Menú principal

jueves, 17 de enero de 2019

El jailbreak para iOS 11.4.1 podría estar a la vuelta de la esquina

Si aún estas utilizando iOS 11 pero actualizaste tu dispositivo a la versión 11.4.1 sabrás que todavía no hay ningún jailbreak para esa versión, sin embargo eso podría cambiar durante los próximos días. A día de hoy algunas de las herramientas utilizadas para hacer jailbreak como Electra o Unc0ver no están actualizadas para soportar iOS 11.4 y solo funcionan en la beta 3 de iOS 11 o versiones anteriores. Por suerte para algunos es muy probable que dentro de poco dispongamos de un jailbreak para iOS 11.4 e iOS 11.4.1 de la mano de Tihmstar, el mismo autor que lanzó EtasonJB para iOS 8 y h3lix para iOS 10, dos jailbreaks que contaron con un gran éxito hace unos años.

El hacker ha compartido algunos detalles acerca de su descubrimiento en twitter y ha afirmado haber encontrado un exploit que permitiría la realización del jailbreak además de contar ya con acceso a la lectura del kernel. Tihmstar también ha advertido a los usuarios que solo podrán aprovecharse de este jailbreak los usuarios cuyos dispositivos tengan el chip A9 o uno inferior, lo que excluye al iPhone 7 y dispositivos más nuevos. Por lo tanto si no dispones de un iPhone 6s o anterior no podrás hacer jailbreak a tu dispositivo (al menos de momento).

Figura 1: Tweet de Tihmstar

Como ya avisó Tihmstar aquellos dispositivos que no cuenten con un jack de audio no podrán aprovecharse de este jailbreak a no ser que encuentre un exploit que permita lo contrario, por el momento continuará trabajando en esta nueva versión en la cual ha anunciado que ha hecho grandes avances que acelerarán el proceso del lanzamiento del jailbreak. Desde Seguridad Apple aprovechamos para recordaros que los jailbreaks ayudan a obtener un mayor control sobre el dispositivo a cambio de una perdida en la seguridad del mismo, es tarea de cada usuario evaluar si los beneficios compensan los riesgos.

miércoles, 16 de enero de 2019

La empresa Zerodium podría pagar hasta dos millones de dólares por un zero-day de Apple ¿Es esta práctica ética?

Zerodium es una empresa de seguridad que se dedica a comprar y vender exploits (ojo a esto, a venderlos también, abriendo muchos interrogantes en este negocio) ofreciendo buenas recompensas (también llamadas "bug bounty") por todo tipo de zero-days. Este pasado lunes han anunciado un aumento en el precio de estas recompensas por encontrar vulnerabilidades en los entornos Apple que podría llegar hasta los 2 millones de dólares. Cuanto menos interacción requiera el exploit, más alta será la recompensa final. 

Eso sí, no será sencillo de conseguir. De hecho para poder optar a la recompensa de 2 millones de dólares, habría que encontrar una forma de realizar un jailbreak iOS remoto y que además no fuera necesario realizar ningún click (lo llaman "zero click") en el equipo afectado para ejecutarlo. Siempre podemos intentar ir a por la segunda recompensa, la cual ofrece esta vez la mitad, 1 millón de dólares. Esta vez será necesario encontrar un exploit zero-day capaz de conseguir una RCE (ejecución remota de código) en aplicaciones de chat como WhatsApp, iMessage, etc.

Figura 1. Tabla de precios de Zerodium actualizada en 2019. Fuente.

A pesar de pagar varias veces más que los mismos fabricantes por estas vulnerabilidades, el negocio parece realmente rentable para Zerodium. Algunos subscriptores de su servicio han llegado a pagar hasta 200.000$ por tener acceso a su base de datos de exploits. Y es aquí donde entramos en un terreno pantanoso. Antes hemos comentado que Zerodiom no sólo compra, sino que también vende exploits, pero ¿a quién?. Principalmente los clientes son empresas gubernamentales y esto hace pensar que posiblemente muchos de estos exploits se utilicen para prácticas digamos un poco "oscuras" como espionaje, entre otras.

En definitiva, el problema es que cualquiera que tenga dinero suficiente, podría comprar uno de estos exploits y utilizarlo para cualquier fin ilícito como acceder a un sistema o incluso interrumpir su funcionamiento, entre otros muchos, aunque la empresa se publicita diciendo que sus clientes son lícitos y estos exploits sirven para proteger los sistemas. Pero en aquellos casos realmente críticos, donde de verdad se ponga en peligro la integridad de los sistemas o la privacidad de los usuarios con un zero-day ¿no sería más ético y moral contactar siempre con el fabricante para que lo arreglara lo antes posible y así proteger a los usuarios?. Seguro que volveremos a tratar este tema más adelante. 

martes, 15 de enero de 2019

Supercharge: La primera app capaz de crear e instalar tweaks en iOS entra en fase beta

Desde la aparición de la aplicación Shortcuts nos hemos preguntado si en algún momento dispondremos de una aplicación de terceros que permita a los usuarios de iOS personalizar sus dispositivos a través de la creación e instalación de tweaks. Por suerte para todos aquellos aficionados al jailbreak y los tweaks puede que esta idea no esté tan lejos de convertirse en realidad. En el día de hoy os hablaremos de Supercharge, la primera aplicación que te permitirá crear e instalar tweaks directamente desde tu iPhone y que ya ha entrado en fase Beta.

Puede que esta sea la primera vez que oyes hablar de Supercharge, sin embargo es una aplicación que lleva bastante tiempo en desarrollo y viene de la mano de algunos desarrolladores con renombre, entre los que se encuentran Kabir Oberai, CoolStarOrg y Ziph0n. Supercharge promete convertirse en un espacio en el que los usuarios de iOS podrán crear sus propios tweaks con los que modificar su dispositivo u algunas de las aplicaciones que en él se encuentren. También permitirá disfrutar de los tweaks creados por otros desarrolladores tanto en dispositivos con jailbreak como en dispositivos sin ello.

Figura 1: Aspecto de la aplicación Supercharge

Supercharge contará con una apariencia similar a la de la aplicación de Shortcuts pero estará enfocada mayoritariamente a la customización de dispositivos, de hecho su diseño e interfaz son muy similares a los de Shortcuts. Con Supercharge los usuarios podrán crear sus propios tweaks y acceder a los que tienen instalados en la pestaña de “tweaks” además de poder descargar tweaks de otros desarrolladores desde la propia tienda implementada en la aplicación. El equipo de Supercharge ha liberado una beta cerrada para algunos desarrolladores y ha anunciado que la beta pública no tardará en llegar. Si eres uno de los desarrolladores interesados en adquirir esta beta privada, puedes solicitar una copia contactando con el equipo de Supercharge desde su cuenta oficial.

lunes, 14 de enero de 2019

Estas catorce aplicaciones de apple pueden suponer un gran riesgo de seguridad

A día de hoy muchos usuarios piensan que la App Store de Apple está libre de malware, por desgracia esto no es cierto, recientemente se ha demostrado que alrededor de una docena de aplicaciones se han estado comunicando con un servidor asociado con Golduck, un malware de Android capaz de infectar varias aplicaciones de juegos según la empresa de ciberseguridad Wandera. Los investigadores de la firma han asegurado encontrar hasta 14 aplicaciones comunicándose con el mismo servidor utilizado por este famoso malware. Esto es una especial causa de preocupación si has instalado alguno de los juegos retro que funcionan con este servidor.

El malware Golduck ha estado presente en el SO Android durante años, sin embargo esta es la primera vez que se le asocia a aplicaciones de Apple. Aunque el problema no sea tan serio en la App Store como en Google Play y las aplicaciones aun no contienen código malicioso, en la actualidad el servidor se encarga de ofrecer anuncios pero esto podría cambiar en un futuro. A su vez los investigadores han comprobado que las aplicaciones afectadas comparten tu dirección IP e información acerca de tu localización con el servidor de Golduck. La mayoría de juegos gratuitos que podemos encontrar en las tiendas de aplicaciones utilizan la publicidad como principal fuente de ingresos, con la ayuda de Golduck un atacante podría utilizar s publicitarios para añadir links que redirijan a las víctimas hacia la instalación de un perfil o certificado que en última instancia permita la instalación de una app maliciosa.

Figura 1: Anuncio en aplicación de juego

Tras conocer esta noticia, si eres de los usuarios que han descargado algunos de los juegos que os mencionaremos a continuación es recomendable que los desinstales de tu dispositivo para prevenir un posible ataque. Los juegos afectados son:
  • Commando Metal: Classic Contra Super Pentron 
  • Adventure: Super Hard 
  • Bomber Game: Classic Bomberman 
  • Super Adventure of Maritron 
  • Classic Tank vs Super Bomber 
  • Roy Adventure Troll Game 
  • Trap Dungeons: Super Adventure 
  • Bounce Classic Legend 
  • Block Game 
  • Classic Bomber: Super Legend 
  • Brain It On: Stickman Physics 
  • The Climber Brick 
  • Chicken Shoot Galaxy Invaders 
  • Classic Brick - Retro Block 

Por desgracia esta no es la primera vez que alguna aplicación de Apple sufre de problemas de seguridad, el pasado mes se descubrieron algunas aplicaciones de fitness maliciosas que robaban dinero de sus usuarios a través del Touch ID. Situaciones así nos recuerdan la importancia de informarnos acerca de que aplicaciones instalamos y de si estas son de desarrolladores conocidos y de confianza.

domingo, 13 de enero de 2019

Fue Noticia en seguridad Apple: del 24 de diciembre al 13 de enero

Nos adentramos en 2019 y en Seguridad Apple aprovechamos para brindaros nuestros mejores deseos para el año que entra. A continuación os traemos algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas tres semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 24 deseándoos unas felices fiestas y avisándoos de que a pesar de las Navidades la actividad en este blog no cesa para que podáis disfrutar de interesantes artículos durante las vacaciones. 

El martes 25 os contamos como una vulnerabilidad de WebKit afecta a las últimas versiones de Safari permitiendo la ejecución de código arbitrario de manera remota.

El miércoles 26 os explicamos cómo podéis mejorar la seguridad de vuestro iPhone al desactivar Siri cuando la pantalla está bloqueada.

El jueves 27 os enseñamos un Shorcut para el teclado con el que podréis acceder rápidamente al menú de forzar detención en Mac.

El viernes 28 os avisamos de la llegada de la beta de iOS 12.1.3 para desarrolladores y os contamos cuales son las novedades que incorpora.

El sábado 29 aprovechamos el final del año para hacer una recopilación de las mejores anécdotas y curiosidades de la historia de Apple de las que os hemos hablado este año.

El domingo 30 os hablamos de algunas herramientas de gestión de contraseñas en iOS y de la importancia de los TOTP.

El lunes 31 aprovechamos para despedir el año deseándoos unas felices fiestas y una buena entrada en el 2019.

El martes 1 os alertamos de que algunas aplicaciones comparten nuestra ubicación sin permiso y os contamos como evitarlo en iOS.

El jueves 3 damos comienzo a una serie de dos artículos en la que recopilamos algunas de las mejores herramientas preinstaladas de Mac.

El viernes 4 finalizamos la serie Recopilación navideña de herramientas para Mac, la serie en la que os hablamos de algunas de las mejores aplicaciones preinstaladas de Mac.

El sábado 5 finalizamos nuestra recopilación de las mejores anecdotas y curiosidades de la historia de Apple de las que os hemos hablado.

El lunes 7 os hablamos de la actualización del USB C con USB Type-C Authentication Program permitiendo el uso de criptografía para la autenticación de dispositivos.

El martes 8 os contamos cuales son las novedades del lenguaje de programación Swift 5, uno de los lenguajes predilectos de Apple.

El miércoles 9 os alertamos del perfeccionamiento de las técnicas en los ataques Phishing telefónicos a los dispositivos de Apple.

El jueves 10 os recordamos que el ramsonware sigue siendo una amenaza global y os contamos las predicciones de Bitdefender para este año.

El viernes 11 os hablamos de lo que supondrá la participación de Apple, Tesla y otras grandes empresas de la Nasdaq en el blockchain

El sábado 12 de enero hablamos sobre, seguramente, el huevo de pascua más famoso de la historia de Apple. Os recomendamos su lectura, ya que siempre es interesante conocer la historia de Apple. Sin duda, unas semanas de noticias e interesantes artículos en Seguridad Apple.

sábado, 12 de enero de 2019

Posiblemente el mejor "huevo de pascua" de la historia se encuentra en el juego para Apple II "Karateka"

Vamos a empezar este nuevo año con más anécdotas y curiosidades de Apple apostando fuerte, ya que es un poco arriesgado afirmar que este sea el mejor huevo de pascua de la historia de la informática, pero al final del artículo el lector o lectora podrá decidir si es o no el mejor de todos. Ya sabemos qué es un huevo de pascua, incluso dedicamos hace tiempo un artículo a los de Mac además de contar en este otro el primero de ellos. Pero hoy vamos a hablar hoy de uno especialmente genial, ubicado en uno de los mejores juegos para el Apple II llamado Karateka .

Karateka es un juego de artes marciales creado por el genial Jordan Mechner, el cual también programó otra joya llamada Príncipe de Persia (hacemos un inciso, si te gustan las historias retro de programadores, no puedes perderte los dos libros de Jordan Mechner sobre como creó Principe de Persia y Karateka donde documenta casi paso por paso todo el proceso). Karateka es un típico juego de lucha donde nos enfrentamos a diferentes oponentes usando las artes marciales. Pero lo que marcaba la diferencia con otros juegos similares de la época, era la gran fluidez y animación de los movimientos de los personajes (que luego perfeccionaría en el Príncipe de Persia, recordando que se ejecutaba en un Apple II con sus limitaciones técnicas de la época.

Figura 1. Cara de un disco de 5"1/4 con la copia "normal" del juego, dándole la vuelta se ejecutaba el huevo de pascua. Fuente.

Este juego se distribuía, como casi todos por aquel entonces, en discos de 5"1/4. Si eres tan viejuno como el que escribe estas líneas, recordarás que estos discos tenían dos caras, era posible darle la vuelta y acceder a más información en la cara "B". Karateka se distribuía en uno de estos discos pero sólo la cara principal donde estaba el juego tenía una pegatina identificándola. Si por accidente (o de forma premeditada) se introducía la cara del disco no etiquetado en la unidad, el juego se ejecutaba totalmente del revés. Era perfectamente posible jugar al juego completo con los personajes y el paisaje boca abajo. Simplemente genial. Incluso hubo gente que llamó al servicio de atención al cliente de la compañía Broderbund diciendo que este se veía al revés.  En el siguiente vídeo se puede apreciar la ejecución del huevo de pascua en un Apple IIe:




A Mechner se le ocurrió la idea mientras estaba intentando programar un sistema de anti-copia para Karateka. Cambiando los valores de algunas tablas de bits comprobó que no era complicado hacer una versión "invertida" y copiarla en la otra cara del disco. Hay que recordar también que la unidad de disco de los Apple II y Apple IIe no tenían dos cabezales (algo que más tarde se impondría en este tipo de lectores) que permitieran leer las dos caras sin tener que darle la vuelta físicamente.

Lamentablemente, hoy día con el soporte digital, los discos de todo tipo prácticamente han desaparecido y este tipo de huevos de pascua "físicos" son imposibles de volver a poner en práctica. Entonces, ¿crees o no que este es el mejor huevo de pascua de la historia? ;)

viernes, 11 de enero de 2019

La participación de Apple y Tesla en el blockchain podrían suponer el próximo hito en la criptografía

El 2018 ha sido un año alocado para las criptomonedas. El Bitcoin se ha movido por diversos valores, desde los 20.000 hasta los 4.000 dólares, con los que ha cerrado el año. Los analistas y ejecutivos de la industria han decidido apuntar hacia el desarrollo y apostar convertir la seguridad en acciones y asociarlas al blockchain. Los security tokens se están convirtiendo en un elemento cada vez más utilizado en el mundo de la criptografía. El término para esto en la industria es conocido como “tokenización”. En el caso de los security tokens tanto el activo comerciable como la equidad y el ingreso fijo son transformados en activo digital, el cual usa la tecnología del blockchain.

Hace unos días la firma Estonia de criptografía DX.Exchange lanzó una nueva plataforma de tradeo que permite a los inversores adquirir participaciones de las compañías listadas en la Nasdaq (entre las que se encuentran Apple, Tesla, Netflix y Facebook) a través de tokens de seguridad. Cada token es apoyado con la participación de algún miembro de la empresa que quiere realizar una inversión y los autoriza a acceder a esos mismos dividendos en efectivo.

“Por medio de la tokenización de acciones de algunas de las mayores empresas en bolsa como Google, Amazon, Facebook y más, estamos abriendo un mercado sin explotar a millones de comerciantes a lo largo del globo sin que necesiten actuar a través de intermediarios, además podrán hacerlo independientemente de la hora, incluso cuando el mercado haya cerrado” Ha dicho Amedeo Moscato, Chief Operating Officer de DX.Exchange.

Figura 1: Apple, Facebook y Tesla formarán parte del blockchain

Los expertos apuntan a que este nuevo modelo de mercado podría ofrecer una forma sólida de realizar inversiones, al contrario de lo que sucede con las criptomonedas como el Bitcoin, las cuales pueden ser muy volátiles y sus valores fluctúan constantemente. Estos nuevos tokens pueden ser adquiridos por los inversores de una forma muy sencilla, sin embargo eso también abre la posibilidad a nuevas estafas como la que tuvo lugar el año pasado con una criptomoneda llamada Giza, con la que se estafaron más de 2 millones de dólares. Por el momento no se puede garantizar el éxito de este nuevo modelo de mercado, pero las expectativas son prometedoras.

jueves, 10 de enero de 2019

El ramsonware sigue siendo una amenaza global

Según las predicciones de la firma de seguridad Bitdefender a lo largo de 2019 el  ransomware podría volver a encabezar la lista de posibles amenazas para los consumidores. Durante la primera mitad de este año el ramsonware perdió el primer puesto en la lista tras encabezarla durante varios años, sin embargo durante los últimos meses su impacto ha ido aumentando paulatinamente hasta este fin de año. Bitdefender atribuye esta bajada en el ranking debido al crecimiento que ha tenido el crypto-jacking durante el pasado año, una amenaza que ha ralentizado millones de equipos y los ha utilizado para minar criptomonedas.

Según el informe publicado por Bitdefender, en el que se han cubierto varias áreas entre ellas Internet of Things o los ataques a macOS el ransomware seguirá estando muy presente durante los próximos años.

“Siempre va a haber nuevas versiones de ransomware, algunas más complejas que otras y algunas difíciles de descubrir, pero no esperamos que aumente a gran escala. Al menos no tanto como el año pasado.”

Figura 1: Facebook  y el leak de Cambridge Analytica

A pesar de que se espere un incremento de ataques a sectores como el de la banca o el del internet de las cosas, también se ha previsto un descenso en los leaks de datos y credenciales (como el sucedido el pasado año con Cambridge Analytica). Esto se debe a la actualización de la GDPR que entró en vigor el pasado mes de mayo y que establece multas millonarias para las compañías que filtren este tipo de información. Las multas ascenderían hasta un 4% de los beneficios anuales de la compañía infractora, algo que se traduce a millones, incluso billones de dólares y que podría llevar varias empresas a la bancarrota.

miércoles, 9 de enero de 2019

Los ataques de phishing telefónico a usuarios de Apple se perfeccionan

Existe un nuevo ataque de phishing telefónico que tiene bastantes probabilidades de convertirse en un verdadero problema para este nuevo año que entra. Este reciente engaño podría llevar a muchos usuarios a pensar que están recibiendo realmente una llamada de Apple Inc (aparece así como identificador de llamada como veremos después) ya que su apariencia es bastante legítima. Este tipo de ataques se suele llamar también "scam" desde el cual el criminal se comunica con la víctima por teléfono para realizar algún tipo de transacción no autorizada.

En este nuevo scam contra usuarios de Apple, la llamada informa al usuario que su ID de Apple ha sido comprometido. Lo primero que este hará es mirar el número desde el cual se está realizando la llamada para comprobar la identidad. Lo sorprendente es que aparece el 1-800-MYAPPLE y el identificador de llamada como "Apple Inc.", exactamente igual de cómo aparecería una llamada legítima del servicio AppleCare

Figura 1. Llamada entrante "scam" y sus datos. Fuente

Jody Westby, CEO de la empresa Global Cyber Risk LLC, una empresa de consultoría de seguridad, ha sido una de estas personas que ha recibido este tipo de llamadas y procedió a analizarla. El mensaje automático informa, como hemos contado antes, que nuestro ID ha sido comprometido en varios servidores y alerta al usuario que tiene que realizar una llamada a un teléfono 1-866 antes de hacer nada con el iPhone. En la figura 1 podemos ver que la dirección web de Apple no tiene la "s" en el "http" pero el número de soporte, la dirección y el resto de datos parecen totalmente legítimos.

Figura 2. Llamadas recibidas entre las que aparecen las falsas y las legítimas. Fuente.

Finalmente, Jody accedió la web de soporte de Apple para abrir un caso de servicio técnico. A los pocos minutos un técnico "real" de Apple le llamó confirmando la sospecha, la llamada anterior era un scam. Es más, para sorpresa de Jody, la llamada legítima de Apple apareció junto al resto de llamadas falsas. Alguien está suplantando la identidad de Apple (spoofing) y esto puede ser un problema bastante serio para la seguridad de los usuarios. Estaremos atentos a más detalles sobre este nuevo phishing telefónico que seguro dará mucho más que hablar.

martes, 8 de enero de 2019

Novedades de Swift 5

Swift lleva unos cuantos años siendo el lenguaje de programación predilecto de Apple. Desde su aparición en 2014 hemos visto como en cada edición de la WWDC ha ido cobrando más protagonismo, sustituyendo a Objective-C en la mayoría de demos y talleres. Muchas de las grandes deficiencias de este lenguaje se han ido subsanando a lo largo de las distintas iteraciones, hasta llegar a la última versión propuesta, Swift 5.

Esta versión se caracteriza por tener menos cambios en sintaxis y funcionalidad que sus predecesoras, pero cuenta con un gran característica que lleva aquejando a Swift desde sus inicios: la estabilidad de la Application Binary Interface o ABI. ¿Qué es ABI?, pues es una interfaz que permite a los binarios de Swift interactuar con otras librerías y componentes. Básicamente define detalles a muy bajo nivel como las llamadas a funciones, la representación de datos en memoria, donde se encuentran los metadatos o como acceder a ellos.

Actualmente Swift tiene un gran problema, y es que no tiene una ABI estable, esto significa que cada binario compilado (o sea, cada aplicación escrita en Swift), empaqueta su propia versión de la Librería Dinámica de Swift, ya que esta no reside en el propio sistema operativo. Por ello, si una app usa Swift 3.0, contiene la Librería Dinámica con ABI 3.0, mientras que si otra está compilada con Swift 4.2 contiene la Librería Dinámica con ABI 4.2. Por lo tanto si con Swift 5 llegamos a tener una ABI estable, Swift podrá ser integrado en el sistema operativo y su ABI podrá ser compatible con todas las versiones de Swift posteriores a la 5.

Figura 1: App compilada con Swift 4.2

Esta mejora supone ciertas ventajas, como que el tamaño de las aplicaciones se reducirá, los cambios en la sintaxis de Swift serán menos drásticos, habrá menos migraciones y se podrán crear Frameworks pre-compilados en Swift. También acarrea ciertas desventajas, como que se limita los cambios en las Interfaces Públicas y los Símbolos, al igual que restringe el crecimiento y la evolución de Swift como estábamos acostumbrados. Aunque esto último, viendo el grado de madurez actual del lenguaje, ya no es tan problemático como en sus inicios.

Figura 2: Raw Strings y @unknown default

Por otro lado, se han introducido pequeñas mejoras, como la habilidad de crear “raw strings” mediante el símbolo # entre la cadena de texto. Esto es bastante útil en textos que tienen que escapar comillas o en expresiones regulares. También se han añadido “Dynamically callable types”, que permiten marcar un tipo como directamente invocable, esto permite a Swift funcionar mejor con lenguajes dinámicos como Python y Javascript. Junto a esto, también se ha introducido el atributo @unknown para diferenciar entre los casos por defecto en un switch de un enumerado y los casos no contemplados.

Así que, quitando de lado unas pequeñas mejoras de sintaxis y otras pocas incorporaciones, estas serían las principales novedades de Swift 5, un lenguaje de programación en alza, con sus grandes ventajas pero también con múltiples inconvenientes. La comunidad en torno a este lenguaje no hace más que crecer, teniendo un repositorio muy activo y una página donde poder informarte de todas las mejoras que animo a que consultéis.

lunes, 7 de enero de 2019

Se actualiza el estándar USB-C con USB Type-C Authentication Program

El estándar USB-C ha sufrido una actualización, lo que permitirá hacer uso de criptografía para autenticar los dispositivos conectados. Las implicaciones derivadas de esta actualización no son menores, pues permitirán una correcta certificación de dispositivos y mejorar la seguridad. Este nuevo estándar recibe el nombre de USB Type-C Authentication, y nos permitirá asegurar que un punto de conexión físico es genuino.

Por ejemplo, si quieres cargar un dispositivo en un puerto USB en lugares como aeropuertos, restaurantes o cafeterías, tu móvil podría permitir sólo cargar a través de cargadores certificados, de tal manera que las posibilidades abiertas para un atacante de cara a la inyección de malware en nuestro dispositivo o la inutilización del mismo al aplicar una corriente superior a la permitida quedaran muy restringidas. Tanto en este blog como en elladodelmal ya hemos hablado de los peligros a los que los usuarios se exponen a ataques BadUSB en el caso de conectarse a puntos de carga USB públicos.

El nuevo estándar permite que los dispositivos se autentiquen utilizando canales de suministro de datos o de energía, por lo que se podrá verificar un cargador sin establecer un intercambio de datos con cualquier dispositivo. Además, la autenticación tiene lugar inmediatamente antes de que el acceso al dispositivo se permita por parte del usuario. Los cables con esta nueva certificación cuentan con control sobre las políticas de seguridad que emplea el dispositivo con el que se conecta, además de un cifrado de 128 bits, firmado digital y generación de hashes aleatorios. Con respecto al cifrado, tanto la gestión de certificado del programa como del archivo PKI, el USB-IF se ha decantado por DigiCert para su gestión. Cualquier detalle adicional sobre este nuevo estándar queda especificado en el siguiente enlace.

Figura 1. Cables USB-C conectados a un MacBook Pro (2018) de 15 pulgadas

Actualmente, el proceso de certificación sólo es una recomendación. Por ahora, queda a elección de los fabricantes la implementación del mismo. Sin embargo, estamos ante un gran paso para el canal de conexión que aspira a convertirse en el puerto por defecto de todos los dispositivos del mercado en un futuro cercano.  
Este protocolo es lo que más se asemeja a MFi con respecto al USB Tipo C. Sin este certificado, un cable no puede conectarse a dispositivos  iPod, iPhone, iPad y AirPlay. Cabe la posibilidad de que a lo largo de 2019 la empresa de Cupertino avance en la implementación este estándar en sus dispositivos con USB-C. Esperemos que conforme continúe la generalización de este puerto, el proceso de certificación se vuelva obligatorio.

sábado, 5 de enero de 2019

Anécdotas y curiosidades de la historia de Apple (Recopilación de invierno, parte 2 de 2)

Esta es la segunda parte de la recopilación de invierno sobre nuestras historias y curiosidades de la empresa Apple. Antes de continuar, en este enlace está la primera parte de esta recopilación. Acabamos contando historias de Steve Wozniak y su genial idea de convertir un ordenador monocromo en color o el raro Apple II alias "Darh Vader" orientado a la educación y que hoy día es bastante complicado de encontrar. Esperamos que ambas listas os hayan gustado.


El juego Breakout escrito en BASIC  por Steve Wozniak (en media hora) para el Apple II que dejó atónitos a los miembros del Homebrew Computer Club

Steve Wozniak (no nos cansamos de hablar de él) acababa de terminar su implementación del intérprete del lenguaje de programación BASIC (Integer BASIC) para su querido y recién terminado Apple II, en 1977. Además de programarlo para ofrecer un lenguaje de programación a los futuros usuarios del flamante Apple II, Wozniak sabía que Bill Gates había escrito un BASIC para el Altair, así que él pretendía crear el primero para el MOS 6502. Y para demostrar que también se podían hacer juegos, creó un Breakout en sólo 37 líneas de código BASIC y tan solo media hora.


El Apple II "Darth Vader", así conquistó el mundo de la educación Apple

Apple, y más específicamente Steve Jobs, sabían que uno de los mercados donde tenían que adoptar una posición dominante donde vender sus ordenadores era el mundo de la educación. En 1978 comenzaron a ofertar en diferentes escuelas de EEUU para vender sus equipos. Y aquí fue donde ganaron la batalla, el Apple II no tenía competencia en aquella época, tanto por precio como por prestaciones. El mundo de la educación era dominio total de Apple.


Hoy sábado 15 estaremos dando una charla parte del equipo que escribe en Seguridad Apple en el evento de la RootedCon Valencia. En nuestra charla, que precisamente trata sobre los USB y las Hidden Networks, en concreto de los pendrives, haremos una mención a este equipo, el iMac G3, el primer ordenador comercial en eliminar todos los puertos paralelo y serie (legacy ports) a cambio de utilizar USB. Una apuesta arriesgada de Apple, la primera desde la vuelta de Steve Jobs. Vamos a conocer un poco su historia.


Rokr E1, el fracaso del primer teléfono con iTunes (que apareció antes que el iPhone y además fabricado por Motorola)

Durante 2004, Apple tenía el control absoluto de un mercado en el cual había irrumpido con mucha fuerza: los reproductores de música portátil. El dominio de dispositivos como los iPod era total, hasta el punto de ser el 50% de los ingresos de Apple por aquella época. A pesar de estos momentos de gloria para Apple, Steve Jobs estaba preocupado por un dispositivo que podía quitarle el dominio de la música portátil: el teléfono móvil.


El proyecto olvidado Star Trek: cuando Apple y Novell se unieron para portar las aplicaciones Mac a Intel ... en 1985

Es habitual pensar que el salto de Apple de PowerPC a Intel ocurrió con el Mac OS X en 2005. Pero la realidad es que ya en 1985, poco después de que Steve Jobs "dejara" la empresa, ya comenzaron algunos movimientos internos para conseguir exportar aplicaciones Mac OS a la arquitectura x86. Pero aún pesaba la sombra de Jobs que era totalmente contrario a esta operación, así que no fue hasta varios años después, en 1992, cuando su sucesor y némesis, John Scully, resucitó el proyecto.


John Drapper "Capitán Crunch", el hacker del silbato que programó el primer procesador de textos para Apple II desde la cárcel

El Capitán Crunch y los fundadores de Apple tienen una gran cantidad de anécdotas e historias que vivieron juntos, sobre todo al comienzo de la creación de compañía. Debemos recordar que la empresa de la manzana se fundó gracias a la blueboxes, y precisamente de estos dispositivos sabía mucho el Capitán Crunch (aunque esto es otra historia que algún día contaremos). Esta vez vamos a hablar de cómo el famoso phreaker programó el primer procesador de textos EasyWriter para Apple II ... desde la cárcel.

viernes, 4 de enero de 2019

Recopilación navideña de herramientas para Mac. Parte II

Hoy concluimos con la serie de artículos en la que os hablamos de algunas de las herramientas que incorpora Mac, que son muy útiles y que probablemente no sabías de su existencia. En el anterior artículo de esta serie os hablamos de Instantanea, Grapher, Utilidad de Discos y ColorSync. Hoy os presentaremos otras cuatro herramientas útiles aunque poco conocidas y que podrán serte de gran ayuda en caso de necesitarlas.


Acceso a llaveros: Esta aplicación se trata ni más ni menos que de un gestor de contraseñas, con esta herramienta podrás organizar y almacenar tus contraseñas, certificados y claves de usuario, sin duda algo muy útil si utilizas una contraseña distinta para cada servicio al que estés suscrito. También podrás almacenar la contraseña de redes WiFi a las que te conectes habitualmente y crear nuevas entradas para añadir nuevas contraseñas.

Figura 1: Monitor de Actividad de Mac

Monitor de actividad: Al igual que en Windows, Mac también dispone de un Administrador de tareas, en este caso se llama Monitor de Actividad y te permitirá comprobar que aplicaciones o programas se están ejecutando, la memoria que están usando y cuanta energía están consumiendo a cada instante. El Monitor de Actividad también permite cerrar cualquier programa o aplicación en caso de que no responda o esté dando problemas.

Medidor de Color Digital: Esta es probablemente una de las herramientas menos conocidas de Mac, su diseño está enfocado a complementar el trabajo de otras herramientas de diseño y edición fotográfica. El Medidor de Color Digital sirve para comprobar los valores RGB del elemento situado debajo del ratón, además permite copiar estos valores y trasladarlos a tu editor de fotos habitual. 

Figura 2: Medidor de Color Digital para Mac

Bluetooth : Por último y para cerrar esta serie, os hablamos de la funcionalidad Bluetooth de Mac, puede que parezca una tecnología en desuso desde la llegada de Google Drive o Airdrop pero te permitirá transferir archivos de forma inalámbrica de una forma rápida y sencilla. El Bluetooth puede resultar la mejor opción para transferir archivos a todos aquellos dispositivos Apple obsoletos o que no estén optimizados para soportar Airdrop.

jueves, 3 de enero de 2019

Recopilación navideña de herramientas para Mac. Parte I

Hoy damos comienzo a una serie de dos artículos en los que os hablaremos de algunas de las herramientas que incorpora Mac, que son muy útiles y que probablemente no sabías de su existencia. Aunque al adquirir un ordenador nuevo este no disponga de todo el software que utilicemos habitualmente y tengamos que descargar varias herramientas de uso cotidiano, los equipos de hoy en día son cada vez más completos. En el caso de los Mac, podemos encontrar gran cantidad de aplicaciones preinstaladas en el escritorio (Keynote, Calendario, Mail, Fotos, Safari,…) sin embargo algunas de las aplicaciones más interesantes no estan ancladas en la pantalla de inicio y deberemos buscarlas en la carpeta Aplicaciones.

Instantánea: Esta es posiblemente una de las Aplicaciones más útiles de las que os hablaremos hoy, se trata de una herramienta con la que realizar capturas de lo que se muestra en pantalla. Las capturas se guardarán como imágenes. La aplicación se encuentra en la carpeta de utilidades y dispone de Shortcuts para que puedas utilizar sus funciones sin tener que abrir la aplicación. Con instantánea podrás capturar tanto la pantalla completa, como ventanas o fragmentos seleccionados a tu gusto. Otra posibilidad que ofrece es la de programar una captura y también permite la captura de la Touchbar si tu Mac la incorpora.

Figura 1: Instantánea

Utilidad de discos: Esta herramienta resulta muy útil si habitualmente utilizas discos duros externos, USB o utilizas máquinas virtuales que requieren unidades de almacenamiento. A través de esta herramienta podrás controlar el espacio disponible en tu unidad principal y modificar el formato de los discos externos y seleccionar el formato que desees (Mac OS Plus, FAT32, ExFAT,…).

Grapher: Esta herramienta poco conocida pero muy práctica, sobre todo para estudiantes sirve para representar ecuaciones gráficamente. Grapher es capaz de representar las ecuaciones que se le soliciten tanto en formato bidimensional como en tridimensional, además cuenta con gran variedad de configuraciones con las que podrás cambiar el tipo de coordenadas, el tipo de fondo e introducir símbolos matemáticos que no se pueden encontrar en el teclado.

Figura 2: Grapher

ColorSync: Esta herramienta está diseñada con un enfoque hacia el diseño gráfico. Los Mac son ordenadores que gracias a su gran potencia y capacidad de procesamiento son elegidos por muchos trabajadores del ámbito de diseño. Para todos estos diseñadores ColorSync permite calibrar los colores del equipo y escoger entre distintos perfiles cromáticos preinstalados. También te permite comprobar la gama cromática que admiten otros dispositivos como un segundo monitor de trabajo.

martes, 1 de enero de 2019

Algunas aplicaciones comparten nuestra ubicación sin permiso y esto es más importante de lo que parece

En un informe del NYT, se demuestra cómo es posible identificar personas basándose sólo en patrones de localización. Esta información es recopilada por varias aplicaciones en iOS y compartida con hasta 40 empresas diferentes. Aunque estos patrones de localización son anónimos, el documento muestra cómo es posible identificar a la persona debido a la gran precisión de los datos de localización. Por eso es importante saber y tener controlado los programas que tienen algún permiso sobre la ubicación.

La configuración de localización en iOS puede tener tres tipos de permisos, "nunca", "cuando se use la aplicación" o "siempre". La opción "nunca" está clara, la app nunca tendrá acceso a la localización. La siguiente opción "cuando se use", permite que la aplicación tenga acceso sólo a la ubicación cuando esta esté activa. La opción "siempre" permite que la app tenga acceso a la ubicación incluso cuando esta no esté activa.

Figura 1. Opciones de ubicación en iOS. Fuente.

Comprobar esta configuración es una tarea muy sencilla.  Las opciones se encuentran ubicadas en  General - Privacidad - Localización. Aquí aparece un listado de todas las aplicaciones y su nivel de control sobre la ubicación del dispositivo. Ahora sólo hay que ir accediendo una a una para comprar sus permisos sobre la ubicación. Podemos anular todos los permisos simplemente desactivando el botón principal que aparece al principio llamado "Localización".

Como hemos podido comprobar, el control de la ubicación es realmente sencillo de gestionar y además algo necesario para evitar que la información de localización que se comparte llegue a ser un problema para nuestra privacidad. Nunca viene mal recordar cómo revisar y comprobar el nivel de permiso de las apps sobre la ubicación.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares