Los ministros australianos se reúnen con Google y Apple en el nombre de la ciberseguridad

El gobierno australiano ha enviado representantes de ciberseguridad a estados unidos esta semana con el objetivo de reforzar la alianza cibernética entre ambos países y promocionar el talento de sus expertos. El ministro de seguridad cibernética Angus Taylor, el coordinador de la cibercomunidad Alastair MacGibbon y el comisario de la policía federal australiana Neil Gaughan se reunirán durante esta semana con algunos de los representantes del gobierno estadounidense, además de agencias como el FBI y algunas empresas como Paypal, Twitter o Apple.

El objetivo de la reunión será lograr una mayor cooperación entre los gobiernos de ambos países y recibir un mayor apoyo de las empresas privadas pioneras en el sector tecnológico y de la seguridad informática, desarrollando así una política de ciberseguridad coordinada a nivel nacional. A esta reunión no asistirá ningún representante de Facebook debido a la investigación global en la que está involucrada la compañía tras revelar información de 83 millones de usuarios a la empresa Cambridge Analytica.

Figura 1: Alastair MacGibbon, ministro australiano.

Con el crecimiento de las nuevas tecnologías, incluyendo el análisis de datos y el internet de las cosas (IoT) es importante contar con las mejores herramientas para combatir la ciberdelincuencia, la cual es más sofisticada cada día. No es nada raro que el gobierno y las agencias de inteligencia estadounidenses adquieran productos y herramientas de algunas de estas empresas para acelerar la resolución de algunos casos judiciales, como en el caso San Bernardino en el que el FBI adquirió una herramienta de la empresa israelí Cellebrite como respuesta a la negativa de Apple a desbloquear el teléfono del terrorista autor de los hechos.

Una vulnerabilidad en Homekit enfatiza la necesidad de seguridad

Recientemente ha sido descubierta una vulnerabilidad que afecta a Homekit y que permite a los desarrolladores construir y levantar aplicaciones para los dispositivos conectados, algo que podría permitir a un atacante tomar el control remotamente de todos los dispositivos conectados a la red. Considerando que algunas cerraduras inteligentes y otros dispositivos alrededor de la casa también podrían estar conectados el riesgo que supone esta vulnerabilidad no se limita a un ataque informático, sino que podría desencadenar en un robo en el domicilio de la víctima.

Mientras que Apple ha parcheado la vulnerabilidad de Homekit por medio de una actualización en sus servidores, son conocidos algunos detalles sobre el funcionamiento de este exploit, aunque este sea “difícil de reproducir”. Si un atacante compromete cualquier dispositivo IoT conectado a una red doméstica, independientemente se trate de una nevera o una tostadora inteligente podría infectar otros dispositivos conectados a la red. Conectar todos los dispositivos que tenemos a nuestra red doméstica es una práctica común para la mayoría de usuarios, esto significa que si tu Smart Lock se ve comprometido, todos tus dispositivos conectados también. No es común que un ciberdelincuente se limite a vulnerar la seguridad de un solo dispositivo si tienen la oportunidad de hacerlo con más, sobre todo teniendo en cuenta que habitualmente la información más valiosa reside en los smartphones y portátiles.

Figura 1: Apple Homekit.

Para poder evitar o minimizar las consecuencias de este tipo de ataques es importante mantener nuestros dispositivos actualizados (independientemente de su sistema operativo). Como en el caso de Homekit anteriormente mencionado, muchas vulnerabilidades son parcheadas por los fabricantes a través de actualizaciones de seguridad. También es de vital importancia el uso de distintas contraseñas para cada dispositivo o cuenta y el uso de segundos factores de autenticación.

#CodeTalks4Devs Construyendo Latch en la palma de tu mano

El próximo 29 de noviembre nuestro compañero Álvaro Nuñez-Romero nos hablará, en un nuevo Code Talk for Devs, sobre la implementación y uso de MicroLatch y cómo se puede puede llevar a cabo. Ya hablamos de MicroLatch en el blog de Chema Alonso y de las posibilidades que esto abría. En el webinar se detallarán los pasos y el código utilizado para llevar a cabo esta implementación. Además, se mostrarán ejemplos de uso y cómo hacer la implementación de forma sencilla.

MicroLatch es una manera de poner Latch al mundo físico. Se trata de un chip con Wi-Fi muy habitual en dispositivos IoT actuales y siguiendo la filosofía “Do It Yourself”, con lo que es posible aplicar Latch al mundo real de manera sencilla con este pequeño microcontrolador. El microcontrolador en cuestión es el ESP8266-01, que debido a sus características ha llamado mucho la atención y se ha creado un firmware específico, NODEMCU, para poder programar este chip con el lenguaje Lua. De esta manera es muy sencillo crear un proyecto con conectividad a internet y con pocas lineas de código. En el caso de MicroLatch, se puede aplicar Latch a cualquier proyecto DIY para tener un poco más de seguridad en nuestros desarrollos de hardware y software.sistema convencional de autenticación de usuarios (email + contraseña) y cuenta con un perfil de configuración de usuario.

Figura 1: ElevenPaths Code Talks for Devs

Si quieres saber más sobre la implementación de MicroLatch te esperamos el próximo miércoles 29 de noviembre a las 15:30h (CET) en nuestro canal de YouTube y también en nuestra comunidad, donde nuestros expertos estarán disponibles para responder cualquier tipo de duda respecto al webinar ¡Te esperamos!

Este verano no te olvides de proteger tu smartphone

Los teléfonos y dispositivos móviles se han convertido en un objeto indispensable en nuestra vida diaria. Desde gestionar servicios de banca, realizar compras, compartir fotos y videos en los medios sociales hasta ver series y películas desde algunas aplicaciones, se podría decir que existe una aplicación para cada aspecto de nuestra vida. Los dispositivos móviles son demasiado valiosos para dejarlos desprotegidos, la seguridad ha pasado de ser algo opcional a convertirse en un deber. Si ya has perdido algún móvil y con él el contenido que este tenía sabrás que es un autentica molestia y un gran gasto de tiempo tratar de recuperar el máximo de archivos posibles.

Independientemente de sistema operativo que utilices habitualmente, has de saber que cada distinto ecosistema móvil tiene sus puntos fuertes y sus debilidades. Tanto iOS como Android disponen de aplicaciones dedicadas a la seguridad integradas en su SO. Esto crea una capa entre las aplicaciones y los datos personales del propietario. A pesar de ello ambos sistemas se han visto expuestos a ataques con virus y malware, por eso es importante que como usuarios prestéis atención a las noticias sobre cómo mejorar la seguridad en vuestros dispositivos. Normalmente en cuanto una vulnerabilidad se hace pública ambos sistemas desarrollan un parche para arreglar esas brechas lo antes posible. La diferencia clave entre los dos sistemas es su grado de accesibilidad.

Figura 1: Distintas aplicaciones de seguridad.

En los sistemas Android es sencillo para los desarrolladores acceder al código fuente, ya que este es open source facilitando así la creación de software especializado. En cambio Apple es un sistema cerrado haciendo que su software no este al alcance de todos los usuarios. Donde mas notable es esta diferencia es en las tiendas de aplicaciones. En la App Store todas la aplicaciones que encontramos han sido verificadas por los desarrolladores, al contrario que en la Play Store de Google. Estos sistemas operativos no solo están controlando dispositivos móviles, también controlan un segmento de la tecnología llamado Internet of Things (IoT). Cada vez más dispositivos están siendo controlados por Android e iOS. Los Smartwatches, asistentes de hogar (como Google Home o Homepod), algunos dispositivos de entretenimiento (Chromecast, Apple TV…) se encuentran alrededor nuestra escuchando y listos para acatar nuestras instrucciones y hacernos la vida más fácil.

Fue Noticia en Seguridad Apple: del 3 al 16 de julio

Es verano y en Seguridad Apple seguimos trabajando para traeros las mejores noticias en el ámbito de la seguridad informática. Ya ha llegado nuestro nuevo Fue Noticia, la sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 3 hablándoos de como los Ransomware afectan a los Mac, aprovechando la gran popularidad que han obtenido este tipo de ataques durante los últimos dos años.

El martes 4 os contamos los planes que tiene Apple de sustituir el Touch ID de sus dispositivos por un sensor de reconocimiento facial, el cual sería incluso más rápido.

El miércoles os presentamos iPhoneRestrictionsPasscodeBF, una herramienta para aplicar fuerza bruta al Restriction Passcode en un Backup.

El jueves 6 os hablamos de la nueva alianza surgida entre Apple y Cisco con el fin de rebajar el precio de los ciberseguros.

El viernes os contamos las razones por las cuales el Bug Bounty de Apple no motiva a los Hackers y el problema que esto podría suponer para la compañía.

El sábado 8 os mostramos parte de la documentación original de Apple sobre sus sistemas de protección anti-copia de 1979 y 1980, además de contaros el importante papel que tenía Wozniak en Apple durante esos años.

Para cerrar la semana os contamos como podéis mantener vuestro iPhone fuera de la Drop Zone y como configurar los distintos perfiles de vuestra aplicación de Airdrop.

El lunes 10 os Advertimos de que más de 700.000 dispositivos Mac están afectados por Malware según un informe publicado por la firma de seguridad McAfee.

El martes 11 os avisamos de la llegada de las nuevas betas 3 de macOS, iOS y tvOS, quedándonos a la espera de una nueva beta para watchOS.

El miércoles 12 os hablamos de los problemas que está teniendo Apple con su sistema de carga inalámbrica a escasos meses de la presentación del iPhone 8 .

El jueves 13 os presentamos Device Paired Tool, una herramienta con la que podréis eliminar los dispositivos iOS que hayan generado confianza con vuestro Mac.

El viernes os contamos como podría afectar la liberación del chip NFC de los iPhones al futuro de la IoT.

Por último, ayer sábado hablamos de que Apple también compró un sistema operativo de disco (DOS), al igual que hizo en su día Microsoft.

Si estás ya en tus vacaciones disfrútalas, nosotros seguiremos, como cada 14 días aportandoos el resumen de las noticias del mundo de Apple.

Con la liberación del chip NFC Apple ofrece un futuro para el IoT

Recientemente Apple ha anunciado el desbloqueo del chip NFC de sus dispositivos a partir de iOS 11, la empresa californiana ha escogido un buen momento para hacerlo, con la reciente expansión que está teniendo el IoT se abre un gran abanico de posibilidades para aprovechar todo su potencial. Uno de los sectores en los que se ha notado este boom es el sector hotelero, la cadena de hoteles Hilton ha implantado un sistema de desbloqueo de puertas por medio de Smartphones, lo que sustituye al uso de tarjetas electrónicas que son más propensas a extraviarse.

La cadena hotelera asegura que esta tecnología de desbloqueo con Smartphones se están usando en alrededor de 1700 hoteles entre Estados Unidos y Canadá, según afirman este sistema ha sido usado más de 11 millones de veces sin haber tenido ninguna brecha de seguridad. Esto es significante porque sugiere que algunos de los problemas de seguridad que tuvieron gran impacto en la primera generación de dispositivos IoT han sido solucionados. Hilton ha invertido alrededor de medio billón de dólares en tecnología e infraestructuras, incluyendo el trabajo de un gran número de hackers y firmas de seguridad para comprobar la seguridad de los sistemas instalados. Este tipo de test de intrusión es esencial para asegurarse de que la era de estar conectado a todo es realmente mejor que la era en la que estamos. Después de todo, cada terminal conectado a una red puede convertirse en el objetivo de un ciberataque, por lo tanto no conviene premiar la conveniencia sobre la seguridad.

Figura 1: Uso del chip NFC para realizar un pago

Según Apple, Core NFC permitirá a las aplicaciones leer los Tags NFC que sean compatibles con el formato de intercambio de datos NFC (NDEF). Por el momento los ejemplos que ha dado están un poco limitados, incluyen visitas guiadas a museos y exhibiciones en lugar de un uso más industrial como el de SmartLocks, independientemente de esto, al liberar el uso del chip NFC se podrá usar para abrir puertas de hoteles , oficinas y para otras medidas de seguridad. La Mobile Devlopement Survey de 2016 publicada por la Corporación Evans Data informó de que el 78% de desarrolladores encuestados afirmaron que tenían planes de escribir software para respaldar los dispositivos IoT, y de ellos el 45% de los desarrolladores afirmaron que usarían iOS como su nueva plataforma de desarrollo.

Eleven Paths Talks: La red bajo ataque

El próximo Jueves 9 de Marzo, nuestros compañeros Claudio Caracciolo y Arsene Laurent hablarán sobre un tema de actualidad como son los ataques de denegación de servicio, una amenaza que siempre se encuentra ahí y que en cualquier momento puede golpear fuertemente. Claudio y Arsene contarán con la presencia de un invitado especial para tratar este tema.

Se hará hincapié en el uso de protocolos como NTP y DNS para llevar a cabo ataques de amplificación, los cuales pueden provocar que grandes cantidades de bits golpeen servidores, teniendo un factor de amplificación enorme. A finales de 2016, uno de estos ataques a través del uso de dispositivos IoT que habían sido secuestrados, hizo reflexionar a la sociedad sobre la facilidad de ejecutar ataques a nivel de red y la fragilidad con la que nos encontramos en las infraestructuras desplegadas. Si consideramos que, incluso, en muchos de los nuevos despliegues con nuevos protocolos sobre nuevas arquitecturas ya se conocen vulnerabilidades que podrían afectar a los servicios brindados. En este webinar se hablará de diferentes tipos de ataques de red, cómo las botnets afectan a estos esquemas y, sobre todo, cuáles son las soluciones más comunes de protección para estos casos.

Figura 1: Eleven Paths Talks Temporada 3

La sesión comenzará a las 15.30, hora española. Los talks durarán unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y un invitado especial y 10 minutos sobre consejos y herramientas. Recordar que las sesiones se llevarán a cabo a través de la plataforma GoToWebinar. Posteriormente, y como siempre, se publicarán en nuestro canal de Youtube. No pierdas la ocasión y registrate para el webcast. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

HomeKit y el DDoS de Mirai: Apple lo pone difícil

El pasado viernes 21 de Octubre sucedió uno de los ataques más grandes que Internet ha visto. Una DDoS que afectó a muchos usuarios de Netflix, Twitter, WhatsApp, entre otros. Esta denegación de servicio distribuida venía, en gran parte, de una botnet del IoT. En el artículo de hoy vamos a centrarnos en el análisis desde el punto de vista de Apple y su protocolo HomeKit. La empresa Dyn, que fue la empresa atacada, fue incapaz de proporcionar una fuente del ataque, la información publicada posteriormente por la empresa Flashpoint revela que los ataques dirigidos venían de un malware denominado Mirai.

Mirai busca en Internet dispositivos IoT que tengan el usuario administrador y contraseña por defecto. Una vez descubierto se infecta con malware y se añade a la botnet. Además, DVR y cámaras con direcciones IP pudieron ser añadidas a la botnet, debido a vulnerabilidades conocidas. El problema radica en que los usuarios no pueden cambiar las contraseñas por defecto de forma factible, o que el firmware de los elementos es difícilmente actualizable, lo que hace que queden expuestos a vulnerabilidades en el tiempo que no se puedan solucionar de forma sencilla. Aquí es dónde Apple habla del HomeKit. Apple incorporó un cifrado extremo a extremo, protección wireless y ofuscación del acceso remoto. Es relativamente más difícil que un dispositivo HomeKit MFI fuera parte de una botnet como la de Mirai.

Figura 1: HomeKit

El HomeKit utiliza la infraestructura de iCloud y el modelo iOS para la sincronización de datos de forma segura, o al menos más que lo visto hasta el momento en el mundo IoT. En el documento que Apple publicó respecto a la seguridad en iOS 9.3, se puede ver un apartado del HomeKit. En esta parte podemos ver: identidad con clave pública para cada dispositivo iOS, comunicación cifrada punto a punto, almacenamiento cifrado de datos local, etcétera. Mínimas y poderosas medidas de seguridad en comparación con passwords por defecto de los dispositivos IoT.

Cuando un iPhone se comunica con un accesorio HomeKit, son los dos dispositivos los que se autentican entre sí. La identidad única de HomeKit es almacenada en el llavero y sincronizado con otros dispositivo a través de iCloud. Merece la pena echar un ojo a estas características de seguridad, teniendo en cuenta que Apple ha hecho que algunos fabricantes que quieren integrarse con el HomeKit, retrasen su fecha de salida, debido a la integración con el HomeKit y la seguridad por defecto que ofrece, que como hemos visto no ocurre en gran parte del Internet of Things.

ElevenPaths Talks: Cifrado asimétrico en IoT

La segunda temporada de Eleven Paths Talks sigue adelante y estamos en la recta final. Hoy, jueves 27 de Octubre, nuestro compañero Jorge Rivera hablará de un tema interesante en el mundo del Internet of Things y es el cifrado asimétrico. El cifrado es uno de los mecanismos más importantes para proteger nuestra información y comunicaciones, por lo que es algo vital en la seguridad de IoT. 

En la charla, Jorge mostrará nuevas facetas del cifrado en el mundo IoT, viendo la proliferación de dispositivos y plataformas que están saliendo. Como sabemos no siempre la aparición de este tipo de servicios o dispositivos viene acompañada de una configuración o una implementación de seguridad adecuada, por ello, Jorge nos explicará posibilidades con el cifrado asimétrico. La charla será a las 15.30, horario de España, y estará disponible en nuestro canal de Youtube al finalizar la semana. 

Figura 1: ElevenPaths Talks - Cifrado asimétrico en IoT

No te pierdas la charla de Jorge, puedes visualizarla en directo a través de hangouts. Será impartida en castellano. Si quieres ahondar más sobre el tema de IoT y la seguridad pásate por nuestra comunidad, donde nuestros compañeros hablan sobre este tema y otros de mucho interés en el mundo de la seguridad. Para consultar el calendario de talks que quedan por venir, puedes acerlo en nuestro sitio web para ello. Recuerda, hoy, jueves, tienes una cita con Jorge Rivera y Eleven Paths Talks.

Bloquear la WiFi con Latch desde OS X & Raspberry Pi (Parte II de II) #RaspBerryPi #WiFi #OSX #Latch

En el artículo anterior hicimos una migración del plugin Lockifi a su versión para OS X totalmente funcional. Al hacer la migración observamos que sería muy sencillo para cualquier usuario doméstico utilizar una Raspberry Pi y poder utilizarla como punto de acceso WiFi conectada al router, por lo que el WiFi del router lo deshabilitariamos. Nuestra Raspberry estaría ejecutando nuestro plugin y gestionando de forma sencillo cuando el punto de acceso debe estar arriba o abajo. Para llevar a cabo esta implementación, ¿Qué necesitamos?

Como vais a ver no será difícil poder implementar esto en cualquier entorno. Los requisitos son bastante obvios y son los siguientes:

• Raspberry Pi.
• Adaptador WiFi. En la nueva Raspberry Pi 3 ya viene el adaptador integrado. Es vital que el adaptador utilizado sea compatible.
• Distribución Linux para la Raspberry. En esta implementación se ha utilizado una versión de Kali Linux para Raspberry, pero valdría, por ejemplo, con una Raspbian.
• Nuestro plugin Lockifi OS X creado en el anterior artículo. El plugin sufrirá una ligera modificación. 

 Paso 0: Empezando con hostapd y dnsmasq

Lo primero es convertir nuestra Raspberry en un punto de acceso WiFi. hay que tener en cuenta que utilizaremos la Raspberry como punto de acceso y haremos forwarding a los paquetes que lleguen por dicha interfaz. El forwarding se realizará por el cable Ethernet que el dispositivo tendrá enchufado. Este cable Ethernet estará conectado entre la Raspberry y el router de casa.

Lo primero es instalar, en caso de que sea necesario, el driver del adaptador Wireless. Esto dependerá del modelo de adaptador utilizado. Una vez que vemos que ejecutando ifconfig o iwconfig obtenemos información del adaptador podemos continuar. La instalación de hostapd y dnsmasq es importante. El primero será el que "levante" el punto de acceso, mientras que el segundo se encargará de proporcionar dirección IP a los clientes que se conecten a la WiFi mediante DHCP y proporcionar también un servidor DNS a los clientes conectados. Para instalarlos debemos ejecutar:

• apt-get install dnsmasq.
• apt-get install hostapd.

Una vez instalado ambas aplicaciones y sus dependencias debemos configurar una dirección IP estática para el punto de acceso. Para este caso hemos utilizado la dirección IP 10.0.0.1. Esta configuración se lleva a cabo dentro de la Raspberry en el fichero /etc/network/interfaces. La configuración del fichero es la siguiente:

          auto [interfaz]
          iface [interfaz] inet static
          address 10.0.0.1
          netmask 255.255.255.0
          network 10.0.0.0
          broadcast 10.0.0.255
          gateway 10.0.0.1

Respecto al fichero /etc/hostapd/hostapd.conf debemos configurar lo siguiente:

          interface=[interfaz WiFi]
          ssid=freewifi
          channel=[número canal]
          driver=[driver de nuestro adaptador] 

Si queremos fortificar la red WiFi podremos configurar WPA2 en ese mismo fichero. Ahora crearemos un script denominado run.sh, el cual se encargará de ejecutar todo lo necesario para "levantar" el punto de acceso en el arranque y configurar el forwarding entre interfaces. Las instrucciones necesarias son las siguientes:

          iptables -t nat -F
          iptables -F
          iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
          iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT
          echo 1 > /proc/sys/net/ipv4/ip_forward
          /etc/init.d/hostapd start
          /etc/init.d/dnsmasq start
          ruby [directorio ssh.rb]

Si escaneamos las redes WiFi con nuestro iPhone podremos observar una red denominada freewifi, tal y como se puede ver en la imagen.

Figura 1: Punto de acceso disponible desde la Raspberry Pi

Paso 1: Modificando el programa Ruby

Ahora tenemos que modificar la aplicación que hicimos para gestionar la WiFi desde OS X. El cambio será sencillo, ya no tenemos que entrar por SSH al router. Solamente tendremos que indicar en nuestro código que cuando Latch esté cerrado se pare el servicio hostapd y cuando Latch esté abierto el servicio hostapd arranque. El algoritmo utilizado es realmente sencillo:

Mientras true
         Compruebo estado de Latch
         Si Latch está Abierto
                Indico que está abierto
                Levanto hostapd
        Si no 
                Indico que se cerrará 
                Apago hostapd
        Fin Si
Fin Mientras

Figura 2: Snippet de código del nuevo ssh.rb corriendo en Raspberry Pi

Paso 2: Comprobar funcionalidad

Con todo preparado ejecutamos el script run.sh sobre la Raspberry, si no lo configuramos para arrancar en el arranque del sistema operativo. A los pocos segundo veremos que podemos conectarnos a la WiFi configurada. Abriremos Latch con el objetivo de que el programa escrito en Ruby verifique que el punto de acceso debe estar levantado.

Figura 3: Lockifi OS X Raspberry abierto

Viendo la salida del programa se observa como nos indica "Open". Cuando pasen 20 segundos, esto es totalmente configurable, se volverá a preguntar si Latch está abierto o no. En el caso de que esté cerrado se ejecutará la instrucción service hostapd stop, con el objetivo de "tirar" la red WiFi creada con el servicio.

Figura 4: Comprobación del estado

Ahora conectamos un dispositivo móvil o equipo a la red WiFi, pero decidimos cerrar el Latch. Cuando el programa despierte de la función sleep se encontrará con que Latch fue cerrado, por lo que nos mostrará el mensaje "No Open" y ejecutará la instrucción para parar el servicio de hostapd.

Figura 5: Deteniendo el servicio del punto de acceso WiFi

Cuando se detecte que Latch está cerrado se nos mostrará un mensaje en el dispositivo móvil indicando que hubo un intento de acceso. Esto quiere decir que se ha comprobado el estado de Latch y éste estaba cerrado. La acción a realizar es clara, detener el servicio. Esto puede ser similar a salir de casa y decidir apagar la WiFi, para que solo pudiéramos conectarnos por cable. Al final es similar a minimizar el nivel de exposición de nuestra red WiFi.

Figura 6: WiFi apagada

Es fácil entender el potencial que tiene esto. Otra opción sería integrar Latch en routers con OpenWRT con el que ya se hizo una primera integración. De esta forma no tendríamos que tener un punto de acceso aparte. Sea como sea, el potencial y la imaginación dependerá de vosotros. Cada vez hay más aplicaciones y usos de Latch en el mundo IoT y alineado en todo momento con la seguridad de nuestra información.

Figura 7: Artículo sobre la integración de Latch en OpenWRT

Por último, ¿Cómo evitar el polling? Para evitar estar constantemente realizando consultas a Latch podríamos utilizar la técnica de esperar un paquete en un puerto concreto de nuestra Raspberry. En otras palabras, nuestra Raspberry podría tener a la escucha en la interfaz Ethernet un servicio en un puerto X. El objetivo es que cuando se reciba un paquete en dicho puerto se invoque la ejecución, de una sola iteración, de nuestro programa Ruby. Éste consultará el estado de Latch y en función del on/off se realizará una u otra operación. Para más información sobre este tipo de soluciones se puede consultar el artículo "Modo Paranoia: Port-Knocking y Latch para fortificar tus sistemas".

Si tienes más ideas sobre integraciones con Latch, no dudes en participar con ellas en la sección Latch de nuestra comunidad de Eleven Paths -  donde también puedes poner Latch a tu cuenta-.

Participa en los Latch Plugins Contest & Sinfonier Community Contest hasta el 15 de Febrero

Tenemos un nuevo plazo ampliado para presentar las candidaturas de tus plugins para Latch y Sinfonier. El nuevo plazo  de presentación de las candidaturas finaliza el 15 de febrero a las 13:00 horas (hora peninsular española). Si quieres saber si has resultado ganador, ¡estate atento! Los ganadores serán notificados por correo electrónico durante los 14 días siguientes al cierre del concurso. Después, tendrás un plazo de 10 días para aceptar el premio.

El participante puede presentar trabajos de todo tipo, por ejemplo un Trabajo Fin de Carrera o Trabajo Fin de Máster, un proyecto personal realizado en casa para proteger un sistema u operación propia, lógica o física, etcétera. Lo importante es la originalidad, el ingenio y la aportación de la solución. Puedes consultar las ideas y los ganadores de la edición anterior en el artículo del blog de Eleven Paths.

Figura 1: Latch Plugins Contest 2015

Sinfonier Community Contest es el primer concurso de Sinfonier que busca desarrollar módulos y topologías innovadores y de utilidad que tengan aplicación para entornos de Smart Cities, Economía Digital e Identidades Digitales. El nuevo plazo  de presentación de las candidaturas finaliza el 15 de febrero a las 13:00 horas (hora peninsular española). ¡Date prisa

Figura 2: Sinfonier Community Contest 2015

Desde aquí te deseamos suerte y que exprimas todo tu potencial y talento para conseguir el premio. Te animamos a que te pases por nuestra comunidad técnica y veas diferentes hacks de Latch, cómo funcionan los SDKs o las cosas que están haciendo los chicos de Sinfonier ¡Entrega tus plugins! ¡Que la suerte te acompañe!

Internet of Things Day: Hackaton con Latch & IoT @Madrid

IoT Day

El próximo 19 de Noviembre OpenBank organiza un hackathon dónde los participantes podrán presentar prototipos e ideas innovadoras sobre nuevas tecnologías y el Internet de las Cosas. En las bases legales del concurso se indica que hay 4 áreas temáticas en las que participar que son la seguridad y autentificación de usuarios y cuentas, IoT, servicios financieros y gamificación. Además, los participantes pueden hacerlo de forma individual o en grupo. El premio para el ganador de la categoría individual son 3.000 euros y 1 Smartwatch Samsung, mientras que para la categoría de grupo son 3.000 euros, viaje a Londres para dos personas dónde realizarán actividades de formación e irán al evento Finovate. 

En este evento celebrado en Madrid con el apoyo de diferentes empresas entre las que se encuentran Telefónica y Eleven Paths se contará con la participación de Chema Alonso, Tomasso Canonici, Roberto Espinosa y Sergio Cortés.  Además, nuestro compañero de Eleven Paths Jorge Rivera, autor de las integraciones de Latch con un timbre usando Arduino y de Latch con un cerrojo físico, dará un taller para integrar Latch con otros dispositivos, como por ejemplo los smartgrids.

Figura 1: Ponentes del Internet of Things Day

Con lo que se verá en el taller y con vuestras ideas desarrolladas durante el hackaton de IoT os animamos a que participéis también en el concurso de plugins de Latch de 2015, dónde podréis ganar enormes premios y conseguir que vuestros proyectos ayuden a mejorar la seguridad en Internet. Os animamos a que participéis en la Comunidad de Eleven Paths en la que podrás interactuar con profesionales de la Seguridad de la Información.

Fue Noticia en Seguridad Apple del 28 de Septiembre al 11 de Octubre

Durante los últimos quince días han sucedido varios acontecimientos de especial relevancia en el mundo de la seguridad informática. Como solemos hacer en Seguridad Apple, llega el momento de ofreceros un escueto pero completo resumen de todas las publicaciones recientes de este blog, así como de otros sitios de referencia.

El lunes 28 os contamos la historia de cómo Pangu ha publicado en su website una herramienta que permite verificar si tu dispositvo iOS está infectado con el ya archifamoso malware XCodeGhost, que ha sembrado el caos en la AppStore de China.

Al día siguiente os explicamos los motivos por los cuales no es posible localizar un iPhone usando un dispositivo Android, ya que iCloud no soporta los navegadores de este sistema operativo.

El miércoles 30 os explicamos las novedades que se presentarían en el Security Innovation Day de Eleven Paths el día 8 de octubre, un evento en el que ponentes de prestigio internacional darán su visión sobre el estado actual de la seguridad.

Comenzamos el mes de Octubre con la noticia de que un nuevo bypass de la aplicación Gatekeeper permite la instalación de aplicaciones maliciosas sin conocimiento por parte del usuario de que esto se estaba produciendo.

El día 2 os resumimos brevemente las principales novedades de seguridad que trae consigo la nueva versión del sistema operativo de Apple, OS X El Capitan, que corrige más de 101 vulnerabilidades.

Arrancamos el fin de semana con la actualización iOS 9.0.2 y Safari 9, que ponen punto y final a más de cuarenta bugs de seguridad que ponían en riesgo la seguridad y privacidad de los usuarios, permitiendo incluso acceder a contenido multimedia.

El domingo os contamos una opción poco conocida de iOS 9, denominada Wi-Fi Assist, que se asegura de que la velocidad de navegación sea máxima, con la contrapartida de que puede incrementar el gasto de datos del dispositivo.

La nueva semana empezó con el anuncio de las Impact Talks, una serie de conferencias en la UEM entre cuyos invitados estará Steve Wozniak, cofundador de Apple, que estará presente en la apertura dela nueva Impact Business School.

El martes os hablamos de YiSpecter, un malware descubierto recientemente que afecta dispositivos iOS independientemente de que tengan jailbreak o no. Este malware utiliza una gran variedad de técnicas para propagarse.

Apenas un día después, Apple emitió un comunicado en el que arrojaba algo de luz sobre YiSpecter, estableciendo que tan solo afectaba a usuarios de versiones antiguas de iOS, aquellas anteriores a iOS 8.4.

El jueves 8 os explicamos cómo funciona el 2FA que ha presentado Apple para autorizar dispositivos, y que ya ha sido desplegado con la release del sistema operativo OS X El Capitan.

Para este viernes, la noticia fue para la preocupación de Apple con ciertas apps de la AppStore que podrían ser peligrosas para la seguridad del usuario al instalar certificados digitales raíz en los dispositivos, pudiendo de esa forma interceptar el tráfico del usuario - entre otras cosas para eliminar los adds -.

Por último, ayer sábado le dedicamos la entrada a la próxima versión de Latch para Apple Watch que se anunció en el último Security Innovation Day 2015 de Eleven Paths.

Como es habitual, además del resumen de todo lo publicado, os dejamos una lista de otras noticias que también han pasado durante este periodo y que no debes dejar de conocer. Esta es la pequeña selección que hemos hecho.

- Gana hasta 5.000 USD en este concurso: Eleven Paths ha lanzado dos concursos. En primer lugar el Latch Plugin Contest 2015 para premiar a los tres mejores desarrollos de plugins para Latch y en segundo lugar el Sinfonier Community Contest para premiar a la mejor topología de seguridad Sinfonier y al mejor Bolt desarrollado para la plataforma.  

- Latch y el Internet de las cosas: Además de la integración que ya os habíamos enseñado antes con los SmartMeters, y con el mismo pestillo físico de una casa, ahora nuestro compañero Jorge Rivera ha hecho una integración de Latch con el timbre de tu casa, para saber cuándo alguien llama y decidir si queremos que suene o no la alarma. 

Figura: Latch controlando el sonido de un timbre

- Hackeando el portero automático de tu casa: Siguiendo con "las cosas", desde Hackplayers nos traen un trabajo sobre cómo se puede hackear el portero automático de tu casa y conseguir hacer nuevos tricks. Solo falta integrarlo con Latch. 

- Malware en la tienda de apps de Windows: No solo en AppStore o Google Play hay malware, también lo tenemos en la tienda de apps de Windows que recientemente se ha visto implicada en un caso de malware, como nos cuentan en Una al Día. 

- Nueva comunidad de usuarios y desarrolladores de Eleven Paths: Este jueves se ha lanzado la nueva comunidad de desarrolladores y usuarios de Eleven Paths, para tener un punto de contacto y comunicación en el que debatir sobre las tecnologías de Eleven Paths. Puedes sacarte un usuario y ser parte de la comunidad, y además puedes utilizar Latch para proteger tu cuenta. 

- Introducción a la seguridad de los cajeros automáticos: En Security By Default nos traen un artículo muy interesante para conocer el funcionamiento de la seguridad de los cajeros automáticos. Para aprender más sobre algo que muchos desconocen. 

- Vídeos y presentaciones de BlackHat USA 2015: Ya están disponibles todos los vídeos y presentaciones de esta conferencia. En ella, recordad, se presentaron los hackeos a los coches, el hack al rifle, los bugs de Stagefright, etc... Para estudiar el puente.

Y esto fue todo por hoy. Esperamos veros dentro de dos semanas en esta misma sección y cada día en los artículos que publicamos en Seguridad Apple. Que tengáis un buen domingo.