iGoat es un proyecto perteneciente a la fundación OWASP inspirado en WebGoat . Dicho proyecto contiene vulnerabilidades de forma intencionada y no es sólo para el investigador de seguridad, sino también para desarrolladores. Esto es, porque parte del ejercicio no sólo consta de atacar y comprometer la aplicación, sino que también está diseñado para (con comentarios en el código) arreglar las vulnarabilidades, así que puedes atacar, arreglar o ambos.
Hacking iOS Applications (PDF) es un libro electrónico gratuito publicado por Security Innovation sobre, como su título indica, cómo hacker aplicaciones iOS, es decir, dispositivos móviles de Apple como iPhones o iPads.
El libro comienza con la creación de tu propio laboratorio, extracción y generación de ficheros binarios, análisis, depuración y diferentes técnicas de ataques contra estos.
El índice es el siguiente:
Como podéis ver tiene un índice muy goloso. Yo no he tenido tiempo de ojearlo, pero me lo guardo para más tarde ;)
Apple ha liberado las librerías que manejan toda la criptografía implementada en OS X e iOS, para que cualquier programador que así lo desee pueda usarlas en sus proyectos.
Dichas librerías están separadas en tres componentes:
Security Framework: éste provee interfaces para el manejo de claves privadas y públicas, certificados y políticas de confianza. También provee la generación de números pseudo aleatorios y el almacenamiento seguro de certificados y claves criptográficas.
iOS Apps Reverse Engineering es un libro en formato PDF accesible de forma totalmente gratuita totalmente enfocado a la ingeniería inversa de aplicaciones iOS (iPhone/iPad).
El libro está organizado en cuatro apartados:
Apple a través de iTunes facilita una serie de diapositivas organizadas para la enseñanza del desarrollo de aplicaciones para iOS escritas en Swift. El curso está orientado al profesorado y no al estudiante.
El programa está organizado en 99 lecciones, a través de las cuales el profesor educará a los estudiantes de forma práctica. A lo largo del curso se crearán varios proyectos, en otras palabras, se crearán aplicaciones escritas en Swift. En total, el curso abarca el desarrollo de diez aplicaciones dividas de en tres niveles de dificultad.
iOS Reverse Engineering Toolkit o iRet es un conjunto de herramientas que ayudan al auditor de seguridad a llevar a cabo tareas comunes de forma automática. Dichas tareas se enfocan en análisis e ingeniería inversa de aplicaciones iOS, plataforma móvil de Apple (iPhone/iPad).
Este conjunto de herramientas o toolkit tiene ciertas dependencias que podemos ver en la siguiente imagen (haz click en la misma para agrandarla):
De entre las tareas que este toolkit es capaz de automatizar, tenemos:
DVIA (Damn Vulnerable iOS Application) de acuerdo son su web es una aplicación para iOS (iPhones/iPads) con las principales 10 vulnerabilidades en dispositivos móviles según OWASP.
Las vulnerabilidades incluidas son:
La puedes descargar desde este enlace.
Desde la wiki de la Universidad de Texas, nos brindan con una lista de recomendaciones a tener en consideración para asegurar o fortificar sistemas Android y iOS.
Ambas listas están basada en las recomendaciones ofrecidas por el Center Internet Security (CIS).
Las listas se presentan en forma de tablas, donde la primera columna (Step) indica el orden a seguir, la segunda es dónde iremos marcando si hemos ejecutado dicha recomendación, la tercera nos indica el número de referencia asignado por el CIS en caso que éste exista, la siguiente columna UT Note, contiene un enlace a información adicional (esta información es específica al laboratorio de la universidad en sí, pero eso no quiere decir que te sea útil) y por último, las últimas dos columnas Cat I y Cat II/III, de nuevo, esta es una clasificación interna de la universidad dónde definen la política de clasificación de la información. De cualquier forma, estas dos columnas definen el tipo de información que el sistema contiene y cuanto más delicada sea ésta, más seguridad deberías aplicar al sistema.
Teensy es un dispositivo USB programable, que entre otras cosas se puede usar para emular un teclado.
Con un dispositivo Teensy 3.0, han conseguido poder hacer un ataque por fuerza bruta a la pantalla de restricción en iOS, concretamente en un iPad (parece ser que no se puede conectar un teclado externo a un iPhone). En dicha pantalla de restricción, cuando introduces el código PIN incorrectamente varias veces, el sistema inhabilita el teclado virtual, 1 minuto, 5 minutos, 15 minutos, etc por cada intento fallido, pero el problema o más bien vulnerabilidad surge cuando la entrada se hace por un teclado externo.
Según la wikipedia: Cydia es una aplicación de software para iOS que permite la gestión de paquetes dpkg mediante una interfaz gráfica como “saurik”). Cydia fue lanzado originalmente como una alternativa de código abierto para Installer.app en iOS 1.1.x, pero rápidamente se convirtió en el gestor de paquetes más popular desde la liberación del iOS 2.0 Su nombre se basa en el gusano común de la manzana, Cydia pomonella para hacer referencia de que es un programa tipo “gusano” que se mete dentro de los dispositivos de Apple, o sea, la manzana.
Cuando aún no he abierto mi Lego Mindstorm NXT 2.0 (sí sí, lleva un año cerrado en la caja), ya está a punto de salir (a mitad de este año) la nueva generación llamada EV3. Una de sus nuevas características es que son compatibles con iOS y Android para poder controlarlos. El firmware del “ladrillo” es ahora Linux, lleva un procesador ARM9, sensor de infrarrojos y expansión por tarjeta SD.
Como la mayoría ya sabéis, iOS es el sistema operativo que usa Apple en sus dispositivos móviles como iPhone o iPad. Aunque yo soy usuario de Android y no de iOS, si que puedo decir es que si quieres ganar dinero con tus aplicaciones el mercado de Apple es más goloso. Como dicen los de manzanas traigo del fantástico podcast de Dabo, Android es para pobres ;) (Yo soy de los de Kernel Panic).
Via Forensics ha liberado un extenso artículo con un conjunto de buenas prácticas que deberíamos seguir cuando desarrollamos una aplicación móvil. Aunque el documento está enfocado en Android y iOS, muchas de las prácticas que se describen son comunes a cualquier plataforma.
El documento se titula en su versión original: 42+ Best Practices Secure mobile development for iOS and Android (PDF). En total contiene 49 prácticas a tener en cuenta. Por cada una de ellas nos explica brevemente el por qué de tenerla en cuenta.
Windows, Linux y Mac (pronto en Android y iOS)
Linux Tycoon es el primer "Linux Distribution Building Simulation Game", o sea, el primer juego de simulación para crear una distribución Linux.
WTF!, pues sí un juego donde el objetivo es crear una distribución Linux al más estilo Ubuntu o Red Hat. Tendrás que gestionar a tus programadores, contratarlos o buscar colaboradores, pensar bien tus decisiones sobre el software libre, etc e incluso podrás competir online con otros jugadores a ver quién consigue la mejor y más famosa Linux "distro" .
Increíble, es el primer juego en la historia que se anuncia desde el Espacio (en concreto desde la ISS), desde luego es todo un honor.
A partir del minuto 3 del vídeo podréis ver imágenes del juego.
Disponible el 22 de Marzo.
Pues eso, Skype 3.0.1 y versiones anteriores para iOS (iPhone y iPod touch) contiene un fallo de seguridad (XSS) a la hora de mostrar el nombre de tus contactos. Es decir, que no filtra el nombre de tus contactos, por lo tanto si uno de tus contactos fue bautizado como <script>… o <iframe>… tienes un problema :)
En el vídeo de a continuación podemos ver una demostración del fallo, en el que se roba la base de datos de los contactos del usuario afectado.
El motivo de este entrada, es que parece ser que Apple, con la nueva versión de su sistema operativo iOS 4.2, ha eliminado la API (que introdujeron en la versión 4.0) para detectar si el dispositivo en el que está corriendo está jailbroken.
Por lo visto, dicho movimiento lo han hecho a chita callando y no hay una versión oficial del mismo. Pero viendo como está el panorama y desde que en EEUU es legal jailbreak tu iPhone ¿Qué sentido tiene seguir jugando al gato y al ratón con este tema?
Esto puede que sea un sacrilegio para los fan-boys de Apple, de todas formas en LifeHacker nos muestran este tutorial para instalar en seis pasos un sistema dual Android / iOS en tu iPhone.
Estos son los seis pasos:
Bueno lo que quiero comentaros aquí es sobre un fallo de seguridad que hay rondando por ahí y dónde la polémica está servida. Os pongo en situación.
El investigador de seguridad Nitesh Dhanjani, ha hecho público lo que según el considera un fallo de seguridad en iOS o más concretamente en Safari, el navegador por defecto de este sistema operativo.
