Trusthacking: Una nueva amenaza para los dispositivos iOS

En la actualidad es bastante común cargar nuestros teléfonos utilizando nuestro portátil o el de  familiares o amigos, cuando conectamos nuestro iPhone por primera vez a un equipo automáticamente nos muestra una notificación preguntándonos que si debe confiar en ese equipo, al aceptar permitimos al ordenador acceder a los ajustes del teléfono y a los datos almacenados en el. Puede que al tratarse de un ordenador conocido nos inspire confianza, pero los expertos de Symantec han encontrado una serie de Hacks que se aprovechan de este compromiso de confianza, este tipo de ataques se ha denominado Trusthacking. En ElevenPaths se creó una herramienta para gestionar esto.

Según los expertos encontrarse conectado a la misma red wifi que un atacante resulta peligroso y en este caso puede hacer que la confianza establecida entre el ordenador y el iPhone suponga un punto débil en su seguridad, como ya han demostrado Adi Sharabani y Roy Iarchy el pasado miércoles con una presentación en la conferencia RSA de San Francisco. En la presentación se resaltaba el riesgo que suponía la función Wi-Fi Sync que hace que una vez que el equipo se considere de confianza él y el móvil puedan comunicarse e interactuar entre ellos sin necesidad de estar conectados por cable, con estar en la misma red es suficiente.

“Una vez se ha establecido la relación de confianza cualquier cosa es posible, se introduce un nuevo vector de ataque, un atacante podría aprovecharse de los controles para desarrolladores para manipular los dispositivos iOS e inyectar malware en ellos.” dijo Adi.

Figura 1: Mensaje emergente al conectar el iPhone a un dispositivo desconocido.

Este fallo de seguridad fue descubierto por error, Roy fue a conectar su iPhone a su ordenador para sincronizarlo, pero se dió cuenta de que estaba conectado al iPhone de otro miembro de su equipo que conectó su movil al ordenador de Roy para cargarlo semanas atrás. Al ver lo sucedido decidieron comprobar hasta que punto podría llegar un atacante si se propusiese explotar esta vulnerabilidad y los resultados fueron sorprendentes, dando lugar a la posibilidad de realizar ataques de perfiles maliciosos. Tras el descubrimiento de esta pequeña brecha de seguridad, Symantec avisó a la compañía de cupertino y estos reaccionaron añadiendo una nueva pestaña emergente que te solicita el passcode del dispositivo para poder convertir cualquier ordenador en un dispositivo de confianza.

ElevenPaths Talks: Temporada 4. Un poco DDoS y herramientas para detener el ataque

Vuelve la serie de webinars ElevenPaths Talks, en esta ocasión con la cuarta temporada. De la mano de los CSA de ElevenPaths y de los mejores invitados sobre las diferentes temáticas que se tratarán, volveremos a disfrutar del conocimiento sobre las temáticas más actuales en el mundo de la Ciberseguridad. El próximo 12 de abril tendrá lugar la primera talk de la temporada, dónde se hablará de lo que son los ataques DDoS y las herramientas que se disponen para hacer frente a dichos ataques.

Sin ir más lejos, el pasado 1 de marzo, se registró el ataque más potente hasta la fecha, alcanzando aproximadamente 1.35 Terabytes por segundo contra los servidores de Github, explotando una vulnerabilidad sobre más de 100.000 servidores memcache. La buena noticia es que Github salió airoso del ataque, estando tan solo unos pocos minutos inoperativos.

Figura 1: ElevenPaths Talks

La sesión comenzará a las 17.30, hora española. El talk dura unos 40 minutos. Se publicarán en nuestro la web de ElevenPaths Talks. Si te perdiste algún capítulo de la primera, de la segunda o de la tercera temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

Seguridad Apple te desea felices fiestas

Desde el equipo de Seguridad Apple no queríamos dejar pasar la oportunidad de felicitaros las fiestas. A vosotros lectores que nos leeis, que nos elegís para informaros sobre el mundo tecnológico y, en especial, del mundo Apple. Ha sido un año repleto de información, noticias y sucesos interesantes. Sin duda, un año de mucho trabajo dónde nos hemos dejado la piel para estar al día y poder acercaros lo mejor de la actualidad y lo mejor en contenido técnico. 

Queremos hacer una mención especial a nuestro querido Dirtytooth. Sin duda, uno de nuestros proyectos estrella este año. 

Disfruta de este día en familia. Nos vemos mañana con más actualidad, con más noticias y siempre al pie del cañón en Seguridad Apple.

Firmar documentos con la biometría de tu firma manuscrita en iPad Pro

Hasta el pasado Security Innovation Day, nuestra solución de firma manuscrita biométrica de documentos, de nombre SealSign BioSignature, podía ser utiliza en terminales iPad e iPhone con bolígrafos especiales que capturan la velocidad y la presión en los diferentes ejes de coordenadas para garantizar la máxima precisión de la captura biométrica. Ahora, como se anunció en el evento y gracias a una colaboración entre la unidad de empresas de Apple en España y ElevenPaths, la solución ha sido migrada para que funcione de forma nativa en iPad Pro.

En el siguiente vídeo se puede ver cómo la solución está integrada en los nuevos terminales iPad Pro funcionando con la plataforma completa de SealSign Biosignature.

Figura 1: SealSign BioSignature en iPad Pro

Si en tu organización se cuenta con terminales móviles Android o iOS, con SealSign BioSignature se puede construir la solución de firma digital en movilidad que requieras en cada situación, usando la firma manuscrita biométrica como forma de autenticar a un usuario para firmar con un certificado digital o directamente para firmar digitalmente el documento. En la web de SealSign BioSignature tienes más información y en la sección dedicada a SealSign en la comunidad técnica de ElevenPaths.

Vente al "Security Innovation Day 2016: Let Security Be"

El Security Innovation Day es el evento desde el que Telefónica y ElevenPaths comparten los últimos lanzamientos y novedades en innovación y seguridad. Es nuestro evento estrella y en el que mostramos todo en lo que hemos estado trabajando durante el último año. Es nuestro evento de referencia en el sector, en el que contaremos con la participación de ponentes de referencia. Ven y acompáñanos en la cuarta edición del Security Innovation Day. 

Figura 1: Security Innovation Day 2016

El evento será el próximo 6 de Octubre de 2016 a las 15.00 horas en el Auditorio de Telefónica en Madrid, localizado en el Edificio Central de Distrito Telefónica. El lema de esta cuarta edición es "Let Security Be", y es que solo los que realmente están concienciados con la ciberseguridad la delegan en manos expertas. Nuestro reto es ofrecer soluciones de seguridad que permitan estar siempre un paso por delante de todo tipo de ataques. Por esta razón, apostamos por la innovación como un valor constante y las alianzas con los grandes players del mercado. 

Figura 2: Asiste al Security Innovation Day 2016 vía Streaming

Si quieres puedes asistir vía Streaming por Internet, registrándote en la URL: Security Innovation Day 2016 Streaming. A continuación os dejamos la agenda del evento de este año. Os esperamos el próximo 6 de Octubre a las 15.00:

• 15.00. Acreditación.
• 15.30. Bienvenida.
• Soluciones Vs Cibercrimen.
• La unión hace la fuerza.
• La innovación: El camino hacia un futuro más seguro.
• Los ciberataques en la era digital.
• Cuatro ojos ven más que dos.
• Invitado especial: Hugh Thompson.
• 19.00 Cóctel.

Además, si quieres saber más del evento puedes visitar su sitio web dónde podrás encontrar más detalles y sorpresas sobre esta nueva edición. Pásate por nuestra comunidad y comparte el debate con nuestra comunidad técnica.

En AppStore colaron Fake Wallets que robaban BitCoins

Han pasado más de dos años desde que Apple generara un gran escándalo después de que eliminara la última BitCoin Wallet de AppStore. No había sido una relación muy cercana con los BitCoins la que había mantenido Apple, que también eliminó aquellas apps que en lugar de poner publicidad minaban BitCoins en el terminal. Desde entonces mucho ha cambiado la relación, y hoy en día es sencillo encontrar BitCoin Wallets en la tienda de apps de Apple.

Revisando un poco en nuestra plataforma de investigación en el mundo de las aplicaciones móviles Tacyt, localizamos bastantes de ellas, e incluso juegos que premian con BitCoin, además de un montón de apps con información sobre el estado de cotización o la ubicación de los cajeros con BitCoin.

Figura 1: Algunas BitCoin Wallets en AppStore dentro de Tacyt

Llegado el aperturismo al BitCoin, han llegado también los estafadores, y hace un par de semanas de detectaron una buena cantidad de BitCoin Wallets falsas subidas a la tienda AppStore de Apple en Toronto que, a los pobres usuarios, han robado BitCoins. Esta es la lista de las apps detectada y publicada en Reddit.

Figura 2: Lista de Fake BitCoin Wallets descubiertas en AppStore

Esta estafa de las falsas BitCoin Wallets no es nueva, y la hemos visto también funcionando en OS X y en plataformas Android, así que ten cuidado con dónde guardas tus BitCoins que, según crece su valor, crecen los amigos de lo ajeno que desean los tuyos.

Figura 3: How I met your e-wallet

Aquí tienes una conferencia sobre cómo se producen estos ataques a los BitCoins que dieron nuestros compañeros Felix y Yaiza hace algún tiempo.. A más dinero, más cibercrimen.

Hoy sesión dedicada al Fraude en los Pos (Point of Sales) #Fraude @elevenpaths

Hoy a las 15:30 hora de España, tendrá lugar la segunda sesión de las ElevenPaths Talks de Agosto. En este caso, nuestro CSA (Chief Security Ambassador) de Chile, Gabriel Bergel, impartirá una charla gratuita a través de Internet sobre cómo funciona el mundo del Fraude en los Puntos de Venta (PoS "Point of Sales").

Figura 1: Esta tarde "Fraude en PoS"

Para asistir solo debes registrarte a través de este enlace y de forma gratuita podrás asistir a la sesión, recibir las presentaciones y realizar las preguntas que consideres apropiadas. Además, podrás seguir offline la conversación a través de la Comunidad de ElevenPaths donde podrás debatir con nuestros compañeros.

Figura 2: Calendario de Talks en Agosto

Esta es la segunda sesión, pero tienes todo un calendario de charlas en ElevenPaths Talks publicado en la web a las que te puedes apuntar. Te esperamos esta tarde y en todas las que charlas que gustes asistir. Las primeras  sesiones, la tienes ya disponible en nuestro Canal Youtube de ElevenPaths

Hoy a las 15:30: Seminario online sobre "Diferencias entre análisis de Infraestructura, análisis Web y Code Review"

Esta tarde a las 15:30 hora de España, nuestro compañero Diego Espitia, CSA (Chief Security Ambassador) en Colombia de ElevenPaths, impartirá una charla a través de Internet en la que se detallarán las diferencias entre los distintos tipos de análisis de seguridad, sus utilidades y herramientas que se utilizan en el proceso. La duración de la charla de Diego será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas con la audiencia.

La ponencia se llevará a cabo a través de Google Hangouts y se impartirá en idioma Español y para participar debes registrarte previamente en el siguiente formulario Web.

Figura 1: Hoy sesión con Diego Espitia

Si quieres saber más acerca del tema, no dudes en pasarte por nuestra Comunidad, dónde nuestros compañeros hablan sobre éste y otros temas de interés en el mundo de la Seguridad Informática. Puedes consultar el calendario de ElevenPaths talks para ver los webcasts que aún quedan por celebrarse. Recuerda, tienes una cita hoy 4 de agosto a las 15.30h (Madrid) con la seguridad informática.

Mañana Webcast Online Gratuito: "Generación de políticas nacionales de Ciberseguridad y Ciberdefensa"

Mañana da comienzo la segunda temporada de ElevenPaths Talks, y lo hará con una sesión de nuestro compañero Leonardo Huertas, donde describirá el concepto de Ciberdefensa, así como todos los aspectos y elementos involucrados en esta temática. Además, en este seminario de ElevenPaths Talks se expondrán los objetivos que deben cumplir las políticas de Ciberdefensa de una nación y los riesgos o aspectos que impactan a ésta. Leonardo intentará darte respuestas a las siguientes preguntas típicas:

Figura 1: ElevenPaths Talks "Generación de políticas nacionales de Ciberseguridad y Ciberdefensa"

¿Cuáles son los campos de acción u operación de la Ciberdefensa?, ¿cuáles son los factores que la pueden afectar?, ¿qué pretende resguardar un esquema de Ciberdefensa nacional en los países?, ¿cuáles son las tendencias en Ciberdefensa?, ¿cuáles son los retos a sortear? 

El webcast se enfocará desde un aspecto general de las diferentes naciones, donde se exponen algunos casos que han atentado contra la ciberseguridad nacional como por ejemplo, el caso de Estonia en mayo de 2007, cuando se produjeron agresiones de denegación de servicio contra portales web de dicho gobierno. Puedes apuntarte a este o al resto de los seminarios de la segunda temporada en la web de ElevenPaths Talks.