En estas fechas estivales, ya entrados en el mes de Agosto, no se deben perder las buenas costumbres, y como cada dos semanas, aquí estamos de nuevo para traeros el mejor resumen de las noticias más relevantes publicadas en Seguridad Apple junto con algunas recomendaciones de otros blogs.
Para empezar con el repaso de todo este periodo, nos vamos al pasado lunes 21 de Julio os presentamos la actualización de Java 7 Update 65 para OS X, una actualización crítica que parchea varios bugs de seguridad que permitían a un atacante remoto ejecutar código en la máquina a través de un Applet malicioso. Actualización de nivel crítico.
El martes despertábamos con una noticia bastante sorprendente, el ataque y hackeo sufrido por BigBoss, el popular repositorio de aplicaciones de Cydia. El repositiorio fue vulnerado por un grupo de hackers llamado "Kim Jong-Cracks", y ha puesto en peligro a gran número de dispositivos jailbreakeados.
A mitad de semana os hablamos de Wickr, una aplicación de mensajería instantánea disponible para iOS con un grado de seguridad militar, como asegura Nico Sell, su creadora y miemro de la organización de la popular y decana conferencia de hackers DEFCON.
El jueves 24 nos centramos en la polémica de los backdoors en iOS destapada en la conferencia HOPE (Hackers On Planet Earth), que ha causado un gran revuelo en todo el mundo por sus posibles implicaciones sobre la privacidad de la información de los usuarios.
El viernes anunciamos la publicación por parte de Apple de la beta de la nueva versión de OS X, Yosemite, que ya puede ser descargada para ir 'trasteando' hasta su publicación definitiva, que se espera para Septiembre.
El sábado 26 os contamos cómo Apple ha retirado el firmware que brickeaba los MacBook Air, dejando los equipos de nuevo funcionales en la versión anterior.
Para terminar la semana, hablamos de una herramienta muy útil para realizar ingeniería inversa. Se trata de Hopper, un debugger para realizar análisis estático de binarios para OS X y en Linux.
El lunes 28 un post extenso sobre los problemas de los navegadores en iOS protagonizó nuestro blog. En él, basándonos en lo expuesto en la conferencia SyScan360, analizamos los distintos fallos de seguridad de muchos productos, y cómo explotarlos con diferentes y novedosas técnicas de ataque.
El martes nos centramos en los rumores que anuncian una posible nueva ley para el unlock de dispositivos móviles en EEUU. La ley, aparentemente, cuenta con el apoyo de la FCC (Comisión Federal de Telecomunicaciones), que ha presionado a la industria en este sentido. Ahora ya es legal, tras la votación.
El miércoles presentamos una nueva manera de cifrar llamadas en iPhone, una aplicación llamada Signal - Private Messenger, homóloga de la desarrollada para Android por Moxie Marlinspike, "RedPhone".
Al día siguiente vimos cómo es posible hacer hijacking a Instagram para iOS en redes WiFi públicas, debido a un grave fallo de seguridad que permite secuestrar la sesión de un usuario.
En relación a lo publicado el día 26 de Julio, el viernes anunciamos que ya estaba disponible la actualización 2.9.1 del EFI Firmware para MacBook Air, con el problema del brickeo del equipo totalmente solventado.
Por último, ayer sábado, la noticia fue para la petición de Rusia a Apple de que le entregue el código fuente de iOS y OS X, ya que no se acaba de fiar de que pudiera tener backdoors que pudieran ser utilizados por la NSA para espiar a sus usuarios.
Por último, ayer sábado, la noticia fue para la petición de Rusia a Apple de que le entregue el código fuente de iOS y OS X, ya que no se acaba de fiar de que pudiera tener backdoors que pudieran ser utilizados por la NSA para espiar a sus usuarios.
Y hasta aquí todo lo publicado en nuestro blog, pero como es costumbre, vamos a dejaros también una lista de noticias y artículos de otros medios que no podéis perderos. Aquí va la selección que hemos hecho.
- TOR confirma que el anonimato ha sido roto en 2014: La popular red de la Deep Web confirma que durante el primer semestre del año ha sido atacada y que todo el anonimato ha podido ser roto.
- ProxyMe y ataques de Caché Poisioning: Nuestro compañero de Eleven Paths, Manu "The Sur", presentará en la próxima BlackHat USA 2014 Arsenal esta herramienta. Aquí está el funcionamiento de la misma.
- La seguridad de los USB desmontada: Graves fallos de seguridad en el funcionamiento de USB hace que no se pueda confiar nunca en ningún dispositivo, gracias a BadUSB.
- Publicado "WordPress Hardening" WPHardening 1.3: Una utilidad que te ayuda a detectar fallos de configuración y robustecer tu WordPress. Ahora entre otras cosas recomienda el uso de Latch.
- ¿Qué hace Latch para WordPress?: En el blog de Eleven Paths tienes el detalle de cómo funciona el plugin de Latch para WordPress. Para los que conocen su WordPress y quieren saber todo lo que hace cuando se integra Latch para para WordPress.
- Cuidado con los borradores en WordPress: Ya que estamos con la securización de WordPress, una nota para tener en cuenta. Cuidado con el directorio donde publicas los borradores de tus artículos con el plugin Share a Draft.
- Disección de un exploit en Java: en ZScaler hacen un análisis en profundidad de un exploit en Java. En concreto del CVE-2013-2460
- Libros para aprender seguridad informática: En Security By Default hacen una selección de libros y un plan de entrenamiento para pasar de 0 a profesional de la seguridad en 2 meses.
- Interferencias Wi-Fi y No Wi-Fi: Espectacular repaso en Hack Players a las tecnologías Wi-Fi, merece la pena que te relajes y lo leas con calma. Seguro que aprendes muchos detalles que no sabías.
- Vídeos de la Hack in Paris 2014: En el blog de Cyberhades recopilan todos los vídeos y presentaciones de la pasada conferencia que tuvo lugar en DisneyLand Paris.
- Cómo aprovechar un FileUpload con Metasploit: Nuestro compañero de Eleven Paths muestra en Security By Default cómo sacar partido de este tipo de bugs usando el popular framework de explotación de vulnerabilidades.Y esto ha sido todo por hoy. Esperamos que paséis un apacible domingo de Agosto y volver a veros dentro de dos semanas en esta sección y cada día en los artículos de Seguridad Apple.
No hay comentarios:
Publicar un comentario