Infografía.- ¿Qué puedo hacer contra el Malware en Smartphones?

Volvemos a los clásicos y ahora de la mano de la Europol que, supongo que algo saben de esto ya que con la que está cayendo mas de un caso seguro que han tratado. ¿Que podemos hacer para intentar evitar que nos infecten nuestro teléfono? pues aquí tenéis la infografía.

Sed Buenos ;)

Infografia.- ¿Por qué está en peligro mi Smartphone?

Jueves, Infografia ya sabéis como va la cosa. Así que, hoy toca revisar el por qué los malos quieren atacar a nuestros dispositivos móviles y como una imagen vale mas que mil palabras pues aquí tenéis la infografia. 

Sed Buenos ;)

Infografía.- Tu Smartphone también está en peligro

Hoy es jueves y toca infografía como no, y echando la vista atrás a otras entradas de esta sección veo que falta información sobre seguridad en Smartphones (que ya empieza a ser una palabra rancia). Así que hoy mi misión es asustaros un poco y recordaros que vuestros dispositivos Android o iOS también son el objetivo de los cyberdelincuentes. 

Sed Buenos ;)

Paper.- El mal uso de puertos en varias App.

Siempre se ha dicho que los smartphones son ordenadores de bolsillo. Así que, ¿nunca os habéis parado de pensar qué puertos abiertos tendrán estos dispositivos? pues Yunhan Jack Jia, Qi Alfred Chen, Yikai Lin, Chao Kong, Z. Morley Mao de la Universidad de Michigan, Si y descubrieron algo muy chulo. ¿Alguna vez habéis hecho un Nmap a un smartphone? Pues si lo hacéis descubriréis lo chulos que pueden ser estos dispositivos a ese nivel, pero la buena gente de la Universidad de Michigan han descubierto que muchas aplicaciones pueden dejar puertos abiertos. Por lo que ya os podéis pensar el estropicio que se puede hacer.

Enlace al paper: 

• https://eecs.umich.edu/eecs/about/articles/2017/open_euro17.pdf

Vídeo muestra del "estropicio":

Sed Buenos ;) 

Paper.- Extracción del PIN mediante los sensores de movimiento de tu Smartphone

Ya ni inclinar el teléfono podemos ya que Maryam Mehrnezhad, Ehsan Toreini, Siamak F. Shahandashti, Feng Hao de la School of Computing Science de la Universidad de Newcastle. Descubrieron en Mayo 2016 que, una vez un usuario visita un sitio web controlado por un atacante, el código incrustado en dicha página comienza a escuchar el movimiento y la información de los sensores de orientación sin necesidad de ningún permiso por parte del usuario. Después se analiza toda eta información y se obtiene el PIN del usuario.

Si tenes curiosidad por como lo han descubierto hoy os recomiendo el siguiente Paper: 

• https://arxiv.org/pdf/1605.05549v1.pdf

Sed Buenos ;) 

[Paper].- Desbloquea tu Smartphone con Thermal Attacks

¿Os acordáis del Smudge Attacks? A lo mejor por ese nombre no os suena pero si os digo que es el noble arte de adivinar patrones y PINes de Smartphones mediante el visionado de la patina de grasa que han soltado tus manos en el cristal de tu dispositivo y como no, esto está [explicado al detalle] en un paper, 

Pero hoy quiero hablaros de su sucesor el Thermal Attack que si antes era la grasa la que filtraba tu pass en este caso es el calor. 

No os voy a comentar nada mas ya que este paper es muy recomendable y entretenido:

• http://www.mkhamis.com/data/papers/abdelrahman2017chi.pdf

Sed Buenos ;) 

Activar los chats secretos de Facebook

Ayer me sentí fatal por no poder hacer la entrada diaria, así que aunque hoy sea día de descanso seguro que utilizáis el chat de Facebook de smartphones para quedar para salir esta noche, fiesteros.

Así que, que mejor manera de que dar que a través del chat secreto de Facebook el cual utiliza el mismo sistema de cifrado que Signal del que ya hemos visto que tiene problemas, pero menos da una piedra.

Para activarlos, tendremos que ir chat de un amigo, i tocar el icono de información y allí podremos activar los chats secretos, os pongo una imagen: 

Mas información y fuente: 

• https://hipertextual.com/2016/07/chats-secretos-de-facebook-messenger
• https://www.genbeta.com/paso-a-paso/ya-puedes-cifrar-tus-conversaciones-en-facebook-messenger-te-explicamos-como-hacerlo 

Sed Buenos ;)

A lo mejor lo de la huella no es tan buena idea.

Los jueves suelen ser los días que mas apretado voy para hacer las entradas, pues como ya sabréis, hoy es un día de celebración pero eso no quita que si veo algún buen vídeo lo pueda compartir con vosotros. 

Hoy toca darle un repaso al sistema de biometría que utilizan ciertos smartphones para "mejorar" nuestra seguridad y ver lo fácil que es evitarla.

 

Fuente y muchísima mas información:

•  http://blog.segu-info.com.ar/2016/06/por-que-la-huella-dactilar-no-es-una.html

Sed Buenos ;)

Inforgrafia.- ¿Como funciona una torre de comunicaciones falsa?

Si habéis ido viendo el progreso de esta blog durante estos meses veréis que el jueves siempre suele haber una entrada mas "light" pero bueno creo que aún así siguen siendo interesantes.

Hoy os voy a dejar con la siguiente infografía para que, si en vuestra calle veis una furgoneta con unas antenas enfocadas a vuestra casa y no son de la televisión, sospechéis mucho. 

Para mas información para como prevenirnos de esto, os dejo la fuente:

•  https://antivigilancia.org/es/2016/03/detectando-antenas-de-celulares-espias/

Sed Buenos ;)

Estafar Con El CiberCrimen Es Muy Fácil.

Google puede ser nuestro mejor amigo y el peor al mismo tiempo dependiendo de lo que busquemos, en una era donde creemos que todo se puede encontrar en Google nuestro sentido común puede ser nuestro mejor aliado.

¿A que viene esto? Bueno, solo hace falta ver la cantidad de gente quiere aprender a hackear la cuenta de Facebook o la de correo electrónico de su novio/a por que ha oído a cierto hacker con gorro hablando de la recuperación de cuentas  y quieren lograrlo con una simple App o búsqueda en su buscador favorito. 

Pues bueno espero que el mismo hacker con gorro os quite esas oscuras tentaciones y al menos, os empuje a estudiar seguridad informática aun que sea para saber que tipo de app estamos instalando en nuestros sistemas.

Sed Buenos ;) 

Video.- Como Crear Nuestra Propia ROM de Windows Phone

En los últimos meses muchas personas cercanas a mi se han pasado a Windows Phone o han preferido cambiar su Android por un modelo mas grande que tuviera el sistema operativo de Microsoft.  La verdad es que a mi me encanta trastear con estos dispositivos y creo que una de las primera cosas que me gustaria hacer es crear una ROM que a mi parecer fuera segura para esta gente. 

Ahora podré hacerlo gracias a la nueva herramienta de Windows Phone Internal. Os dejo un vídeo para que veais como funciona.

También os dejo el link a la pagina oficial de esta herramienta para que podais buscar mas información y jugar con ell:

• http://www.wpinternals.net/

Sed Buenos ;) 

Eliminando Información de Nuestros Smartphones de Forma Segura

Muchas veces me he parado a pensar que este tipo de entradas se podrían resumir en una frase y un vídeo como por ejemplo:

Hazlo pedazos 

Pero pongamos el caso de que no queremos destruir el dispositivo sino que lo queremos guardar para por si acaso el nuevo se nos estropeara. Así que vamos a ver algunos puntos que deberíamos hacer en caso de que queramos deshacernos de nuestra información.

1. Quita la tarjeta SIM y la SD, si no las vas a volver a utilizar. Da de baja el numero y al Microondas xD o a una trituradora ya que hoy información persona que puede almacenarse en su interior. Si la vas a utilizar de nuevo cámbialo de dispositivo libremente pero nunca lo dejes junto al Smatphone. 
2. Devuelve el Smarthphone a su estado de fabrica eliminando así toda la información que le pudiera ser útil al atacante. 
3. Cifra el contenido de la memoria por si una tercera persona quisiera acceder a dicha información o realizar un análisis forense. 

Fuente: 

• http://www.pcworld.com.mx/Articulos/35096.htm?utm_content=buffer3f586&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

Pero si no lo vais a volver a utilizar lo mejor es relajaros con el i hacerlo pedazos eso si sacadle la batería antes de hacerlo para que no pase ningún accidente. 

Si creéis que me he dejado algo importante por favor dejádmelo en los comentarios o contactarme donde sea. 

Sed Buenos ;) 

Configura De Forma Segura tu Android 4.4

Muchas veces os hablo de vulnerabilidades que pueden afectarnos y de como mitigarlas o solucionarlas a través de parches o consejos pero hoy os quiero recomendar un vídeo lanzado por OSI (la Oficina de Seguridad del Internauta) sobre como configurar de forma segura nuestros Smartphones con Android 4.4 (KitKat). Es que, siempre hago hincapié en al parte técnica y ya era hora de enseñaros algo que pueda hacerlo cualquier usuario. 

Espero que os sirva para mejorar vuestros conocimientos en seguridad y como siempre, si teneis mas curiosidad no olvidéis ir a la fuente:

• https://www.osi.es/es/actualidad/blog/2015/04/20/aprende-configurar-la-seguridad-de-tu-android-44-kitkat

Nokia Lumia y Sus Sistema de Protección de Datos.

Des de hace tiempo la marca de teléfonos Nokia siempre han sido sinónimo de seguridad, al menos desde el 1100 tenemos la seguridad de que no se iba a romper ya que, aunque estallara el mundo ese tipo de móviles seguirían funcionando. 

Ahora, el diseño de lo Nokia  ha cambiado bastante y ya en la serie Lumia vienen con Windows 8 instalado, una versión reducida del sistema operativo por la eliminación del escritorio pero mantiene la seguridad que ha hecho de Windows el sistema menos vulnerable de 2014. 

Nokia ha publicado un vídeo donde se detalla con el uso de la animación los beneficios de la serie Lumia respecto a la seguridad. 

Aquí os dejo el vídeo:

La verdad es que creo que mas empresas deberían aprender de Nokia y vender la seguridad informática de una manera que la pueda aprender cualquiera. Por eso hoy he querido publicar este vídeo 

Sed Buenos ;) 

Latch.- El Pestillo Que Deberíamos Llevar.

Si ayer hablamos de lo que tuve tiempo de ver en el Mobile World Congress, hoy os voy ha hablar de lo que me hubiera encantado que me vendieran (ya sabéis hablar, preguntar, etc ) y no tuve tiempo para ello. Me estoy refiriendo a Latch la nueva aplicación para la seguridad de nuestras cuentas, disponible en Iphone, Android, Windows Phone y FirefoxOS. 

" "Latch" (cuyo nombre se traduce a "pestillo" en español) consiste en crear un cierre virtual de una determinada cuenta cuando al usuario así lo elige. Esto significa que, incluso cuando una persona tiene los datos de acceso (nombre de usuario y/o correo electrónico y contraseña) no va a poder acceder a esa información."

La verdad que es una solución de seguridad orientada al usuario. Es una app muy intuitiva y consta de muchísima información al respecto, solo hace falta pasarse [por su pagina] para comprobar que realmente ha "tutoriales" de calidad para que un usuario medio pueda desenvolverse en ella con soltura. 

A mi aun me quedan muchas cosas que testear sobre esta aplicación pero si os interesa, también hay una [área dedicada a los desabolladores]. 

Fuente:

• http://www.noticiasdot.com/wp2/2014/02/27/latch-la-aplicacin-que-bloquea-tus-cuentas-de-internet-cuando-no-las-ests-usando/

Sed Buenos mientras yo juego con esta app ;) 

Mobile World Congress.- Samsung KNOX- BOYD Problem?

Ayer a las una de la mañana un amigo me facilito la oportunidad de poder ir al Mobile World Congress. De los que me seguís en Twitter sabréis que mis ganas por asistir al evento eran desmesuradas, imaginaros como estaba que la lié en el registro un par de veces. (Solo diré que me han denegado la entrada de prensa xD) Bueno, al final he podido entrar y ahora puedo decir que [FriendsandJob] y [Hackstory] estuvieron allí. 

Cara de felicidad ++ xD

Aunque solo he podido estarme una hora, por motivos de trabajo, me ha dado tiempo de ver casi todo lo que quería. Pero, lo mas me ha sorprendido es encontrarme un Whitpaper en el stan de Samsung hablando sobre Samsung KNOX un sistema de seguridad que, a mi parecer, demandaba el mercado y sobretodo las empresas desde hace tiempo. 

Samsung KNOX garantiza nuestra seguridad tanto dentro como fuera de nuestra empresa. A mi parecer no se han dejado nada en tintero, os lo resumo un poco: 

Esta plataforma de seguridad implementa tres protocolos:

• Customizable Secure Boot: Muy parecido a la Smart Screen de Windows, es capaz de bloquear el software que no este firmado o verificado
• TrustZone-based Integrity Measurement Architecture:  Es la parte encargada de velar por el buen estado del kernel. Si este protocolo viera alguna variación sospechosa en el kernel actuaria en conscuencia. 
• Android con seguridad reforzada (SE Android): Con esta parte podremos discernir sobre en que grados de protección queremos que estén nuestros datos.

También se ha pensado en la seguridad de las aplicaciones, no va a ser lo mismo el FlappyBirds que la app con la que llevas el correo de la empresa: 

• Contenedor Samsung KNOX: Sencillamente es un contenedor donde meteremos la aplicaciones que no queremos que tenga contacto con las demás. Por ejemplo, mirando los permisos que les damos a ciertas aplicaciones no querremos que haya una que nos pida datos de correo electronico junto a la app citada arriba en la que llevaremos el correo de la empresa.
• Sistema de cifrado de archivos: Podremos cifrar datos en AES-256 un cifrado algo cojo a mi gusto pero no deja de ser un cifrado. 
• VPN: Solo remarcar,  que es la vpn del contenedor que os he comentado antes y que soporta métodos de cifrado IPSec o a la criptografía Suite B.

Pero si esto fuera poco aún hay mas disponemos de MDM (Mobile device management) así que muchas empresas que tienen serios problemas con el famoso BYOD (Bring Your Own Device) se deben estar frotando las manos con eso. 

Tu empresa nunca te podrá imponer un modelo de smartphone en concreto, pero si tu eres inteligente y sabes que manejas información confidencial mas te vale ponerte al día y darte cuenta de que la Seguridad y la fuga de datos pueden darte muchos dolores de cabeza. 

Sed Buenos ;)

BlackPhone.- Porfin No Me Espiaran Desde Mi Smartphone.

En este blog me he desahogado tanto con el tema de la NSA que hasta me puse escribir [un paper al respeto] de un sistema operativo anti NSA. El sistema operativo aun tienen que ser cocinado pero me lo guardo para cuando disponga de un poco mas de tiempo. Pero no todo ha sido malo, el tremendo espionaje que han llevado a cabo estos señores ha dado a relucir un montón de ideas muy buenas y a que la sociedad tome conciencia de su privacidad en la red de redes.

Una de las ideas que mas me ha llamado la atención y ha hecho tiemble mi firme convicción de tener un Windows Phone como smartphone, es la presentación del Blackphone un smartphone que pone nuestra privacidad por delante de todo.

"En la era del espionaje y la NSA, un nuevo proyecto liderado por el conocido criptógrafo Phil Zimmermann aspira a crear un móvil seguro, un smartphone en el que nuestra privacidad esté completamente a salvo. Su compañía, Silent Circle, se ha aliado con la española Geeksphonepara fabricar el teléfono Blackphone basado en una versión segura de Android que denominan PrivatOS. Lo veremos a partir del 24 de febrero."

Fuente:

• http://blog.segu-info.com.ar/2014/01/blackphone-movil-android-que-promete.html

Sed Buenos ;) 

OASAM.- Metodologia Para Analisis En Android

Hoy (por si alguien lo pregunta, si que he tenido tiempo para estudiar como he querido) me ha sorprendido encontrarme con esta esta nueva metodología,  aunque solo conocía la [OWASP] la cual me ayudó a organizarme mucho mejor mi trabajo en Friendsandjob. Así que encontrar otra metodología y que dedicada al mundo de los smartphones con Android viene perfecto. Ademas esta hecha [Daniel Medianero] y [Victor Villagrá].

"Actualmente los dispositivos portables están copando el mercado, la consumerización los está llevando al apartado empresarial, dejando obsoleta la idea del uso exclusivamente ocioso. Por un lado Android se está revelando como el sistema operativo más extendido en este apartado debido a diversos motivos, entre ellos la facilidad de crear y distribuir masivamente aplicativos. Sin embargo desde el punto de vista de seguridad no se está difundiendo ningún tipo de información acerca de las nuevas vulnerabilidades que puede acarrear la programación insegura en esta plataforma, que tiene una considerable superficie de ataque (la tradicional añadiendo la que la propia arquitectura Android incorpora)." 

"Por otro lado, aunque hay algunos trabajos concretos al respecto, no existe una taxonomía completa y consistente de vulnerabilidades en aplicaciones específicas de Android que permita catalogar estas vulnerabilidades." 

"El objetivo del proyecto OASAM es elaborar una taxonomía completa y consistente de vulnerabilidades en aplicaciones Android, que sirva de apoyo no solo a los desarrolladores de aplicaciones, sino también a los encargados de buscar vulnerabilidades en las mismas."

Me la he leído un poco por encima esta mañana y realmente esta muy completa, os dejo ruta a la pagina.

• http://oasam.org/es

Sed Buenos ;)

SnapChat.- En el Lado Oscuro Oscuro De La Fuerza

Hace un par de semanas que conozco la aplicación de SnapChat y lo primero que se me paso por la mente es hacerle que algún día le tendría que hacer un forense para averiguar si realmente las fotos eran eliminadas del smartphone o al menos para saber como funciona la aplicación que para aprender nunca viene mal. 

"Todo contacto deja un rastro" Teoria de [Edmond Locard]

Como ya sabréis tampoco es buena época para la empresa que hay detrás de esta aplicación [al aparecer la pagina SnapchatDB] con, supuestamente, información de sus usuarios. 

Pues no es por hace leña pero la verdad es que SI, Si que quedan guardas las fotografías en el smartphone mas concretamente en la tabla "StoryImageThumbnailsFiles" si no se ha borrado la cache, cosa que hacemos todos ¿No?

Si queréis ver como llegar al .db donde esta esa tabla os dejo a manos de un Perito Forense de los grandes y ya sabéis lo que pienso yo de publicar "experimentos" ya hechos. 

• http://www.thingsupsecurity.com/2014/01/snaptchat-analisis-forense.html

Espero que os guste y en cuanto tenga tiempo tengo que reproducir este Forense. 

Sed Buenos con esto ;) 

Bug Para Bypasear La Pantalla De Bloqueo En IOS7

De los creadores de [Samsung Galaxy Note II.- Bypass Del Bloqueo De Pantalla] llega Bypass del bloqueo de la pantalla en IOS 7 en pleno apogeo por la salida de Iphone 5S y su sitema de "segueridad" biometrico (si si, lo de la huella dactilar. Ahora ya me diréis para que sirve xD) a manos de un soldado español de 36 llamado José Rodríguez.

"Cualquier persona puede explotar el bug por pasar arriba en la pantalla de bloqueo de acceso del teléfono "centro de control" y, a continuación, abrir el despertador. Sosteniendo botón de suspensión del teléfono trae la opción de apagarlo con un golpe. En cambio, el intruso puede aprovechar "cancelar" y haga doble clic en el botón de inicio para acceder a la pantalla multitarea del teléfono. Que ofrece el acceso a su cámara y fotos almacenadas, junto con la posibilidad de compartir las fotos de las cuentas de los usuarios, esencialmente permitiendo que cualquier persona que coge el teléfono para secuestrar correo electrónico del usuario, Twitter, Facebook o cuenta de Flickr." 

Forbes:  

http://www.forbes.com/sites/andygreenberg/2013/09/19/ios-7-bug-lets-anyone-bypass-iphones-lockscreen-to-hijack-photos-email-or-twitter

Los mas divertido es que este bug también van ha funcionar en todos y cada uno de los sistemas que se actualicen a IOS7. Os dejo el vídeo para que veáis el como funciona el bug y supongo que con la cita de aquí arriba os sera fácil reproducirlo.

Sed Buenos con esto ;) 

Fuente: http://blog.segu-info.com.ar/2013/09/descubren-fallo-en-ios7-que-permite.html