Menú principal

lunes, 30 de abril de 2012

iFunBox: Inspeccionar los archivos de un iPhone o iPad

Actualmente existen gran cantidad de herramientas de análisis forense. La mayoría de estas utilidades tiene un buen montón de características que las convierten en poderosas compañeras para realzar análisis forenses a dispositivos móviles de manera profesional. Algunas de ellas son Oxygen Forensics Suite, Device Seizure (UFED), Forensics Toolkit (FTK), Mobil!edit Forensics, Lantern, o BitPim, de las que intentaremos ir contando cosas por aquí.

Aunque en este post se pretende hablar de herramientas que no estén tan orientadas al análisis forense, y si a los usuarios particulares que quieran revisar el sistema de archivos del dispositivo, es decir herramientas tales como iFunbox, DiskAid o iExplorer que permiten inspeccionar la estructura del terminal de manera cómoda y descubrir cosas interesantes.

Para este post se ha elegido la herramienta iFunBox, que se encuentra disponible tanto para el sistema operativo Windows [i-Funbox], como para Mac OS X [iFunBoxMac]. Con este tipo de herramientas, donde se puede navegar, descargar archivos del dispositivo y poner archivos en él, se pueden realizar cosas como:

- Navegar por el sistema de ficheros del terminal móvil. Hemos estado probando con distintas versiones de iPhone y distintas versiones de iPad, algunas con jailbreak y otras sin él. Según si el dispositivo tiene hecho el jailbreak o no, se puede ver completo o no, el sistema de ficheros, tal y como se aprecia en la siguiente captura:

Figura 1: Sistema de ficheros de un iPhone 4S (Jailed) y un iPhone 4 (Jailbreak)

Juice Jacking: En cualquier caso, queda claro que las técnicas de Juice Jacking pueden acceder a gran parte del contenido del sistema de ficheros, entre los que destacan las fotografías, notas, datos de Safari, o grabaciones. Si el terminal tiene hecho el jailbreak, lo que se puede obtener es mayor.

Figura 2: Aspecto del explorador que presenta iFunBox

- Analizar la sandbox de una aplicación deseada. Conocer cómo se comporta una aplicación iOS y encontrar en ella fallos de almacenamiento seguro, como el del PIN del passcode de Dropbox, o el hijacking de a la aplicación Facebook, puede hacerse revisando su sandbox en el sistema. Nosotros hemos probado a ver que se veía en la aplicación Secure Folder Pro, que en teoría permite almacenar de forma segura tus fotos, videos, contactos, notas, tarjetas de crédito y contraseñas.

Además si se indaga un poco por la estructura de carpetas de la aplicación - en este caso desplegando la carpeta MyProtectedFiles.app, tal y como se muestra en la siguiente captura -, se puede obtener pistas de cómo está hecha la aplicación. En este caso por ejemplo, se aprecia que se ha utilizado un framework bajo licencia del MIT, llamado KTPhotoBrowser.

Figura 3: iFunBox navegando por la estructura de la aplicación MyProtectedFiles

Luego se aprecian otras carpetas típicas de la arquitectura de una aplicación iOS - consultar con esta web para comprobar qué son algunas de esas carpetas -, donde llama la atención una carpeta llamada docroot. En este caso son archivos necesarios para que funcione el servidor Http que se permite lanzar con esta aplicación.

- Utilizar el terminal para transportar documentos, como si de un pendrive se tratase. Se guardan los ficheros en la pestaña General Storage (ver Figura 2).

- Obtener datos importantes del sistema: Si el dispositivo tiene jailbreak se pueden obtener ficheros con información sensible, como por ejemplo, las bases de datos de llamadas recientes, contactos, histórico de navegación, y otras muchas… Al final, si se conocen dónde están los datos del sistema se puede hacer el análisis forense de forma manual.

Figura 4: Contenido de la base de datos call_history.db, con el histórico de llamadas realizadas

Evidentemente iFunBox no es como las herramientas de análisis forense profesionales, con las comodidades de pulsar un botón y listo, y tampoco pretende suplantar a una conexión terminal al dispositivo para acceder a los ficheros. Pero puede servir para obtener información del dispositivo, de los datos y de las aplicaciones instaladas. Por supuesto, es en el caso de que el dispositivo tenga jailbreak es cuando se puede obtener más información.

Si estás interesado en el análisis forense de dispositivos móviles, los próximos días 3 y 4 de Mayo en Informática64 impartiremos un Curso de análisis forense de dispositivos móviles en el que podrás ver herramientas profesionales como Oxygen Forensics y utilidades como iFunBox para que las uses cuando mejor te vengan.

domingo, 29 de abril de 2012

Crackear password del backup de Apple iTunes

La seguridad de los datos de un iPhone o iPad dependen también de la protección que se realice al backup del mismo. De hecho, herramientas de explotación de sistemas como Metasploit tiene un módulo especial de post-explotación llamado Apple_iOS_Backup, para buscar y extraer información de ellos en los sistemas operativos vulnerados. Es por ello, que como protección extra de seguridad, Apple iTunes permite crear una contraseña para cifrar toda la información del backup en el equipo.

Figura 1: Establecer password de cifrado para el backup de iTunes

Como explica Alejandro Ramos en Security By Default, a finales de febrero se liberó la herramienta de cracking de contraseñas Ivan Golubev's Password Recovery Suite (IGPRS), que entre otras contraseñas es capaz de recuperar la password de cifrado de un backup de Apple iTunes. Esta herramienta utiliza fuerza bruta ayudándose en la utilización de GPUs, para obtener la contraseña de los backups de Apple iOS 4.x y 5.x, además de los backups de BlackBerry 5.x y 6.x, la contraseña de volúmenes TrueCrypt y del Handshake WPA/WPA [Crackear WPA/WPA2].

En el caso concreto del backup de Apple iTunes, la contraseña se usa como entrada de un algoritmo PBKDF2 (RFC 2898) para después de generar 10.000 iteraciones obtener una clave derivada que se utilizará para cifrar el contenido del backup. Esto se hace para evitar que sea rápido computacionalmente conseguir la password original a partir de un texto cifrado. Aunque sea lento, es posible, y esta herramienta implementa el ataque.

Figura 2: IGPRS crackeando una password de un backup de Apple iTunes

Para usarla en la recuperación de la clave hay que seleccionar el archivo Manifest.plist que está en la ruta:
[Windows Vista/7] C:\Users\(usuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\(hash)\Manifest.plist
[Windows XP] C:\Documents and Settings\(username)\Application Data\Apple Computer\MobileSync\Backup\(hash)\Manifest.plist
[Mac OS X] ~/Library/Application Support/MobileSync/Backup/(hash)/Manfiest.plis
t
La versión de IGPRS por el momento sólo está disponible para sistemas operativos Microsoft Windows, y puede descargarse desde la web de Ivan Golubev.
- Descargar IGPRS [zip 6.1 MB]
- Descargar IGPRS version x64 [zip 7.1 MB]

sábado, 28 de abril de 2012

Oracle distribuirá Java para Mac OS X

Uno de los más damnificados con todo el asunto del malware para Mac OS X ha sido Oracle y la tecnología Java. Muchos llevan señalando a Java con el dedo por la aparición de bugs de seguridad que son utilizados por los criminales desde hace tiempo y Oracle ha tomado una decisión para mejorar la seguridad de sus usuarios: Se encargará de distribuir Java para Mac OS X y sacará las actualizaciones al mismo tiempo que lo hace para Linux y Windows.

Tras este primer anuncio han puesto a disposición pública la versión Java JDK SE 7 Update 4 y Java FX 2.1 también disponibles para Mac OS X Lion. Pero antes de que empieces a instalar esta versión para estar actualizado y seguro conviene que tengas presentes algunas cosas.

Lo que Oracle acaba de poner a disposición pública son paquetes de desarrollo de aplicaciones con Java, mientras que Apple está distribuyendo sólo el RunTime de Java, es decir, el JRE (Java RunTime Environment). A día de hoy Oracle no ha publicado el JRE para Mac OS X, así que si instalas Java JDK SE 7 Update 4 vas a instalar el Java Development Kit - además del JRE -.

Figura 1: Java Development Kit SE 7 Update 4 para Mac OS X (64 bits)

En segundo lugar debes saber que en esta actualización no hay ningún bug de seguridad solucionado tal como puedes consultar en las notas de la versión. De hecho, el Security Baseline, es decir, el número de versión de seguridad no ha variado con la que distribuye Apple. 

Figura 2: Java SE Security Baseline

Además, hay una cosa que nos tiene un poco despistados, y es la rama de la versión de Java. En la última actualización de Java que Apple hizo para Mac OS X Lion, la versión que se distribuyó del JRE era la 1.6.0_31, mientras que en Java JDK SE 7 Update 4, la version que se distribuye para estas plataformas es la 1.7.0_4. Esto implica un cambio de rama en Java que tal vez cree algún problema de incompatibilidad con alguna aplicación, así que antes de lanzarte a una actualización masiva, testéalo bien en tu entorno.

Figura 3: Versión de Java para Mac OS X

Por último, hay que recalcar que esta versión sólo es válida para Mac OS X Lion y superiores, aunque nos hubiera encantado que Oracle hubiera dado soporte a Mac OS X Leopard, abandonado por Apple hasta el punto de recomendar inhabilitar Java.

En cualquier caso, nos parece bien que Oracle de un paso al frente y anuncie que habrá actualizaciones de Java para los usuarios de Mac OS X, aunque esto ya se venía venir, porque parece claro que el camino de Apple es hacer lo que ya hace Microsoft: Dejar que Oracle se ocupe de Java.

viernes, 27 de abril de 2012

Onion Browser: Navegación por TOR en iPhone o iPad

Las redes TOR (The Onion Routing) permiten que el cliente origen consiga tener oculta la dirección IP de origen. Esto garantiza cierto anonimato que ayuda a evitar que el servidor al que uno se conecta pueda descubrir información del usuario por medio de la dirección de conexión. Onion Browser es un navegador web para dispositivos con iOS que permite navegar a través de las redes TOR desde un terminal iPhone o iPad, trayendo estas posibilidades de privacidad a los dispositivos de Apple.

El uso de la aplicación no requiere de privilegios especiales, por lo que no es necesario que el dispositivo tenga realizado el jailbreak. De hecho el navegador se puede comprar en la App Store a un precio de 0.99 USD que serán destinados a la fundación que está detrás del proyecto TOR, con el fin de continuar dando soporte a esta tecnología.

Figura 1: Onion Browser en iPhone. Configuración

Si lo deseas, desde hace tiempo tienes disponible un cliente TOR para Mac OS X, por lo que podrías hacer uso de la misma tecnología en tu equipo, pero os queremos recordar que conectarse a través de redes TOR garantiza el anonimato de la dirección IP de conexión, pero que no deja de ser un esquema de "hombre en medio" que podría utilizarse de manera maliciosa.

Figura 2: Probando Onion Browser en iPhone

En la prueba de concepto que realizamos para el estudio de "Owning bag guys {and mafia} with javascript botnets" durante un tiempo realizamos un esquema similar a través de redes TOR, aunque al final uno de los tests nos detectó y decidimos dejarlo. En cualquier caso, evita el envío de información sensible a través de redes TOR, navega con el software actualizado y elimina cualquier contenido Javascript de la caché una vez terminada la navegación.

jueves, 26 de abril de 2012

Malware en Mac OS X: Status de Guerra

Últimamente el número de noticias sobre el malware en Mac OS X se ha disparado, y la cantidad de información que llega relativa a todos los frentes abiertos tiene a muchos usuarios preocupados. Quizá lo más preocupante de todo lo acontecido esta semana es el informe de Shopos que deja el títular de que 1 de cada 5 equipos con Mac OS X posee malware.

Por supuesto, no hace falta decir que el malware más encontrado es OSX/FlashBack Trojan - que en ellos catalogan como OSX/Flshplyr, seguido de los FakeAV, o lo que es lo mismo, los falsos antivirus liderados por MacDefender y todas sus variantes. En tercera  y cuarta posición aparecen OSX/RSPlug y OSX/Jahlav, malware de tipo DNS Changer.

Figura 1: Top malware descubierto en Mac OS X

En el trasfondo del titular, que recoge no sólo el malware activo detectado en equipos Mac OS X que estaba diseñado para Mac OS X, sino que también se ha descubierto malware para Windows que aunque no estaba activo, sí que hace a estos equipos portadores de infecciones.

Figura 2: Top de malware para Windows descubierto

OSX/FlashBack.S 

Sin embargo, a día de hoy, lo más impactante en el mundo de malware siguen siendo las estimaciones de infección de FlashBack Trojan. Después de haberse estimado inferiores a 100.000 para después darse cuenta de que no estaban bien hecho los cálculos, la estimación de infectados es de 650.000 equipos.

Estos datos están en continua variación, ya que el malware sigue activo y evolucionándose. La última variante descubierta esta semana, que ha sido bautizada como OSX/FlashBack.S, sigue utilizando la vulnerabilidad de Java ya parcheada por Apple, pero ha cambiado su modus operandi. Una vez se ejecuta, se copia en las siguientes ubicaciones:
~/Library/LaunchAgents/com.java.update.plist 
~/.jupdate 
Y luego borra todo el contenido de la caché ~/Library/Caches/Java/cache para eliminar el Applet usado en la infección y dificultar la labor de los analistas de malware en la recogida de muestras, dificultar la detección del mismo o conocer dónde se copió. De hecho, esta última variante del malware evita instalarse si hay un motor antimalware que va a detectarla, lo que deja a las claras la profesionalidad del malware.

La distribución por WordPress

Para conseguir la distribución masiva de este malware ha sido necesario infectar muchos sitios web para lanzar el exploit y ejecutar el malware. Según un estudio de WebSense, el trabajo se hizo infectando entre 30.000 y 100.000 sitios que usaban Wordpress que eran infectados con un sencillo código en el pie de página.

Figura 3: El código de la infección en WordPress

Ese código dirigía a los visitantes a, según cuentan desde Trend Micro, sitios con BlackHole, uno de los kits de explotación más comunes, para lanzar el Rogue AV de turno, dependiendo de si el sistema operativo de la víctima era Windows o Mac OS X.

Éste es un esquema de distribución tradicional del mundo del malware que explican en el libro de Fraude Online, y que puede infectar a sitios como la propia  web de Apple, o el Servicio Postal Americano, infectado por BlackHole.

Mac OS X y Windows

La conclusión de todo esto es que para los criminales del malware, el que la víctima sea Windows o Mac OS X ha dejado de importar. Ya tienen los troyanos creados para todas las plataformas y sus esfuerzos se basan en las otras partes del proceso de negocio: Infectar webs, conseguir exploits, saltarse los sistemas antimalware y monetizar las infecciones.

Esto obliga al ecosistema Mac OS X, compuesto por la propia Apple, los fabricantes de software y los usuarios, a tomar esta amenaza en serio. Apple tiene que mejorar sus procesos de seguridad y las tecnologías de protección

Eugene Kaspersky dijo esta semana que la seguridad en los productos Apple está 10 años por detrás de la seguridad en Microsoft. Suponemos que dijo esto en relación a los 10 años que Microsoft invirtió en la TrustWorthy Computing Initiative y que ayudó a la compañía a mejorar procesos, comunicación con usuarios y mejorar las tecnologías de seguridad en sistemas Windows.

En cualquier caso, lo que debemos hacer los usuarios de cualquier tecnología es conocer los riesgos y tomar las medidas de protección que puedan ayudarnos a estar más protegidos.

miércoles, 25 de abril de 2012

Fortificación de AppleID con preguntas y correo alternativo

Desde hace muy poco tiempo se está solicitando a algunos usuarios poseedores de un AppleID, algunos datos de seguridad adicionales para mejorar la seguridad de la cuenta. Así que si tu iPhone o iPad te solicita que selecciones y respondas a tres preguntas de seguridad, no es un engaño, es una petición que hace la propia Apple para reforzar la seguridad en los accesos que se realizan utilizando las cuentas AppleID de cada usuario. En la siguiente captura se pueden ver dichas preguntas de seguridad:

Figura 1: Preguntas de seguridad en Apple ID

Este mismo mensaje de seguridad aparece en la versión de iTunes de escritorio, y parece que se está aplicando a todas las transacciones (descargas, actualizaciones, etcétera) que se realizan con un AppleID. Aunque en Informática64 se han hecho varias pruebas y no se solicita en todos los casos, por lo que queda comprobado que esta nueva medida para proteger los accesos a las cuentas de usuario, se está realizando progresivamente y de manera selectiva.

Según algunos usuarios algunas de estas preguntas pueden solicitar información confidencial, bueno más que confidencial, un poco íntima (ciudad de tu primer beso, tu peor profe, …). Tales preguntas, según alega Apple, no son con el fin de obtener información confidencial del usuario, ya que además según la compañía de la manzana, los datos están protegidos lejos de ojos curiosos, ya que se transmiten y se almacenan de manera segura. Es más bien, por el hecho de aumentar la protección de la cuenta AppleID de cada usuario, afirma la compañía.

Otro hecho en el que se fundamenta Apple para sustentar estas preguntas, es que, como bien conocido es por todos, varias cuentas de famosos han sido hackeadas, y es que es muy fácil encontrar datos personales de famosos en la red, y responder a preguntas confidenciales, con tan sólo un ratito de búsqueda en Internet.

Además de las preguntas se solicita una cuenta de correo, distinta de la de la cuenta AppleID, y que según Apple, se utilizará solamente para ayudar a resolver los conflictos de recuperación de contraseña, así que configura una cuenta segura y de confianza.

Para aquellos curiosos que deseen forzar al dispositivo a que realice las preguntas de seguridad, y así poder verlas con sus propios ojos, hay que decir que no es posible. Pero al realizar una descarga o compra te puede ocurrir a ti.

Apple no da muchas más explicaciones, pero sin duda alguna tiene que estar muy relacionado con el turbio asunto de desapariciones de crédito en iTunes y las mafias que roban dinero por iTunes - aunque algunos sean meros amateurs y acaben en la cárcel.-. 

Si te sale esta opción de fortificación, recuerda:
a) No pongas preguntas con respuestas que se puedan adivinar por Internet
b) No pongas preguntas con respuestas que conozcan tus familiares o "amigos".
c) No asocies una cuenta de correo electrónico que uses desde equipos "inseguros".
d) Fortifica la cuenta de correo electrónico que asocies.
e) No te olvides de las respuestas a tus preguntas, o puede que nunca recuperes la cuenta.

martes, 24 de abril de 2012

Traficantes camuflan iPhone 4S en botellas de cerveza

Han sido muchos los intentos por traficar con los productos Apple. De estas historias nos quedamos con la de la mujer que llevaba 44 terminales iPhone en las medias y con la manera en que cableaban los iPad por encima de la Gran Muralla China. En esta ocasión se ha presentado una nueva modalidad de camuflaje en China, donde una mujer de avanzada edad ha sido detenida al intentar introducir 200 nuevos terminales móviles iPhone 4S dentro de botellas de cerveza vacías. Este hecho ha sucedido en la ciudad de Hong Kong, una de las ciudades con mayor poder económico del país, donde se concentra gran parte el tráfico comercial de China.

Figura 1: Los policías extrayendo los terminales de las botellas

La anciana ha sido detenida en la frontera entre Sha Tau Kok de Hong Kong y Shenzen, cuando fue descubierta por los empleados de aduanas, los cuáles se dieron cuenta de la situación mientras realizaban la comprobación rutinaria de las botellas vacías que iban a pasar por sus dependencias. Estas botellas supuestamente estaban siendo trasladadas para ser recladas en su destino, pero notaron que algunas botellas pesaban más de lo normal.


También observaron que tenían la marca de un corte perfecto a la mitad de la botella, es decir, la botella de 750 ml había sido cortada cuidadosa y precisamente para poder ser cargada, cada una de ellas, con 3 dispositivos iPhone 4S. Por último pegaba las 2 mitades de la cerveza perfectamente volviendo así a su estado natural pero con los móviles dentro.

La gran demanda de estos teléfonos, nos deja historias como ésta o hechos como el acontecido en una fábrica de producción de Shanghai, en la que se reparaban móviles con piezas falsificadas y el jefe de la operación fue condenado a tres años de cárcel mientras que cada uno de los trabajadores fue condenado a una pena de 18 meses.

lunes, 23 de abril de 2012

Infectados con FlashBack Trojan son más de lo calculado

Las noticias reportaron que el número de equipos Mac OS X infectados por FlashBack Trojan llegó hasta los 600.000, y que a día de de hoy decrece con cierta velocidad, después de los esfuerzos de Apple, la comunidad de empresas antimalware y el ecosistema de desarrolladores de software que están tomando las medidas a su alcance - como el caso de Firefox -.

Figura 1: Estimación de infectados por Symactec

Sin embargo, desde Intego han hecho una interesante reflexión que ha levantado las alarmas en cuanto al tamaño de la infección conseguida, al analizar el funcionamiento de la búsqueda del Panel de Control (C&C) de la botnet por parte de sus víctimas, que es lo que se está utilizando para calcular los tamaños. 

FlashBack Trojan lleva en su código un sistema de búsqueda del C&C basado en la generación de un dominio nuevo cada día. Este dominio, como se puede ver en el gráfico generado por Symantec, es buscado en varios Top Level Domains (TLD), es decir, en .net, .com, etcétera.

Figura 2: Algoritmo de generación de nombres para el C&C

Cuando un equipo encuentra el dominio en el TLD .net, no continúa buscando en los otros. El error ha sido generado porque las cuentas se han basado siempre en que se conectaba a todos los TLD, con lo que bastaba con monitorizar uno de ellos para tener el número total de los infectados.

Dr. Web, la primera firma que estimó el tamaño de la botnet, ha confirmado este comportamiento por parte de los bots, por lo que parece que las previsiones de que ahora mismo estemos en algo menos de 30.000 equipos infectados parecen erróneas, y el número total de equipos infectados puede haber sido mucho mayor que los 600.000 reportados incialmente. En cualquier caso, toma precauciones para no ser uno de ellos, sean ellos cuantos sean.

domingo, 22 de abril de 2012

Fue noticia en Seguridad Apple del 9 al 22 de Abril

... Y catorce días han pasado ya desde el último resumen de esta sección bisemanal. Así que vamos ya con lo publicado en estas dos semanas en Seguridad Apple, para que no te pierdas ninguno de los temas tratados.

Comenzamos el día 9 con una reflexión interna sobre el problema de que las Actualizaciones de Software y los Parches de Seguridad de Mac OS X sean distribuidos por el mismo canal de Software Update. Algo que nosotros pensamos que incide negativamente en el ratio de usuarios actualizados y que Apple va a corregir en OS X Mountain Lion.

Ese mismo día publicamos también el UUID Checker publicado por Dr. Web que permitía consultar si tu equipo Mac OS X estaba infectado por FalshBack Trojan y con el que se estimaba un 1% de ratio de infección mundial de los equipos con Mac OS X.

El día 10 la noticia fue el descubrimiento de que por medio de un par de ficheros era posible hacer Hijacking a aplicaciones como Facebook o DropBox en iOS. Dichos ficheros pueden ser robados de terminales con Jailbreak o de los backups de los mismos en los equipos en donde se hagan. Eso sí, en todo caso hay que tener acceso al terminal.

El miércoles 11 os recordamos la realización del Curso de Análisis Forense en Dispositivos Móviles que se iba a realizar y que va a tener su siguiente edición en el mes de Mayo en Pamplona, así que reserva ya su plaza.

El día 12 la noticia fue para una actualización de seguridad de Adobe en Acrobat y Reader que solucionaba 4 CVEs de nivel crítico y por el que os recomendamos actualizar lo antes posible.

El viernes 13 - mal día - la noticia se la dedicamos al artículo de la Knowledge Base en el que Apple reconocía en su base de conocimiento que había malware para Mac OS X, y con el que sacaba la herramienta de limpieza de FlashBack Trojan junto con la tercera actualización de Java en una semana.

El sábado, para continuar con la inercia, la noticia fue para otro malware, esta vez OSX/Sabpab, que también estaba utilizando bugs de Java para distribuirse entre equipos Mac OS X.

El domingo os presentamos el nuevo libro de Informática 64 dedicado al Desarrollo de Aplicaciones iOS para iPhone & iPad que ya puedes comprar online. Más de 300 paginas dedicadas a Objetive-C, COCOA, persistencia de datos, aplicaciones cliente/servidor, etc...

El lunes, para cambiar el tercio, os publicamos una "broma pesada de oficina" que podéis realizar a vuestros compañeros con MacBook bajando el brillo de la pantalla hasta apagar el monitor, incluso con la sesión bloqueada. El ataque de la F1 le llamamos.

El 17 de Abril le dedicamos la entrada a dos personajes que aparecen en defensa de Apple cuando aparece algún fallo de seguridad: Fanboy y ChumChum. No seas uno de ellos.

El miércoles 18 le dedicamos el post a la nueva información de OSX/SabPab que había aparecido, en la que se confirma que estaba siendo usado como parte de la campaña contra las ONG pro-Tibet y que también estaba utilizando un viejo bug de Office para mac.

El jueves de esta semana las noticias ya hablaban de una reducción a algo menos de 100.000 equipos infectados con OSX/FlashBack - aunque como veremos esta semana que viene ya se dice que esos cálculos son erróneos -. Además se publicó el algoritmo de generación de nombres de dominio para el C&C de la botnet, lo que podría permitir saber si hay equipos infectados en tu red controlando la resolución DNS para esos equipos.

La noticia el viernes 20 fue el aviso de la fundación Mozilla de que iba a deshabitar Java de Firefox en aquellos equipos Mac OS X en los que estuviera desactualizado. Algo que ya ha realizado en los sistemas Microsoft Windows.

En nuestra sección de curiosidades de los viernes os publicamos una foto de uno de esos que piensa que es gracioso simular un Mac poniendo un trozo de manzana en un PC. ¿Cuántas hemos visto ya así?

Por último, para terminar la semana con buen sabor de boca, un ejemplo de smartpeople usando smartphones, que llevó a un bombero en china a usar un iPhone transmitiendo vídeo en streaming para poder localizar a un niño caído en un pozo

Y con esto nos despedimos, con la esperanza y el deseo de veros por aquí en Seguridad Apple todos los días.

sábado, 21 de abril de 2012

iPhone usado en el rescate de un niño para su localización

Como toda la comunidad sabe, el terminal móvil de Apple, amado por unos y odiado por otros, dispone de tantos usos como imaginación posean los usuarios que interactúen con ellos. Algo que en la actualidad nos sigue llamando la atención es la capacidad que tiene el dispositivo para salvar vidas, o por lo menos la imaginación de las personas, que de forma conjunta con las funcionalidades que ofrece este smartphone, terminan facilitando la supervivencia y rescate de personas en situaciones limite.

Después de las ya conocidas historias de reanimación cardiaca de un jugador de baloncesto con la ayuda de una aplicación de iPhone relacionada con primeros auxilios, o la supervivencia de un productor norteamericano que siguió las instrucciones de una aplicación después de un derrumbamiento en los terremotos de Haití, nos encontramos con una nueva historia con final feliz con un iPhone como protagonista, aunque cabria decir, que esta vez la gloria no se la lleva solamente un terminal, sino dos , los cuales de forma conjunta ayudaron en las labores de rescate de un menor en China.

Un rescate ayudados por un iPhone

La historia se sitúa en las afueras de la ciudad de Mengzi, en el sureste del país asiático, donde unos pobladores escucharon los llantos de un niño de apenas dos años de edad que haba caído por un pozo de aproximadamente 12 metros de profundidad y 30 centímetros de anchura, tras un grave descuido de sus padres.

Ante esta situación los vecinos llamaron a los servicios de emergencia, quienes llegaron al lugar indicado y se dieron cuenta que de que era imposible que un adulto se pudiera deslizar hasta el niño y poder extraerlo de esa manera del pozo.

Es por eso que a uno de los rescatistas se le ocurrió la genial idea de atar un terminal iPhone a una cuerda y con la cámara de video activada enviar imágenes por streaming hacia el otro dispositivo móvil situado en la superficie. De esa manera pudieron observar la posición exacta de la criatura, pudiendo deslizarle una cuerda por debajo de los brazos y extraerlo sin mayores daños.



De toda esta historia, extraemos la conclusión de que un smartphone puede dar las herramientas a "smart people" para llevar a cabo sus ideas, para otros, el terminal solo hubiera servido para llamar a los bomberos. La gente que es capaz de sacar más de la tecnología que el resto tiene espíritu hacker.

viernes, 20 de abril de 2012

Y alguien se superó haciendo un cutre Mac para una foto

Visto en Señorasque

No tenemos palabras para describir lo que pudo pasar por la mente del tipo que hizo esto para pensar que era cool poner esto en su PC... pero no nos hemos podido resistir a sacarla en la sección de curiosidades y cosas raras del blog. Buen fin de semana a todos.

Firefox deshabilitará Java en Mac OS X no actualizados

Ya lo había anunciado tiempo atrás, pero debido a varios fallos descubiertos la actualización no será puesta a disposición pública hasta el día 24 de Abril, es decir, el viernes que viene en la versión de Mozilla Firefox 12 y donde se aplicará la nueva política de seguridad que llevará al bloqueo de versiones inseguras de Java.

Esto es especialmente significativo en los equipos Mac OS X Leopard o Mac OS X Tiger, que aún tienen una buena cuota de aceptación entre usuarios de Mac OS X, y no tienen actualizaciones de seguridad de Java desde hace tiempo, ya que Apple dejó de servirlas.

Este movimiento lo hizo ya Mozilla varias semanas atrás con los plugins de las versiones inseguras de Oracle Java para Windows, con lo que se espera bloquear algunos bugs tan usados por kits de explotación para distribuir malware masivamente.

Queremos recordar que en el año 2010, los ingenieros de Microsoft alertaban de que, mientras la opinión pública se estaba fijando en los fallos de seguridad de Adobe, la industria del malware estaba utilizando masivamente exploits para viejos bugs de Java, debido a la cantidad de sistemas que había sin actualizar.

Figura 1: Comparación de ataques por PDF y por Java en 2010

Esto lo hemos visto en los últimos meses con FlashBack Trojan, Tibet.a, OSX/SabPab, etcétera, en los que en todos ellos se ha utilizado un bug de Java parcheado hace ya meses.

jueves, 19 de abril de 2012

OSX.Flashback: aún hay cerca de 100.000 infectados. Comprueba si hay un equipo infectado en tu red.

En Symantec han hecho un cálculo y una estimación de decrecimiento de la botnet creada por FlashBack Trojan, y estima que aún ronda los 100.000 equipos infectados, tal y como se puede ver en este gráfico de seguimiento.
Figura 1: Decrecimiento y estimación del mismo de la botnet FlashBack

Todo ello, pese a los esfuerzos de Apple sacando una actualización de Java con herramienta de limpieza incluida, lo que demuestra que para luchar contra el mundo del fraude online son necesarios esfuerzos coordinados.

Por otro lado se han publicado los nombres de los dominios a los que va a intentar conectarse las máquinas troyanizadas con OSX/FlashBack.K buscando el panel de control, por lo que si quieres saber si un equipo de tu red tiene easte troyano puedes hacer un sencillo truco con el DNS de tu organización.

Figura 2: Generación dinámica de nombres de dominio para el C&C

Basta con que crees estos dominios apuntando a un servidor fake donde registres las conexiones. De esa forma, mirando los logs podrás descubrir qué direcciones IP de tu red están infectadas con esta versión del troyano. Si tienes muchos Mac OS X en tu organización, merece la pena el intento.

miércoles, 18 de abril de 2012

Ataques a ONG pro Tibet usan variante de OSX/Sabpab y el bug de Office para mac CVE-2009-0563 para distribuirlo

OSX/Sabpab ha sido descubierto en un honeypot de Kaspersky utilizando un bug de Microsoft Office para mac, en concreto el CVE-2009-0563, para distribuirse en equipos Mac OS X sin parchear.

Figura 1: Información del documento utilizado para explotar el bug

El documento utilizado parece formar parte de los ataques APT contra las ONGs pro-Tibet, ya que ésta versión de OSX/Sabpab está utilizando un fichero .doc llamado 10th March Statemnet relacionado con un discurso del Dalai-Lama sobre el aniversario del levantamiento del pueblo tibetano. Además, ha seguido los mismos pasos que el troyano anterior, denominado Tibet.a y Tibet.c, que primero se distribuyó con un applet malicioso y luego con un documento .doc malicioso.

Figura 2: El documento enviado con el exploit

Lo más curioso es que se ha podido ver cómo el atacante estaba buscando manualmente documentación de la máquina infectada, lo que parece confirmar que este malware está siendo utilizado en un ataque dirigido en el que se está buscando algo en concreto.

Figura 3: Listado de directorios hecho manualmente por el atacante

En el momento de su descubrimiento, según el informe de Kaspersky, el número de detecciones de este malware por los motores de AV en Virus Total era de 0 de 40, por lo que parece que se están esforzando mucho en la evasión del software de antimalware.

Os recordamos que para mantener actualizado Microsoft Office para mac existe un software de Microsoft para mantenerlo actualizado.

martes, 17 de abril de 2012

No seas ni Fanboy ni Chum Chum con tu seguridad


Desde trabajamos con tecnologías Apple en el área de seguridad hay dos tipos de personajes que son los que más curiosidad nos han levantado en función de cuál es la reacción que tienen cuando aparece cualquier noticia que habla de un fallo de seguridad, un malware o un riesgo para los equipos Apple, ya sean estos un MacBook, un iPhone o un Macintosh del 84. Como os podéis imaginar uno de ellos es Fanboy y el otro ChumChum.

Fanboy tiene un súper poder especial de no ver ninguna noticia que no hable maravillosamente bien de Apple. Con esta capacidad sobre humana, cualquier comparación de rendimiento, seguridad, estética o usabilidad que critique en lo más mínimo a Apple, recibirá una valor de opacidad 0% en su retinas de Photoshop para Mac OS X. Se cuenta que recientemente uno de ellos ha leído el expediente de seguridad de Apple en el que dice que hay un software malicioso, y de repente Matrix le expulsó como si fuera un residuo, y cayó a un desolado mundo sin Apple Stores. Algunos de ellos, además, han mutado esta capacidad digievolucionando su poder a cotas únicas de concentración, consiguiendo que las críticas verbales también desaparezcan de su rango auditivo. Si te encuentras alguno... teme su poder.

ChumChum, por el contrario, es un tipo racional que una vez leyó un libro, pero que cayó en el contagio universal de la poderosa frase de "Mac OS X está basado en UNIX ergo es más seguro". No importa que no sepa cómo funciona la arquitectura de un kernel, o que le hables de la complejidad de los servicios, del número de servicios sin firmar en un sistema Mac OS X, o de la cantidad de bugs descubiertos en daemons corriendo con privilegios de root o de sudoer, o de que un simple fallo en una aplicación del sistema mal gestionado su parche puede llevar a que se infecten como mosquitos. No insistas en cosas como que la seguridad es un proceso, que nada es seguro para siempre, que los entornos obligan a fortificar en función del rol, etcétera. No, con la fuerza de un Jedi, sin saber que diferencia hay en el kernel de un Windows, un BSD o un System V, repetirá una y otra vez.. "Mac OS X es súper seguro porque está basado en UNIX".

Si tienes un amigo Fanboy, o un amigo ChumChum, dile que le quieres como es, que no cambie nunca, pero tú ten cuidado con la seguridad de tus sistemas, fortifica la plataforma y mantén actualizado todo tu software.

lunes, 16 de abril de 2012

El ataque de la F1 en equipos MacBook

Hoy lunes queremos comenzar la semana olvidándonos un poco de todo el ajetreo de malware en Mac OS X que tanto ha dado que hablar en el último mes con un tema de "bromas de mal gusto" a compañeros de oficina con equipos Mac, ya que en Informática 64 la coexistencia entre compañeros... "es así de dura". Podíamos llamar a éste El Ataque de la F1, ya que el culpable de la broma es la tecla F1 y su funcionamiento en los equipos MacBook

El ataque de la F1

Si tienes un equipo MacBook, sabrás que la tecla F1 permite reducir el brillo de la pantalla, lo que está bien, ya que en momentos en los que se necesita ahorrar batería se puede bajar rápidamente y volver a subir cuando sea necesario por falta de luz.

Figura 1: Las teclas de incremento y decremento de brillo en la pantalla

Sin embargo, lo que hace especial a esta tecla en los equipos Mac con respecto a otras computadoras portátiles de otros fabricantes es que no tienen límite inferior, es decir, que dando al F1 se puede llegar a apagar la pantalla incluso con la sesión bloqueada.

Si alguien se va a tomar un café y deja su MacBook abandonado, alguien podría apagar la pantalla simplemente pulsando en la tecla F1, lo que llevaría al usuario a pensar en que el equipo se ha bloqueado cuando iba a despertar del letargo - algo no nuevo y por lo que Apple ha actualizado varias veces el firmare de sus equipos -.

Esta broma no es nueva, y ya se practicaba en los tiempos de los terminales y monitores analógicos en los que con las ruedas era posible bajar el brillo y el contraste hasta apagar la pantalla del usuario. 

Luchar contra los atacantes del F1 y los ataques David Hasselhoff

Ya os contamos hace tiempo que existen herramientas defensivas para detectar el intento de manipulación de tu equipo por parte de un atacante, como por ejemplo iAlert, que no sólo emitirá sonidos de emergencia, sino que podrá tomar hasta una fotografía del atacante.

domingo, 15 de abril de 2012

Libro de Desarrollo de aplicaciones iOS para iPhone & iPad: Essentials. 300 páginas de explicaciones, código y prácticas para programar en iPhone & iPad desde ya.

Hoy día es innegable el imparable crecimiento que han tenido las tecnologías de los dispositivos móviles en los últimos años. El número de smartphones, tablets, o dispositivos de ocio y comunicación han aumentado de manera exponencial. Esto ha sido así, hasta tal punto que actualmente estos dispositivos se han posicionado como tecnologías de máxima prioridad para muchas empresas. Incluso algunas han decidido dedicarse en exclusiva al desarrollo de aplicaciones móviles para llenar este productivo mercado.

Dentro de todas estas nuevas tecnologías, Apple ha sido pionero en muchas de ellas y en una gran mayoría de los servicios asociados a estos dispositivos, consiguiendo con esto que su sistema operativo móvil, es decir iOS, sea uno de los dominantes en este mundo.


Con este Libro de Desarrollo de Aplicaciones iOS para iPhone & iPad: Essentials se pueden adquirir los conocimientos necesarios para desarrollar aplicaciones en iOS, guiando al lector para que aprenda a utilizar las herramientas y técnicas básicas para iniciarse en el mundo iOS. El libro trata de presentar los temas de una manera más o menos práctica, en donde se presentan unos conceptos teóricos, y posteriormente se presenta un proyecto o ejercicio práctico, guiado paso a paso, de manera que el lector pueda ir implementando el ejercicio por sí mismo.

El libro es un manual tanto para aquellos que se inician, como para los que ya tienen algo de experiencia. El libro pretende sentar unas bases, de manera que al finalizar la lectura, el lector pueda convertirse en desarrollador iOS y enfrentarse a proyectos de este sistema operativo por sí mismo.

Dentro del libro podrás encontrar temas como la programación en Objective-C, el diseño de interfaces con COCOA, la persistencia de datos, el manejo de datos en XML, la creación e aplicaciones cliente/servidor o el trabajo con geolocalización y mapas. El libro tiene más de 300 páginas con ejemplos de código, prácticas y explicaciones, tiene un coste de 24 € y puedes comprarlo online en: Libro desarrollo de aplicaciones iOS para iPhone & iPad: Essentials

Un libro más que recomendable para todos los que quieran adentrarse dentro del presente tecnológico del desarrollo de aplicaciones para iPad & iPhone que viene de la mano de nuestro compañero Juan Miguel Aguayo, que además impartirá esta semana un Curso de Análisis Forense de Dispositivos Móviles al que aún puedes apuntarte. 

sábado, 14 de abril de 2012

OSX/Sabpab: Un nuevo troyano para Mac OS X

Aún nos estamos recuperando de la resaca mediática que nos ha dejado toda la historia de FlashBack Trojan, y ya tenemos el siguiente de la lista OSX/Sabpab. Según se ha publicado en Naked Security, este nuevo backdoor está haciendo uso de la ya citada vulnerabilidad de Java CVE-2012-0507 para distribuirse en los equipos Mac OS X.

Cuando se instala en una máquina vulnerable, para lograr la ejecución y la persistencia en el sistema crea estas dos entradas en la estructura de ficheros del equipo infectado.
/Users/[user]/Library/Preferences/com.apple.PubSabAgent.pfile
/Users/[user]/Library/LaunchAgents/com.apple.PubSabAGent.plist
Figura 1: Fichero creado por el malware en un Mac OS X infectado

OSX/Sabpab es un troyano de libro que se controla desde un panel de control HTTP desde el que recibe los comandos a ejecutar y al que envía las respuestas solicitadas en ficheros de log cifrados. Analizando el código del mismo se puede ver el conjunto de funcionalidades que acompañan a este malware, y que como se puede ver son bastantes jugosas.

Figura 2: Comandos que ejecuta el backdoor a petición del panel de control

La industria del malware hace ya tiempo que puso sus ojos en las plataformas Mac OS X y lo han hecho para quedarse, así que hay que tomar mediadas básicas de seguridad continuas para dificultar a los cibercriminales que tomen control de nuestros equipos.

viernes, 13 de abril de 2012

Apple acepta que tiene malware. Saca un tercer parche de Java y una herramienta de limpieza de FlashBack Trojan, pero hay que mejorar. Aún hay 270.000 equipos infectados.

A día de hoy todos los fabricantes de soluciones profesionales de antimalware para Mac OS X están ofreciendo una herramienta de limpieza para FlashBack Trojan. El número de equipos infectados ha sido tan grande que Apple ha tenido que sacar un artículo de knowledge base en el que reconoce la existencia del malware.

Figura 1: Artículo HT5244

Escueto como él solo, tanto, que lo podemos poner en una sola captura, pero histórico por lo significativo. Además, en la misma nota avisa de los peligros de usar Java en Mac OS X Leopard, algo que ya hemos venido avisando desde Seguridad Apple con insistencia desde el mismo día que se abandonó su soporte.

Mientras tanto, Apple se ha puesto a trabajar para matar FlashBack Trojan, tanto desde el punto de vista técnico bloqueando los servidores de Command & Control y publicando Java for Mac OS X 2012-003 y Java for Mac OS X 10.6 Update 8, la tercera actualización de Java en una semana, que trae una herramienta de limpieza de FlashBack Trojan y cambios en la política de seguridad de los Applets del sistema, como desde el punto de vista burocrático y legal, intentando usar la ley para bloquear los servidores de las mafias detrás del malware.

Figura 2: Java for OS X 2012-003

Esta vez sí, los documentos relativos a Java for Mac OS X 2012-003 y Java for Mac OS X 10.6 Update 8 en la base de datos de conocimiento están publicados a tiempo, no como sucedió con Java for Mac OS X 2012-002, aunque no hay mucho más que contar.

A día de hoy, con los esfuerzos de toda la industria, el número de equipos infectados, según Symantec ha descendido hasta valores inferiores a 270.000 equipos - que sigue siendo un buen número de equipos.

Figura 2: Evolución de las infecciones de equipos Mac OS X con FlashBack Trojan

De todas formas, lo que realmente esperamos es que Apple tome buena nota de que esto puede volver a pasar y memore un buen puñado de cosas:
1) La lentitud en parchear el software: en este caso, el retraso en generar el parche de Java  para sus plataformas ha sido épica, y ha generado dos grandes artículos en Security By Default e Hispasec sobre el tema, en los que se hace notar que Apple ha sido la empresa que más ha tardado en distribuir el parche entre sus clientes y lo ha hecho cuando ya estaba siendo explotado. Lo más curioso es que el ecosistema de hardware al que da soporte es infinitamente más pequeño que el soportado por Windows, RedHat u otras distribuciones Linux
2) La calidad de los parches. No sólo fueron los últimos sino que además tuvieron que re-publicar un parche,  y hoya han vuelto a parchearlo otra vez. algo que seguro hizo las delicias de los administradores de red. Y lo peor es que no es la primera vez que pasa esto. Ya lo vivimos no hace demasiado con las actualización 10.6.5 de Mac OS X Snow Leopard, que llegó a ser calificada por algunos de mi**da y que volvió a pasar lo mismo en la 10.6.6.
3) La planificación de las actualizaciones de seguridad. Ya nos hemos quejado aquí de que no pueden ir por el mismo canal las actualizaciones de software y los parches de seguridad - algo que parece que se cumplirá en OSX Mountain Lion -, sino que además habría que planificar los parches para poder ganar más ratio de usuarios actualizados
4) XProtect no es un antimalware: Esta solución de lista negra a medio camino entre un filtro de Safari y una solución puntual de borrado de malware confunde a los usuarios. No sólo piensan que no hay que preocuparse del malware, sino que piensan que con XProtect es suficiente. Y no lo es. Tampoco lo va a ser con una solución antimalware profesional, ya que distan mucho de ser perfectos, pero XProtect es como defenderse dispararando con tirachinas a un F-18
5) Concienciar a los usuarios de los riesgos. Se ha hablado mucho de FlashBack Trojan en los últimos días, pero no hay que olvidar que también hemos tenido campañas como OSX/Imuler, como el el ataque contra las ONGs pro-Tibet, como MacDefender y todas sus variantes, etc... Es hora de que los usuarios sean más conscientes de los riesgos, por lo que habría que evitar cualquier marketing engañoso.
Esperamos que esto mejore, porque nosotros entramos a comprobar si eramos uno de ese 1% de equipos Mac OS X infectados a nivel mundial con más miedo que vergüenza, supongo que como muchos de vosotros.

jueves, 12 de abril de 2012

Adobe soluciona 4 CVEs críticos en Reader y Acrobat

Para los más preocupados por los fallos de seguridad en Flash, y de forma general en los productos de Adobe, os informamos de que la empresa ha publicado actualizaciones de seguridad para Adobe Reader y Adobe Acrobat.

Estos parches han sido creados principalmente para solucionar cuatro vulnerabilidades que, como dice la propia empesa en el expediente de seguridad APSB 12-08, podrían causar que la aplicación se bloquee y que un atacante tomar el control del sistema afectado.

Los CVE (Common Vulnerabilities and Exposures) corregidos son los siguientes:
  • CVE-2012-0774: Integer Overflow Vulnerability
  • CVE-2012-0775: Memory Corruption Vulnerability
  • CVE-2012-0776: Security Bypass Vulnerability
  • CVE-2012-0777: Memory Corruption Vulnerability
Las versiones afectadas por estas vulnerabilidades son las siguientes:
  • Adobe Reader X (10.1.2) y versiones anteriores 10.x para Windows y Macintosh
  • Adobe Reader 9.5 y versiones anteriores 9.x para Windows y Macintosh
  • Adobe Reader 9.4.6 y versiones anteriores 9.x para Linux
  • Adobe Acrobat X (10.1.2) y versiones anteriores 10.x para Windows y Macintosh
  • Adobe Acrobat 9.5 y versiones anteriores 9.x para Windows y Macintosh
Es por ello que Adobe lanzado las versiones 10.1.3 de sus productos Adobe Reader y Adobe Acrobat para Mac OS X. Para los usuarios que no pueden usar la versión 10 de estos programas, Adobe ha lanzado versiones 9.5.1. Puedes descargar las nuevas versiones desde:
- Descargar Adobe Acrobat para Mac OS X
- Descargar Acrobat Reader para Mac OS X
A todos los usuarios de estos productos en Mac OS X os recomendamos actualizar lo antes posible, ya que pudieran aparecer en el futuro campañas que explotaran estas vulnerabilidades para distribuir malware desde sitios webs comprometidos con kits de exploits.
Artículos relacionados

Otras historias relacionadas

Entradas populares