Menú principal

miércoles, 30 de noviembre de 2011

Apple Safari 5.1.2 se publica con mejoras, sin parches de seguridad pero con memory leaks pendientes

Ayer por la tarde, Apple ha puesto a disposición pública para descarga la versión del navegador de Internet Apple Safari 5.1.2 en la que, tras leer la información proporcionada por la compañía, no se reporta que se haya solucionado ningún bug de seguridad, tal y como se puede leer en la lista de cambios realizados que se ha publicado. 

La versión está disponible para Mac OS X Lion, Mac OS X Snow Leopard y sistemas Microsoft Windows, y puede ser descargada desde: Apple Safari 5.1.2

Según se puede leer en el changelog, esta version de Apple Safari corrige:
- Mejoras en  la estabilidad
- Resuelven problemas que podrían causar cuelgues y un uso de memoria excesivo
- Resuelven problemas que podrían causar que las páginas web quedaran en blanco
- Permiten mostrar PDF dentro de contenido web
Figura 1: Apple Safari 5.1.2 disponible vía software update

Sin embargo, en los foros de Apple se puede ver cómo algún memory leak reportado a Apple sigue sin estar solucionado, por lo que es posible que haya alguna nueva update pronto. En la imagen se puede ver como el consumo de Apple Safari llega a 1.5 GB de memoria RAM.

Figura 2: Memory Leak reportado a Apple sin parche aún

Usar Siri y convertirse en un Bast**d Operator From Hell

Últimamente están apareciendo un montón de cosas megacool, como controlar la temperatura de tu casa, que hacer con Siri, el nuevo asistente de iPhone 4S que ha sido hackeado para llevarlo a otros dispositivos, y del que se está haciendo ingeniería inversa del protocolo para conocerlo mejor. Entre las cosas más estupidas que vimos, la conversación con el Furby nos superó, pero algunas de ellas, sin embargo, pueden hacer de los técnicos de seguridad un BOFH muy "molón".

Monitorizar la red con SiriProxy

SiriProxy es un proyecto de Dustin Webber por el que se puede hacer uso de Siri para leer los logs que genera Snorby, una herramienta de monitorización de la seguridad de la red. En el siguiente vídeo puedes ver cómo funciona el proyecto.

Siriproxy-Snorby de Dustin Webber en Vimeo.

Black Mirror para trabajar con la mente

Del proyecto anterior nos enteramos por el resumen semanal de noticias en SecurityByDefault y pensamos que, si progresa el proyecto de Controlar Siri con la mente con el proyecto Black Mirror, y siguen apareciendo las herramientas de monitorización de redes y sistemas que se integren, dentro de poco los chicos cools nos integrarán a nosotros, los BOFH, con su Siri, y nos controlarán con sencillos comandos que ellos puedan emitir, o diréctamente con silbiditos.


Y los ladrones podría aprovecharse

La última cosa que hay que tener presente es el problema que tiene integrar la gestión de tu red con Siri, ya que Apple pensó en dejar que Siri funcionase aún con el teléfono apagado y bloqueado, lo que podría permitir a un ladrón del dispositivo que controlase todo lo que controlase tu "anillo de poder" llamado Siri.

Lo que está claro es que Siri está dando mucho juego por todas partes, y va a ser más que necesario aprenderse bien cómo funcona este simpático ayudante....¿no?

martes, 29 de noviembre de 2011

Wolfram Alpha Password Generator para iPhone o iPad

Elegir una contraseña siempre es complicado, y hacerla complicada de adivinar o crackear, más complicado aún - perdón por el juego de palabras -. Por eso, cuando ya has generado muchas, acabas utilizando bases de datos de almacenamiento como 1password o KeePass. Pero para a la fase de almacenar esa contraseña, primero hay que crearla, y para realizar esta tarea de forma segura se ha puesto en la Apple App Store esta aplicación: Wolfram Alpha Password Generator.

El funcionamiento es sencillo, basta con darle unas reglas específicas en base a la longitud y el tipo de caracteres permitidos, para que la herramienta muestre unas posibles candidatas, como se puede ver en las siguietes capturas de la versión para iPhone.

Figura 1: Cáculo de passwords complejas con la aplicación para iPhone

Por otro lado, la herramienta permite conocer la robustez de la misma, basada en reglas creadas por expertos en seguridad, que ayudan a valorar la fortaleza en función de valores, como se puede ver en la versión para iPad.

Figura 2: Valoración de la password con la aplicaicón para iPhone

Al final, este tipo de herramientas son un buen complemento a utilizar con las bases de datos de passwords, ya que permiten hacer contraseñas complejas acordes con las restricciones del sitio de manera sencilla. El coste de la herramienta es de 0.99 USD.

lunes, 28 de noviembre de 2011

Mantén actualizado y seguro Microsoft Office para mac

Durante el ya pasado mes de Septiembre, Microsoft puso a disposición pública las últimas actualizaciones de seguridad de los paquetes de Micosoft Office para mac. Dichas actualizaciones corregían bugs de seguridad crítica, lo que hacían que fuera necesario actualizarlas lo antes posible.

Con estos últimos parches, las versiones de los tres paquetes ofimáticos de Microsoft Office para mac han quedado en los siguientes números de versión:
- Microsoft Office 2011 para mac: Queda en la versión 14.1.3, y aparte de añadir soluciones a problemas de estabilidad y aportar algunas nuevas funciones, la importancia desde el punto de vista de seguridad la tiene por solucionar el bug del expediente de Microsoft MS11-072, por el que un documento Excel malformado podría ejecutar código arbitrario en el sistema.

- Microsoft Office 2008 para mac: Alcanza la versión 12.1.4 y de nuevo publica parches de estabilidad además de solucionar el expediente MS11-072 que permite tomar control de un equipo por medio de un documento Excel malicioso.

- Microsoft Office 2004 para mac: Aunque a algunos pueda parecerle extraño, Microsoft sigue sacando actualizaciones de seguridad para la versión 2004 y debido al citado problema de seguridad en Excel se ha actualizado esta versión a Microsoft Office 2004 para mac v.11.6.5.
No obstante, lo mejor para mantener Microsoft Office para mac y el resto de los productos Microsoft para Mac OS X actualizados para estar lo más seguros posibles, es que te instales la última versión 2.3.3 de Microsoft Autoupdate para Mac OS X.

Figura 1: Microsoft Autoupdate informando de una actualización de Office 2008

Este software es un cliente de actualizaciones de seguridad que permite estar atento a las novedades que se apliquen al software de Microsoft que tengas instalado, de tal manera que te ofrecerá la descarga necesaria para tu versión del producto y sistema operativo.

domingo, 27 de noviembre de 2011

Historia de Mac OS: La Edad Moderna III - Mac OS X 10.2 "Jaguar"

Continuando con nuestra serie sobre la historia de Mac OS, seguimos internados en la edad moderna con Mac OS X 10.2, de nombre Jaguar, que fue presentado por Apple el ya lejano 23 de Agosto de 2002, que además tuvo el honor de ser la primera versión del sistema operativo en utilizar el nombre en código como parte de la marca.
Esta nueva versión introdujo mejoras en el rendimiento, un aspecto aún más elegante que sus predecesores y una gran cantidad de novedades (unas 150 según Apple). Lo más destacado de estas nuevas funcionalidades fueron Quartz Extreme, que era un repositiorio para información de contactos en la nueva agenda y el cliente de mensajería iChat.

Sin embargo, uno de los cambios menores que más llamó la atención a los usuarios fue la sustitución del Happy Mac, imagen que salía durante la carga del sistema operativo, por el logotipo de Apple a gran escala. Este hecho quedó remarcado en este curioso Obituario de Hapy Mac

Actualizaciones

Mac OS X 10.2 tuvo muchísimas versiones durante algo más de los 14 meses que tardo en aparecer la siguiente versión. Empezaron en Agosto de 2002 y finalizaron el 3 de Octubre de 2003, poco antes del lanzamiento de Panther. El nombre del núcleo, Darwin fue desde la versión 6.0 hasta la 6.8, lo que deja claro que tocaron muchas cosas a bajo nivel, y las actualizaciones de Mac OS X Jaguar alcanzaron la 10.2.8, lo que obligó a los usuarios ha realizar un mantenimiento casi constante de la plataforma en un tiempo en el que la gestión de actualizaciones no estaba tan madura como hoy en día.

VersionBuildDateOS name
10.26C115, 6C115aAugust 24, 2002Darwin 6.0
10.2.16D52September 18, 2002Darwin 6.1
10.2.26F21November 11, 2002Darwin 6.2
10.2.36G30December 19, 2002Darwin 6.3
6G37

6G50

10.2.46I32February 13, 2003Darwin 6.4
10.2.56L29April 10, 2003Darwin 6.5
10.2.66L60May 6, 2003Darwin 6.6
10.2.76R65September 22, 2003Darwin 6.7
10.2.86R73October 3, 2003Darwin 6.8
6S90

Requisitos del sistema operativo

Las computadoras compatibles con Jaguar fueron los PowerMac G3, G4 y los primeros G5, iMac, PowerBook G3, G4 y los pequeños iBook. La cantidad de memoria RAM necesaria o requerida son 128 MB, aunque lo recomendable era utilizar 256 MB o 512 MB. El sistema operativo consumía por sí solo unos 200 MB, pero en teoría Apple especificó que valdría con 96 MB, aunque no funcionando al máximo rendimiento. El tipo de procesador de las máquinas era PowerPC G3, G4 o G5 a 233 MHz o superior.

Jaguar en G4 de Wikipedia

Principales características nuevas de la versión Mac OS X 10.2 Jaguar

Las nuevas características que salieron con la versión 10.2 de Mac OS X Jaguar fueron las siguientes:

- Address Book se actualizó con múltiples nuevas opciones.

- RendezVous, una implementación del protocolo IETF que permite a los dispositivos de una red esencialmente "encontrarse" con un servicio de directorio fue implementado. Por ejemplo, una impresora habilitada con Bonjour conectada a una red se podría descubrir a través de este servicio.

- Finder fue renovado con la adicción de la búsqueda integrada directamente en todas las ventanas.

- Mail sacó una nueva versión con un filtro de correo electrónico adaptativo contra el spam.

- Quartz Extreme se añadió a la composición de gráficos directamente en la tarjeta de video proporcionando una mejora en las imágenes en 3D.

- Sherlock 3, con la adición de la búsqueda mediante servicios web.

Con Jaguar, Apple creció, pero aún no estaba en el período de su resurrección en el mundo del usuario final. Quedaban unos años para que Steve Jobs viera el resurgir de la manzana  a nivel mundial, aunque en EEUU siempre estuvieron en los hogares de los norteamericanos y en las empresas de artes gráficas de casi todo el mundo.

sábado, 26 de noviembre de 2011

Scanner911: Escucha la radio de la Policía desde tu iPhone

Aunque muchos puedan pensar que esta aplicación es ilegal, resulta que no está cometiendo ninguna infracción, por lo que se puede comprar directamente desde la App Store de Apple para tu iPhone, iPad o iPod Touch.

Esta herramienta no es la única en su estilo, y pueden encontrarse muchas de ellas para todo los tipos de smartphones y sistemas operativos que, adaptándose a las frecuencias de cada región, puede permitir capturar la conversación que tengan dos estaciones de radio cualquieras.

Figura 1: Scanner911
La aplicación que os enseñamos aquí, Scanner911, está preparada con las frecuencias y características de las distintas Policías y organismos gubernamentales en Estados Unidos lo que hace que debido a su popularidad, los cuerpos de seguridad están comenzando a implantar sistemas de cifrado en sus comunicaciones de radio.

Ahora las herramientas que hay disponibles en Internet al alcance de cualquiera, y que realizan estas funciones de captura de comunicaciones de radio, vienen completamente pre-configuradas con las distintas personalizaciones en cada región y en cada cuerpo, haciendo que sea un juego de niños capturar las conversaciones para cualquier usuario que se la descargue desde Internet y la instale en su smartphone o computadora.

Además, por si no entiendes la jerga policial de los códigos, vienen con manuales de instrucciones que ayudan a entender qué es lo que está pasando.

Figura 2: Pre-configuraciones y ayuda con los códigos

Fotógrafos al acecho, periodistas tras las noticias, caza recompensas y superhéroes al rescate, usan desde hace mucho tiempo este tipo de trucos para estar siempre a tiempo en el lugar de la noticia.

viernes, 25 de noviembre de 2011

MirrorBook Air: Maquillarse usando un espejo MacBook Air

Como cada viernes, os traemos el post de las curiosidades y rarezas. En esta ocasión, la verdad es que cuando lo vimos nos pareció una chorrada, pero desde luego, viendo la cantidad de personas que colecciona el lote completo de productos Apple, este espejo de maquillaje réplica de un MacBook Air que hemos visto en TNW es perfecto para no gastarse mucho dinero en un regalo y quedar bien con los más adictos.




Aquí tienes un vídeo del producto, para que lo veas bien antes de comprarlo, que cuesta solo 11.99 dólares americanos. Por favor, prestad atención hasta al embalaje, que es una réplica exacta.



¿Es o no es cuco?

Regalo de troyanos para este Black Friday

El Black Friday es un evento muy especial e importante dentro de la economía americana - que se está empezando a exportar gracias a la globalización de Internet y las multinacionales - en el que los productos alcanzan descuentos altísimos, lo que genera que haya una gran cantidad de consumo de productos esos días - incluidos los de los scalpers -. Muchos americanos realizan la mayor parte de su gasto al año en material que no sea de primera necesidad ese día, lo que obliga a tiendas y empresas a realizar campañas muy diversas de captación de usuarios.

Figura 1: Campaña del Black Friday de Apple

Por supuesto, las tiendas Apple Store son objeto marcado a fuego en la lista de deberes de muchas personas, que incluso piden el día libre para irse a comprar. Es por ello que los estafadores crean también sus campañas de malware centradas en personas que están acumulando descuentos extras para el Black Friday y las tiendas Apple.

Figura 2: Spam con troyano simulando ser un regalo de 50 dólares para la tienda Apple

Así, como reportan en Naked Security, si te llega un bono regalo de 50 dólares americanos para iTunes, ten mucho cuidado, porque puede ser malware. En esta ocasión un troyano para sistemas Microsoft Windows que no te gustaría tener en la máquina desde la que vas a realizar tus compras online.

Apple ha sido un reclamo clásico en las campañas de malware y Black SEO por spam, como ya se vio con los phishers de la Apple Store, las campañas de Viagra o el famoso iPhone 5 que ya podrías tener en tu poder. Se cauto con lo que llega por e-mail. 

Feliz y segura compra a todos!

jueves, 24 de noviembre de 2011

Scalpers en Asia: Arrasando con el mercado

Curiosa la historia de los "scalpers" o acaparadores de productos. Estos tipos se han montado un negocio a través del ansia que despiertan los nuevos productos en Asia, haciendo compras masivas y revendiendo los productos Apple con una ganancia extra de 50 dólares. Hasta ahí un negocio bastante normal.

Lo curioso es que se ha podido comprobar como estos tipos están preparados con programas que automatizan todo el proceso de compra en Apple, para hacerse con los iPad o iPhone que se pongan a la venta en lotes de 10 en 10, mediante "compradores automáticos".

Figura 1: Compradores de los scalpers, visto en TNW

Lo único que hacen estos programas es automatizar todos los pasos en el proceso de la compra de Apple, rellenando los datos de las tarjetas de crédito, los datos de facturación y envío de forma automatizada y, si salta un captcha, pues a teclearlo y listo.

Figura 2: los buyers funcionando y comprando a mansalva

El número de scalpers es tan alto, que imposibilitan a los compradores online hacerse con estos productos, con lo que el cliente se ve obligado a pasar por las manos de un scalper en el mercado negro y pagar el "impuesto" de compra para tener un producto Apple. 

¿Es esto legal? ¿Hay que aplicar soluciones? ¿O simplemente dejar que Apple saque más y más productos hasta que los scalpers se queden sin fondos para bloquear las compras?

miércoles, 23 de noviembre de 2011

Troyanos del gobierno usan el bug de evilgrade en iTunes

Los troyanos gubernamentales se hicieron muy populares con el hackeo de anonymous a HBGary, donde se puedo comprobar como se estaban ofreciendo al gobierno soluciones como Task.B o 12 Monkeys para troyanizar máquinas. Después, con las revueltas de la primavera árabe se supo que el gobierno de Egipto estaba en realaciones para comprar FinFisher, otra solución de troyanos vendida públicamente a servicios de inteligencia.

FinFisher es una solución que tiene varios módulos y el llamado FinFly ISP, como informa The Register, muestra en un vídeo promocional, tal y como se se puede ver en la imagen siguiente, como se hace uso del bug de evilgrade en Apple iTunes reportado por Francisco Amato en el año 2008 y parcheado por Apple tres años después en la última actualización de iTunes 10.5.1

Figura 1: Captura del vídeo promocional en el que se explica cómo haer el evilgrade

Para poder hacer uso de este bug de evilgrade es necesario controlar los DNS mediante un ataque de man in the middle que se puede realizar de mil maneras distintas (Rogue WiFi AP, controlando los DNS del ISP, DHCP ACK Injector o un DNS Changer), pero lo que este tipo de ejemplo deja es claro la importancia de parchear un bug cuando éste es descubierto. Y vosotros, actualizar ya vuestro iTunes.

martes, 22 de noviembre de 2011

Aprende a desarrollar aplicaciones para iPhone e iPad

En este post solo queremos recordaros que la semana que viene va a tener lugar en la II Edición del Curso de Desarrollo de Aplicaciones iOS para iPhone e iPad. El curso se realizará en Madrid, en las instalaciones de Madrid On Rails y tendrá una duración de 25 horas. 

En esta primera formación se verán los conceptos necesarios para poder empezar a construir aplicaciones completas que puedan ser distribuidas a través de la Apple App Store o del repositorio Cydia

Los contenidos de este curos serán después completados con una formación mucho más avanzada que se impartirá en el  Curso Avanzado de Desarrollo de Aplicaciones iOS para iPhone e iPad que tendrá lugar en Madrid durante el mes de Diciembre. Tienes información detallada sobre los contenidos y el proceso de registro en los siguientes enlaces:

Mac OS X: Cómo acceder a los datos de otros usuarios del sistema aunque estén cifrados con FileVault/2 o TrueCrypt

La criptografía no es una bala de plata, es una frase que se suele decir muchas veces en el mundo de la seguridad informática. No importa si los datos están cifrados, ya que en algún momento habrá que descifrarlos, y es ahí donde pueden están inseguros.

Este es el caso que sucede con los sistemas de cifrado en Mac OS X cuando se inicia la sesión. Lo hemos probao con FileVault en Mac OS X Snow Leopard y FileVault2 en Mac OS X Lion y los resultados son los mismos en un entorno multiusuario. Vamos a verlo.

La creación de usuarios con permisos inseguros en Mac OS X

Como recordaréis, hace algún tiempo, os alertábamos de que la creación de usuarios en Mac OS X por defecto es insegura. Es decir, los permisos con los que se crean las carpetas de un nuevo usuario permiten el acceso de lectura a toda la estructura de archivos, lo que es malo cuando el equipo está siendo utilizado por varios usuarios al mismo tiempo, y que podía ser utilizado para permitir la elevación de privilegios dentro del sistema a través de privilegios inseguros de aplicaciones.

Cifrado de carpetas personales con FileVault o FileVault 2

Para garantizar que los datos de los usuarios en un sistema compartido permanecen confidenciales se puede utilizar FileVault en Mac OS X Snow Leopard o FileVault2 en Mac OS X Lion. El funcionamiento entre ambas versiones ha cambiado, pero podríamos resumir que en las dos versiones de FileVault se hace uso de criptografía para almacenar cifrados los datos en un solo objeto contenedor.

En el caso de FileVault en Mac OS X se puede observar que hay una fichero con el nombre del usuario oculto en la carpeta de los usuarios que está cifrado.

Figura 1: El contenedor cifrado de los datos del usuario manu
En esta situación, con el usuario manu sin iniciar sesión en el sistema, si el usuario administrador boludo de este ejemplo, haciendo uso de privilegios administrativos incluso, intenta acceer al contenido de la carpeta, no podrá ver nada, ya que el usuario no ha descifrado y montado su carpeta.

Figura 2: El usuario boludo no puede acceder a los datos del usuario manu. Están cifrados y sin montar.

Ahora bien, en el momento en que el usuario incie la sesión, y monte su carpeta, se podrá acceder a todo el contenido.

Figura 3: El usuario manu ha iniciado sesión, y ya se pueden acceder a todos sus datos

En FileVault 2 con Mac OS X Lion, el funcionamiento del proceso es exactamente igual, aunque no se ve el fichero oculto cifrado del usuario de esta forma.

Ataque en Background esperando el montaje

Visto esto, robar los datos cifrados con FileVault / FileVault2 o TrueCrypt en un sistema multiusuario es tan sencillo como hacer un proceso que se quede en background y que esté esperando a que el usuario los monte, para poder copiar esos datos, sin necesidad de utilizar los crackeadores de contenedores cifrados FileVault o DMG de que ya hablamos por aquí.

El punto de montaje de la carpeta del usuario es conocido, y para saber exactamente en qué punto se montan los contenedores de TrueCrypt, ya contamos que existe un fichero que puede consultarse para saber dónde se montan todos los volúmenes.

En cualquier caso, la solución sigue siendo sencilla: Proteger los permisos de las carpetas de los usuarios tras su creación. Algo que nos gustaría que por defecto estuviera mucho más fortificado.

lunes, 21 de noviembre de 2011

Más parches para más problemas con Thunderbolt

Desde su incio Thunderbolt está dándole bastantes quebraderos de cabeza a Apple. Es cierto que están siendo punta de lanza en el uso de esta tecnología y que están siendo un poco los cobayas, pero desde que salieron los primeros equipos con soporte para Thunderbolt el número de noticias de actualizacioens y las horas de trabajo que han tenido que echar ha sido alto.

Desde el punto de vista de estabilidad 


Desde el punto de vista de seguridad

No solo ha obligado a tener updates de estabildiad, sino que también hay controversia respecto a la seguridad del sistema. Ya antes de que se empezara a hacer uso de esta tecnología de manera extendida,  algunos investigadores como Robert Graham alertaban de los posibles riesgos de seguridad al conectar cualquier dispositivo Thunderbolt malicioso a un Mac OS X. Algo que pudimos ver después hecho con la aparición del software Passware que extrae las passwords desde la memoria de un sistema con Mac OS X Lion por medio de una conexión Firewire.

domingo, 20 de noviembre de 2011

Fue noticia en Seguridad Apple: del 8 al 20 de Noviembre

Hoy en España es día de elecciones generales, pero no vamos a faltar por ello a nuestra cita bi-semanal con el resumen de noticias publicadas durante este periodo - esta vez sí, el día correcto -. Vamos a ello, que como se va a poder ver, hay bastante que resumir.

Comenzamos el día 8 con la noticia de que el investigador de seguridad Charlie Miller había conseguido, a través de un aplicación en la App Store, ejecutar código no firmado por Apple dentro de un dispositivo sin jailbreak. Algo que tuvo como consecuencia la expulsión de Charlie Miller como desarrallor de aplicaciones para iOS.

Ese mismo día anticipamos las nuevas versiones que estaban ya en manos de desarrolladores y testers: Apple Safari 5.1.2, iOS 5.0.1 e iTunes 10.5.1, que al poco estarían en la calle.

El día 9 echamos un vistazo al paper de iSpy, el sofware de reconstrucción de mensajes tecleados en iPod Touch o iPhone, que hubieran sido grabados por una cámara de vigilancia. También ese mismo martes anunciamos la creación de la página de Seguridad Apple en Google+ para hacer que los usuarios de esa red social puedan seguir en su time-line las publicaciones de este blog. Un saludo para los que nos leéis desde allí.

El jueves 10 de Noviembre tocaron las actualizaciones de Java para Mac OS X Snow Leopard y Mac OS X Lion. 17 fallos de seguridad con nivel crítico que obligan a una rápida actualización de esta tecnología en nuestros Mac OS X.

El viernes de esa semana publicamos una reseña sobre el retiro del jefe de seguridad de producto de Apple tras, según muchas especulaciones, la pérdida del prototipo de iPhone 4S en un bar de San Francisco y la mala gestión posterior en el intento de recuperarlo. Para completar el día, un vídeo curioso en el que un Furby mantiene un interesante diálogo con Siri...ver para creer.

El sábado 12 dos posts de actualizaciones, primero el del parche de Adobe Shockwave Player, y después el de iOS 5.0.1, que es una actualización de seguridad crítica. La elección del número 5.0.1 quizá pueda llevar a muchos a pensar que era una actualización menor, y que solo se centra en los problemas de batería, pero soluciona problemas serios como el de saltarse el código en iPad 2 con la smartcover, el bug descubierto por Charlie Miller a través de la App Store, el bloqueo de entidades de certificación, etcétera. Así que, aplícala cuanto antes.

El domingo, una noticia inquietante: Un hombre llamó a emergéncias cinco veces para quejarse de que su iPhone no funcionaba bien. La policía se personó para explicarle qeu los servicios públicos no están para eso y al final acabó siendo detenido por resistencia a la autoridad. Mundo singular.

El lunes 14 de Noviembre publicamos un bug en los perfiles por defecto de la sandbox de Mac OS X descubierto por Core y que Apple ha confirmado que no va a parchear, y que se va a limitar a documentar ese caso en la información de la SandBox.

También esa tarde tuvimos un recordatorio para las nuevas versiones de firmware para los MacBook Pro, AirPot Base Station, Time-Capsule e impresoras Epson. A actualizar si te tocó.

El día 15, con la aparición de Apple iTunes 10.5.1 se soluciona un bug de Evilgrade reportado por el investigador argentino Francisco Amato en el año 2008. Tres años después de que se produjera el primer contacto se arregló por fin el bug.

El miércoles de esta semana hicimos un resumen del artículo publicado por nuestro compañero Chema Alonso, centrado en buscar metadatos e información oculta en documentos de Apple iWork, es decir, Pages, Numbers y Keynote.

El jueves 17 publicamos una curiosa herramienta llamada 4sqWiFi, que permite compartir las contraseñas de las redes WiFi cercanas a una posición GPS marcada en Four Square. ¿Legal, arriesgado, útil?

Ese mismo día también publicamos más información sobre el malware para Mac OS X DevilRoober (a.k.a OSX/Miner-D) que ha alcanzado la versión 3. Novedades en la arquitectura del mismo, que ahora busca el historial de comandos y las bases de datos de aplicaciones de gestión de passwords.

El viernes 18 un artículo sobre cómo comprobar si en tu Mac OS X hay un malware. Un artículo que te recomienda algunas acciones básicas como pasar un antimalware, usar un antirootkit, revisar los procesos de tu equipo, o analizar las aplicaciones sospechosas para, en última instancia, formatear el equipo ante la duda.

Esa misma tarde, un producto curioso del pasado: iCup, un calentador de bebidas USB, pero con la estética Apple.

Para acabar el resumen, ayer sábado dejamos publicado un vídeo y las diapositivas de una conferencia en c0c0n sobre "Pentesting iPhone Applications". Para disfrutar sentado en el sofá mientras se aprende alguna cosa interesante.

Y eso es todo, os recordamos que la semana del 28 comenzará en Madrid el II Curso de Desarrollo de Aplicaciones iOS para iPhone e iPad y que dentro de poco estamos en navidades, por lo que si compras ya los regalos ahorras y te quitas de problemas.

sábado, 19 de noviembre de 2011

Conferencia sobre "Pentesting iPhone Applications"

Hoy os vamos a dejar la presentación que se ha dado en C0c0n sobre Pentesting iPhone Applications. El responsable del contenido es SecurityLearn, y en la charla se focaliza en mirar la seguridad de las aplicaciones que funcionan sobre iPhone.



viernes, 18 de noviembre de 2011

Café con estilo y acorde con tu Mac: iCup

Los calentadores de café o infusiones USB no son nuevos, ya tienen muchos años, pero éste nos ha encantado por lo Apple que es:

Visto en Decoesfera

Tiene muchos años ya, pero no ha perdido glamour y su diseño sigue siendo elegante, como los productos Apple .... - sí, a nosotros nos gustan hasta los Macintosh raros - Buen fin de semana a todos.

Cómo saber si hay un malware en tu Mac OS X

Una de las peores sensaciones que se puede tener cuando se está trabajando con un equipo es la de que algún malware está instalado en nuestro equipo. No importa si es paranoia o hay indicios de una posible infección, en ese momento, hay que tomar medidas o nunca usarás más tu computadora a gusto. En este post intentaremos darte algunas recomendaciones para analizar tu equipo, probando algunas cosas sencillas que pueden ayudarte.

Primero el Antimalware

Todavía puedes encontrar a gente que dice que en Mac OS X no hay malware, pero la lista de troyanos, gusanos, y software malicioso del que puedes haber sido víctima tú o alguien que haya usado el mismo sistema es amplia. De los conocidos este año, solamente, hemos tenido cosas como OSX/Tsunami, OSX/Miner-D, OSX/FlashBack, MacDefender y OSX/Revir, pero también tenemos troyanos como DarkCometX RAT o Hellraiser que pueden haber sido instalados por alguien que haya tendio acceso al sistema o mediante ingeniría social.

Figura 1: Bitdefender para Mac OS X

Todo ese malware está firmado ya por los múltiples antivirus que existen para Mac OS X, así que instala uno profesional, como por ejempolo Bitdefender para Mac OS X, y escanea completamente tu sistema en busca de cualquier fichero sospechoso.

Busca los rootkits

Es cierto que las técnicas más avanzadas utilizadas por el malware pueden ser lo bastante efectivas como para ocultar los procesos en los resultados que muestran los comandos, como hacen los rootkits, así que, por si hay algún proceso oculto en tu sistema te recomendamos utilizar un antirootkit para Mac OS X, como por ejemplo OSX Rootkit Hunter

Figura 2: OS X Rootkit Hunter

Los procesos

Una vez que hayas buscado el malware y los rootkits, podrías analizar los procesos de tu sistema. Tal vez esos comportamientos extraños de tu equipo no se deban a software malicioso, sino a algo que funciona mal, así que puedes intentar catalogar todo lo que se está ejecutando en tu sistema. Para sacar una lista de todos los procesos que se están ejecutando, utiliza un comando como ps -A.

Figura 3: Salida del comando ps -A

Respecto al comando ps, también vimos ya, como podíamos utilizarlo para detectar procesos ejecutándose en backgroung, que alguien hubiera querido ponernos para hacernos una jugarreta.

Triviaware: Analisis de la salida de ps

Tanto si eres un usuario normal, como si eres un técnico, es probable que te cueste identicar todos los procesos de tu sistema. Por eso existe proyectos como el de Triviaware que permite analizar los nombres de todos procesos de Mac OS X para entender qué puede ser ese proceso en concreto en función del nombre y la ruta. Para que sea fácil, basta con volcar la salida del comando ps -A a un fichero de texto y enviarlo a la web de proyecto, para obtener la información que el sistema tiene de ellos.

Figura 4: Proyecto de Triviaware

Por supuesto, como se puede ver en la imagen siguiente, hay algunos que no están catalogados, por lo que el proyecto los mostrará con un icono en el que se da la opción de buscar más información en Google de lo que podría ser ese proceso en concreto.

Figura 5: Resultados del análisis. Los no reconocidos aparecen en azul

Procesos uno a uno con macinside

Otro sitio para mirar los procesos de un sistema con Mac OS X en función de su nombre es macinside, que cuenta con un buscador donde basta con poner el nombre del proceso y se obtiene una pequeña descripción de lo que puede ser ese proceso en concreto.

Figura 6: Resultados del buscador

Este proyecto tiene también una pequeña herramienta que escanea el sistema para realizar una labor similar a la de búsqueda de procesos. Lo que hace el escaner es algo al similar al proyecto de triviaware, enviando la lista de procesos y mostrando en la web los resultados.

Figura 7: Lista de procesos encontrados

¿Sospechas de alguno? Usa instruments

Un malware podría utilizar un nombre de proceso utilizado por algún programa catalogado que no sea muy extendido, simulando ser algo más normal. Lo ideal sería poder contar con una lista de procesos firmados digitalmente que nos permitiera garantizar que todo lo que se está ejecutando es lo que debe estar, pero la complejidad del ecosistema de software que hoy en día tenemos en un Mac OS X hace que sea dificil.

Así que, si después de haber comprobado todo tienes sospechas de alguna aplicación en concreto, entonces puedes utilizar Instrumets y comprobar a qué partes del sistema está accediendo ese programa.

Figura 8: Instruments analizando una aplicación en el sistema

Después de haber hecho todo esto, si te siguen quedando dudas, no te lo pienses, reinstala el sistema completamente. Es mejor empezar de cero a vivir con sopechas o paranoias.

jueves, 17 de noviembre de 2011

DevilRobber (a.k.a. OSX/Miner-D) llega a versión 3

Parece que DevilRobber se está convirtiendo otro de esos malwares activos y en continuo desarrollo. En la última versión analizada por F-Secure parace que nos encontramos ya ante la versión 3.0 de este malware que venía originalmente a robar y genera bitcoins, pero que evolucionó para robar datos.

Figura 1: v3 en el dump

Según el análisis realizado este malware está descargándose ahora mediante un dropper que viene incrustado ahora en una copia pirata de PixelMator, es decir, ha mutado de herramienta a infectar. El backdoor se descarga desde tres servidores FTP protegidos por passwords que vienen hardcodeadas en el código.

Figura 2: Los servidores FTP desde los que se descarga el backdoor en el código

Además, en esta versión el troyano realiza algunas cosas muy peligrosas, como buscar la historia de comandos de la shell, el fichero log del sistema y la base de datos de 1Password, utilizada para guardar credenciales de forma segura de todos los servicios online de un usuario. Por otro lado, parece que se han eliminado un par de funciones, como son la de realizar capturas de pantalla o buscar el firewall de aplicación LittleSnitch para intentar deshabilitarlo.

Lo más peligroso es que, como siempre, nos enteramos de todo esto cuando el troyano está siendo utilizado, se ha podido detectar y analizar. ¿Cuánto nos lleva de ventaja el malware? ¿Cuántos hay ya infectados con este troyano?

4sqWiFi para encontrar redes WiFi vía Foursquare

4sqWiFi es una de esas herramientas que llaman la atención por sí mismas ya que permite al usuario detectar redes WiFi cercanas y lo que es más interesante, cual es su clave. Sin embargo, no es una de esas herramientas de wardriving de las que tanto hemos hablado en este blog como puede ser WiFiFoFum, ni es una herramienta de cracking de passwords por defecto como WlanAudit o iWep, ni por descontado una herramienta de cracking como aircrack para iPhone.

No, es una aplicación de consulta que se puede obtener de forma normal desde la propia App Store y de manera gratuita. La pregunta que surge es... ¿cómo está pensada para funcionar esta aplicación? El funcionamiento es sencillo, 4sqWifi está atada a una API de Foursquare la cual permitirá al usuario ver los sitios WiFi que tiene registrados y sobre los cuales otros usuarios han almacenado la contraseña de acceso.

Sí, en este punto nos imaginamos que estás pensando... ¿y cómo llegó la password allí? Pues en teoría deben ser contraseñas públicas ofrecidas por instituciones, empresas, museos, o similares, o personas que decidan compartir su conexión de forma gratuita. La aplicación dispone de un mapa en el cual se puede obtener la geolocalización de los AP y ver su contraseña en "directo". La aplicación es capaz de indicarnos la distancia a la que nos encontramos de dicho AP y darnos su credencial de acceso. 


Por supuesto, controlar que las passwords que se publiquen no hayan sido obtenidas de forma ilícita siempre es complicado, y alguno puede utilizar este servicio para comunicar passwords que hayan sido crackeadas, aunque para eso la comunidad de amantes del wardriving ya tienes sus propias herramientas, así que hemos de suponer que la mayor parte de estas serán, o claves públicas... o "filtraciones" de passwords de hoteles, restaurantes, etcétera.

Pero mucho ojo

La gestión de las credenciales está basada en las aportaciones de los usuarios, así que no hay garantía de que después del paseo hasta la WiFi más cercana consigas el acceso. Pero lo que se debe tener en cuenta es que hay muchos amantes del Rogue AP, el man in the middle y el sslstrip, lo que puede llevarte a que, por ahorrar en la tarifa de datos acabes en las garras de algún honeypot que te robe o infecte, por lo que acostúmbrate a usar con cuidado esas redes WiFi gratuitas que "tan amablemente te ofrecen".

miércoles, 16 de noviembre de 2011

Metadatos e información oculta en Apple iWork

Nuestro compañero Chema Alonso ha publicado un artículo en cuatro partes en las que ha analizado los metadatos y la información oculta que se puede extraer de los documentos Apple iWork. En él, se desgrana la estructura de los ficheros que utilizan Numbers, Keynote y Pages para almacenar la información, y vamos a pasar a hacer un resumen de los puntos más importantes.

Los documentos .pages, .numbers y .key son archivos comprimidos que contienen una estructura de carpetas. En la lista de ficheros se puede encontrar:

- BuildVersionHistory.plist: Fichero que almacena, en codificación plist, el historial de versiones del documento. Permite hacer un time-line de trabajo con el documento.

Figura 1: Estructura de un documento .pages y contenido del fichero BuilVersionHistory.plist

- Fichero maestro: llamado index.xml en .numbers y .pages, y index.apxl en .key. En este fichero se puede encontrar información en elementos XML que pueden encontrar los propios metadatos generados por el usuario en el documento hasta información oculta no esperada por el usuario como son rutas locales del equipo donde se creo el documento, información de la impresora configurada, datos sobre las diferentes versiones y usuarios que han trabajado en el documento e, incluso, la versión del sistema operativo con que se estaba trabajando.

Figura 2: Impresora en fichero index.xml
Figura 3: Versión del sistema operativo en documento index.xml

- Archivos vinculados: Se encuentran en la carpeta principal del fichero contenedor y son archivos que se utilizan en la composición del documento. Traen los metadatos y la información que tuvieran antes de ser utilizados, y por lo tanto puede ser información propia del usuario o del creador del mismo

- Archivos incrustados: Se encuntran dentro de la carpeta Thumbs, y son generados por la herramienta de Apple iWork que maneja el documento. No guardan mucha información, pero en ellos es posible reconocer información tan curiosa como el perfil de color, lo que podría indicar exáctamente el modelo hardware utilizado en el sistema.

- Archivo Thumbnail: Es una imagen que contiene una previsualización de la primera página del documento. Esta imagen, al igual que los archivos incrustados mantiene información del perfil de color configurado en la máquina en la que se creo el documento, que podría llegar a ser de interés en un análisis forense si identifica a un modelo de equipo concreto.

Figura 4: Perfil de color creado para un iMac

- Archivo Preview.pdf: En algunos documentos se matiene una previsualización en formato PDF dentro de la carpeta QuickLook. Este archivo contiene metadatos que son añadidos por la utilidad que se tenga configurado en el sistema para la creación de este tipo de archivos. Curiosamete, duplican metadatos como autor, sistema operativo, etcétera, y no pueden ser manipulados desde las herramientas de Apple iWork, lo que lo hacen especialmente sensible.

Figura 5: Metadatos en Preview.pdf

Este es un resumen de lo publicado en El lado del mal, pero si deseas leer en profundidad el artículo completo puedes hacerlo en los siguientes enlaces:


Por desgracia, Apple iWork solo tiene opciones de visualización del contenido del elemento metadata en el fichero index.xml / index.apxl y no tiene ninguna opción ni herramienta que avise o limpie esta información, así que, si vas a publicar un documento en estos formatos, te recomendamos que tengas especial cuidado con la información que provees sin querer.
Artículos relacionados

Otras historias relacionadas

Entradas populares