse en serio la seguridad de sus cuentas. No es el primero de ellos que acaba siendo hackeado, como ya le pasó a los Axl Rose con su cuenta twitter, a David Bisbal con su correo o Scarlet Johansson con las fotos de sus móviles. Son un objetivo, como el resto de los mortales, pero con el agravante en su contra de que son más apetecibles que el resto.

En esta ocasión la cuenta hackeada ha sido la de Lady Gaga, la cuál fue utilizada para poner varios mensajes en los que decía que iba a reglar a todos sus "Monstruos" - término ¿cariñoso? que utiliza para referirse a sus followers por twitter - un iPad 2 y un MacBook.


Lady Gaga, regalando iPads 2 y MacBooks,... ¿por qué no?. Tiene más dinero que los estados europeos y es extravagante, así que habrá que seguir ese simpático enlace por si uno de los sombreros que se pone le ha apretado mucho el cerebro y le da por hacerlo.
Por supuesto, después de pulsar el link llega la alegria... pero para el que vulneró la seguridad de la cuenta que consigue su objetivo: Un pedazo del tráfico que generan los 17.000.000 de seguidores que gasta la cantante más de moda hoy en día. Para el resto de los demás, ni iPad 2, ni MacBook, ni nada, pero seguro que más de uno hizo un Retweet a sus amigos.

Bug en Apple Safari crashea SSOO Windows 7 de 64 bits

Se ha publicado en Twitter una vulnerabilida en Apple Safara para Windows 7 de 64 bits que hace que el sistema crashée y genere una BSOD (Blue Screen Of Death) con solo abrir una página web con una etiqueta iFrame con un valor concreto. El exploit de D.O.S. fue publicado por el investigador de seguridad w3bDEVIL en su cuenta twitter y el valor, y la POC. es tan sencillo como peligroso.

Figura 1: Publicación del código que crashea Windows 7 de 64bits a través de Apple Safari

Tras publicarse este fallo, y comprobarse de forma consistente, Secunia ha lanzado un advisory de seguirdad para alertar de este fallo, que puede verse en funcionamiento en el siguiente vídeo que se ha publicado.


El fallo no funciona en sistemas Windows 7 de 32 bits, y tampoco en sistemas Mac OS X, por lo que solo debes tener cuidado si eres un usuario de Apple Safari en Windows 7 de 64 bits. Este fallo en sistemas Windows de Apple Safari es un ejemplo de que la arquitectura de seguridad del navegador de Apple en sistemas Microsoft debe mejorar, ya que no hace uso de las mejoras de seguridad que ofrece el sistema.

Apple Safari y los Niveles de Integridad en Windows 7

Así, es común ver las quejas de investigadores de seguridad sobre que no hace una división de procesos interna para poder hacer un uso correcto de MIC (Mandotory Integrity Control), un sistema que permite correr el código de las páginas web con niveles menos privilegiados de seguridad y aisla cada pestaña del resto. Algo que sí que hacen Google Chrome o Internet Explorer en Windows 7.

Figura 2: Niveles de Integridad de navegadores en Windows 7 64 bits

Como se puede ver en la imagen superior, mientras que las pestañas de Google Chrome corren con un Nivel de Integridad Bajo, las de Apple Safari corren todas juntas en un único proceso y con Nivel de Integridad Medio, lo que da más permisos al código en el sistema operativo donde se ejecuta.

miércoles, 21 de diciembre de 2011

Redada de la Policía de New York contra una mafia Newyorkina dedicada al tráfico de material Apple robado


141 personas han sido detenidas según el New York Post por ofrecer material Apple robado. Así, agentes de Policía del Departamento de New York de incógnito recibían ofrecimiento de terminales iPad 2 o iPhone 4S por parte de tenderos de tiendas, entre los que se encuentran vendedores de supermercados o barberos. Los precios de los dispositivos iban desde 50 USD a 200 USD y los vendedores han acabado todos en comisaría.

La red se extendía por todo el estado de New York y las detenciones se han divido por todo él. Así  42 personas han sido arrestadas en Brooklyn, 41 en Manhattan, 31 en el Bonx, 2 en Queens, y 6 e Staten Island. Vamos, por todas partes.

La Policía de New York quiere dejar claro que luchará contra este tipo de mafias, que parecen organizadas al más puro estilo Tony Soprano. Nosotros queremos recordaros que la compra de material robado Apple tiene riesgos asociados, por lo que os recomendamos que no lo hagáis.

martes, 20 de diciembre de 2011

Desarrollar aplicaciones iOS seguras para iPhone e iPad

Nos ha gustado mucho esta charla, impartida por Jeremy Allen - actualmente el desarrollador principal del curso de SANS “Secure Mobile Application Development: iOS App Security” - que impartió en las conferencias B-Sides.

En ella trata temas centrados en el desarrollo de aplicaciones iOS, incluido iOS 5, remarcando los problemas que muchas de las aplicaciones iOS tienen en cuanto a seguridad, y cómo deben ser resueltos. Problemas como ataques de man in the middle, cifrado de comunicaciones, almacenamiento protegido, etc... y cómo resolverlos con Objetive-C. La charla está en inglés, pero merece la pena.

Por último, os informamos de que ya están programdas las próximas fechas para las formaciones de desarrollo de aplicaciónes iOS para iPhone y para iPad en Madrid:

- 16 de Enero: Curso de Desarrollo de apliaciones iOS para iPhone e iPad Inicial
- 30 de Enero: Curso de Desarrollo de aplicaciones iOS para iPhone e iPAd Avanzado

iBench: ¿Qué rendimiento da tu Mac para el cracking?

En este post no vamos a hablar de seguridad como tal, sino de rendimiento, aunque como bien dice el título del artículo, este rendimiento es bueno para, enter otras coas, el cracking de hashes, tan necesario en algunas fases de la auditoría de sistemas.

En esta ocasión vamos a hablar de iBench, una curiosa utilidad de benchmarking - es decir, de test de rendimiento - especialmente creada para equipos Apple.

iBench fue creado por los investigadores Tyler Harter, Chris Dragga, Michael Vaughn, Andrea C. Arpaci-Dusseau y Remzi H. Arpaci-Dusseau del Departamento de Ciencias de la Computación de la Universidad de Wisconsin, y publicado en sus paper "A File is Not a File: Understanding the I/O Behavior of Apple Desktop Applications" en el que explican por qué se ha creado iBench.

Este conjunto de pruebas, tal y como ellos mismos exponen, han sido creadas basándose en las actividades que los equipos de hoy en día deben realizar, haciendo pruebas intensivas en cómputo, pruebas intensivas en transferencia de memoria, y análisis de datos. Así, realizan pruebas como el cálculo de fractales, el cálculo de hashes MD5 o la compresión JPEG o ZIP para evaluar el rendimiento del sistema.

Figura 1: Ejecutar tests de iBench en un MacBook Air

La herramienta es totalmente gratuita y se puede descargar desde Descargar iBench. Una vez instalada, el funcionamento es bastante sencillo. Es suficiente con lanzar el programa y ejecutar los tests.

Figura 2: Test de transformación de Householder

Una a una las pruebas irán apareciendo por pantalla, ejecutándose de forma aleatoria para evitar que la prueba quede contaminada por una ejecución anterior.

Figura 3: Una de los tests, basado en cálculo de hashes MD5

Al finallizar las últimas pruebas, el sistema informará de la nota obtenida. En este caso no demasiado alta.

Figura 4: Resultado de iBench

¿Qué significan los resultados?

Los resultados de iBench represtan el rendimiento de este Mac en relación a un resultado base. Este resultado base se calcula de forma abstracta y no representa ningún modelo en concreto, aunque podría decirse que un PowerPC G4 dual de 1 GHz sería lo más representativo.

En cualquier caso, y como este ejemplo, un resultado de 2,65 representa que este Mac es 2,65 veces más rápido que el resultado base. Prueba el tuyo.

lunes, 19 de diciembre de 2011

Java Rhino [CVE-2011-3544] llegó a los kits de explotación

Hace unos días publicamos la POC (Prueba de Concepto) del exploit para la vulnerabilidad Java catalogada con el código CVE-2011-3544. Este exploit ha sido llamado como Java Rhino e incorporado en Metasploit, el framework para pentesters por excelencia. La vulnerabilidad fue parcheada en la última actualización de Java para Mac OS X Snow Leopard y Mac OS X Lion, y no para Mac OS X Leopard, que ya hace meses que está sin soporte de parches de seguridad por parte de Apple.

Lo que ha sucedido posteriormente a que se haya publicado la información sobre la vulnerabilidad, el exploit y el parche, es que los kits de explotación, utilizados para infectar máquinas de forma masiva y la distribución de malware, lo han incorporado a sus arsenales. De esta forma, en DarkOperator han recogido como la última versión, BlackHole 1.2.1 ya tiene este exploit en sus listas.

Figura 1: Java Rhino ya se encuentra en la lista de exploits de BlackHole 1.2.1, al igual que Mac OS (ver panel inferior izquierdo)

Blackhole, de origen ruso y del que Andriy nos tradujo unas pantallas, es uno de los kits más populares, y ha sido utilizado en campañas de infección másivas, llegando a infectar sitios tan populares como el sitio web del servicio postal americano. En los kits, como ya vimos, hace ya bastante tiempo que se cuenta con Mac OS X entre los objetivos, y otros como Eleonore también atacan Mac OS X.

Otro de los kits de explotación que ha añadido esta vulnerabiliad de Java ha sido Phoenix Exploit's Kit 2.9, atacanto equipos no actualizados.

Figura 2: Phoenix Exploit's Kit versión 2.9 con Java Rhino

Todas estas actuaciones ahcen que se sea extremadamente necesario contar con sistemas parcheados dentro de las organizaciones, y en el caso de Mac OS X Leopard, que se actualice el sistema operativo completo o se desactive el soporte Java en los navegadores.

domingo, 18 de diciembre de 2011

Fue noticia en Seguridad Apple: del 5 al 18 de Diciembre

Como cada dos semanas llega el momento de hacer el resumen de lo publicado durante estos catorce días anteriores. Además se da la curiosa situación de que, en este caso, llegamos al último del año, ya que el siguiente será ya para el primer día del año que viene, así que vamos a comenzar con este resumen.


El martes os recordamos el comienzo del curso de desarrollo avanzado de aplicaciones iOS para iPhone e iPad que ya se impartió. Estos cursos vuelven a repertirse en Enero y Febrero, impartiéndose primero el 16 de Enero el curso inicial de desarrollo de aplicaciones iOS y el el 30 de Enero el curso de desarrollo avanzado.

El miércoles 7 de Diciembre una noticia sorprendente con la prohibición por parte de los administradores de la red del congreso de que los diputados conectaran los dispositivos iPad que les han entregado para realizar su trabajo. Una noticia que deja a las claras la improvisación de muchas de las decisiones en las organizaciones.

Esa misma tarde tuvimos más información sobre DevilRobber (OSX/Miner-D), el troyano de los Bitcoins, que ha aparecido en nuevos programas piratas, como son Twitterific, EvoCam y Writer's Café.

El jueves de esa semana una noticia curiosa que deja a las claras el miedo de los gobiernos autoritarios a la libertad de expresión y el uso de Internet como forma de comunicación. En Siria deciden prohibir el uso de iPhone, en parte por las capacidades de grabar vídeo o hacer fotos que dejen constancia para que el mundo sea testigo de lo que está sucediendo allí.

El viernes 9 publicamos un artículo para recordar a los usuarios que la popular aplicación WhatsApp no cifra los mensajes, y que si estamos conectados a una red insegura podrían ser leidos y que hay otras alternativas, como por ejemplo Kik Messenger, que sí que los cifra.

Ese mismo viernes, en nuestra sección semanal de humor y curiosidades, una foto de "leopardesa" en el baño, en la que es sorprendente ver más iPad 2 que otra cosa.

El sábado, para continuar nuestra particular cruzada en favor del parcheo continuo y el mantenimiento actualizado de los sistemas, os trajimos un vídeo en el que se observa cómo se explota el CVE-2011-3230 que afecta a Safari para Mac OS X.
Para el domingo pasado dejamos una noticia que tiene que ver con la historia de Apple. La aparición de tres prototipos de Apple en Ebay. Una tarjeta de memoria ROM probablmente para Apple II, un carcasa de un servidor que nunca vio la luz llamado Apple MultiServer y un cargador de corriente para computadoras portátiles PowerBook. ¿Quiéres saber por cuánto se vendieron?

El lunes pasado, el artículo fue para reflexionar y hacer pensar a esos usuarios que aún no han abandonado Mac OS X Leopard. Para que acepten que ese sistema es ya parte de la historia de Apple y que el usarlo es un gran riesgo, ya que a día de hoy no cuenta con actualizaciones de seguridad.

El martes 13 tocó día de actualizaciones, así, en primer lugar hablamos de iTunes 10.5.2, de la que Apple ha dado más bien poca información relativa a seguridad y nos hace "suponer" que no tiene fallos de seguridad conocidos, y que solo es un arreglo de la versión 10.5.1. También tocaron más parches para soportar dispositivos ThumderBolt, en este caso, nuevo firmware gráfico.

El miércoles 14 de Diciembre le dedicamos la entrada a incidir sobre el riesgo del Juice Jacking, o de cómo te pueden robar todos los datos sin necesidad tan siquiera de desbloquear el terminal.

Así que, ten especial cuidado con los datos de tus dispositivos  y no conectes tu terminal iPhone o tu iPad a ningún cargador o equipo exraño.

El jueves de esta semana más parches, en esta ocasión parches críticos para la suite de Microsoft Office para mac, en sus tres últimas versiones: 2004, 2008 y 2011. El nivel de severidad de los mismos es crítico, así que hay que parchear cuanto antes.

Para el viernes, primero un fallo de almacenamiento inseguro en la popular herramienta iSSH para iPhone e iPad, que almacena los datos de las conexiones a los servidores sin cifrar, algo de lo que hay que preocuparse en caso de perderse el dispositivo.

Para por la tarde, dentro de los posts de curiosidades - y en esta ocasión humor e historia -, una visión a la línea de ropa que Apple sacó para el año 1986, y que por superte no llegó a fructificar que si no...

Ayer sábado, le dedicamos la entrada a un fallo de seguridad en el sistema de borrado remoto de termianl, que no permite quitar la cuenta de iMessage de los terminales iPhone robados o extraviados de forma remota.

Así, cualquier mensaje SMS enviado por iMessage a un destinatario de iPhone hará que le llegue al nuevo poseedor del teléfono, y lo que es peor, si la víctima cambia su iPhone por otro modelo sin iMessage, estos mensajes solo llegarán al terminal perdido. Esperemos que Apple lo arregle pronto.

Y esto ha sido todo, nos vemos en esta sección en el resacoso 1 de Enero de 2012. Felíces Fiestas para todos.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares