Se actualiza el estándar USB-C con USB Type-C Authentication Program

El estándar USB-C ha sufrido una actualización, lo que permitirá hacer uso de criptografía para autenticar los dispositivos conectados. Las implicaciones derivadas de esta actualización no son menores, pues permitirán una correcta certificación de dispositivos y mejorar la seguridad. Este nuevo estándar recibe el nombre de USB Type-C Authentication, y nos permitirá asegurar que un punto de conexión físico es genuino.

Por ejemplo, si quieres cargar un dispositivo en un puerto USB en lugares como aeropuertos, restaurantes o cafeterías, tu móvil podría permitir sólo cargar a través de cargadores certificados, de tal manera que las posibilidades abiertas para un atacante de cara a la inyección de malware en nuestro dispositivo o la inutilización del mismo al aplicar una corriente superior a la permitida quedaran muy restringidas. Tanto en este blog como en elladodelmal ya hemos hablado de los peligros a los que los usuarios se exponen a ataques BadUSB en el caso de conectarse a puntos de carga USB públicos.

El nuevo estándar permite que los dispositivos se autentiquen utilizando canales de suministro de datos o de energía, por lo que se podrá verificar un cargador sin establecer un intercambio de datos con cualquier dispositivo. Además, la autenticación tiene lugar inmediatamente antes de que el acceso al dispositivo se permita por parte del usuario. Los cables con esta nueva certificación cuentan con control sobre las políticas de seguridad que emplea el dispositivo con el que se conecta, además de un cifrado de 128 bits, firmado digital y generación de hashes aleatorios. Con respecto al cifrado, tanto la gestión de certificado del programa como del archivo PKI, el USB-IF se ha decantado por DigiCert para su gestión. Cualquier detalle adicional sobre este nuevo estándar queda especificado en el siguiente enlace.

Figura 1. Cables USB-C conectados a un MacBook Pro (2018) de 15 pulgadas

Actualmente, el proceso de certificación sólo es una recomendación. Por ahora, queda a elección de los fabricantes la implementación del mismo. Sin embargo, estamos ante un gran paso para el canal de conexión que aspira a convertirse en el puerto por defecto de todos los dispositivos del mercado en un futuro cercano.  

Este protocolo es lo que más se asemeja a MFi con respecto al USB Tipo C. Sin este certificado, un cable no puede conectarse a dispositivos  iPod, iPhone, iPad y AirPlay. Cabe la posibilidad de que a lo largo de 2019 la empresa de Cupertino avance en la implementación este estándar en sus dispositivos con USB-C. Esperemos que conforme continúe la generalización de este puerto, el proceso de certificación se vuelva obligatorio.

Samsung apostará por el reconocimiento facial en sus nuevos terminales

El año pasado Samsung presentó su patente de escáner de iris, el cual usaría como nuevo sistema biométrico para desbloquear sus terminales, al parecer era una alternativa mejor que el uso de únicamente una huella dactilar. Con el lanzamiento del Note 7 vinieron los problemas, debido al problema que hubo con las baterías del terminal, como consecuencia de este problema Samsung tuvo que retirar millones de terminales del mercado y cesar la producción del dispositivo, por lo tanto el escáner de iris no generó impacto alguno en el mercado de los Smartphones.

Actualmente Samsung ha reconocido que el escáner de iris sin reconocimiento facial es de todo menos útil, por lo que ha decidido dar el paso e implementar un método de reconocimiento facial debido a los rumores sobre la incorporación de un sistema similar en los próximos modelos de iPhone. Las últimas noticias revelan que el Samsung Galaxy s8 saldrá a la venta a finales de este mes y Samsung quiere llamar la atención de los compradores con esta nueva función. Esto es sin duda un signo de la gran competencia entre dos de los mayores fabricantes de Smartphones para dominar el área de la identificación biométrica en estos dispositivos.

Figura 1:Reconocimiento de iris Samsung.

Esto es lo que han dicho algunos trabajadores de Samsung:
“Hemos decidido montar el s8 con la función de reconocimiento facial ya que el reconocimiento por iris es bastante limitado en lo que a exactitud y velocidad se refiere. Añadiendo a este sistema el reconocimiento facial el tiempo de desbloqueo disminuirá hasta los 0.01 segundos.”

Todavía no podemos saber con certeza qué estrategia tomará Apple para competir con el reconocimiento facial de Samsung, pero Apple podría optar por la introducción de algunas aplicaciones de seguridad como FaceShift, una aplicación capaz de realizar un escaneo en 3D de nuestra cara gracias a la incorporación de un sensor en sus terminales. Apple lleva muchos años apostando por el reconocimiento biométrico en sus dispositivos, puede que en un futuro no muy lejano no sea necesario el uso de contraseñas alfanuméricas o patrones de desbloqueo para mantener seguros nuestros terminales.

Módulo PAM para autenticar comandos de terminal con Touch ID

Es una noticia técnica muy interesante. Un desarrollador ha creado un nuevo módulo PAM, Pluggable Authentication Module, para poder autenticar la ejecución de comandos de terminal a través de la tecnología Touch ID. Esto es debido a la llegada del Touch ID al nuevo MacBook Pro, el cual cuenta con este tipo de sensor. Ahora es el momento de destapar el tarro de las esencias, y este desarrollador ya le ha encontrado una utilidad interesante. El desarrollador se llama Hamza Sood y ha creado el módulo PAM con el que para ejecutar el comando sudo, por ejemplo, deberemos poner nuestro dedo en el sensor y ser autenticados.

En el ejemplo que el desarrollador Hamza ha utilizado, se ejecuta el comando sudo desde una terminal y se necesita autenticar con Touch ID en dicho momento. Este ejemplo, puede ser extrapolado a otros comandos y acciones en el sistema. Esto agrega un nivel de seguridad al terminal, el cual requiere que el usuario escanee su huella utilizando el sensor antes de que se proceda a la ejecución del comando. El desarrollador también ha compartido instrucciones de instalación en Github, por lo que se puede probar, modificar y fortificar el uso de la terminal.

Figura 1: Instrucciones de instalación del nuevo módulo PAM

Al final se está agregando un nivel de seguridad a la terminal. Este hack solo está pensado para usuarios avanzados, ya que aún no hay un proceso de instalación automático, por lo que se debe instalar y configuración con cuidado. La idea es realmente interesante, la posibilidad de utilizar Touch ID en diferentes sitios, abre un montón de posibilidades a modo de 2FA.

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch Cloud TOTP vs Google Authenticator. Además, ya hemos podido ver cómo proteger la cuenta de Facebook de Latch y su nuevo Cloud TOTP. En el artículo de hoy vamos a mostrar como integrar Latch Cloud TOTP con nuestra cuenta de Gmail. Los tokens TOTP, Time One-Time Password, es uno de los segundos factores de autenticación más populares. Existen diversos servicios como Google, Microsoft, Amazon, Dropbox o Facebook, entre otros, que tienen la posibilidad de configurar dicha protección. 

En ElevenPaths hemos implementado la funcionalidad para que puedas proteger tus cuentas más utilizadas con Latch. Como se comentaba anteriormente, hoy vamos a centrarnos en Gmail y en ver cómo podemos integrar y proteger nuestra cuenta con Latch y Cloud TOTP.  Para ello tienes que tener la última aplicación de Latch para Android o Latch para iPhone (incluido Latch para Apple Watch). En el siguiente vídeo se ve cómo funciona.

Figura 1: Latch Cloud TOTP y cómo proteger la cuenta de Dropbox 

Preparando Gmail 

En primer lugar, iniciamos sesión con nuestra cuenta de Gmail y accedemos al enlace Mi Cuenta. En la parte de Seguridad podemos visualizar la opción 'Verificación en dos pasos'. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Google ofrece. En este caso nos centraremos en la de TOTP.

Figura 2: Activando la verificación en dos pasos de Gmail

En este punto podremos ver una pantalla dónde se nos solicitará de nuevo que hagamos uso de la contraseña de nuestra cuenta de Gmail. Una vez introducida, entraremos en un área dónde se solicitará información del teléfono, ya que nos enviarán un código al teléfono para comprobar que lo tenemos bajo nuestro control. En este punto debemos indicar nuestro número de teléfono y completar la acción introduciendo el código que nos envíen al terminal.

Figura 3: Envío de código de verificación para activar la verificación en dos pasos

Una vez que introducimos el código y todo ha ido bien se nos mostrará el mensaje de confirmación para activar la verificación en dos pasos. Simplemente, debemos pulsar en 'Activar'. Existen diferentes opciones, una vez activada la verificación en dos pasos, y elegiremos la aplicación 'Authenticator', tal y como se puede ver en la imagen. Solo está disponible para sistemas operativos Android e iOS.

Figura 4: Authenticator

Por último, una vez que activemos 'Authenticator' se nos proporcionará un código QR, el cual es la semilla que debemos leer con nuestra aplicación de Latch. En este momento debemos irnos a Latch y realizar las acciones que detallaremos más adelante.

Figura 5: Seed de Authenticator para leer con Latch

Configurando Latch Cloud TOTP

Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.

Figura 6: Proteger con Cloud TOTP

Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escanamos el código QR que Gmail nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Gmail con Latch.

Figura 7: Servicio configurado. Tenemos Gmail en nuestro Latch

Iniciando sesión con Latch Cloud TOTP en Gmail

Ahora, nos dirigimos al login de Gmail e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Gmail y podremos utilizar nuestro Latch.

Figura 8: Petición de TOTP en Gmail

En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio y generando tokens para la cuenta de Gmail que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.

Figura 9: TOTP de Latch

No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura. Las posibilidades que ofrece Latch Cloud TOTP son muy grandes, protege tus servicios y tus cuentas.

iPhone 8 podría tener escáner de Iris para autenticación

Los rumores se disparan tras la aparición del nuevo iPhone. Incluso se dice que el próximo iPhone podría incluir un escáner para autenticación con el ojo, aunque no será en el que hemos visto ya en 2016. Apple está planeando incluir capacidades de iris en el iPhone, tarde o temprano, y se habla que podría ser en el año 2017 cuando el iPhone tuviera esta nueva funcionalidad de seguridad y autenticación. Otros rumores apuntan al año 2018, lo que queda claro es que Apple ha apostado por la biometría y sus distintas posibilidades.

Un escáner de iris podría complementar, o incluso sustituir, al Touch ID como una manera o forma de verificar la identidad de un usuario, permitiendo a los usuarios de iPhone desbloquear el dispositivo, hacer pagos, y muchas más acciones mediante la autenticación de sus ojos. El iris de una persona contiene un patrón complejo y aleatorio que es único para cada individuo. Un escáner de iris en un dispositivo no tendría precedentes. Xintec es el proveedor de Apple en Taiwán y comenzará la producción en masa de chips de reconocimiento de iris en 2017, probablemente un esfuerzo por asegurar las órdenes de Apple y otros fabricantes.

Figura 1: Escáner de Iris para autenticación

Xintec dijo que la compañía no haría comentarios sobre rumores o especulaciones en lo que se refiere a productos específicos o pedidos de los clientes. Esto alimenta, por supuesto, la rumorología. Sobre la base de rumores, el décimo aniversario de iPhone se perfila para ser una mejora significativa en comparación con la serie del iPhone 7, que llegó en el evento de Apple del 7 de Septiembre. Otros rumores en torno a la llamada del iPhone 8 incluyen una pantalla de 5,8 pulgadas OLED curvada, funda de vidrio, un botón de inicio incorporado o eliminado por completo, la carga inalámbrica y algunas cosas más, ¿Veremos el escáner de iris?

Vuelven los problemas con el sistema Touch ID con iOS 9

Apple vuelve a tener problemas con el Touch ID y es que los nuevos propietarios de dispositivos iPhone e iPad están reportando problemas con el Touch ID en el reconocimiento de huellas dactilares y estabilidad al actualizar a la última versión de iOS 9. Estos problemas son similares a los que ya se enfrentó Apple en la actualización a iOS 8. Viendo el aluvión de quejas a las que se está enfrentando el equipo de oporte de Apple, bastantes son los usuarios que se quejan de problemas de identificación del elemento biométrico. 

Los usuarios afectados informan de que el reconocimiento de huellas está siendo poco fiable, que los tiempos de respuesta son lentos y en algunos casos imposible de validad. Algunos usuarios han decido restaurar valores de fábrica para dar una solución al problema, aunque es solamente una solución temporal, ya que se debe actualizar a una futura versión de iOS que solucione estos problemas.

Figura 1: Touch ID

Al actualizar a la versión 9.1 del sistema operativo los usuarios no pueden volver atrás, por lo que necesitan que Apple de una solución rápida al problema. Seguramente se solucione el problema con la salida de iOS 9.2, la cual se encuentra en beta. De momento no se tiene certeza de lo que soluciona dicha versión del sistema operativo. Según Forbes, Apple no tiene ningún comentario oficial acerca del asunto. Seguramente muy pronto tengamos actualización a la vista.

Autenticación en sistemas OS X a través de Apple Watch

El reloj de Apple podría convertirse en una pieza fundamental para verificar la identidad de los usuarios en los sistemas. Algunas aplicaciones han migrado al nuevo dispositivo y podemos autenticarnos en nuestro OS X a través del reloj. En el artículo de hoy nos centramos en diversas aplicaciones ya disponible en la App Store de Apple Watch con el fin de ayudar a facilitar la autenticación a través de nuestro muñeca. Nos centramos en tres aplicaciones que permiten autenticarse a golpe de reloj, es decir, simplemente con estar cerca del dispositivo y golpear el reloj podremos desbloquear nuestro OSX.

Ya hemos visto en Seguridad Apple algunas soluciones que bloquean o desbloquean tu equipo cuando te alejas o te acercas, soluciones como Sesame o Tether. Incluso hicimos una pequeña prueba con la integración de Tether y Latch. Como nota hay que aclarar que el iPhone debe estar siempre con el propietario del reloj, ya que el reloj encadena la seguridad con la del terminal.

Knock

Esta aplicación permite que cuando aparezca la pantalla de inicio de sesión aparezca una notificación en su reloj, así como en iOS. Con un simple toque sobre el botón "Desbloquear" en el reloj y el Mac estará disponible. En la siguiente imagen se puede ver un pequeño esquema del funcionamiento sencillo de la aplicación.

Figura 1: Desbloquear Mac con Knock para Apple Watch

One ID

Esta app es totalmente gratuita y es similar a otras conocidas como LastPass o 1Password. Al igual que la anterior cuando se inicie sesión nos aparece la posibilidad de autenticarnos, simplemente, tocando la pantalla del reloj. Es altamente configurable, ya que las notificaciones de petición de acceso pueden configurarse para cuando se acceda a un determinado sitio web en Google Chrome o en Mozilla Firefox, aún no disponible esta característica para Apple Safari.

Duo Security

Esta solución está orientada para la empresa y presenta un esquema de llaves cruzadas. Como puede verse en la imagen, la solicitud se realiza desde el usuario A, que es quién quiere iniciar, por ejemplo, sesión en una máquina. El usuario B puede aprobar o denegar el acceso a dicho entorno desde su reloj.

Figura 2: Duo Security con esquema cruzado de autenticación

Como podemos ver la aparición del Apple Watch en escena nos trae un mundo lleno de posibilidades y más en el mundo de la seguridad. Cada día más fabricantes optan por disponer de su aplicación en la App Store del reloj más flexible del mundo.

iPhone 5S: El sensor biométrico y la seguridad de Touch ID

Tras la información conocida previamente por patentes del sensor biométrico de Apple en el nuevo iPhone 5S hay muchas preguntas al respecto que todo el mundo se hace. Afortunadamente, muchas de ellas han sido respondidas por miembros de la compañía y expertos de seguridad de todo el mundo. Aquí queremos recoger algunas de ellas para daros una información más clara al respecto.

¿Dónde se almacenan las huellas dactilares que usa el sensor?

Las especulaciones iniciales hablaban de que las imágenes de las huellas dactilares pudieran estar guardadas en la nube, y pudieran estar a disposición de la NSA en cualquier momento. Esto podría servir para "fichar" a todas las personas del mundo. Apple se ha apresurado a decir que no es así.

Figura 1: Ubicación del sensor biométrico

La información necesaria para reconocer la huella, que no la huella, se almacenan en la zona segura del chip A7 que Apple ha introducido en el nuevo terminal iPhone 5S. Esto sirve sólo para autenticar en local que la persona que ha pulsado el botón es una de las registradas. A partir de ahí liberará funciones, como el acceso a aplicaciones, el desbloqueo del terminal o el uso de la contraseña de Apple ID.

Este acceso a funciones por medio de la huella biométrica solo se hará después de que se haya puesto el passcode tras reiniciar el terminal o cuando no hayan pasado 48 horas sin desbloquear el terminal, en cuyo caso se volverá a requerir  el passcode.

Figura 2: Registro del servicio Touch ID en local

Es decir, el servicio Touch ID no implica el almacenamiento de ninguna información de la huella dactilar en la cuenta de Apple ID, y sólo es una función de usabilidad con seguridad que se añade en local.

¿Puede fallar el reconocimiento biométrico de las huellas y no acceder al terminal?

La calidad del sensor biométrico está estudiada y publicada en varias patentes de Apple, pero si el dedo está húmedo, la huella sufre algún cambio por herida u operación o las situaciones de temperatura son extremas, el sensor puede fallar. En cualquier caso, se puede utilizar el passcode del terminal para tener acceso.

Figura 3: Descripción del sensor biométrico de Apple en una patente

Además, el servicio de Touch ID permite registrar hasta 5 huellas dactilares distintas al mismo tiempo para que sea más usable o para tener distintos perfiles de acceso al terminal, lo que permitiría tener distintos usuarios.

¿Es fácil de hackear el acceso biométrico?

Aún no se han hecho pruebas con terminales distribuidos, pero ya han publicado un ataque más que sencillo - con mucho humor - a un padre dormilón. Bromas aparte, lo cierto es que las huellas de una persona se dejan en muchos sitios, y por desgracia si alguien las copia las tiene para siempre porque no se pueden cambiar como las contraseñas. Esto hace que si la calidad del sensor biométrico no mira otras cosas como la temperatura, el poro, o datos del cuerpo podría ser hackeado.

Figura 4: Niña usando el dedo de su padre mientras duerme

En cualquier caso, debe ser tomado como lo que es, un factor de seguridad y comodidad extra que no puede ser usado remotamente, es decir, sólo puede usarse en el terminal donde se hayan registrado las huellas.

¿Podrán utilizar la información biométrica las apps de terceros?

Apple ha dicho que por ahora no. No habrá API publicada y disponible para acceder a las funciones del sensor biométrico por ahora, así que funcionará tal y como Apple ha explicado en su presentación. Aquí tienes un vídeo con más información.

Figura 5: Vídeo de Apple con más información sobre Touch ID

Esperemos a que Apple ponga en circulación los terminales para ver cómo los expertos de seguridad estudian en detalle el funcionamiento y la seguridad del dispositivo, para poder saber mucho más sobre este avance en seguridad, que para nosotros es de agradecer por parte de la compañía.

Touch ID: iPhone 5S tiene sensor biométrico pero no NFC

Ayer fue el día del gran evento de lanzamiento de Apple en el que se desvelaron los nuevos terminales de gama alta iPhone 5S y de gama baja iPhone 5C. Como ya estaba esperado, iPhone 5S tendrá sensor biométrico mientras que iPhone 5C no lo tendrá. El sensor biométrico, tal y como se puede ver en el siguiente vídeo, permitirá mediante el servicio Touch ID asociar la huella dactilar a la cuenta de Apple ID y autenticarse con solo escanear el dedo.

Figura 1: Touch ID para autenticarse con huella dactilar

La gran sorpresa llegó de NFC, donde Apple, a pesar de tener un montón de patentes registradas con esta tecnología, ha preferido no integrarlo en iPhone 5S - ni por supuesto en iPhone 5C -. La verdad es que es una gran decepción para los amantes de la tecnología, ya que las posibilidades de interactuar con dispositivos NFC/RFID se ven completamente limitadas.

Apple patenta sistemas de acceso y control biométricos

Las últimas noticias hablan de que el botón Home de iPhone 5S - con sensor biométrico incluido - y el de iPhone 5C - sin sensor biométrico - se diferenciarán por un color plateado. No obstante, sea verdad o no esta información, lo que si es cierto es que Apple ha estado trabajando y mucho en las tecnologías biométricas. Esta semana hemos visto como le han concedido en Estados Unidos una buena cantidad de patentes, entre ellas una para autenticarse en un dispositivo por diversos métodos.

Figura 1: Patente concedida a Apple por Estados Unidos

La patente, que lleva por título METHOD, APARATAUS AND SYSTEM FOR ACCSS MODE CONTROL OF A DEVICE, presenta diferentes formas de acceder y controlar un terminal, entre ellas voz y gestos controlados por biometría y dando distintos niveles de acceso según el reconocimiento que haga el dispositivo.

Figura 2: Esquema de diferentes formas de controlar y validar  el acceso

Ya queda poco para ver qué nos presenta Apple en su próximo lanzamiento, así que esperamos poder desvelar todas las incógnitas sobre estas tecnologías la semana que viene.

Más patentes sobre el dispositivo biométrico en iPhone

El pasado 18 de Julio se hizo pública una nueva patente de Apple basada en el sensor adquirido junto con la compra de Authentec, que despeja más incógnitas sobre cómo piensa integrar la compañía el dispositivo biométrico de reconocimiento de huellas dactilares en sus terminales. Para entender mejor los planes de la compañía, hay que retroceder al año 2009, donde ya planeaba introducir un sensor biométrico en el terminal iPhone y los equipos Mac para poder autenticar a los usuarios por sus huellas dactilares.

Figura 1: Patente del año 2009 para integrar un sensor biométrico en iPhone y MacBook

En el año 2010, la compañía volvió a patentar tecnología para hacer un scanner biométrico de huellas dactilares que pudiera integrar en los terminales iPhone o Mac, detallando cómo se construiría el dispositivo descrito en la patente del año anterior.

En el año 2012 Apple ya dio el salto definitivo y compró la empresa Authentec, especializada en dispositivos biométricos, y por supuesto estaba claro que Apple pensaba en aprovechar su tecnología en estos productos. De hecho, la parte de Authentec que no estaba centrada en biometría fue vendida rápidamente a terceros.

Figura 2: Patente del año 2012 para usar el sensor biométrico en iPhone

El el mes de Octubre Apple volvió a patentar más usos para el lector de huellas dactilares, en esta ocasión en conjunción con un reconocedor de ojos o caras, desde el terminal iPhone, lo que se usaría como segundo factor de autenticación a la hora de desbloquear el terminal o como elemento de autorización.

Figura 3: Patente para integrar el lector en la carcasa

Ya en este año apareció publicada la patente de Apple para ocultar en el lector de huellas biométricas dentro de la carcasa de los terminales iPhone o iPad, además de los equipos MacBook.

La última de ellas, la hemos tenido este 18 de Julio de 2013, donde se ha descrito la circuitería de los sensores a nivel de pixel para hacer el reconocimiento de las huellas dactilares. Esta patente describe en detalle cómo es la implementación que se piensa hacer del dispositivo, para ponerlo en algún producto en algún momento pronto.

Figura 4: Patente que describe la circuitería del sensor

Como se puede ver, Apple lleva trabajando mucho tiempo en las tecnologías biométricas, tanto para los terminales iPhone, iPad como para los portátiles MacBook de la compañía. Veremos cuándo.

Twitter añade verificación en dos pasos... o está en ello

Seguro que has leído las noticias de que Twitter se ha sumado al club de los que ofrecen verificación en dos pasos mediante el enrollment de teléfonos móviles para el envío de códigos de verificación de login. Sin embargo, este proceso que ha salido en todos los medios aún no está disponible en todos los países ni en todas las operadoras, así que lo más probable es que si eres de España o Latino América recibas una bonita decepción al intentar activarlo.

Figura 1: Lo sentimos, para ti no hay aún.

Esperemos que en un futuro cercano Twitter se globalice con este servicio, y que lo haga a la misma velocidad con que se globalizaron sus usuarios por todo el mundo. Mientras tanto, a esperar con cuidado de que te no te roben las credenciales y a que Apple se digne a tenernos en cuenta también para su verificación en dos pasos.

iAuthenticate: Autenticación fuerte en iOS (iPhone & iPad)

La empresa Identive ha lanzado una solución de seguridad para dispositivos iOS basada en la lectura de Smart cards, que ha sido certificada por el programa MFI deApple para su uso en  dispositivos iPhone & iPad. La solución se denomina iAuthenticate y permitirá a los clientes con dispositivos iOS utilizar la autenticación con smartcards en entornos de redes, sitios web y sistemas de pago, mediante el uso de este lector.

Inicialmente está dirigido a los modelos iPhone 4/4S e iPhone 3GS, a la segunda y tercera generación de iPad y los nuevos iPads con iOS 5 o superior. iAuthenticate ha añadido también un adaptador que permite el uso de iPhone 5 e iPad mini. Los lectores están disponibles directamente desde el sitio web de la empresa de Identive.

Figura 1: iAuthenticate & Exchange en un iPhone

Este lector de Identive es una respuesta a la corriente, cada vez más popular, BYOD o “traiga su propio dispositivo” que se extiende hoy en día por los sectores empresariales y gubernamentales. La necesidad de una autenticación sencilla y segura permite que los dispositivos personales de los trabajadores que utilizan iOS en la empresa puedan autenticarse mediante ID. Según informa la empresa:

“Las posibilidades en el lado del gobierno podrían ser enormes, ya que por ejemplo, el departamento de defensa, el departamento de seguridad nacional y otras agencias del gobierno de los EEUU emplean millones de empleados y contratistas y cada uno lleva su propio dispositivo móvil. Para hacer frente a los problemas de seguridad, iAuthenticate, permite el inicio de sesión seguro empleado para sitios web federales, cuentas basadas en web y correo electrónico sin disponer de un equipo portátil o de presencia física en las oficinas”.

Además, iAutenticate incluye un PKard como lector seguro de aplicaciones, el cual permite PIV y CAC. Este lector es de Thursby Software, el cual es un proveedor líder de Apple en seguridad empresarial. Los estándares que se utilizan son TAA, FIPS 140-2 y FIPS 201.

Sistema de desbloqueo basado en reconocer fotos en iOS

Según informa la web Patently Apple, la compañía ha presentado una patente para desbloquear un terminal iPhone o iPad usando un sistema de reconocimiento de fotografías en lugar de un código de desbloqueo. La idea no parece muy nueva, y tampoco demasiado segura, ya que consiste en conocer a personas o lugares, lo que podría conllevar a que el círculo más cercano pudiera acertar con las respuestas.

Figura 1: Esquema del funcionamiento del sistema de desbloqueo basado en reconocer fotos

Desde que existen sistemas de búsqueda de imágenes en Internet, como TinEye o Google Images, un atacante podría fotografiar esa imagen y buscarla en la red para conocer la respuesta,  siempre que la imagen fuera pública, o utilizar un sistema de reconocimiento facial. 

Otras medidas de seguridad basadas en Fotografías

El uso de fotografías para desbloquear dispositivos o asegurar cuentas ya está bastante extendido. Por ejemplo, en Facebook cuando alguien se conecta desde una ubicación poco habitual salta una protección extra que consiste en reconocer a personas - amigos - de fotos subidas a la red social y en Windows 8, Microsoft ha propuesto un sistema basado en hacer gestos sobre fotografías. 

Ataques "man in the middle" en iOS con Fake CAs

Han sido publicadas las presentaciones de la conferencia Zero Nights realizada en Rusia esta semana pasada. Entre la lista de todas las presentaciones queremos destacar una de ellas que nos ha gustado mucho, impartida por el investigador Trosichev, en la que se explica cómo se pueden realizar ataques man in the middle utilizando un certificado digital de una CA con un mensaje muy sutil para conseguir que el usuario lo instale.

Figura 1: Fake CA que simula ser de Apple Inc.

La idea es similar a la que se plantea con el ataque dirigido con el troyano para iOS, pero haciendo uso de un certificado CA emitido por una entidad como Comodo, que viene en la lista de certificados de confianza en iOS, y consigue hacerse con el usuario - que debe hacer dos "taps" para instalarlo  -mediante un ataque de ingeniería social muy sutil, como puede verse en la imagen superior.

Troshichev i os mitm attack de DefconRussia

Desde Seguridad Apple os recordamos que de debéis tener mucho cuidado con los certificados digitales que aceptáis ya que pueden ser utilizados para instalar malware o hacer ataques de hombre en medio totalmente indetectables. No aceptes ningún programa o certificado digital que te venga por correo electrónico si no lo estás esperando por algún motivo.

Actualiza la "Tele": Apple TV 5.1 arregla 21 security bugs

Este lunes Apple puso a disposición pública para descargar la versión de Apple TV 5.1 para modelos de Apple TV que sean de segunda generación o posteriores. Esta actualización viene acompañada del Security Advisory APPLE-SA-2012-09-24-1 Apple TV 5.1 en el que se informa de la solución de un total de 21 bugs de seguridad que existen en las versiones anteriores. 

Figura 1: Apple TV 5.1

Debido a esto, si tienes un Apple TV en tu casa te recomendamos que lo actualices lo antes posible ya que como dice en el advisory "ver una película maliciosa puede llevar a la ejecución de código arbitrario", y por película maliciosa no se refiere a una película de miedo. Toda la información de esta actualización está disponible en la knowledge Base en el artículo HT5504.

Entrevista a Steve Dispensa de PhoneFactor

Recientemente el mundo entero se hizo eco de la aparición de PhoneFactor para iPhone, una solucion de autenticación fuerte de doble factor basada en terminales móviles. PhoneFactor es la compañía lider en soluciones de autenticación fuerte para la empresa implementando doble factor de autenticación basado en teléfonos móviles. A nivel mundial proporciona estos servicios a gobiernos, instituciones médicas, bancos, empresas y cualquier aplicación web que lo requiera. El objetivo de esta empresa es convertir el dispositivo que todo el mundo tiene, el teléfono, en una herramienta que ayude a securizar de forma efectiva y a un buen coste los sitemas de autenticación de las organizaciones.

Uno de los co-fundadores de PhoneFactor y CTO de la compañía es Steve Dispensa, es un speaker y escritor habitual sobre la seguriad de los sistemas de autenticación, y fue el co-autor del RFC 5746, que solucionó al debilidad de TLS-renegotiation que descubrió junto con su compañero Marsh Ray, y que les llevó a las primera página de las noticias por encontrar un fallo de seguriad explotable en las conexiones TLS. Además, Steve Dispensa tiene la curiosidad de haber sido premiado cinco veces por Microsoft como MVP (Most Valuable Professional) en el area de desarrollo de drivers para el kernel.

Steve Dispensa

A parte de todo esto es un tipo simpático y cercano, con el que nuestro compañero Chema Alonso tuvo el gusto de hacer amistad en la conferencia Troopers de alemania, donde fueron speakers los dos últimos años. Así que, aprovechándose de este nexo de amistad, le pedimos que le hiciera una entrevista a Steve Dispensa sobre la solución y aquí están las preguntas y las respuestas en Español e Inglés.

1.- First of all, Steve, I would like to make clear what are the advantages of using the phone as second authentication factor instead of a RSA Tokens of Secure ID.

RSA tokens (SecurID), and similar products like OATH tokens, soft token apps, etc., are quite common, and they all work approximately the same way: the token generates a one-time passcode (OTP), which is usually a six-digit number, every minute or so. The user enters the number into the application when prompted, proving that the user is in control of the token.

The most common password-stealing attacks these days involve malware (sometimes called “man-in-the-browser” attacks). The problem with OTPs is that they are re-entered into the same computer that is infected with the malware, so the malware simply steals the OTP and forwards it onto an attacker somewhere else in the world who’s ready and waiting. The attacker then logs in using the stolen OTP.

This isn’t theoretical, either – banks all around the world have been attacked in this way, resulting in real losses to banking customers.

  

1.- Lo priemro de todo, Steve, me gustaría que quedaran claras cuáles son las ventajas de utilizar un teléfono como segundo factor de autenticación, en lugar de utilizar un Token RSA de SecureID.

Tokens RSA (SecureID), y productos similares como los tokens OATH, applicaciones de soft token, etc... son bastante comunes, y todos ellos funcionan aproximadamente de la misma forma: El token genera un código de paso de un solo uso (OTP), normalmente un número de 6 cifras, más o menos cada minuto.

El ataque más común hoy en día para robar las contraseñas incluye el uso de malware, los llamados “ataques de man in the browser”. El problema con los OTP es que estos deben ser re-ingresados en la misma máquina que está infectada con el malware, por lo que el software malicioso símplemente roba también el código OTP y lo envía a un atacante en algún lugar del mundo que está listo y esperando. El atacante se conecta en ese instante utilizando el OTP robado.

Este no es un ataque teórico, bancos por todo el mundo han sido atacados hoy en día de esta froma, generando pérdidas reales para los clientes del banco.

2.- Lot of companies are using SMS as a second authentication mechanism. What are the security risks related to SMS as a second factor?

SMS is certainly better than nothing, but the usual way SMS is implemented involves sending an OTP that is typed back into the user’s computer. So, the same considerations apply – if the user’s computer is infected with malware, that malware has direct access to the OTP, and can steal it on behalf of an attacker.

Not all SMS is vulnerable to this attack, though. PhoneFactor’s own SMS solution is two-way out-of-band, meaning that users reply directly to received messages with another SMS. This system isn’t vulnerable to those attacks.

2.- Michas empresas están utilizando los SMS como un segundo mecanismo de autenticación. ¿Cuáles son los riesgos de seguridad relativos al uso de SMS como segundo factor de autenticación?

Usar SMS es ciertamente mejor que nada, pero la forma habitual en la que los códigos SMS son implementados es para enviar un OTP que se vuelve a introducir en la computadora del suairo. Así que la misma consideración anterior se aplica: si la computadora del usuario está infectada con malware, ese mismo malware tiene acceso directo al OTP, y puede robarlo en nombre del atacante.

Aunque no todos los mensajes SMS son vulnerables a este ataque. PhoneFactor tiene su propia solución de envío de SMS de doble sentido y por un canal alternativo (out-of-band), lo que significa que el usuario responde directamente a los mensajes SMS recibidos con otro mensaje SMS. Este sistema no es vulnerable a ese tipo de ataques.

3.- What are the security protections in PhoneFactor?. Do you have any extra protection against man in the mobile attacks?

Good question. If the user is using a computer to access the protected app and a phone to handle the authentication, the job of an attacker is twice as hard, because he has to compromise both devices in a simultaneous and coordinated fashion in order to gain control of both of the factors (password / phone). If the user is running an app from the same phone that handles the authentication, the attacker still has to compromise both the affected application and the PhoneFactor app. This is an improvement on soft-token systems that have you type an OTP back into the (potentially infected) phone browser, which can be compromised by a single piece of malware.

Platforms like iOS make this separation a little easier, which is one of the reasons we’ve launched the iOS app first. But in any case, this kind of architecture is always going to be safer than simple passwords or OTP tokens/soft tokens.

3.- ¿Cuáles son las medidas de seguridad en PhoneFator? ¿Tenéis alguna protección extra contra ataques de man in the mobile?

Buena pregunta. Si el usuario esta utilizando una computadora para acceder a una aplicación protegida y un teléfono para manejar la autenticación, el trabajo del atacante es dos veces más duro, porque tiene que comprometer ambos dispositivos de manera coordinada y simultanea para conseguir obtener el control de ambos factores (contraseña / teléfono). Si el usuario está ejecutando una aplicación del mismo teléfono que gestiona la autenticación, el atacante aún tendría que comprometer la aplicación y la palicación de PhoneFactor. Esta es una mejora respecto a los sistemas de token por software en los que se debe introducir el OTP de nuevo en un navegador del teléfono (potencialmente infectado), que puede ser comprometido de nuevo, por una única pieza de malware.

Plataformas como iOS hacen esta separación mucho más fácil, que es una de las razones por las que hemos lanzado la aplicación para iOS antes. Pero, en cualquier caso, este tipo de arquitectura siempre va a ser más seguras que contraseñas simples o tokens OTP por hardware o por software.

Funcionamiento de PhoneFactor

4.- Why an app for Apple devices? Are you planing to release PhoneFactor in Android, BlackBerry or Windows Phone?

We started with iPhones for a few reasons. They have a lot of market share, of course, and particularly among our enterprise users. iOS also has a stronger security model than, e.g., Android, so we felt comfortable starting there. Additional phone OSes will be supported in the future, although release dates are not set yet.

4.- ¿Por qué una aplicaicón para dispositivos Apple? ¿Tenéis planes para lanzar PhoneFactro en Android, BlackBerry o Windows Phone?

Comenzamos con iPhones por unas pocas razones. Ellos tienen una gran cuota de mercado, por supuesto, y particularmente entre los usuarios de nuestras empresas. IOS además tiene un modelo de seguridad más fuerte que, por ejemplo, Androd, así que nos sentimos muy cómodos comenzando por aquí. Sistemas operativos de teléfonos serán soportados en el futuro, aunque las fechas de lanzamiento no están definidas aún.

5.- What is necessary to be accomplished for a company to deploy your solution?

PhoneFactor is generally straightforward to set up. It has out-of-the-box support for a variety of common enterprise environments, such as RADIUS, LDAP authentication, IIS-based websites including Outlook Web Access, Windows Terminal Services, and more. It also has built-in support for synchronization with Active Directory and other LDAP directories, user self-service, automated enrollment, and more. Deploying the iPhone app requires that users enable the user self-service portal, which runs on IIS as well. The total work depends mostly on how complex the existing environment is.

5. ¿Qué necesita cumplir una empresa para desplegar vuestra solución?

La configuración de PhoneFactor suele ser muy directa. Nada más ponerla en ejecución tiene soporte para una buena variedad de entornos empresariales, como RADIUS, autenticación LDAP, sitios web basados en IIS – includio Outlook Web Access, Windows Terminal Services, y más. Tiene tamibén soporte incorporado para sincronización con Active Directory y otros directorios LDA, autoservicio de usuarios, aprovisionamiento automatizacion, y alguna cosa más. El despliegue de la aplicaicón para iPhone requiere que los usuarios habiliten el portal de autoservicio para los usaurios, que también correo sobre IIS. El trabajo final depende mayormente de cómo de complejo es el entorno existente.

6.- In some cases, you don´t have Internet connection in the mobile, because you are in other country or without signal from your mobile company. Do you have any solution for storing codes in advance?

Currently, the phone app requires either a 3G connection or a Wi-Fi connection to work. We’ve found it’s unusual for users to have Internet access on their computer (to log into something) but not on their phones. But, this is something we are considering for a future release.

6.- En algunos casos te encuentras con que no hay conexión en el terminal móvil, porque estás en otro país o sin señal de la compañía telefónica. ¿Tenéis alguna solución para guardar códigos por anticipado?

Actualmente la aplicación requiere o una conexión 3G o una conexión WiFi para funcionar. Hemos encontrado inusual que los usuarios tengan Internet en la computadora para conectarse a la aplicación pero no en el teléfono. Pero esto es algo que estamos considerando para una futura versión.

7.- Let´s suppose one of our readers wanted to deploy your solution in Spain. What are the necessary steps to do it? Do they need special servers or technologies in their companies?

PhoneFactor integrates well in a variety of enterprise environments. The PhoneFactor software itself runs on Windows Servers. From there, integration with existing apps needs to be done. So, for example, to protect a PPTP VPN, you would use RADIUS integration, or to protect Citrix Web Interface, you’d use the IIS plug-in. Then you’d need to set up user synchronization with AD or LDAP (or manually enter users), and install the user self-service portal to enable users to activate their iPhones and iPads.

Enrollment is largely automatic: users are sent welcome e-mails by the PhoneFactor software as they are imported, and those e-mails link the user back to the self-service portal, where enrollment and training are completed. After that, the user is up and running.

7.- Supongamos que uno de nuestros lectores quisiera desplegar vuestra solución en España. ¿Cuáles son los pasos necesarios para hacerlo? ¿Necesitana servidores o tecnologías especiales en sus compañías?

PhoneFactor se integra en una variedad de entornos empresariales. El software de PhoneFactor corre en servidores Windows. A partir de ahí, es necesario integrarlo con las aplicaciones existentes. Así, por ejemplo, para proteger una conexión VPN PPTP, sería necesario hacer una integración con RADIUS, o para proteger un interefaz web de acceso a Citrix, se debería utilizar el plug-in para IIS. Luego sería necesario configurar la sincronización de usuarios con Active Directory o LDAP (o meter los usuarios manualmente), e instalar el portal de autoservicio para permitir a los usauiros activar sus terminales iPhone o iPad.

8.- Now, talking about your company. What other security solutions are you developing in your company? It´s possible to have something similar to this in a Mac OS X platform?

Beyond the iPhone app, PhoneFactor also supports making phone calls for authentications as well as sending two-way SMS messages. PhoneFactor also includes the Universal Web Gateway, which is a reverse proxy component that can add two-factor security to any web app on any platform, advanced event confirmation and transaction verification functionality, and more. Mac OSX clients are generally supported seamlessly, and server software that integrates through a standard mechanism (e.g., RADIUS, PAM, LDAP, …) is supported as well. The Universal Web Gateway can be used to protect websites hosted on OSX or on any other UNIX-like system. Integration with LDAP directory servers allows user synchronization as well.

8.- Ahora, centrandonos en vuestra empresa, ¿qué otras soluciones de seguridad estáis desarrollando? ¿Es posible tener algo similar a esto en una plataforma MAC OS X?

Más allá de la aplicación para iPhone, PhoneFactor también soporta la realizacion de llamadas de teléfono de autenticación así como el envío de mensajes SMS en dos direcciones. PhoneFactor tamién incluye el Universal Web Gateway, que es un componente de proxy reverso que puede añadir seguridad de doble factor a cualquier aplicación web en cualqueir plataforma, confirmación de eventos avanzadas y funcionalidades de verificación de transacciones, y más. Los clients Mac OS X son generalmente soportados sin ningún problema, y el software de los servidores también es sofportad y se integra a través de mecanimos estándar, por ejemplo, RADIUS, PAM, LDAP, etc.... El Universal Web Gateway puede ser utilizado para proteger sitios web hosteados en servidores OS X o en otros systemas UNIX-like. LA integración con directorios LDAP también permite la sincronización de usuarios.

9.- Now, in confidence, how an ex-Microsoft MVP end up publishing iOS Applications?

J I have always thought Windows had the best kernel and base OS (well, at least since around Win2k), but my current feeling is that Apple has the best mobile OS. But more importantly, iOS has good market share, a better security model than its peers, and it makes our app look good! I’m not a big fan of the walled garden approach, philosophically, but it makes good business sense. But, iOS isn’t the only platform we’re going to do a mobile app on…

9.- Y ahora, en confianza, ¿cómo un ex-Microsoft MVP termina publicando aplicaciones para iOS?

Siempre pensé que Windows tenía el mejor kernel y sistema operativo base (bueno, al menos desde Windows 2k), pero mi sentimiento actual es que Apple ha desarrollado el mejor sistema operativo de dispositivos móviles. Pero lo que es más importante, iOS tiene una buena cuota de mercado, un modelo de seguridad mejor que sus competidores iguales, ¡y eso haer que tu aplicación luzca bien! Filosóficamente, no soy un gran fan del modelo de Walled Garden - N.T: en el que Apple controla el sistema operativo, la distribución de aplicaicones y lo que se puede instalar en el dispositivo -, pero permite un modelo de negocio con sentido. Aún así, iOS no es la única plataforma para la que nosotros vamos a hacer una aplicación móvil...

10.- You and Marsh became famous due to the TLS-Renegotiation bug... Do your applications have extra security checks against this?

You can be sure we've tested for that case. :-) But actually we got a bit lucky when we designed our system, before we knew about the bug, and ended up with an architecture that didn't rely on TLS renegotiation. So it was easy to disable once we discovered the bug.

10.- Tú y Marsh os hicísteis famosos debido al fallo de TLS-Renegotiation... ¿Tienen vuestras aplicaciones alguna comprobación de seguridad extra contra esto?

Puedes estar seguro de que hemos testeado nuestras aplicaciones contra este caso :) Pero de hecho tuvimos un poco de suerte cuando diseñamos nuestro sistema antes de que supieramos nada acerca del bug y termino siendo una arquitectura que no se apoyaba en la renegociación TLS. Así que fue fácil deshabilitarlo una vez que descubrimos el bug.