Menú principal

viernes, 30 de septiembre de 2011

¿Android con App Store y Safari? WTF!!

Sí, esto es un fail en toda regla. Después de ver el lío en el que están metidos Apple y Samsung por todo el mundo con demandas mutuas de copiarse los unos a los otros y el lio de patentes de móviles entre todos los fabricantes, esto es lo que nunca Samsung hubiera querido ver... ¡que copian hasta en la publicidad! La imagen de abajo es una tienda Samsung en la que se ven los iconos que un usuario puede encontrarse en un Samsung con Android, y entre ellos... ¿La App Store y Safari?

Figura 1: Tienda Samsung con iconos de App Store y Safari

Después de que estas imágenes dieran la vuelta al mundo, la tienda ha hecho un search & replace por iconos menos embarazosos...

Figura 2: Después de que saltara la noticia. Visto en TNW.

La pregunta es, después de esto ¿creéis que Samung está copiando a Apple o no?

Nota: Lo hemos sacado en la sección de humor porque tiene mucha gracia, pero esto es de verdad y pasó en una tienda italiana.

Curso de desarrollo de aplicaciones iOS en iPhone e iPad

La semana del 17 al 21 de Octubre,  con una duración de 25 horas, tendrá lugar el Curso de Desarrollo de Aplicaciones iOS para iPhone e iPad en Madrid. Dicho curso se impartirá a razón de 5 horas al día, y es la ocasión ideal para meterse en este apasionante mundo de las tecnologías Apple, que tanto demanda el sector profesional hoy en día.

Al finalizar la acción formativa los asistentes serán capaces de comenzar a desarrollar aplicaciones para dispositivos iPhone/iPad, utilizando el kit completo de herramientas de desarrollo que ofrece Apple. Además el alumno aprenderá a utilizar la documentación oficial que existe en el propio entorno de trabajo. El curso da una visión global e introductoria a la programación en dispositivos iPhone/iPad.

Para un correcto desarrollo de la acción formativa es necesario que los asistentes dispongan de nociones básicas de programación, especialmente programación orientada a objetos, por lo que si se conocen otros lenguajes orientados a objetos como C++ o Java mejor.

Contenidos del curso

Introducción
   - Mac OS X, Cocoa e iPhone
   - Dispositivos iPhone, iPad e iPod
   - Tipos de aplicaciones: nativas y aplicaciones web
   - Xcode
Introducción a Objective-C
   - Características generales
   - Tipos de datos
   - Envío de mensajes
   - Clases, interfaz, implementación
   - Categorías y extensión de clases Getters y setters
   - Propiedades
   - Protocolos
   - Enumeración rápida
Paradigmas de programación en iOS
   - Modelo MVC
   - Delegation
   - Target-Action
   - Memory management
   - Cocoa Touch y los frameworks UFoundation y UIKit
Cocoa Touch
   - UFoundation Framework
   - UIKit Framework
Creación de interfaces gráficas
   - Tipos de interfaces o view controllers
   - XIB, NIB, Outlets y Actions
   - IB y conexiones

El coste de asistir al curso es de 350 € + IVA y es necesario hacer un registro previo. Tienes más información en la siguiente URL: Curso de desarrollo de aplicaciones iOS para iPhone e iPad. Reserva tu plaza y aprende a desarrollar en las tecnologías más emergentes del siglo XXI.

jueves, 29 de septiembre de 2011

Skype parchea la vulnerabilidad XSS de la semana pasada

Hace una semana publicamos la noticia de una vulnerabilidad XSS sobre la aplicación Skype, con la que se podría obtener el address book, o libreta de direcciones, de un usuario. Skype ha liberado una actualización de su aplicación de VOIP para el sistema operativo iOS.

Oficialmente no se documenta en la lista de cambios de la actualización, aunque un portavoz de la compañía afirmó que en la versión 3.5.84 de Skype soluciona la vulnerabilidad de Cross Site Scripting que permitía ejecutar código en un dispositivo remoto.

Las últimas versiones de Skype para dispositivos iOS incluyen la tecnología anti-vibración para mejorar la experiencia del usuario en torno al chat de vídeo. Otros cambios que se incluyen en la liberación de esta actualización son el soporte integrado para auriculares bluetooth y la no visualización de publicidad para los ususarios que tienen crédito en su cuenta.

Desde Seguridad Apple recomendamos que todos los usuarios de Skype que dispongan de la versión móvil de la aplicación la actualicen en sus dispositivos con iOS y eviten de este modo el ya famoso XSS de Skype en el nombre de usuario del chat.

Khelios, la botnet de MacDefender, eliminada por Microsoft

Suena un poco extraño que sea Microsoft quién tenga que venir a tirar una botnet que está atacando a usuarios de Apple, con el rogue AV MacDefender, y que incluso llegó a colapsar los servicios de Apple Care de la compañía, pero así ha sido en esta ocasión, en concreto con la red que hosteaba este malware.

Sin embargo, hay que ser justos con las noticias y decir que esa botnet, llamada Khelios o Waledac 2.0, no estaba solo afectando a Apple y que Microsoft no lo ha hecho por salvar a un amigo, sino por una estrategia global de lucha contra el ciber-crimen.

El equipo de Microsoft que la ha tumbado ha sido la Unidad de Delitos Digitales de Microsoft y para tumbarla han usado tanto recursos técnicos como legales, para los que ha presentado demandas de cierre de dominios a para todos los usados del DotFree Group SRO, a nombre de un tal Dominique Alexander Piatti.

Figura 1: Demanda para cierre de dominios contra DotFree Group S.R.O.

Al final esa botnet estaba distribuida por todo el mundo, y tenía más de 41.000 bots activos con una capacidad de enviar más de 3.800 millones de correos de spam al día, lo que afectaba a todos. Sin embargo, lo que sí que deja claro es que Apple debería empezar a tener equipos de seguridad preparados para la lucha contra el ciber-crimen, ya que no creemos que con tener XProtect en los sistemas sea suficiente para luchar contra el malware. ¿No creéis?

miércoles, 28 de septiembre de 2011

iSSLFix 1.2 bloqueó hace 3 semanas los certificados falsos de Diginotar pero Apple no lo ha hecho aún en iOS. WTF?

Cuando saltó el escándalo de que se habían creado certificados falsos firmados por la compañía DigiNotar (que al final ha terminado en bancarota) todo el mundo se preocupó. Estos certificados podrían permitir a un atacante acceder al correo electrónico de Gmail, Hotmail o a las cuentas de Paypal sin generar ninguna alerta en las máquinas de los clientes. Evidentemente, todos los fabricantes de software reaccionaron lo más rápido que pudieron generando parches que bloqueaban los certificados falsos que se habían creado, para evitar que sus usuarios fueran víctimas de estos ataques.

En el caso de Apple, la reacción fue más lenta en tiempo de lo deseado, y reaccionó con un Security Update 2011-005 que sólo daba solución a Mac OS X Snow Leopard y Mac OS X Lion, dejando las versiones anteriores de Mac OS X, especialmente a Leopard que aún cuenta con una gran cuota de mercado, sin ninguna solución.


Sin embargo, a pesar de que incluso un rapero había pedido cantando que no se olvidaran de parchear iOS para dar cobertura a los terminales iPhone, iPad e iPod Touch, no hubo parche de seguridad para nadie más. A esto, hay que sumar que desde iOS no es posible ver cuáles son las entidades en las que se confía, que no se puede revocar manualmente la confianza a ninguna entidad y que, además, revisar un certificado digital con iOS que genera una alerta de seguridad no es precisamente lo más fácil de realizar.

Así, mientras que la comunidad de usuarios que realiza Jailbreak a su dispositivo cuenta con un parche de Jan0 para iSSLFix 1.2 desde el 4 de Septiembre de 2011, el resto de usuarios que no ha hecho jaiblreak al dispositivo, sigue totalmente vulnerable a estos certificados digitales falsos. Los que tengan Cydia, solo deberán entrar en las actualizaciones e instalar la nueva versión de iSSLFix.

Cuando hicimos el artículo de pros y contras a la hora de realizar jailbreak al dispositivo, uno de los argumentos que esgrimimos fue que si se hace jailbreak hay que buscarse la vida para parchear el sistema. En aquel entonces, el argumento era negativo, pues esperabamos de Apple una respuesta más rápida ante situaciones como está.

Sin embargo, con el caso de Diginotar, parece que es más fácil tener un sistema actualizado si está con jailbreak que sin él, y casos como PDF Patcher 2, e iSSLFix 1.0 demuestran que la comunidad de jailbreakers está por la labor de preocuparse por la seguridad.

Esperamos que Apple reaccione pronto, y que no haya que espera a iOS 5 para tener un update de seguridad en los terminales con iOS que no tienen jailbreak, y que, a ser posible, sean un poco más veloces en las actualizaciones de seguridad de este tipo. Por si acaso, si tienes un terminal sin jailbreak, para evitar los ataques de este tipo de certificados falsos, os recomendamos el uso de soluciones VPN que eviten los ataques Man in the middle en las redes de conexión.

martes, 27 de septiembre de 2011

Más sobre OSX/FlashBack: Cifrado RC4 con MD5 (UUID)

El equipo de Intego ha analizado el códido del troyano OSX/Flashback para Mac OS X, el cuál simula ser un programa de instalación de Adobe Flash, en más profundidad, y han aportado nuevos datos sobre su arquitectura. Como se había anunciado al principio, cuando se ejectua en la máquina de la víctima instala el troyano en la ruta ~/Library/Preferences/Preferences.dylib desde la que se ejecuta. 

Una vez arrancado realiza una conexión reversa al servidor que lo controla, y utiliza cifrado basado en RC4 para enviar los mensajes de forma totalmente oculta en firewalls. Como clave del algoritmo RC4 utiliza un hash MD5 que calcula a partir del Identificador únioc UUID del equipo, lo que hace que cada clave de cifrado sea distinta, y al mismo tiempo fácil de calcular para él. 

Figura 1: Petición GET desde OSX/Flashback con el USER-Agent llevando el UUID

Como última curiosidad, tal y como se puede ver en la imagen anterior, el UUID es transmitido al servidor en el campo USER-AGENT de la petición HTTP que hace, lo que le permite al servidor calcular la clave de descifrado RC4 haciendo el hash MD5 de este valor. Además, el troyano tiene capacidades de dropper, es decir, de descargar nuevo software, pero en las pruebas que han realizado no han visto funcionando esta característiica.

Como se evidencia, el malware para Mac OS X está evolucionando hacia los niveles de sofisticación utilizados desde hace tiempo en otras plataformas, por lo que se recomienda extremar las precauciones en el sistema.

Apple actualiza XProtect para frenar a OSX/{Imuler|Revir}

A pesar de que XProtect no es una solución antimalware profesional, Apple está actualizandolo de manera continua con el nuevo malware que está apareciendo para evitar, en la medida de lo que se pueda con esta tecnología, el mayor número de infecciones. Como ya analizamos en el pasado, XProtect solo se ejecuta cuando se descarga un fichero desde Internet, como por ejemplo a través de Apple Safari, y está basado en hashes de ficheros. En Julio de este año se publicó el informe de Richard Gaywood, en el que se podría comprobar cómo sólo había 18 fimas para luchar contra el malware de Apple, que evidentemente es mucho mayor.

A mediados de este año, una de las características que se agregaron a XProtect fue la de poder actualizarse periódicamente con nuevas firmas proveidas desde Apple, en un intento de luchar contra el tan dinámico mercado de malware que genera nuevos binarios con mucha rapidez. El fichero que almacena todas las fimas antimalware utilizadas por XProtect se encuentra en la ruta:

/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

En él se pueden ver las últimas firmas añadidas, y se puede comprobar en cualquier momento si está o no actualizado. Así, la penúltima de la lista es el troyano OSX/QHost.WB.A, la primera aparición del troyano OSX/Flashback descubierto por Intego ayer mismo, y que demuestra que lleva ya más de un mes de campaña.

Figura 1: Firma de OSX.QHost.WB en XProtect

La última firma es, como se puede ver a continuación, una creada especialmente para el troyano OSX/Imuler que inició su campaña desde China y que Apple ha catalogado como OSX/Revir.

Figura 2: Firma de OSX.Revir en XProtect

Sin embargo, como la industria del antimalware bien sabe, este tipo de medidas solo defienden contra los ficheros ya conocidos, pero como explicamos en el artículo XPtrotect no es una solución antimalware profesional, es necesario contar con soluciones más evolucionadas para defenderse un poco mejor de los trucos de esta industria del troyano.

lunes, 26 de septiembre de 2011

OSX/Flashback: Troyano para Mac OS X simula ser Flash

Si en el post anterior hablabamos de OSX/Imuler, un troyano para Mac OS X que utilizaba el truco de la doble extensión para simular ser un documento de Adobe PDF, hoy toca hablar de un troyano que simula ser un instalador de Adobe Flash para Mac OS X. El malware ha sido descubierto por el equipo de seguridad de Intego tras la sospecha de una persona que descargó la muestra desde un sitio web. El malware se distribuye como un archivo de instalación, luego si el usuario hace clic sobre el link de descarga desde Apple Safari, la instalación dará comienzo, ya que Safari toma como seguros los archivos .pkg y mpkg.

Figura 1: Instalación de OSX/Flashback.A

Una vez instalado, el troyano carga una librería de carga dinámica .dylib que se instala en la ruta  ~/Library/Preferences/Preferences.dylib, además de código de auto-ejecución que se encarga también de eliminar software de seguridad red, como firewalls o antivirus. Una vez se ejecuta el troyano, se conecta a un servidor remoto enviando información sobre la máquina infectada, tal como la dirección Mac y un identificador único para ser gestionado desde un panel de control, según el análisis realizado por Intego.

El troyano es, de nuevo, de tipo reverso, tal y cómo OSX/Imuler, y además trae medidas de protección de entorno, como la eliminacion de medidas de seguridad tales cómo el firewall, lo que indica que se está creciendo en complejidad en la evolución de los troyanos para Mac OS X, del que ya habíamos visto muestras como DarkCometX o BlackHole R.A.T. - que incluso graba a sus víctimas en vídeo - por no citar el archiconocido Hellraiser, que no era de conexión reversa.

Por supuesto, no se debe descargar ningún componente de instalación de Adobe que no vengan directamente desde la web del fabricante, y se recomienda hacer uso de una solución antivirus que permita tener las firmas actualizadas de este tipo de malware en el mismo momento en que se haga público, como es este caso.

OSX/Imuler: Un troyano para Mac OS X disfrazado de PDF

Haciendo uso del viejo truco de la doble extensión, es decir, mediante un nombre .pdf.exe, se está distribuyendo este troyano para Mac OS X, al que se le ha catalogado como OSX/Imuler. Esta muestra de malware, al igual que se ha hecho durante mucho tiempo en plataformas Microsoft Windows, utiliza un icono de documento PDF para intentar engañar al usuario y, una vez que se consigue que la víctima lo ejecute en el sistema, descarga un documento en PDF para tranquilizar al nuevo infectado, haciédole creer que nada ha pasado.

En esta ocasión, el documento elegido tiene que ver con la polémica existente entre China y Japón por la soberanía de unas islas, conocidas como Diaoyu para China y como Senkaku para Japón. El documento está escrito en Chino, así que el objetivo del malware parecen ser usuarios de esa nacionalidad.

Figura 1: PDF usando en el engaño

Una vez ejecutado en el sistema se conecta de forma reversa a unos servidores desde los que se controlan las víctimas, es decir, realiza conexiones reversas al panel de control para saltarse mejor los firewalls. En el sistema queda instalado en forma de dos archivos, y no tiene protección contra el borrado, es decir, no hay procesos comprobando que el troyano se elimine, por lo que basta con quitar estos dos ficheros del sistema.

/users/%user%/library/LaunchAgents/checkvir
/users/%user%/library/LaunchAgents/checkvir.plist

La difusión del mismo no ha sido masiva, ya que el hacer uso de extensión .exe en ficheos limita muchísimo su paso por firewalls HTTP y, por supuesto, como fichero adjunto en correos electrónicos, donde parece que sería el hábitat natural para el que se crea un engaño de documento PDF.

El malware ha sido descubierto por el equipo de seguridad de F-Secure, y quizá, lo más interesante de esta noticia sea la aparición de nuevos troyanos preparados para ejecutarse en Mac OS X. Tal vez, cuando elijan métodos más peligrosos de difusión que el engaño de la doble extensión, como aprovecharse de 0-days o buscar infecciones auto-distribuidas utilizado redes sociales, este tipo de amenazas sea mucho mayor.

Por si acaso, hay que ir preparándose para lo que pueda venirnos en el futuro, que con el aumento sostenido de cuota de uso de Mac OS X seguro que se va a atraer a la industria del malware de manera más intensa.

domingo, 25 de septiembre de 2011

Fue noticia en Seguridad Apple: del 12 al 24 de Septiembre

El mes de Septiembre no ha dejado indiferente a nadie, Apple sigue generando noticias día sí, día también. El mundo vive expectante con la aparición de iOS 5 y de iPhone 5 mientras que los hackers ya hablan de su Jailbreak para el nuevo iOS. Han ido apareciendo graves vulnerabilidades en las que algunas veces Apple es el responsable y alguna otra en la que son las herramientas de terceros  que corren en sistemas operativos de Apple son las culpables.

Desde Seguridad Apple vamos a comenzar con el repaso quincenal con lo que ha sido nuestro punto de vista sobre el "ajetreado" mundo de Apple.

El lunes 12 de Septiembre comenzamos la semana informando acerca del curso de análisis forense que Informática 64, con Juan Garrido "Silverhack" a la cabeza, impartiría en el congreso de seguridad No cON Name en Barcelona. Además, presentamos una noticia muy interesante, a la vez que con una vertiente medio irónica, en la que intentamos entender por qué Apple búscaefe de seguridad para evitar las pérdidas de prototipos

El martes 13 de Septiembre se publicó una revisión sobre una herramienta para auditar redes WiFi con dispositivos móviles como iPhone o iPad. La aplicación WifiGet Scan permite detectar equipos en la red, puertos abiertos en máquinas y geolocalización de redes WiFi. Además, también llegó la actualización de EFI Firmware 2.1 para el MacBook Air.

Miercoles 14 de Septiembre, probamos la herramienta Lion Recovery Disk Assistant para permitir que desde un pendrive o una unidad de disco se pueda arrancar con los ficheros necesarios para iniciar de Mac OS X Lion. Una utilidad que permite hacer una copia de seguridad del arranque del sistema  yq ue probamos con FileVault 2. También os recordamos que TrueCrypt 7.1 está disponible para Mac OS X Lion para proteger tus datos, recuerda cífralos.

¿Sabéis lo que es Skynet? El jueves 15 de Septiembre nos hicimos eco de un proyecto muy interesante, el cual utiliza los AR Drones para espiar redes WiFi vulnerables. No os perdais el vídeo de su demostración. Ya en horario de tarde publicamos la liberación de las actualizaciones que solucionan fallos con Thunderbolt en Lion para casi toda la gama de sistemas de OS X de Apple.

El viernes 16 de Septiembre fue un día interesante, en lo que al apartado de seguridad se refiere. Se realizó una pequeña demostración sobre cómo Safari trata los certificados digitales en iOS. Recordad que no vale sólo con comprobar los primeros valores de la firma del certificado, esperamos que Apple solucione este issue de seguridad en futuras versiones del navegador.

Además, como era viernes tocaba una sesión de humor, de lo más geek que se puede ver por Internet, una nueva funda iPhone para regalar a... los enemigos.

El sábado 17 MacProgramadores fue atacado por spammers y blackSEO. Los atacantes llegaron a tener acceso a la publicación de noticias en el sitio web, por lo que todos los suscritos al canal RSS recibieron alguna que otra noticia "oscura". A pesar de este accidente el sitio web de MacProgramadores es uno de nuestros favoritos a la hora del desarrollo en tecnologías en Apple.

El domingo 18 fue el día de una de las grandes sagas en Seguridad Apple, la historia de Mac OS. En esta ocasión llegamos al esperado Mac OS X, en su versión 10.0. Este sistema operativo que fue remodelado de los pies a la cabeza fue todo un hito en la historia de Apple.

Y volviendo a empezar una nueva semana, el lunes 19 de Septiembre reflexionamos en cómo encontrar un iphone, ipad o a mi mísmo sobre las implicaciones legales en el uso de este servicio por parte de empresas. Gracias a una cuenta de MobileMe, se puede encontrar nuestro dispositivo en caso de sustracción o pérdida, pero también se puede convertir en un elemento de vigilancia, más allá incluso del horario laboral, si está controlado por la empresa.

El día 20 de Septiembre, saltó una noticia "bomba" sobre un gravísimo fallo en Mac OS X Lion que permitia a cualquier usuario del sistema cambiar las password de cualquier usuario del sistema. También se podía leer los hashes de otros usuarios con este grandísimo fallo de seguridad. Apple aún no ha dicho nada ni ha anunciado ningún parche de seguridad.

El miércoles 21 de Septiembre presentamos un reto forense de la Ekoparty 2011, en el que sobre  la imagen de un iPad el participante debía resolver un misterio y podría ganarse el iPad. Viendo los tiempos que corren no está nada mal la idea de conseguir un iPad gratis.

El jueves 22 de Septiembre otra noticia de vulnerabilidades, en este caso la aparición de un XSS en la aplicación de Skype para iOS. El campo vulnerable de la aplicación era el nombre de usuario que le aparece al receptor. Simplemente insertando un iframe se pueden hacer muchas maldades en un iPhone remoto. Skype trabaja mucho para solventar este grave fallo de seguridad.

Finalizando la semana laboral, el viernes 23 de Septiembre expusimos la charla de José Selvi, investigador de seguridad español, quién había "mutado" JailbreakMe a una especie de JailOwnMe,  para conseguir ejecutar una shell remota en lugar de instalar el esperado Cydia. Muy interesante, tanto la charla como el artículo. Y como cada viernes un poco de humor sobre Apple, el turno fue para "el radiocassette más grande". Ya sabemos en qué pensaba Steve Jobs cuando creó iPod Touch

Ya para terminar, ayer sábado le dedicamos el post a una revisión de la herramienta JBiKeePass para iOS, que permite tener cifradas todas las contraseñas que se utilizan en Internet con una sola master key, al mismo tiempo que se mantiene sicronizada la base de datos con un Linux, Mac OS X o Windows.

Y esto fue todo lo publiado durante estas 2 semanas en Seguridad Apple, os esperamos dentro de 14 días con nuevas novedades, noticias, indicios, rumores y como no... Seguridad en este resumen de artículos.

sábado, 24 de septiembre de 2011

JBiKeePass: cifra y gestiona tus credenciales en iOS

JBiKeePass es una herramienta Open Source para la gestión y mantenimiento de las credenciales utilizadas diariamente en el dispositivo para evitar el usar passwords que tengas que recordar, o teclear infinitas contraseñas complejas que te hagan perder los nervios cuando no atines con ellas. La aplicación puede ayudar al usuario a mantener su base de datos de passwords cifrada con AES o Twofish 256 bit, usando KeePasssX, por ejemplo de su casa, mediante una conexión a Internet. Por otro lado también se puede obtener la base de datos de una ruta local en el dispositivo, se mostrarán en el desarrollo del artículo las dos vías.

Creando la base de datos de contraseñas con KeePassX

KeePassX es una aplicación Open Source, disponible para Mac OS X y Windows, que se usa para la creación y gestión de bases de datos de credenciales cifradas con la que un usuario puede disponer de un listado de sus contraseñas de manera organizada por categorías y así poder cumplir con la máxima de no repetir contraseñas en distintas cuentas.


En la imagen superior se puede observar como KeePassX genera una base de datos con las credenciales de un usuario. Para facilitar la gestión se organizan en grupos (Internet, Mail, Redes Sociales) y subgrupos. La extensión de los ficheros de estas bases de datos es kdb.

Obteniendo de forma remota la base de datos para JBiKeePass

Figura 2: JBiKeePass importantdo BD
Para obtener la base de datos el usuario puede utilizar un método bastante antiguo, montar un servidor web en su casa y poner la base de datos ahí. Pero no lo vemos nada seguro, porque cualquiera podría descargarse (si averiguan la URL) tu base de datos, eso sí, estaría cifrada.

En la imagen de la derecha se visualiza la pantalla principal de la aplicación JBiKeePass. Para editar la URL del servidor hay que pulsar sobre el botón "Edit" señalado en color rojo. Si el usuario utiliza un servidor web para transferir su base de datos deberá poner la dirección en el campo "Server".

Por otro lado, puede utilizarse la dirección de la cuenta de DropBox para obtener la base de datos siempre y cuando el usuario la tenga almacenada en su cuenta de DropBox. Cuando se obtiene una base de datos nos aparece situada en el recuadro amarillo.

Como nota importante decir que cuando añadais una base de datos desde una dirección debereís introducir el nombre del fichero con la extensión al completo. Una vez descargada la base de datos se pulsará sobre el botón "Open" y la aplicación pedirá la clave maestra para descifrar la base de datos.

Base de datos descifrada con JBiKeePass

Figura 2: BD descifrada con JBiKeePass
En la siguiente imagen se puede visualizar que es lo que ofrece JBiKePass cuando descifrada la base de datos. Se puede visualizar los grupos que se crearon desde KeePassX los cuales son identificativos y claros.

Cuando el usuario quiera obtener la clave de su cuenta bancaria, por ejemplo, pulsará sobre el grupo "Banca Online" y después le aparecerá la información con la que él mismo haya creado la entrada en KeePassX.

Como nota importante decir que la password seguirá oculta, pero en este caso por puntos, y tendremos la posibilidad de activar un botón de tipo switch para que la credenciales se nos muestre.

La aplicación es bastante sencilla de utilizar y muy interesante para las personas que disponen de muchas cuentas con distintas contraseñas. El objetivo es que con una password recuerdes todas. 

Sincronizando KeePass con JBiKeePass

Por último, mostraros un video dónde se puede visualizar como el usuario almacena, de forma sincronizada, su base de datos de credenciales cifradas en una cuenta de DropBox. De este modo desde iPhone el usuario dispone en todo momento de esta base de datos actualizada, por si el usuario la cambia desde su equipo de sobremesa.



Con iFile obtiene la ruta de la base de datos, archivos cacheados de DropBox, copia el link y creamos un enlace simbólico entre la ruta de los archivos cacheados de DropBox y la ruta de la aplicación JBiKeePass.

viernes, 23 de septiembre de 2011

Steve Jobs vio esto... y creó el iPod Touch nano

Porque para utilizar este sistema hay que tener unos lomos que no todos tienen, así que mejor un sencillo iPod nano y al mismo tiempo evitar dolores innecesarios de espalda...

Visto en Señorasque
¿Os imagináis el calor que debe dar este sistema en los riñones? Buen fin de semana.

JailOwnMe o cómo mutar JailbreakMe 3.0 y meter una shell

Cuando se publicó JailbreakMe 3.0 insistíamos en la necesidad de instalar cuanto antes PDF Patcher 2.0, un parche que cerraba los bugs explotados por Comex, y que fueron premieados en BlackHat 2010, para liberar el terminal de Apple. Nos basábamos en que cualquiera podría descargarse los documentos PDF que se utilizaban y modificarlos para ejecutar otras cosas menos apetecibles para el usuario.

Figura 1: Los exploits en PDF indexados en Google

José Selvi, investigador español de Pentester.es hizo una demostración de esto en la pasada NoCONname 2011, en una charla en la que explicaba como hacer debugging de payloads para conseguir modificar el comportamiento de un exploit a gusto de cada uno. Para ello, mediante la manipulación de los exploits de JailbreakME 3.0 creo JailOwnMe, un exploit para instalar en el dispositivo "otras cosas". En el siguiente vídeo tenéis un ejemplo de como funciona este caso en el que se instala un payload que abre una shell reversa.


Por último, nos gustaría recordaros que, en el momento en que sale un parche o un exploit, las técnicas de ingeniería inversa de hoy en día, permite a los buenos exploiters hacer nuevos exploits de ataque, por lo que es necesario tomar precauciones lo antes posible.

jueves, 22 de septiembre de 2011

XSS en el chat de Skype para iOS permite robar contactos

Si eres uno de los que utiliza Skype en iOS debes extremar las precauciones de seguridad, ya que se ha descubierto una vulnerabilidad de XSS con el que un atacante puede robar la libreta de direcciones con todos los contactos.

Todo lo necesario para explotar esta vulnerabilidad es simplemente un mensaje de chat con el exploit de XSS. Segúnn TechCrunch, el problema fue encontrado por Phil Purviance, quién dice que esta vulnerabilidad fue descubierta hace un mes.

El atacante enviará un mensaje de chat a la víctima mediante Skype, el cual lo estará utilizando en un terminal iPhone, iPad o iPod Touch. Tan pronto como la víctima ve el mensaje, el código "malicioso" empieza a ejecutarse en el dispositivo móvil. El atacante recibirá información, como puede ser la ansiada libreta de direcciones, las cookies, etc. Una vez esa información está en manos del atacante puede sentarse con un café a filtrar los datos y ver lo que ha conseguido. El siguiente video presenta una demostración de como se puede llevar a cabo el proceso del robo de información en Skype.


El fallo es totalmente de Skype, y nada tiene que ver Apple en esta ocasicón. Además, como piropo a los chicos de Cupertino se ha de decir que, gracias a como se ha diseñado iOS, "sólo" determinados archivos, incluyendo la libreta de direcciones, son vulnerables. Skype está trabajando para solucionar el problema de seguridad, el cual esperan atajar de manera inminente con un parche. Skype 3.0.1 y versiones anteriores son vulnerables a este XSS.

¿Cómo se realiza el ataque de XSS?

El problema radica en que Skype no filtra correctamente los nombres de los perfiles de los usuarios, un problema clásico en los chats vía web, por lo que si un usuario malintencionado inserta algo del estilo <iframe src=' ' onload=alert('hola')> (cerrando previamente con > el nombre) cuando inicie un chat con otro usuario ejecutará dicho código sobre el iOS remoto. Sencillo y efectivo, así que ten cuidado.

miércoles, 21 de septiembre de 2011

Reto Forense Ekoparty 2011: Analiza un iPad y quédatelo

Dragon (@dragonJAR), alma de la Comunidad DragonJar ha planteado un divertido Reto Forense sobre iPad en la presente edición de la Ekoparty. El objetivo es analizar una imagen de un iPad para conseguir resolver un misterio que está basado en situaciones muy reales. Para hacer más fácil la resolución de la competicón, antes ha publicado una serie de artículos de obligada lectura para los analistas forenses.


Además, el miércoles, dentro de los Workshops de la Ekoparty, dará un resumen de los mismos, que serán el lanzamiento del reto que completará con una charla en el track de conferencias. Tanto si quieres competir por el iPad, como practicar informática forense, te recomendamos el juego. Para ello, bájate la imagen y prepara tu entorno.


La contraseña será liberada más tarde, pero nosotros actualizaremos este post, y lo sacaremos por la cuenta twitter de informática64 para que puedas jugar. En tu casa y en el reto podrás utilizar lo que quieras, herramientas manuales, o kits profesionales como Oxygen Forensics, y probarte a tí mismo en este tipo de disciplinas. Aquí tienes toda la información del reto.

Escenario Planteado

El iPad del reto
Diego Armando Quintero, un estudiante de Ingeniería de Sistemas de la Universidad de Manizales, Colombia, lleva 3 días desaparecido, sus familiares desconocen su paradero y temen lo peor ya que el grado para obtener el titulo como ingeniero de sistemas se realizó hace 2 días y siguen sin tener noticias de él.

Julian Quintero, mientras buscaba el paradero de su hermano, recibió una llamada de un amigo, en la que le avisaba que había visto el iPad que su hermano Diego se había ganado en un concurso universitario, en una casa de empeño, el cual pudo identificar fácilmente ya que tenia un sticker de la comunidad DragonJAR y un trozo de velcro en su parte posterior.

Este iPad es la única pista que tiene la familia Quintero, para saber lo sucedido con Diego Armando, y el resultado de su análisis es de vital importancia para resolver este caso.

Objetivo del reto

El objetivo de este reto, es realizar el análisis forense al iPad encontrado en la casa de empeño; Para ello se entrega una imagen del sistema iOS, la cual debe ser analizada y resolver los siguientes puntos.

A. Determinar si Diego Armando Quintero se suicido, lo secuestraron, lo asesinaron, lo robaron o si su desaparición es voluntaria.
B. Si fue un suicidio, identificar las causas que hicieron que Diego Armando, se suicidara.
C. Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato.
D. Dar una ubicación aproximada del cuerpo de Diego Armando, si se suicido o fue asesinado.
E. Si fue un robo determinar donde se realizó y quienes lo cometieron.
F. Si su desaparición fue voluntaria, determinar los motivos de esta y la razón por la que no asistió a su grado.
G. Determinar como llego el iPad a la casa de empeño.

Al tratarse de un reto diseñado para ser resuelto en un máximo de 3 días (duración de la EKO Party), no se pedirán informes ejecutivos y solo se debe entregar un informe técnico detallado que respalde las respuestas a las preguntas planteadas, el cual tendrá una calificación máxima de 100 puntos, distribuidos de la siguiente forma:

A. 30 Puntos – Metodología, Procedimiento y Documentación
B. 30 Puntos – Evidencia y Correlación con el Caso
C. 20 Tiempo de Entrega (el primero 20 puntos y a los siguientes se les restara de a 5 puntos, según el orden de llegada)
D. 20 Puntos – Extras (para las personas que realizaron algo más de lo que nosotros solicitábamos, que aporte a la investigación)

NOTA IMPORTANTE: El archivo entregado a los analistas corresponde a una copia logica de la raiz del sistema iOS que contiene el iPad, ya que por motivos logisticos y de distribucion, se decidío no hacer una copia bit a bit del dispositivo (con un tamaño de 16GB), pero el analista debe trabajar con ella como si de una copia bit a bit se tratara, conservando adecuadamente la cadena de custodia.

La imagen del reto, la podrás descargar del siguiente enlace y la clave la daremos a la hora de presentar el reto en la EKO Party:

Analiza1iPad.zip (Hash de MD5: 09b992b05d9343bcead8320ffebda5c4 Hash SHA1: 7f8a2405cba66c958ce7d405e5696d5327831dac)

Diego Armando.zip (Hash de MD5: ff05c2d92ddf0a0547a821c66a264471 Hash SHA1: df39d4ad1284b313003073341572e8b0742104b0)

UPDATE: La clave de la imagen es "iniciaelretoforensedelaeko"

Tiempos de Entrega

El reto inicia el día 21 de Septiembre desde el anuncio realizado y el tiempo de entrega máximo del informe técnico, es hasta el día viernes, 23 de septiembre, a las 11:00AM. Solo se reciben informes al correo forense@ekoparty.org y los tiempos de entrega, serán los mismos de llegada en la bandeja de este correo.

martes, 20 de septiembre de 2011

Mac OS X Lion: Gravísimo fallo de seguridad permite a cualquier usuario cambiar la password de cualquier usuario

A Apple se le acumulan los parches de seguridad que debe solucionar en Mac OS X Lion. Mientras aún están sin resolver los problemas con la revocación de confianza para entidades de certificación y el problema de autenticarse sin contraseña en árboles OpenLDAP, el domingo saltó la noticia de un problema aún más serio. Cualquier usuario de un sistema Mac OS X Lion puede ver y cambiar la contraseña de cualquier usuario del mismo sistema.

La noticia la publica Patrick Dunstan en su blog Defence in Depht en un artículo en el que explicaba que, mientras analizaba el almacenamiento de las contraseñas en los ficheros shadow, descubrio que haciendo uso de los servicios de directorio era posible saltarse la restricción que prohibe el acceso a los datos almacenados en los ficheros shadow.

Los ficheros shadow

En los sistemas UNIX se ha utilizado antiguamente un fichero para almacenar los datos relativos a cada usuario llamado passwd. Este fichero contenía, entre otras cosas, el identificador de usuario, el identificador de grupo, la shell que estaba utilizando y el hash de la contraseña para autenticarse en el sistema. Como había información que era necesario poder leer por muchos componentes del sistema, como por ejemplo el identificador de usuario o el de grupo, ese fichero podía, incialmente, ser leido por todo el mundo, lo que dejaba la seguridad de la cuenta del usuario a la fortaleza del hash y de la password.

Así, si dos usuarios tenían la misma password, entonces tenían el mismo hash, lo que hacía que fuera fácil descubrir contraseñas inseguras. Para evitar esto, se añadió el SALT, una cadena de caracteres aleatorios que se añade a la password antes de generar el hash para evitar que dos contraseñas iguales generen el mismo password. Sin embargo, debido al aumento de la potencia de cálculo y al estudio continuado de técnicas de crackeo de passwords hicieron que este mecanismo fuera insuficiente para proteger las cuentas de usuario, por lo que se optó por hacer una copia "en la sombra" del salt y el hash resultante de la password, que solo debía ser accesible por los servicios que corren como root.

Ficheros shadow en Mac OS X Lion y la vulnerabilidad con los servicios de directorio

En la versión Mac OS X Lion 10.7.1 cada usuario tiene su propio archivo shadow almacenado en formato .plist en la ruta /var/db/dslocal/nodes/Default/users/ y a este fichero solo tiene acceso root.

Sin embargo, los servicios de directorio, que permiten consultar la información relativa a un perfil de usuario, por algún grave fallo de seguridad, permiten acceder a los datos de este archivo sin privilegios de root. Así, con un sencillo comando como:

$ dscl localhost -read /Search/Users/bob

Permite acceder a todos los datos del perfil del usuario consultado, en este caso bob, entre los que se encuentra el hash de la password y el valor de salt utilizado, tal y como se puede ver en la imagen siguiente:

Figura 1: Resultado con el hash y el SALT de la password del usuario

Sin embargo, lo peor es que con este servicio no solo se puede consultar información, sino que se puede invocar un cambio de contraseña sin ni tan siquiera conocer la password anterior. Para ello bastaría con utilizar el comando siguiente:

$ dscl localhost -passwd /Search/Users/bob

Lo que permitiría al atacante cambiar la password al usuario bob.

Contramedidas temporales

Como era de esperar, la comunidad ha clamado en contra de Apple por este grave fallo de seguridad, y se espera una solución pronto al problema. Sin embargo, mientras que Apple aprieta para sacar un parche de este serio problema, os recomendamos tener mucho control con el acceso local a las máquinas. Esperamos que años de concienciación con el ataque David Hasselhoff os hayan hecho ya bloquear la sesión de usuario nada más levantaros de vuestro Mac para evitar que David te mire desde tu Mac, dejar mensajes disuasorios, e incluso configurar sistemas de alerta cuando alguien se acerque al equipo, pero a parte de ello, os recomendamos que entréis en las preferencias del sistema y reviséis cuántos usuarios tenéis creados y las contraseñas de ellos. Si uno solo de esos usuarios tiene una password insegura o por defecto, estará poniendo en riesgo la seguridad de todos los demás usuarios.

lunes, 19 de septiembre de 2011

Encuentra mi iPhone, mi iPad y a mí mismo

Find my iPhone o Find my iPad es un servicio fantastico que ha podido ser utilizado para resolver innumerables disgustos indeseados con nuestros queridos dispositivos. Ese iPhone que se pierde en un taxi en Madrid o New York y que gracias a la utilidad Find My el protagonista de la historia se siente como un agente federal persiguiendo a un fugitivo. O ese momento de alzheimer en el que no sabemos donde habremos metido nuestro iPhone y usamos el servicio para oir el pitido dentro de nuestros pantalones, chaqueta o debajo de un cojín.

El servicio es de lo más útil y es más que recomendable tenerlo configurado para uno mismo. En el lamentable accidente de avión que se llevó la vida al famoso reportero chileno, esta opción se utilizó para localizar y recuperar a las víctimas tras el accidente, acortando el tiempo de sufrimiento y espera de familiares y amigos.

Sin embargo, hay un matiz legal que no sé como conjugaría con la Ley Organica de Protección de Datos en España o con el Estatuto de los Trabajadores de cada país. El matiz se produce cuando el servicio de Find my está asociado a una cuenta corporativa que está gestionada por una empresa.

Supongamos una compañía que desea poner una aplicación iPad para sus comerciales, y que decide que esta fuerza de venta de road warriors visiten clientes con un iPad enseñando los nuevos productos. Si la empresa decide activar el servicio de Find my con una cuenta corporativa, habrá instalado un sistema de seguimiento de todos los trabajadores de la empresa, que le permitirá controlar todos los movimientos de los empleados.

Figura 1: Configuración de cuentas de MobileMe

Si tienes un iPad o un iPhone de la empresa, puedes comprobar si tienes activado este servicio yendo a las opciones de cuentas, y comprobar si está activo. Además, de eso, puedes entrar en la configuración y comprobar qué dirección de correo es la que está asociada a este terminal iPhone y quién puede estar traceandote.

Figura 2: Servicio activado y cuenta asociada a él

Evidéntemente, esta cuenta usada en el seguimiento de dispositivos iPhone o iPad, la cual tiene acceso a la ubicación de personas físicas de una empresa, deberá tener unas medidas de seguridad especiales.

Si tienes configurada esta opción en un terminal iPhone o iPad, te recomendamos que consultes si esto es legal en tu situación contractual y no supone una invasión de la intimidad personal del empleado. En cualquier caso, si quieres mantener la privacidad de tu vida en un determinado momento, te recomendamos que desactives la opción de Find my desde el menú de Ajustes.

domingo, 18 de septiembre de 2011

Historia de Mac OS: La Edad moderna I - Mac OS X 10.0

Continuamos con la serie sobre la historia de los sistemas operativos Mac OS con la llegada a la Edad Moderna. Para nosotros, esta Edad Moderna comprende toda la generación Mac OS X a la que se llegó en el año 2000, sufriendo un cambio radical, principalmente, debido al cambio del lenguaje de programación sobre el que se fundamentaban.

Recordemos que en un principio Mac OS fue escrito en ¡Pascal! y reescrito en la versión 7 en lenguaje C++. Durante 14 años el sistema operativo Mac OS se fue adaptando a los distintos cambios en los equipos Macintosh. En 1996 Apple adquiere NeXTSTEP y deciden portar el recién comprado sistema operativo a la plataforma PowerPC.

Figura 1: Mac OS X. Bonito, ¿verdad? Aunque tenga un Internet Explorer en el dock.

NeXTSTEP se convirtió en el famoso Mac OS X y fue presentado en el año 2000 como una versión beta para desarrolladores y el público en general. La primera versión de Mac OS X fue 10.0, conocida como Cheetah. Se trataba de un moderno sistema operativo con un núcleo Mach basado en UNIX. Existía el problema de que las APIS del sistema operativo eran incompatibles con el Mac OS anterior por lo que Apple se vió obligada a desarrollar un emulador, denominado BlueBox, para conseguir ejecutar las aplicaciones de las anteriores versiones de Mac OS en su nuevo y flamante Mac OS X.

Requisitos de Mac OS X 

Power Mac G4 Graphite
Los requisitos mínimos en Mac OS X 10.0 no fueron bien recibidos por los usuarios de Mac debido al problema de la compatibilida hacia atrás. Mac OS X requería 128 MB de memoria RAM para funcionar correctamente, cuando los equipos anteriores tenían una RAM estándar de 64 MB. Por ello recibió muchas críticas Apple. Tampoco fueron soportadas las tarjetas de aceleración. Sin embargo, fue muy populares en los equipos Power Mac G3. Los equipos soportados por Mac OS X 10.0 fueron los siguientes:

- Power Mac G3, G4, G4 Cube.
- iMac.
- PowerBook G3, G4.
- iBook. 

Detalles y funcionalidades

El terminal permitió a los usuarios poder utilizar la base del sistema Unix mediante una interfaz de línea de comandos. APIs con soporte para Carbon y Cocoa. Con estas API los usuarios desarrollarán las aplicaciones para el sistema operativo.

Aqua, la nueva interfaz gráfica. Sencilla y a la vez muy intuitiva concedió a la experiencia de usuario en Mac OS algo hasta el momento nunca visto. El Dock revolucionó la forma de organizar las aplicaciones en la interfaz de usuario, un cambio radical en la manera que se gestionaba en versiones anteriores.

Por otro lado, la memoria protegida conseguía que si corrompía una zona de memoria, las otras no se vieran afectadas. Esta funcionalidad fue objeto de deseo por Apple durante muchos años, y una de las causas por las que cambiaron tantas cosas en el paso de Mac OS a Mac OS X.

También incorporó multitarea prioritaria, fue la capacidad de dar prioridades a los procesos. Fue una de las características más esperadas en los Mac. Con esta funcionalidad un proceso podría tener más prioridad que los otros, indispensable para que el usuario tenga la sensación de que algunos procesos nunca se quedan "pillados".

Otras novedades

Internet Explorer:mac 5.1
Estas fueron los principales avances, pero no los únicos. Algunas incorporaciones más fueron:

- Mail: Cliente de correo electrónico.
- Address Book: Libreta de direcciones.
- Text Edit: Procesador de texto.
- AppleScript: Scripting para Mac OS X.
- Sherlock: Escritorio y búsqueda en Internet.
- Soporte de PDF: Creación de PDFs de forma nativa.
- Internet Explorer. Sí, soportaba IE.

Hasta aquí llega el primer artículo sobre la edad moderna de los sistemas operativos Mac OS X. En la próxima entrega se hablará sobre Mac OS X 10.1 Puma.

sábado, 17 de septiembre de 2011

MacProgramadores atacado por Spammers y BlackSEO

Ayer viernes nos encontramos con que la web de MacProgramadores, una de las que hemos recomendado para aprender a desarrollar aplicaciones en entornos Apple, había caido bajo un ataque de spammers. Los atacantes llegaron a tener acceso a publicar noticias en la web, por lo que todos los suscritos al canal RSS recibieron noticias creadas por los spammers como la que se puede ver en la imagen siguiente.

Figura 1: Noticia de Spam creada en el portal

Para la creación de las entradas utilizaron diferentes usuarios para luego convertirse en editores a partir de distintas cuentas. Mirando el perfíl de alguno de estos usuarios, se puede comprobar que los datos han sido introducidos aleatoriamente, y manualmente, como demuestran esos famosos "asdasd".

Figura 2: Uno de los usuarios creados para postear el spam

Tal vez haya sido solo un fallo en la fortificación de la plataforma, pero al final los spammers pusieron unas 10 noticias para intentar robar tráfico y hacer un poco de BlackSEO para los sitios enlazados.

Figura 3: Lista de noticias de Spam

A pesar de este incidente, MacProgramadores seguirá estando en nuestro canal RSS, ya que los contenidos que publican son de gran utilidad, y aprovechamos para darle la enhorabuena por su trabajo a todos los que aportan contenido en él.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares