Se actualiza el estándar USB-C con USB Type-C Authentication Program

El estándar USB-C ha sufrido una actualización, lo que permitirá hacer uso de criptografía para autenticar los dispositivos conectados. Las implicaciones derivadas de esta actualización no son menores, pues permitirán una correcta certificación de dispositivos y mejorar la seguridad. Este nuevo estándar recibe el nombre de USB Type-C Authentication, y nos permitirá asegurar que un punto de conexión físico es genuino.

Por ejemplo, si quieres cargar un dispositivo en un puerto USB en lugares como aeropuertos, restaurantes o cafeterías, tu móvil podría permitir sólo cargar a través de cargadores certificados, de tal manera que las posibilidades abiertas para un atacante de cara a la inyección de malware en nuestro dispositivo o la inutilización del mismo al aplicar una corriente superior a la permitida quedaran muy restringidas. Tanto en este blog como en elladodelmal ya hemos hablado de los peligros a los que los usuarios se exponen a ataques BadUSB en el caso de conectarse a puntos de carga USB públicos.

El nuevo estándar permite que los dispositivos se autentiquen utilizando canales de suministro de datos o de energía, por lo que se podrá verificar un cargador sin establecer un intercambio de datos con cualquier dispositivo. Además, la autenticación tiene lugar inmediatamente antes de que el acceso al dispositivo se permita por parte del usuario. Los cables con esta nueva certificación cuentan con control sobre las políticas de seguridad que emplea el dispositivo con el que se conecta, además de un cifrado de 128 bits, firmado digital y generación de hashes aleatorios. Con respecto al cifrado, tanto la gestión de certificado del programa como del archivo PKI, el USB-IF se ha decantado por DigiCert para su gestión. Cualquier detalle adicional sobre este nuevo estándar queda especificado en el siguiente enlace.

Figura 1. Cables USB-C conectados a un MacBook Pro (2018) de 15 pulgadas

Actualmente, el proceso de certificación sólo es una recomendación. Por ahora, queda a elección de los fabricantes la implementación del mismo. Sin embargo, estamos ante un gran paso para el canal de conexión que aspira a convertirse en el puerto por defecto de todos los dispositivos del mercado en un futuro cercano.  

Este protocolo es lo que más se asemeja a MFi con respecto al USB Tipo C. Sin este certificado, un cable no puede conectarse a dispositivos  iPod, iPhone, iPad y AirPlay. Cabe la posibilidad de que a lo largo de 2019 la empresa de Cupertino avance en la implementación este estándar en sus dispositivos con USB-C. Esperemos que conforme continúe la generalización de este puerto, el proceso de certificación se vuelva obligatorio.

ElevenPaths Talks: La inevitable evolución de la seguridad gestionada

El próximo 26 de octubre de 2017, tenemos un nuevo ElevenPaths Talks, la serie dónde nuestros expertos hablan de seguridad y de temas de actualidad. Nos toca hablar, en esta ocasión, sobre los la inevitable evolución de la seguridad gestionada. En este webinar, impartido por nuestros compañeros Rames Sarwat y Jorge Rivera, tendremos con el honor de contar con un invitado especial que nos ayudará a entender mejor esta evolución de la seguridad gestionada. Sin duda, una charla que no debes perderte.

Algunos de los factores estratégicos están forzando la redefinición de los conceptos de Seguridad Gestionada e impulsando a la "reconfiguración" de los principales proveedores de servicios debido a la complejidad de poder definir un perímetro a la red de una organización para su defensa (sobre todo por lo relacionado a movilidad y computación en la nube), como así también la creciente complejidad de los procesos de las organizaciones tanto en I.T. como en O.T., o el increíble crecimiento que han tenido las amenazas avanzadas persistentes (APT) en todo el mundo, cómo del hecho de que los atacantes cambian sus tácticas de evasión con la misma rapidez (o incluso mayor) con la que las corporaciones implementan protecciones.

En este punto en particular, no es posible mantener el enfoque actual de los servicios de Seguridad Gestionada, la realidad cotidiana ha demostrado que hay que mejorar y que además hay capacidad para hacerlo, por ejemplo logrando identificar amenazas no detectadas que han afectado los perímetros de una organización moviéndose lateralmente a través de los entornos y ampliando las capacidades con recursos internos o externos innovadores. El desafío es ¿cómo?

Figura 1: ElevenPaths Talks

La sesión comenzará a las 15.30, hora española. El talk dura unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y 10 minutos sobre consejos y herramientas. Se publicarán en nuestro canal de Youtube. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

Las solicitudes de información a Apple han aumentado exponencialmente durante el primer periodo de 2017

No es la primera vez que en Seguridad Apple os hablamos sobre las peticiones que recibe Apple por parte del gobierno para adquirir información sobre los usuarios de sus dispositivos. Durante este año 2017 el número de peticiones realizadas por seguridad nacional ha aumentado exponencialmente. Apple está tratando de ser lo más transparente posible, eso sí, ciñéndose siempre a su política de privacidad bianual. Durante el primer semestre del año la compañía de Cupertino ha recibido más de 30000 solicitudes de acceso para más de 230.000 dispositivos, estas solicitudes vienen con forma de cartas de seguridad nacional.

Apple y otras grandes compañías están contestando a estas solicitudes utilizando rangos para acotar los resultados, mientras que el gobierno les pide números precisos “Por ley, esta es la información más precisa que podemos revelar" dijo Apple. Independientemente de la poca información que Apple puede facilitar legalmente de sus usuarios, este año la empresa de la manzana ha recibido cuatro veces más solicitudes que el año pasado, solo en el primer trimestre Apple recibió entre 13.249 y 13.499 solicitudes las cuales  afectaban a entre 9000 y 9.249 usuarios de productos de la marca. “Actualmente no hay un gran registro, pero si realizásemos una gráfica, el número de solicitudes tendería a la alta” dijo Andrew Crocker, abogado de Electronic Frontier Foundation. Desde 2014 el número de solicitudes recibidas por empresas tecnológicas ha aumentado exponencialmente ya que fue el momento en el que estos datos se hicieron accesibles.

Figura 1: Carta de Apple informando a los usuarios sobre su oposición a revelar datos.

Otras empresas como Facebook, Yahoo! o Google han ofrecido sus datos voluntariamente a las autoridades. Google afirmó haber recibido entre 0 y 499 cartas de seguridad nacional solicitando información sobre las cuentas de entre 1000 y 1499 usuarios durante el primer semestre del año, más de las que habían recibido nunca. Actualmente Google es la compañía a la que recurre el gobierno cuando quiere recopilar información ya que la entrega sin problema alguno. “Ofrecer un camino para que algunos países puedan obtener pruebas electrónicas directamente de proveedores de servicio en otras jurisdicciones quitará incentivos para la aserción unilateral de las leyes de un país, ofertas de localización de datos, la extensión agresiva de autoridades de acceso de gobierno, y técnicas peligrosas investigadoras" dijo Richard Salgado, director de Derecho y Seguridad de Información de Google.

Eleven Paths Talks: Seguridad Defensiva vs Seguridad Ofensiva

El próximo 10 de Agosto de 2017, tenemos un nuevo Eleven Paths Talks, la serie dónde nuestros expertos hablan de seguridad y de temas de actualidad. Toca hablar de los conceptos de Seguridad Defensiva y Seguridad Ofensiva dónde se analizarán, junto a un invitado especial, las ventajas y desventajas de las técnicas de Seguridad Defensiva frente a las de Seguridad Ofensiva.

En los últimos años, la discusión respecto a si la seguridad de una empresa debe basarse en técnicas defensivas puras o si debe evolucionar a técnicas ofensivas ha ocupado bastante tiempo de debate y varios post en muchos famosos blogs del sector, sin embargo, el tema ¿ha quedado cerrado? Lejos de ello, seguimos viendo que existe el fanatismo en ambos extremos y en este webinar queremos trabajar la idea con el fin de permitirle a nuestros participantes analizar junto a nosotros las ventajas y desventajas de cada uno de los modelos, y también plantear escenarios de convivencia dentro de una misma empresa, con un mismo objetivo: proteger los activos de información de la compañía.

Figura 1: Eleven Paths Talks

La sesión comenzará a las 15.30, hora española. El talk dura unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y 10 minutos sobre consejos y herramientas. Se publicarán en nuestro canal de Youtube. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

Apple apuesta por la seguridad en su campaña Move to iOS

Hace una semana Apple lanzó 3 nuevos anuncios en sus “Switch” series animando y tratando de persuadir a los usuarios de Android para que se cambien a iPhone. Como en su anterior temporada Apple utiliza un motivo izquierda – derecha, en el que se representa la dualidad entre Android e iOS y trata de dirigirte a Apple.com/switch poniendo esta dirección bajo el logo de la empresa. Los anuncios son cortos y directos, cada uno de ellos te da una razón por la que deberías cambiarte a Apple.

En el primero de los anuncios, el cual aborda el tema de la seguridad, argumenta que los dispositivos Android son más vulnerables frente a los robos de datos, también dejando caer suavemente que los iPhone ofrecen un mejor funcionamiento frente a estos ataques. En el segundo anuncio Apple pretende mostrar que sus dispositivos tienen un funcionamiento más “suave” y agradable, haciendo que sus suaves transiciones mejoren exponencialmente la experiencia de usuario. El tercer y último anuncio pretende representar la facilidad con la que los contactos de tu actual dispositivo pueden ser migrados a iOS, dejando caer una gran barrera que hacía que muchos usuarios de Android dudasen de dar el salto a Apple.

Figura 1: Representación de la facilidad para transferir tus contactos a iOS

La página Apple.com/switch fue reformada recientemente para expandir su foco tras la aplicación Move to iOS y así venderle a la gente las ventajas de tener un iPhone, como una buena cámara, un mejor soporte técnico o un bajo impacto medioambiental. Muchas veces Apple se ha jactado de la cantidad de gente cambiándose de Android a iPhone. Como se puede ver, la guerra entre Apple y Android continúa. La seguridad es utilizado por Apple como valor diferencial dentro de las posibles elecciones en la industria. Interesante reflexión.

Eleven Paths Talks: Asegurando los Host (modo paranoico)

Hoy 11 de Mayo tenemos una nueva sesión de Eleven Paths Talks con nuestros compañeros Arsene Laurent y Gabriel Bergel. El talk tratará sobre el modo paranoico y cómo proteger los host. Las protecciones a nivel de red, de aplicaciones y hasta de servidores son una práctica que la mayoría de las empresas medianas y grandes han tomado por estos tiempos. En cuanto a la seguridad en las estaciones de trabajo el panorama es bastante distinto y es frecuente el encontrarse durante una auditoría de seguridad con equipos muy poco protegidos.

La gran mayoría de las empresas han dedicado esfuerzos a la protección contra el malware y contra la falta de parches de seguridad automatizando sus actualizaciones, pero son muy pocas las que realmente se han dedicado a analizar los riesgos a los que una organización podría exponerse por la falta de una adecuada protección. En este webinar hablaremos de cuáles son los principales riesgos a los que se enfrenta una organización, tanto por parte de un atacante externo como por parte de un insider o empleado descontento.

Figura 1: Eleven Paths Talks

La sesión comenzará a las 15.30, hora española. El talk dura unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y 10 minutos sobre consejos y herramientas. Se publicarán en nuestro canal de Youtube. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

Apple patrocina la conferencia de seguridad BSides San Francisco

BSides San Francisco, englobado dentro de los eventos BSides que hay por el mundo, es uno de los foros de debate abiertos en seguridad informática con gran relevancia ha recibido el patrocinio público de Apple. El movimiento de la empresa de Cupertino subraya los crecientes esfuerzos de la compañía para participar en investigación académica y publicaciones relacionadas con la seguridad, privacidad y otros objetivos de investigación. Apple contribuyó con el patrocinio en la conferencia, incluyendo fondos directos. 

Apple participó en el evento con un nivel superior de patrocinio, respecto a otras empresas como Google y Dropbox, aunque no fue uno de los principales patrocinadores, ya que esos fueron Fitbit y HackerOne. La conferencia se presenta en dos días con presentaciones técnicas y académicas. Según la organización, el congreso no tiene fines de lucro, lo cual permite que el campo de la seguridad de la información crezca en amplitud y profundidad. 

Figura 1: BSides San Francisco

Apple ha aparecido recientemente para indicar que abrirá sus esfuerzos de colaboración con otras empresas de la industria. El movimiento hace pensar que Apple quiere situarse como una empresa que apuesta por la seguridad de la información, un mercado claramente en auge y que debe acompañar a cualquier empresa tecnológica que se precie. En diciembre, la compañía anunció que sus empleados podrían publicar y colaborar con la comunidad de investigación, comenzando a enviar a conferencistas a algunas conferencias importantes a nivel mundial en temas de inteligencia artificial. Puede que veamos lo mismo pronto en temas de seguridad de la información.

Más información sobre seguridad en los navegadores Safari y Chrome en 2017

La evolución en el uso de los certificados en Internet y en cómo los navegadores interpretan estos y hacen llegar a los usuarios la información es de vital importancia para la seguridad de éstos. Cuando un navegador bloquea una conexión que debería ser segura, porque no lo es, es algo realmente bueno. El navegador está evitando que la información del usuario pudiera ser capturada por una tercera parte.

El cifrado web requiere que fabricantes de navegadores y sistemas operativos confíen en las CA, las cuales utilizar criptografía para que cuando un servidor web presente un certificado que le identifique, el navegador pueda verificar realmente esta información. Todo esto es parte de la red de confianza, y requiere que los navegadores, fabricantes de sistemas y CA actúen con integridad y transparencia. Algunas CA tienen problemas con la seguridad, por lo que Apple, Google y Mozilla deben eliminarlas como CA en la que confiar. Hay algunos casos de ejemplo en la historia como Comodo. En Abril de 2015, Apple no actuó rápidamente contra CCNIC, una CA China que parecía estar saltándose las políticas de seguridad. En este caso, Mozilla y Google actuaron rápidamente y quitaron la CA. Apple y Microsoft no hicieron nada. 

Figura 1: WoSign y el informe de Mozilla

Otro caso es el de septiembre de 2015. Mozilla descubrió que la CA WoSign tenía, lo que llamaron, un número de problemas técnicos y de gestión. WoSign tenía un problema que era la emisión de certificados firmados con SHA-1, el cual es un algoritmo de cifrado anticuado que las CA han acordado dejar de emitir. Esto es debido a que SHA-1 se considera roto. Existen más detalles en el informe que Mozilla presentó sobre este caso. Tras este reporte, y los intentos pobres de WoSign por convencer a Mozilla, fueron eliminados de la lista de confianza el 21 de Octubre.

Apple siguió el ejemplo de manera pública, colocando, incluso, algunos párrafos de texto en la parte superiro de su sitio web dónde se enumeraban los certificados raíz de confianza a principios de octubre. Google y Microsoft siguieron sus pasos. En Safari, Firefox y Chrome cuando se visita un sitio con un certificado firmado por WoSign o StartCom se genera una advertencia de seguridad. ¿Hacia dónde va esto? Cada año, los fabricantes de navegadores aumentan el tipo y naturaleza de las advertencias que muestran cuando se visita un sitio que está utilizando una seguridad ineficaz o mal configurada. 

Figura 2: Mensaje en Chrome

A partir de enero de 2017, Chrome comenzará a mostrar frases que indiquen al usuario que utilizar tráfico HTTP no es seguro y que no introduzca tarjetas de crédito o credenciales cuando se navegue por HTTP. Google planea pasar gradualmente a mostrar un triángulo de advertencia rojo y no seguro en todas las páginas sin cifrar. De forma transparente, Chrome redireccionará las solicitudes a una versión segura del sitio web si existiese.En Safari también habrá cambios. Los mensajes serán más impactantes y más claros, al estilo Chrome. El año 2017 puede ser el de la concienciación en el uso de certificados correctamente para los usuarios.

Little Flocker: Monitoriza cada cosa que toques en tu macOS

Cada vez existen más herramientas que ayudan a los usuarios de OS X y macOS a mejorar la seguridad de los sistemas. Lejos quedó aquello de que el malware en Mac no existía, una gran frase que utilizó el equipo de Marketing de Apple hace unos cuantos años. Hoy hablaremos de una herramienta denominada Little Flocker, la cual es una utlidad que permite mantener los datos personales protegidos contra spyware y esas aplicaciones con oscuras intenciones. El objetivo real de Little Flocker es evitar que cualquier aplicación acceda a sus archivos sin permiso explícito.

Es cierto que muchos usuarios pueden quejarse de que por cada acción se pida acceso explícito, pero es la forma de detectar cuando  una aplicación intenta acceder a información. La herramienta de monitorización se encuentra disponible para sistemas macOS Sierra y OS X El Capitan. Little Flocker es fácil de instalar y relativamente discreta al usuario. La herramienta ofrece un modo avanzado para los usuarios que quieren monitorizar la actividad de su sistema y endurecer las medidas de protección del sistema.

Figura 1: Little Flocker

Como se puede ver en la imagen, Little Flocker permite detectar y bloquear o permitir, a modo de firewall, la posibilidad de uso de la información que albergamos en nuestro sistema. En otras palabras, podemos ver a Little Flocker como un cortafuegos para su sistema de archivos, el cual le permite controlar el acceso a sus archivos personales y evitar el acceso no autorizado por aplicaciones potencialmente maliciosas. Para mayor información se puede consultar el sitio web oficial de la aplicación.

ElevenPaths Talk: Esta tarde hablamos de los 10 controles de seguridad que no pueden faltar en tu empresa

Hoy a las 15:30 hora de España, tendrá lugar la tercera sesión de las ElevenPaths Talks de Agosto, la cuarta sesión de esta segunda temporada. Recordaros que podéis visualizar todos los videos de la primera temporada en nuestro canal de Youtube. En este caso, nuestro CSA (Chief Security Ambassador) de Brasil, Leandro Bennaton, impartirá una charla gratuita a través de Internet sobre cuales son los 10 controles de seguridad que no pueden faltan en ninguna empresa.

Figura 1: Eleven Paths Talks

Para asistir solo debes registrarte a través de este enlace y de forma gratuita podrás asistir a la sesión, recibir las presentaciones y realizar las preguntas que consideres apropiadas. Además, podrás seguir offline la conversación a través de la Comunidad de ElevenPaths donde podrás debatir con nuestros compañeros.

Figura 2: Calendario de Talks en Agosto

Con la charla de hoy de Leandro nos situamos ante la tercera charla del mes de Agosto. Tienes todo un calendario de charlas en ElevenPaths Talks publicado en la web a las que te puedes apuntar. Te esperamos esta tarde y en todas las que charlas que gustes asistir. Las primeras  sesiones, la tienes ya disponible en nuestro Canal Youtube de ElevenPaths

Hoy en Eleven Paths Talks: Defensa en Profundidad

Nuestro compañero Claudio Caracciolo impartirá una charla dentro del contexto de las Eleven Paths Talks que estamos llevando a cabo a través de hangouts. La charla será celebrada hoy. La temática de la charla es la Defensa en Profundidad. Hoy en día es vital para una empresa enfocar un modelo como éste en su organización. El objetivo es proteger cada capa en la que se puede dividir el entorno empresarial y poner medidas de protección.

En nuestro canal de Youtube podéis encontrar el resto de talks que se han ido celebrando. Nuestro compañero Pablo González publicaba un artículo dónde explicaba la importancia de este modelo en profundidad en la lucha contra los ataques a los usuarios o empleados de la empresa. El modelo defensa en profundidad ayuda a muchas empresas a mejorar su seguridad y, en parte, su productividad. El activo más importante que tiene una empresa es su información que, genera, maneja y procesa para lograr su actividad de negocio. Por esta razón no os debéis perder la charla de Claudio hoy. Os dejamos una charla que Claudio impartió en este mismo contexto sobre seguridad en redes industriales.

Figura 1: Webcast anterior de Claudio Caracciolo

La duración de la charla de Claudio será de unos 30 minutos, divididos entre 20 y 25 minutos de exposición y de 5 a 10 minutos de preguntas y respuestas. El horario de la charla serán las 15.30 (hora España). La charla estará disponible al termina ésta en nuestro canal de YouTube. La ponencia se llevará a cabo por hangout. No te la pierdas. Puedes mirar el calendario de talks para ver las que aún quedan por celebrarse. Recuerda, tienes una cita hoy jueves en horario de 15.30 (hora España). Para registrarte debes usar el siguiente formulario de ElevenPaths Talks.

Hoy comienzan las Eleven Paths Talks: Firma biométrica

Hoy, 17 de Marzo, da comienzo la serie de webcast con temática de seguridad que los CSA de ElevenPaths impartirán. La duración de los webcast será de, aproximadamente, unos 30 minutos. Estos 30 minutos se dividirán en 25 minutos de exposición por parte del ponente y unos 5 minutos de preguntas y respuestas. El horario de impartición de los webcast son las 15.30 (GMT+1). La mayoría de las sesiones que se ofrecen a través de Hangout, y a las que podéis registraros a través del siguiente enlace, se llevarán a cabo en español, aunque habrá algunas sesiones en inglés y otras en portugues. 

Cómo se mencionaba anteriormente, las sesiones serán grabadas a través de Hangout, para que la gente que no pudo asistir en directo puedan disfrutar de ellas a través del canal de ElevenPaths en Youtube. No pierdas la ocasión de saber que es lo que está ocurriendo en el mundo de la seguridad informática y de todo lo que llegará en breve de la mano de nuestros CSA. 

Figura 1: Todo preparado para ElevenPaths Talks

A continuación os dejamos un listado de ponencias o webcast que serán los que se realicen, y que cómo se puede ver comienzan hoy con la participación de Rames Sarwat:

• 17 de Marzo de 2016. Firma biométrica en el ámbito sanitario por Rames Sarwat.
• 24 de Marzo de 2016. Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) por Leonardo Huertas.
• 31 de Marzo de 2016. Comprendiendo la seguridad en redes industriales por Claudio Caracciolo.
• 7 de Abril de 2016. Metodologías de testing de seguridad por Gabriel Bergel.
• 14 de Abril de 2016. Latch en IoT por Jorge Rivera.
• 21 de Abril de 2016. Gestión de seguridad en las organizaciones por Leonardo Huertas.
• 28 de Abril de 2016. Big Data en portugues por Leandro Bennaton.
• 5 de Mayo de 2016. Big Data en español por Leandro Bennaton.
• 12 de Mayo de 2016. The ISF Standard of Good Practice for Information Security por Sebastian.
• 19 de Mayo de 2016. Defensa en profundidad por Claudio Caracciolo.
• 26 de Mayo de 2016. DeepWeb por Leonardo Huertas.
• 2 de Junio de 2016. Introducción a OWASP por Sebastian.
• 9 de Junio de 2016. Análisis de riesgos por Gabriel Bergel.
• 16 de Junio de 2016. SealSign en IoT por Jorge Rivera.
• 23 de Junio de 2016. ¿Las contraseñas desaparecerán? por Claudio Caracciolo. 

Os esperamos a todos, recuerda a las 15.30 (GMT+1) comenzamos el 17 de Marzo y puedes registrarte en el siguiente formulario. Recuerda que a posteriori podrás visualizar los webcast en nuestro canal de Youtube.

Participación de Eleven Paths en la RootedCON 2016

Mañana dará comienzo la VII Edición de la RootedCON, uno de los eventos más importantes de Seguridad Informática en Europa. Como cada año el potencial entre ponentes, tanto en ponencias como en laboratorios, es enorme. Lo que la gente denomina semana Rooted va desde los 3 días previos al congreso, los cuales comenzaron el pasado 29 de Febrero con los Labs, hasta los 3 días de Congreso que comienzan mañana. Los días 3, 4 y 5 de Marzo disfrutaremos de grandes ponentes internacionales con gran variedad de temáticas. 

Este año Eleven Paths vuelve a tener gran presencia en la CON. Las charlas de nuestros compañeros son las siguientes:

• Nuestros compañeros Rafael Sánchez y Francisco J. Gómez impartirán la ponencia "Esta noche, en Cuarto Milenio: Escanenado Internet en IPv6". La charla se realizará el jueves 3 de Marzo a las 15.30.
• Nuestros compañeros Chema Alonso y Pablo González impartirán la ponencia "Solo hay que besar un SAPPO para encontrar al príncipe". La charla se llevará a cabo el sábado 5 de Marzo a las 16.30.

Figura 1: RootedCON 2016

Este año se han celebrado 3 Labs, el ya clásico Metasploit Lab de nuestro compañero Pablo González, el Lab de Análisis Forense en entornos Windows de la mano de Pedro Sánchez y un Lab de auditoría interna de la mano de Alejandro Ramos. Por otro lado, se han celebrado un par de Bootcamps, el ya clásico de Corelan y el exploiting, y el nuevo Bootcamp de Raul Siles sobre ataques a Radio Frecuencia. En definitiva, si quieres pasar una semana escuchando a grandes ponentes y aprendiendo en estos interesantes talleres, no dudes en apuntarte a la nueva edición de RootedCON.

Apple contrata a los hackers del exploit Thunderstrike 2

Apple ha decidido contratar a los expertos en seguridad de firmware que hicieron posible Thunderstrike 2. En Seguridad Apple ya vimos ambos casos, el gusano a través del firmware del MacBook y los Bootkits en Mac usando Thunderbolt. Esto es un acto claro de fortificación de equipo y esfuerzo por reforzar las plataformas como iOS y OS X. Los elegidos han sido Xeno Kovah y Corey Kallenberg, los cuales han sido traídos a Apple para trabajar en proyectos desconocidos de acuerdo a los tuits publicados por Kovah en los últimos meses. 

Apple anunció la contratación de los empleados en una presentación en Diciembre. Está claro que a la empresa de Cupertino las investigaciones que dieron lugar a Thunderstrike y Thunderstrike 2 le han importado mucho, ya que la seguridad en ese nivel es primordial para la seguridad en todo el sistema. Hay que recordar que Thunderstrike permitía insertar código en el arranque EFI de cualquier Mac utilizando el puerto Thunderbolt. Thunderstrike 2 utiliza las mismas técnicas de ataque, pero es capaz de instalar un gusano capaz de replicarse y transferirse entre equipos Mac. 

Figura 1: Thunderstrike 2

La noticia fue publicada como que Apple adquiría LegbaCore, pero lo que es más probable es que esta operación se cerrase después de que Kovah y Kallenberg aceptaran los trabajos en Cupertino. LegbaCore no tenía activos tangibles o cosas valiosas asociadas a la marca, por lo que es altamente probable que fuera adquirida después de la contratación de estos 2 investigadores.

El malware para iOS podría evadir AppStore usando técnicas de Hot-Patching

Cada vez es más común que los desarrolladores utilicen herramientas que les permiten actualizar las aplicaciones de iOS sin pasar por el flujo común de validación de la AppStore para conseguir tener cambios en las apps sin los retrasos de pasar por Apple. JSPatch podría permitir a los desarrolladores - incluidos los maliciosos - eludir las funciones de control y revisión de Apple. ya que pueden modificar de forma remota el código en sus aplicaciones sin tener que pasar por el proceso normal de revisión.

Esto abre una puerta enorme a posibles abusos o intenciones maliciosas por parte de otros usuarios, al igual que un gran riesgo de seguridad. La técnica es una variación del parcheo en caliente que se desarrolló para solucionar bugs dinámicamente en un sistema o aplicación sin tener que reiniciarlo. En este caso, una aplicación iOS se actualiza sin que el desarrollador tenga que enviar una nueva versión a la tienda oficial de iOS y esperar el proceso de revisión de Apple.

Figura 1: JSPatch para iOS

El proyecto de código abierto JSPatch proporciona un motor para que los desarrolladores de aplicaciones puedan integrar en sus aplicaciones, lo que se llama puentes de códigos Javascript para Objective-C. Por ejemplo, después de añadir el motor JSPatch a su aplicación, se requieren sólo 7 líneas de código, los desarrolladores pueden configurar la aplicación para cargar siempre el código Javascript desde un servidor remoto. Este código es interpretado por el motor JSPatch y convertido a Objective-C.

El problema es que los parches en caliente están totalmente desalineados con el modelo de seguridad de iOS, que se basa en la revisión por parte de Apple del código. Estaremos atentos a todo lo que ocurra, y a la posible aparición de malware que se aproveche de los parches en caliente.

Ganadores de los Premios Bitácoras 2015

Este viernes se entregaron los Premios Bitácoras 2015 donde se entregan no solo galardones a los mejores blogs, sino también a los mejores podcaster, youtuber, tuitero e instagramer del año. Nuestro blog participaba en la categoría de Seguridad Informática aunque también podría estar en la parte de tecnología. Los ganadores en esas dos áreas fueron ReadWriteWeb por tecnología y la Oficina de Seguridad del Internauta por Seguridad Informática. Esta es la lista completa de ganadores.

Figura 1: Lista de ganadores de los Premios Bitácoras 2015

Hay que decir que el blog de nuestro compañero Chema Alonso, ganador en dos ocasiones del galardón de mejor blog de seguridad informática en los Premios Bitácoras, quedó el primero en la fase de votaciones del público, lo que nos llena de orgullo. En todas las ediciones de los Premios Bitácoras, El lado del mal ha estado siempre como blog finalista, algo que no ha conseguido ningún otro medio.

Figura 2: Finalistas de los Premios Bitácoras 2015 al mejor blog de Seguridad Informática

La lista de blogs de Seguridad Informática que participó en esta categoría la tienes en el siguiente enlace, donde podrás rebuscar buenos sitios para añadir a tu lector RSS. Buen fin de semana.

Guía de uso de rootless en OS X El Capitán de JNUC'15

Guía sobre uso de Rootless en OS X

En estas fechas se ha celebrado la JNUC, JAMF Nation User Conference, celebrada en Minneapolis. En una de las charlas se ha presentado una guía basada en el modelo defensa en profundidad. Para los que no estén muy cerca de dicho modelo se refiere a la implementación de distintas capas de seguridad por niveles, yendo desde el nivel físico al nivel de aplicación, pasando previamente por perímetro, red interna y bastionado de servidores. 

En la charla se hace un repaso por una serie de elementos para fortificar o realizar hardening a los sistemas OS X. Los elementos que se trabajan son los que todos vosotros ya conocéis en mayor o menor medida. Desde hablar de Gatekepeer y sus usos y configuraciones hasta hablar de sandboxing, pasando por diferentes permisos POSIX, o la nueva capa de seguridad denominada rootless.  Ya hemos hablado de rootless como una declaración de guerra de Apple contra intenciones de romper sus sistemas. Además, es una de las novedades más importantes respecto a la seguridad de los sistemas OS X.

Figura 1: System Integrity Protection

Una vez que la charla llega al System Integrity Protection y la configuración de rootless se puede ver como las slides son de esta nueva característica. Se detalla la configuración de rootless en la guía y cómo realizar pequeños ejemplos que demuestren el funcionamiento del sistema. Charla y slides recomendadas para que aprendáis más sobre elementos de seguridad en OS X.

Ven al Security Innovation Day 2015 y ¡Siente el Poder!

Estamos a una semana de que Eleven Paths junto con Telefónica de España anuncie y presente las novedades en las que todos los miembros de la empresa hemos estado trabajando durante este año. Todo esto será en el evento Security Innovation Day al que te puedes apuntar ya - y deprisa que quedan muy pocas plazas -.

Figura 1: Security Innovation Day 2015. 8 de Octubre de 2015. Madrid & Streaming.

La fecha elegida para la celebración del evento es el Jueves 8 de Octubre de 2015. En la agenda se puede ver que a partir de las 15.00 hora local de España se podrá disfrutar de la siguiente agenda.

Figura 2: Agenda del Security Innovation Day 2015

Contaremos con Nir Zuk fundador y CTO de Palo Alto Networks y con Ben Matzkel fundador y CTO de Vaultive. Además, Chema Alonso, CEO de Eleven Paths, Pedro Pablo Pérez, Business Development Director y Francisco Ginel, Vice President of Strategic Alliances and Vice President Eleven Paths Brasil, nos anunciarán las novedades para 2016 en la oferta de seguridad de todas las empresas del Grupo Telefónica. 

Figura 3: ¿Quieres una camiseta de Latch? Llévatela así en el Security Innovation Day 2015

El evento se podrá seguir vía Streaming en la propia web del evento. Además, también habrá seguimiento en tiempo real a través de la Cuenta Twitter de @ElevenPaths. Si quieres asistir debes registrarte cuanto antes. Además, a los asistentes que tengan Latch en al menos dos identidades, podrán llevarse una de nuestras famosas camisetas de Latch.

Bad@ss malware en OS X: Cómo saltarse BlockBlock en OS X

BlockBlock es una herramienta que permite monitorizar OS X en busca de ubicaciones dónde el malware puede encontrarse. Esta herramienta pertenece a la suite de Objective-See, en la que se pueden encontrar otras interesantes herramientas para la fortificación de entornos OS X. En el artículo de hoy veremos como el investigador Noar presenta vías para bypassear la herramienta, dejando claro que la construcción de una herramienta o producto de seguridad defensiva es más compleja de lo que se podría pensar a priori.

Noar ha explicado que hace poco tiempo había pocos productos de seguridad en OS X y que con el crecimiento del mercado, muchos de estos productos están vendiendo una falsa sensación de seguridad, ya que la mayoría son herramientas no preventivas, sino correctivas, y ninguna ha reinventado el paradigma de la seguridad. 

Figura 1: BlockBlock

Noar decidió investigar sobre BlockBlock ya que es una de las herramientas que empieza a competir con productos más comerciales en OS X. Su interés le hizo ver como estaba diseñado BlockBlock. En primer lugar tiene un diseño extraño, ya que el binario principal está funcionando tanto como daemon y agent. El daemon espera los eventos del sistema de archivos relacionados con la persistencia del malware y notifica al agent. El agent mostrará una alerta y reporta una acción del usuario para el daemon.

El investigador indica que cuando BlockBlock fue lanzado, detectó varios fallos de diseño y cómo se podía abusar de ellos. La elevación de privileigos local engañando al proceso de instalación o la comunicación inter-proceso es insegura utilizando NSDistributedNotificationCenter.

Figura 2: Noar tuitea sobre la escalada de privilegios

Apple ya comunica en la documentación de desarrollo que NSDistributedNotificationCenter no implementa un protocolo de comunicaciones entre procesos segura. Al utilizar esta característica, la aplicación está ofreciendo una posibilidad trivial de visualizar las notificaciones estableciendo notificationName a 0. ¿Qué sacamos de esto? Todas las aplicaciones que se instalan, incluyendo las que protegen nuestro equipo, aumentan la superficie de ataque. Las notificaciones distribuidas con utilizadas por más software,  no solo por BlockBlock, por lo que se debe tener en cuenta.

Qurtuba Security Congress: Seguridad en Córdoba en Abril

Durante los próximos días 10 y 11 de Abril de 2015 tendrá lugar en la Facultad de Derecho y Ciencias Económicas y Empresariales de la Universidad de Córdoba (España), una nueva conferencia de seguridad informática y hacking, que ha sido bautizada como Qurtuba Security Congress.

Figura 1: Qurtuba Security Congress

La lista de ponentes cuenta con el Oscar García, Comandante del Grupo de Delitos Telemáticos de la Guardia Civil, con Angel Pablo Avilés del Blog de Angelutxo, con nuestro compañero de Eleven Paths Pablo González, con David Hernández "Dabo",  con Juan Antonio Calles de Zink Security, Lorenzo Martínez de Security By Default, con Jorge Corona de Quantika14, con Silvia Barrera de la Policía Nacional, con la abogada Ruth Sala, con el pentester Daniel Medianero, con Alberto Ruiz Rodas de Sophos y con la también abogada Miriam García.

Figura 2: Algunos de los ponentes

El evento es totalmente gratuito, y es una oportunidad fantástica para todos los que vivan en Córdoba y cercanías, ya que no siempre se tiene la posibilidad de contar con una agenda como esta sin tener que desplazarse a regiones mucho más lejanas. Para asistir debes registrarte en esta web.