Menú principal

sábado, 30 de junio de 2012

Nuevo ataque dirigido con un troyano para Mac OS X

Desde Karspersky se ha avisado de una nueva campaña de ataques dirigidos en los que se está utilizando una nueva variante del troyano MacControl Backdoor para Mac OS X. Esta nueva campaña se lanza contra las organizaciones que luchan por los derechos de las minorías étnicas de Uyghur, que habitan en Asia Central y Oriental, en las fronteras con China.

El ataque se realiza con correos dirigidos que llevan adjunto un fichero comprimido, tal y como se puede ver en la imagen siguiente.

Figura 1: El correo electrónico con MacControl Backdoor para Mac OS X oculto

El contenido del fichero es una fotografía y una aplicación para Mac OS X, que es una variante de MacControl Backdoor, un troyano utilizado para sistemas Mac OS X funcionando en arquitecturas i386 y PowerPC.

Figura 1: La aplicación matiryal con el malware

El malware viene ofuscado con una operación de substracción 8, pero una vez extraído el código fuente, ha sido posible descubrir la dirección IP en la que se encuentra el panel de control, que resulta ser de China.

Figura 3: Información de la dirección IP en la que está el panel de control

No es la primera vez que se realizan este tipo de ataques contra organizaciones contrarias a las actitudes del Régimen Chino utilizando ataques dirigidos a Mac OS X. Ya tuvimos hace no mucho un caso con los activistas Pro-Tibet similar, que utilizó un bug de Microsoft Office para mac con una variante de Sabpab.

Figura 4: El Dalai Lama usando un Mac

Al final, como todo el mundo sabe, el Dalai Lama utiliza Mac OS X en sus vídeo conferencias, tal y como se ve en la imagen superior.

viernes, 29 de junio de 2012

Storm 8: El primer escándalo de robo de datos en iOS

A pesar de que la App Store actúa como mecanismo de protección ante el malware en dispositivos iOS, y que según las estadísticas y comparativas con otros sistemas operativos móviles, está funcionando de manera bastante aceptable, no se pueden detectar todas las acciones maliciosas por parte de aplicaciones en teoría legítimas e incluso alguna POC de distribución de "malware".

En el año 2009 se produjo el primer gran escándalo de robo de datos por parte de varias aplicaciones de la empresa Storm8, fabricantes de juegos, como por ejemplo Vampires Live, Zombies Live, Rockstar Live, etcétera. Todos estos juegos recopilaban los números de teléfono de los dispositivos en los que se ejecutaban y enviaban dicha información a los servidores de Storm8Durante el tiempo en cuestión que se produjo este robo, estos juegos fueron descargados más de 20 millones de veces. Al final se acabó presentando una demanda colectiva por parte de los usuarios por la recolección de este tipo de información, a lo que la empresa simplemente alego que se había realizado por error. 

Figura 1: Dos de los juegos de Storm8 que robaban los datos

Algo así como que mientras el desarrollador estaba programando cómo realizar animaciones, los gráficos, el audio del juego,  etcétera, sin querer escribió unas líneas de código que accediesen a la agenda de contactos, además de enlazar y añadir al proyecto, también sin querer, el correspondiente Address Book Framework. Para aquellos interesados en saber como programar este tipo de accesos, consultar la guía de la documentación oficial de AppleAddress Book programming Guide for iOS.

Al final quedó claro que los desarrolladores utilizaron dicha información para sus propios fines en la plataforma multijugador sin haber informado al usuario de este robo de información, y tras la demanda tuvieron que cambiar.

Storm8, Inc. es líder en desarrollo de los denominados “Mobile Social Games” con su filial TeamLava, es decir, juegos para plataformas o redes sociales. Además también son líderes en desarrollo de otros tipos de juegos (Role Playing Games), tanto para iOS, como para Android. Y de hecho sus cifras hablan por sí solas, con más de 210 millones de descargas totales hasta la fecha. Con esto se pretende mostrar que no es una app en un canal o market no oficial, ni ninguna aplicación “rara”, sino todo lo contrario, un “simple e inocente” juego, que permitió uno de los más famosos robos de información en  terminales iOS.

Hoy en día no sólo se ha conocido este caso, sino que ha habido otros grandes escándalos referidos al robo de datos como MogoRoad,  el caso de Path, AuroraFeint, el propio Twitter para iOS, Yelp, Foursquare, etcétera. 

Apple está trabajando en acabar con estas acciones ilícitas en las aplicaciones, y es por eso que en iOS 6 se van a requerir al usuario permisos expresos para acceder a la agenda de contactos para evitar cosas como PhotoSpy, al igual que ocurre con  las opciones de localización. Esto quizás puede ser un poco engorroso o pesado, si en algunos casos se realiza la pregunta en repetidas ocasiones, pero sin lugar a dudas, es mucho más seguro de cara a los usuarios.

jueves, 28 de junio de 2012

Liberado 0day POC de Apple QuickTime 7.7.1 + Java SE 6

La empresa Security Explorations ha publicado un paper titulado Security Vulnerabilities in Java, Issue 22, que explota dos fallos de seguridad en Apple Quick Time 7.7.1 y la última versión de Java SE 6 que permite tomar control total del sistema por medio de un Applet Java.

La vulnerabilidad en Apple Quick Time no permite el control total del sistema, y Apple decidió catalogarlo como una opción de fortificación que sería arreglada en la siguiente versión, pero desde la empresa Security Explorations están en desacuerdo con esta calificación, y han decidido publicar una Proof Of Concept de cómo, desde una página web maliciosa, y haciendo uso de otra vulnerabilidad en Oracle Java SE 6, se toma control de sistemas con las siguientes características:
- Windows XP SP3, Windows 7 HP 64-bit, Windows 7 Pro 32-bit
- Mozilla Firefox 11.0, Internet Explorer 9.0, Opera 11.62
- JRE/JDK 6 Update 31
Apple y Oracle aún no se han pronunciado al respecto, pero os recomendamos tener cuidado especial con Applets Java que puedan empezar a intentar explotar esta POC. El código de ejemplo está publicado en la siguiente URL: POC Apple Quick Time + Java SE 6.

miércoles, 27 de junio de 2012

Apple patenta sistemas criptográficos en EEUU

En la contínua búsqueda de protección de sus tecnologías, Apple continúa su proceso de generación de patentes. Hace poco hablamos del sistema de generar desinformación en Internet por medio de clones para evitar el electronic profiling, o hace más tiempo del sistema de configuración de un terminal robado en modo defensivo.

Figura 1: Patente "Security keys of a cipher using properties of the cipher process"

En esta ocasión queremos hablar de dos patentes que ha rellenado Apple en los Estados Unidos de América, centradas puramente en sistemas criptográficos: Securing the Implementation of a Cryptographic Process using Key Expansion y Securing Keys of a Cipher using Properties of the Cipher ProcessAmbas patentes fueron solicitadas en Diciembre de 2010, y hacen referencia a algoritmos de cifrado que puedan ser utilizados en sus tecnologías. 

Figura 2: Patente "Securing the implementation of a cryptographic process using key expansion"

Viendo esto, el tema de las patentes de software puede permitir que se registren sistemas de ambito tan extendido como los algoritmos criptográficos, lo que podría llevar a que otros fabricantes no pudieran utilizarlas o se vieran enfrascados, una vez más, en demandas judiciales, tal y como vimos hace tiempo en donde todos los fabricantes de dispositivos móviles estaban enlazados de alguna u otra manera. Esto de las patentes de software es un verdadero caos, y a las empresas más pequeñas puede hacerles mucho daño, como a la empresa española que hacía tablets con Android y fue demandada por Apple.

martes, 26 de junio de 2012

Seminarios de desarrollo de aplicaciones iOS

La semana que viene, desde el lunes 2 de Julio hasta el viernes 7 de Julio en Madrid, hay uno cada día de seis horas de duración, en horario de 08:30 a 14:30 horas. Comenzarán con una primera toma de contacto con XCodeObjective-C y los paradigmas de diseño en iOS, continuando con la creación de interfaces gráficas, con el estudio de eventos, persistencia, para finalizar con los conceptos sobre cómo crear aplicaciones cliente-servidor, realizar conexiones a servicios web, servlets, etcétera. 

El profesor de todos estos seminarios será Juan Miguel Aguayo, autor del libro Desarrollo de Aplicaciones iOS para iPhone&iPad: Essentials, así que, si sueñas con tener tu propia app en la AppStore, o tienes buenas ideas y quieres implementarlas en una de las disciplinas de mayor proyección profesional, entonces no dejes pasar esta oportunidad. Tienes la información de cómo registrarse a cada uno de estos eventos en la web de Próximos Eventos de Informática64A continuación os dejamos un resumen de cada uno de ellos:

Objective-C e iOS

En este primer seminario se aprende todo lo necesario para aquellos que se enfrentan por primera vez al mundo iOS, y desean desarrollar aplicaciones en él. Desde como manejar el entorno de desarrollo de Apple, pasando por la toma de contacto con el lenguaje Objective-C (imprescindible para los profanos en la materia), patrones o paradigmas de diseño en iOS, las diversas plantillas de XCode, y finalizando con el desarrollo de aplicaciones que muestren de manera didáctica como implementar las primeras aplicaciones.

Creación de interfaces gráficas

En este seminario se aprenderá a implementar interfaces gráficas, utilizando los distintos controladores que iOS ofrece. Se estudian los las diversas vistas existentes en el SDK, los diferentes contenedores (de vista, de navegación, TapBar, vista web, etcétera) y cómo combinarlos para crear aplicaciones reales y complejas.

Persistencia de datos

Aquí se verá de manera práctica cómo almacenar datos de manera persistente en ficheros, cómo utilizar el framework de alto nivel para persistir datos (CoreData) y cómo utilizar la librería SQLite a bajo nivel. Por último se presenta cómo utilizar el sistema de preferencias de usuario NSUserDefaults, que permite almacenar pequeños conjuntos de valores, preferencias, configuraciones, etcétera, y que estos sean manejados desde el menú general de configuraciones del dispositivo, es decir, fuera de la aplicación en cuestión.

Gestión de Eventos

En este seminario se presentan los conceptos y teoría relacionada con eventos y los diferentes tipos de eventos que existen en iOS. Se aprende cómo manejarlos, gestionarlos, programarlos, etcétera. Se realizará la implementación de aplicaciones para mostrar de manera didáctica cómo implementar eventos multi-touch, eventos de movimiento y eventos de control remoto.

Aplicaciones Cliente/Servidor 

En este seminario se aprende a implementar aplicaciones cliente-servidor, es decir, cómo utilizar las herramientas que brinda iOS para comunicarse con un servidor. Además se estudia como realizar parseo de ficheros XML y JSON, imprescindible para una comunicación ligera y eficiente con un backend server. Se realizará la implementación de un cliente que consuma feeds XML y aplicaciones que conecten con servicios web. 

OS X Mountain Lion mejora las Security Updates

Hasta Mac OS X Lion, las actualizaciones de software y las actualizaciones de seguridad venían por el mismo canal de comunicaciones, lo que provocaba situaciones ridículas, en las que hubiera que descargarse 1.2 GB de actualizaciones de bucles para la aplicación Garage Band - algo que la mayoría de los usuarios no utilizan - junto con una actualización de Java de 30 MB. Esto hacía  que para muchos usuarios las actualizaciones fueran auténticos retardos en sus trabajo, y el número de equipos sin actualizar fuese alto. Por otro lado, la configuración por defecto de Software Updates estaba preparada para revisar nuevas actualizaciones una vez por semana, algo que es necesario ajustar para tener un sistema más seguro.

En OS X Mountain Lion se ha optado por cambiar esto, y ya se va a contar con un canal de distribución mucho más especializado para las actualizaciones de seguridad, por el que se van a distribuir solo actualizaciones de seguridad, por un canal fortificado y cifrado, además de contar con una configuración por defecto que buscará el nuevo software cada día.

Figura 1: Actualizaciones de Seguridad en OS X Mountain Lion

Hemos de decir que nos gusta mucho que Apple haya sacado la actualización de Java para Mac OS X el mismo día que lo hizo Oracle, que hayan cambiado los mensajes de seguridad esta semana para dejar esa posición de altiva ilusión y de que se anuncien medidas como esta en OS X Mountain Lion para mejorar la seguridad de los usuarios. Estos son pasos correctos hacia un sistema más protegido contra las amenazas que puedan venir en el futuro.

lunes, 25 de junio de 2012

Evolución del Unlock & BaseBand de iPhone

En la pasada Hack In The Box 2012, MuscleNerd del iPhone Dev Team, impartió una conferencia sobre Unlock & BaseBand, contando la evolución que han sufrido las técnicas de "liberación" del terminal. Aquí tenéis en vídeo la conferencia que dio, y las diapositivas de la presentación en formato PDF.

domingo, 24 de junio de 2012

Cocoa Packet Analyzer: Un sniffer nativo para Mac OS X

Tras ver el post de Alejandro Ramos sobre Cocoa Packet Analyzer, hemos querido ir a probarlo un poco. La verdad es que Wireshark, que funciona correctamente en Mac OS X, es el sniffer más utilizado con diferencia, pero Cocoa Packet Analyzer tiene la característica de estar desarrollado de forma nativa para esta plataforma. La herramienta funciona en Mac OS X 10.5 Leopard, Mac OS X 10.6 Snow Leopard y Mac OS X Lion, y su manera de trabajar es ligeramente distinta - más limitada - que Wireshark.

Cuando se arranca la primera vez aparece un panel donde se puede configurar el modo en que se quiere trabajar. Se puede capturar tráfico, analizar una captura previa y configurar las preferencias de la aplicación.

Figura 1: Panel de inicio en Cocoa Packet Analyzer

Una vez arrancada la herramienta con la acción de Capturing, se debe seleccionar el interfaz de red que se quiere utilizar, si se desea trabajar en modo promíscuo o no, y un filtro de paquetes en los que se está interesado. Cuando se comienza la captura, no se pueden analizar los datos hasta que se ha terminado, algo que sí que se puede hacer en otros sniffers.

Figura 2: Captura de tráfico de red

Cuando se termine de realizar la captura, se puede proceder a analizar el tráfico, para lo que tenemos varias opciones. La primera de ellas consiste en una inspección manual de los paquetes, para lo que se cuenta con un sistema de visualización muy común en los sniffers, y prácticamente clonado de Wireshark.

Figura 3: Aspecto de panel de visualización de paquetes

Una de las opciones que más se echa en falta es la posibilidad de seguir un flujo de paquetes. El famoso Follow TCP Stream que tanto se utiliza para conocer el tráfico de una red. Esto se ve sustituido por un conjunto de filtros para quedarse con sólo los paquetes de una conversación.

Figura 4: Filtros de paquetes (parciales)

Se puede acceder a también a un análisis estadístico de los paquetes capturados, desde una de las opciones del menú.

Figura 5: Estadísticas del tráfico capturado

Por último, el proyecto cuenta en la web de Plugins, con un par de plugins que pueden ayudar a extender la funcionalidad, pero de momento solo hay uno para analizar SIP y otro para IAXAPA día de hoy está lejos de ser un WireShark, pero si se necesita algo rápido, o nativo, podéis usarlo.

sábado, 23 de junio de 2012

XCon: Cómo saltarse la detección de Jailbreak en iOS

Acabado ya el Curso de Especialización en dispositivos móviles de la Facultad de A Coruña, hemos traído un montón de notas sobre cosas que probar y utilizar. Hoy os queremos hablar de XCon, una utilidad recomendada por Simon Roses, de la empresa Vulnex, para poder analizar aquellas aplicaciones que detectan si el dispositivo tiene hecho el jailbreak o no.

Para analizar la seguridad de una aplicación es necesario tener realizado el jailbreak en el dispositivo para poder analizar los ficheros, o ejecutar herramientas de análisis. Sin embargo, una de las protecciones más utilizadas es intentar detectar si el dispositivo sobre el que se va a ejecutar la aplicación tiene realizado el jailbreak o no. Para engañar a la aplicación, en Cydia hay un tweak llamado XCon que intenta engañarla, haciendo creer que no está hecho el jailbreak.

Figura 1: Detección de Jailbreak y XCon en Cydia

Normalmente, las comprobaciones que se realizan es descubrir si está instalado Cydia, o si se puede ejecutar un programa sin firmar. XCon consigue engañar a muchas aplicaciones, y permite que siga ejecutándose y se pueda analizar. En la información del paquete se puede leer la lista de las aplicaciones que son soportadas y si alguna falla, puedes ponerte en contacto con el autor para ver si la añade a la lista y seguir el proyecto.

viernes, 22 de junio de 2012

Apple patenta la desinformación en Internet usando clones

La patente que ha sido concedida a Apple, con el título de Techniques to pollute electronic profilling, nos tiene un poco sorprendido, ya que se trata de una solución de guerra de desinformación, algo que se hace ya desde hace tiempo por medio de muchos servicios de la comunidad hacker. Pero ahora Apple ha patentado un sistema para hacerlo de forma automatizada.

La idea es generar desinformación en Internet por medio de clones de la identidad de una persona que generen tráfico de forma automatizada en servicios de Internet, y que tenga confundidos totalmente a cualquiera que esté rastreando esta información. Una forma de proteger la privacidad de una identidad por medio de la desinformación. 

Figura 1: Esquema de creación de clones

De este tipo e soluciones, por ejemplo, Moxie Malinspike, famoso investigador de seguridad internacional, generó un servicio para generar cadenas de búsqueda confusas en Google, por medio de la solución Google Sharing.

Figura 2: Términos del Patriot Act

Ahora Apple trata de hacer que las huellas de conexión en Internet de los usuarios se puedan ocultar, lo que nos deja bastante perplejos, más cuando Apple ha firmado el Patriot Act para dar la información que ayude a la localización de identidades digitales.

jueves, 21 de junio de 2012

Riesgos de seguridad con imagenes en mensajes de e-mail

Desde Office-Watch muestran como a través de una imagen monitorizada se puede obtener información del sistema que utiliza el cliente y que es enviada, en este caso, desde Microsoft Outlook a Internet. Realmente,no hay nada de nuevo en este tema, solamente se está mostrando la información que normalmente es enviada y que se se puede obtener colocando imágenes en correos electrónicos. En el ejemplo publicado, cada visualización del correo muestra una imagen con un aspecto diferente en función del dispositivo, software cliente, configuración, e incluso el tiempo. En la captura siguiente se puede ver un ejemplo de la información que lleva asociada la imagen:

Figura 1: Imagen prueba de concepto en Office Watch

Como se puede observar se obtiene la siguiente información:
  • El sistema operativo
  • Outlook o versión del navegador
  • Configuración de idioma
  • Ubicación aproximada
  • Cuantas veces la imagen se ha mostrado con ayuda de la cookie
Toda esta información se basa en los datos enviada para solicitar una imagen a mostrar dentro de Microsoft Outlook o en el nevegador del receptor del correo. La información es importante, ya que por ejemplo, sabiendo el sistema operativo, el navegador que se utiliza y la versión se puede realizar un ataque dirigido sobre una vulnerabilidad específica disponible.

Es cierto que las implicaciones de privacidad de las cookies son bien conocidas por los usuarios de los navegadores, pero quizá no tanto para quién utiliza un gestor de correo como es Microsoft Outlook. Con una cookie una empresa puede realizar un seguimiento del uso de la web desde el momento en el que el usuario pincha sobre "Mostrar las imágenes de un correo electrónico". Debes, por tanto, tener cuidado al utilizarla en los clientes de correo electrónico de tu Mac OS X.

En el caso de los dispositivos iOS, nosotros publicamos hace ya algún tiempo los riesgos de seguridad en la configuración por defecto de Mail en iOS ya que la opción de mostrar imágenes se configura a nivel global y no correo a correo, lo que hace que sea mucho menos granular su uso, y por defecto viene activada, por lo que casi todo el mundo acabe por dejarla así.

Figura 2: USER- AGETN desde IOS pidiendo una imagen manipulada

En dispositivos móviles, se puede detectar el dispositivo físico - iPad, iPhone, Android, etc -al igual que la versión del sistema operativo iOS concreta, ya que tiene un USER-AGENT demasiado parlanchín, y como ya se vio, manipulando las imagenes en correos electrónicos en HTML, es posible hacer ataques CSRF para atacar una Intranet, ganar votaciones en la web o dinero con la publicidad mal configurada.

miércoles, 20 de junio de 2012

Curso Avanzado de Programación para iOS


La semana que viene, del 25 al 29 de Junio, en la Universidad Europea de Madrid, y con horario de 09:00 a 14:00 horas, se impartirá una formación en la que los asistentes serán capaces de utilizar las herramientas del iPhone SDK, el modelo MVC, la gestión persistente de datos con SQLite, el trabajo con Mapas y posicionamiento GPS, o las arquitecturas Cliente/Servidor usando JSON, XML, etc, además de moverse por la documentación, obtener ayuda y recursos disponibles para el programador desde la propia Apple.

Todos los asistentes recibirán el libro de Desarrollo de Aplicaciones iOS para iPhone & iPad escrito por Juan Miguel Aguayo, que será el instructor de este curso. Además, los estudiantes de la Universidad Europea de Madrid dispondrán de un descuento en la matricula del curso.

Tiens toda la información de registro y el temario completo del curso en formato PDF en la siguiente URL: Curso Avanzado de Desarrollo iOS (25 al 29 de Junio).

Publicado exploit para CVE-2012-0677: Apple iTunes 10.6.1.7 M3U Playlist File Walking Heap Buffer Overflow

Hace algo menos de diez días Apple publicó Apple iTunes 10.6.3, una nueva versión de la aplicación en la que además de adaptarse para iOS 6, solucionaba un par de bugs. Uno de ellos, el CVE-2012-0677 que afecta a las versiones 10.6.0.40 y 10.6.1.7 tiene ya un exploit funcional publicado, por lo que debes parchear iTunes cuanto antes.

Figura 1: Parte del código del exploit para CVE-2012-0677

La vulnerabilidad permite a un atacante ejecutar código arbitrario en la máquina de la víctima con que se abra un fichero de lista de canciones especialmente creado para explotar un Heap Buffer Overflow. El exploit publicado es funcional en sistemas operativos Microsoft Windows XP Professional SP3 EN (32bit) y Microsoft Windows 7 Ultimate SP1 EN (64bit), aunque con esta información los exploiters profesionales podrán migrarlo a otras plataformas con más facilidad.

Si recibes un correo electrónico con una supuesta lista de canciones para tu iTunes o una recomendación en link de una red social, ten mucho cuidado, pues pueden ser algunos de los vectores de explotación de esta vulnerabilidad.

martes, 19 de junio de 2012

Linkedin para iOS vulnerable a ataque de Hijacking

Hemos podido comprobar que, al igual que ya sucedía con Facebook para iOS o Dropbox para iOS, la aplicación de Linkedin para iOS también es vulnerable ante un ataque de Hijacking mediante el acceso a las cookies de sesión almacenadas en el dispositivo.

La vulnerabilidad es la misma, y se explota de forma similar, ya que basta con tener acceso a un backup del dispositivo móvil y copiar un par de ficheros que utilizar la aplicación para guardar todos los datos del usuario conectado y la sesión abierta.

Los ficheros son:
Linkedin/Cookies/Cookies.binarycookies
Linkedin/Preferences/com.linkedin.Linkedin.plist
Figura 1: Copiando los ficheros con iFunBox

Es suficiente, por tanto, que alguien pueda acceder a ellos antes de que se haya cerrado la sesión, para que pueda reutilizarlos en cualquier otro dispositivo y acceder a la sesión definida en ellos, por lo que habría que tener especial cuidado con ellos. Como es necesario que se acceda a un bakup, y que pueda ser crackeado el passcode, por lo que se hace especialmente importante proteger el backup contra ataques al passcode. La otra alternativa es un dispositivo con jailbreak y un ataque de Juice Jacking.

Figura 2: Cierre de sesión en Linkedin para iOS en iPad

Además, nos gustaría recordar que Linkedin, a día de hoy, sigue sin cifrar las comunicaciones una vez abierta la sesión, así que no solo se transmite información sensible como los datos de reuniones, sino que sigue siendo posible que alguien en nuestra misma red WiFi pueda robarnos la sesión con un hijacking de red, por lo que hay que tener mucho cuidado con usar Linkedin para iOS en redes inseguras.

lunes, 18 de junio de 2012

iPhone Configuration Utility: Políticas de Seguridad en iOS

iPhone y en general los iDevices, son los dispositivos más extendidos en el entorno corporativo. Y es que el índice de penetración de los dispositivos de Apple en el entorno empresarial está aumentando a un ritmo mayor que otros competidores en la escena de los smartphones y tablets. Evidentemente hay que sopesar las ventajas y los inconvenientes que esto conlleva, ya que surgen nuevos riesgos y amenazas a tener en cuenta, ya que desde el momento que un dispositivo iOS accede a datos sensibles de la compañía, o bien los almacena, dicha información podría caer en malas manos.

Un dispositivo se puede extraviar, perder, ser robado, etcétera, y por tanto se debe controlar o restringir el acceso físico al dispositivo con un passcode robusto, además de que se pueda bloquear o wipear en remoto.

Para realizar esta serie de configuraciones de manera acorde a la política de seguridad de una compañía, es decir creación y distribución de perfiles de configuración, es necesario utilizar la aplicación de Apple Utilidad de Configuración de iPhone (iPhone Configuration Utility) y un Gestor de Perfiles (Profile Manager), que incorporan, entre otras soluciones los servidores Mac OS X Lion Server. Todo esto conforma el sistema de gestión de dispositivos móviles, conocido como MDM (Mobile Device Management) de Apple, aunque existen soluciones de terceros que iremos viendo en futuros artículos. Este artículo se centra en la aplicación iPhone Configuration Utility, que gestiona los perfiles que se pueden distribuir en un terminal Apple con iOS.

Perfiles con iPhone Configuration Utility

Como se ha dicho antes, sirve para crear perfiles de configuración, que posteriormente se instalarán en los dispositivos. Estos perfiles se pueden distribuir de varias formas. La primera, conectando el dispositivo por USB al equipo que tiene instalada iPhone Configuration Utility, y la segunda, enviando el perfil a través de redes no seguras, como por ejemplo a través del correo electrónico o de la web (exportando el perfil a un archivo .mobileconfig y alojándolo en un servidor web). Esta utilidad actúa de CA de confianza, instalando un certificado de entidad certificadora raíz, con el que se firma cada certificado que se crea al conectar un dispositivo y que sirve para distribuir los perfiles de configuración.

Y ahora llega el momento de crear un Perfil de Configuración, en el que hay que rellenar una serie de campos obligatorios, como el nombre del perfil, identificador del perfil, nombre de la empresa, descripción del perfil, y la seguridad del perfil, es decir, si puede ser eliminado o no. A continuación se presenta un captura donde se aprecia todo esto:

Figura 1: Rellenando los campos obligatorio de un Perfil de Configuración

Y ahora toca configurar el perfil, comenzando por las políticas para el passcode. Tal y como se aprecia en la siguiente captura, se pueden establecer las siguientes políticas de contraseñas:
Solicitud de contraseña.

Permitir valor simple.

Solicitud de valor alfanumérico.
Extensión mínima de contraseña.
Número mínimo de caracteres complejos.
Período máximo de validez de la contraseña.
Bloqueo automático.
Historial de contraseñas.
Período de gracia para bloqueo del dispositivo.
Número máximo de intentos fallidos.
Figura 2: Políticas de seguridad para el passcode

Con esto se puede ajustar la complejidad del passcode dependiendo del tipo de información sensible que pueda albergar el dispositivo. Ahora quedan un montón de políticas más que configurar, como se puede apreciar en la siguiente captura, pero para no alargar demasiado el artículo, se va a hacer la instalación de este perfil, tan sólo con la configuración de las políticas del passcode.

Figura 3: Opciones de configuración en iPhone Configuration Utility

En este caso se opta por la distribución más simple, es decir, conectar el dispositivo por USB, y la utilidad reconoce el dispositivo mostrándose un resumen con todos los datos. Si se marca la pestaña Perfiles de Configuración, aparece la lista de perfiles de configuración disponibles, y basta con hacer clic en el botón instalar, que tiene cada perfil a su derecha, tal y como se aprecia en la captura:

Figura 4: Instalando el Perfil de Configuración

Además se pueden instalar o desinstalar tanto los Perfiles de Aprovisionamiento (Provisioning Profiles), como las aplicaciones, en la pestaña Perfiles de Datos o Aplicaciones respectivamente. Por último decir que se puede ver un log de actividad del sistema en la pestaña Consola. Para instalar el perfil de configuración, el dispositivo debe estar desbloqueado.

Figura 5: Dispositivo bloqueado

Figura 6: Pasos para la instalación del perfil en el dispositivo

Hay que advertir que, tanto para descargar el certificado como para instalarlo, hay que introducir el passcode, y acto seguido, después de que el certificado se haya instalado, ya está solicitando el nuevo valor de este passcode, acorde a la nueva política que se acaba de configurar al instalar el perfil de configuración.

Figura 7: Solicitud de nuevo passcode

En este caso, tal y como se estableció anteriormente, la passcode que hay que introducir consta de mínimo 6 dígitos, además de que tiene que ser alfanumérica (al menos una letra). Para ver los perfiles de configuración (también los de datos) instalados en el dispositivos hay que ir a Ajustes/General/Perfiles, donde se pueden seleccionar y ver los detalles de configuración con cada perfil (haciendo clic en Más detalles). A continuación los detalles del perfil de configuración:

Figura 8: Detalles de un perfil de configuración. Este sólo configura el passcode

Aunque claro está, que la Utilidad de Configuración de iPhone tiene muchas más opciones que estudiar, con esto se pretende presentar un pequeño ejemplo de cómo se crea, distribuye e instala un perfil de configuración. Por último cabe decir, que iPhone Configuration Utility, está disponible tanto para Mac OS X, como para Windows.

domingo, 17 de junio de 2012

Fue Noticia en Seguridad Apple: Del 4 al 17 de Junio

Domingo veraniego, domingo de repaso de lo acaecido en este blog durante las últimas dos semanas, así que vamos a meternos en faena, que el tiempo merece no dedicar mucho tiempo a nuestro vício tecnológico y centrarnos más en las actividades al aire libre y los espectáculos deportivos que nos inundan en estas fechas, como la fase de grupos de la Eurocopa.

Comenzamos el 4 de Junio con la noticia del comienzo de la colaboración con la firma de seguridad ESET que nos trajo una buena oferta de su solución de protección para Mac OS X, ESET CyberSecurity para Mac.

El martes nos paramos a echar un vistazo al nuevo documento que había publicado Apple en el que explican las tecnologías de seguridad en el sistema operativo iOS. Este documento iOS Security, recogía por primera vez explicaciones de seguridad directamente desde Apple, algo a lo que no nos tenía muy acostumbrado.


El miércoles quisimos pararnos en un problema de privacidad de Linkedin para iOS que hace que la aplicación envíe los datos de las reuniones del calendario en texto claro por la red. A la postre esto sólo sería el preludio a mayores incidentes de seguridad con la red social profesional.

El jueves un documento para los desarrolladores preocupados por la seguridad: 42+ Buenas Prácticas de Desarrollo Seguro. Algo que ayudará sin duda a quién se lo lea, a no cometer los tan acostumbrados errores de programación de apps inseguras.

El viernes quisimos hacer hincapié en lo necesario de tener un passcode seguro en los dispositivos iOS, ya que la seguridad de todos los datos se basa en él porque es raiz de las claves de descifrado del sistema de ficheros. En este artículo una serie de recomendaciones de seguridad.

El sábado una reflexión sobre romper el sistema de code signing en un terminal con iOS e instalar aplicaciones desde repositorios como Installous o cualquier otro con distribución de cracks. En época como esta en la que la ciberguerra está tan de moda, pensar que no haya gobiernos o empresas de seguridad interesadas en los datos del keychan de los terminales con iOS se nos hace imposible.

El domingo pasado una nota sobre el mercado del jailbreak. ¿Cuánto cuesta un jailbreak? y lo más importante, ¿Por qué los investigadores que lo publican lo dan gratis? En este caso, respuestas de ellos mismo.


Este lunes nos paramos con el incidente que sufrió la Ministra de Trabajo con su iPad, al dejárselo a un familiar que tras jugar una partida a un juego publicó en su time-line de Twitter el resultado. Así que decidimos recordaros que desde Twitter podéis controlar que aplicaciones pueden twittear por vosotros.

El martes una reseña para la nueva versión de Apple iTunes 10.6.3 que, aparte de venir con soporte para el nuevo iOS 6.0 que se lanzará en breve de manera definitiva, soluciona un par de bugs de seguridad críticos. 

Este miércoles día 13 de Junio la noticia fue la actualización - al mismo tiempo que lo hizo Oracle, - de Java en Mac OS X. Se puso disponible Java for OS X Lion 2012-004 y Java for Mac OS X 10.6 Update 9. Todo un cambio de mentalidad en Apple.

El día 14 de Junio publicamos una noticia curiosa y/o peculiar por lo menos. Apple anunció en el pasado WWDC 12 que abandonaba Google Maps para utilizar su propio sistema de mapas. Tras un análisis del tráfico de los mapas en iOS 6.0 se pudo comprobar que estos nuevos mapas procedían, - a menos alguno de ellos - directamente desde Microsoft Bing Maps

Apple Computer 1
El viernes una noticia sobre un supuesto defacement de un servidor Mac OS X de la NASA por un hacker que, tras ponerse en contacto con nosotros, nos explicó que fue alguien que ha intentado perjudicarle la imagen, por lo que queremos aclarar que todo ha sido un ataque de reputación a una persona.

Y ayer mismo nos guardamos nuestro pequeño espacio para la historia de Apple, en el que publicamos el precio que al final había alcanzado uno de los únicos séis Apple Computer 1 que aún quedan funcionales a día de hoy: 374.500 USD. Ahí es nada.

Y esto fue todo. Ya estamos trabajando en los artículos de la semana que viene - que os prometemos que viene cargada - así que esperamos veros por aquí como siempre. Gracias por venir.

sábado, 16 de junio de 2012

El Apple Computer 1 alcanzó los 374.500 USD en subasta

Apple Computer 1
Si eres amante de Apple desde hace años y pudiste comprar un Apple Computer 1 tiempo ha pero no lo hiciste porque ya tenías muchos trastos en casa, hoy puedes tirarte de los pelos. Las predicciones de la subasta del último Apple Computer 1 cifraban su valor en unos 180.000 USD, pero al final ha duplicado el valor esperado, alcanzando una cifra astronómica de 374.500 dólares americanos.

Sin embargo, estas computadoras son auténticas rarezas hoy en día, ya que como explican en MacWorld, sólo se hicieron unas 200 unidades, de las que sobreviven unas 50, y de estas últimas, sólo 6 están en condiciones de ser utilizadas. Entre estas últimas se encuentra la que se ha vendido por el coche deportivo de super-lujo. 

De todas formas, a nosotros nos gustaría poder comprarlo, más que venderlo, que encenderlo y ejecutar un programa en uno de estos debe ser espectacular. Para recordarlo os dejamos aquí un vídeo del mismo en el museo.

viernes, 15 de junio de 2012

Un servidor Mac OS X de la Nasa sufre un defacement ...otra vez y ¿por el mismo atacante del D.O.M. Team?

Nos ha llamado mucho la noticia publicada en Segu-Info en la que se hacen eco del defacement de un servidor Mac OS X sin actualizar de la NASA que ha sido publicado recientemente en Zone-H.

Figura 1: Defacement de la NASA publicado en Zone-h el 14 de Junio de 2012

Lo más curioso no es que la NASA tenga un servidor sin actualiza - algo que ya de tan común en grandes compañías y organizaciones ha dejado de sorprender a propios y extraños - sino el mensaje que ha dejado la persona que hizo este defacement.

Figura 2: Mensaje dejado en el defacement

An0de es el nick que usa uno de los miembros del grupo D.O.M. Team que acabó en las noticias por sus ataques a webs de IU o Jazztel, detenidos y con artículos entrevistas en medios de difusión masiva, como El País, en el que se hacía eco de su paso al mundo profesional con una frase que dice:

"El que fue el pirata informático más activo del mundo, trabaja ahora de asesor de seguridad"

El caso es que en el reporte de la cuenta de an0de en Zone-h sólo está este reporte actualmente, y no sabemos si es él mismo o alguien suplantándole que intenta meterle en un problema con la NASA, la OTAN o el gobierno americano y que quiere poner en entredicho su paso al lado profesional. En cualquier caso, la NASA debería haber tomado nota de la intrusión anterior.

ACTUALIZACIÓN: Se ha puesto en contacto con nosotros an0de que supuestamente había hecho el ataque y nos ha confirmado que no ha sido él y que ha sido víctima de un ataque de suplantación para difamarle. 

jueves, 14 de junio de 2012

iOS 6 abandona Google Maps ¿para usar Microsoft Maps?

En la pasada WWDC, donde se presentaron las nuevas características de iOS 6, una de las grandes noticias fue el abandono de Google Maps. En esa conferencia se dijo que Apple utilizaría sus propias fuentes de datos, de las que más tarde se ha sabido que hay un acuerdo con TomTom, la compañía famosa por su sistema GPS TomTom Navigator.

Sin embargo, tal como cuentan en TNW, tras un análisis del tráfico de datos en las aplicaciones de mapas realizado por la web TechPP, algunos de esos mapas vienen de la compañía se su archi enemigo más antiguo, la propia Microsoft.

Figura 1: Captura de datos de mapas en la que se ve que pertenecen a Microsoft

No es la primera vez que Apple hace una asociación con la compañía de Redmond. Ya en pasado han sido muchos los acuerdos entre ambas, y justo hoy hace un año, publicamos una noticia en la que se podía constatar como el servicio iCloud de Apple utilizaba Windows Azure de Microsoft.

Esta claro que Apple, a día de hoy, considera más enemigo a Google que a Microsoft. Tal vez no quiera que su gran competidor en terminales móviles - Google con Android - controle ningún servicio fundamental de iOS, por lo que Siri y las aplicaciones de mapas, no se van a acercar mucho a los servicios de Google.

miércoles, 13 de junio de 2012

Java for OS X Lion 2012-004 y for Mac OS X 10.6 Update 9

Parece que Apple no está dispuesta a tener otro Caso FlashBack Trojan debido a tardar en parchar la máquina Java de sus sistemas Mac OS X, y se ha apresurado a poner disponibles los parches de seguridad de Oracle Java de Junio disponibles para sus clientes. Ayer mismo lanzó la nueva actualización Java for OS X Lion 2012-004 y Java for Mac OS X 10.6.6 Update 9.

Las actualizaciones de seguridad están también dentro de Software Update, por lo que sólo deberías utilizar la opción de Buscar Ahora y aplicar la nueva actualización en tu sistema Mac OS X Snow Leopard o Mac OS X Lion. Para Mac OS X Leopard y anteriores no hay actualización, ya que se encuentran sin soporte.

Figura 1: Java para OS X 2012-004 vía Software Update

Sin embargo, a pesar de la premura en poner disponible la actualización, la información de seguridad sobre estas versiones aún no está disponible, por lo que hay que ir a ver la información de Oracle sobre Java 1.6.0_33 para ver todos los bugs solucionados. Como se puede ver en la tabla siguiente, se solucionan 14 CVEs, de los que 12 permiten ejecución de código remoto, por lo que son Highly Critical.

Figura 2: Matriz de CVEs solucionados en Java 1.6.0_33

Además de la solución de estos bugs, en esta nueva actualización deshabilita el plugin de Java en el navegador cuando no se han utilizado Applets durante largo periodo de tiempo, lo que obligaría a una interacción con el usuario a la hora de correr uno desde la web. También se deshabilita si la actualización anterior de Java no está aplicada.

Desde Seguridad Apple te recomendamos que la actualices lo antes posible, ya que con esos 12 bugs críticos podría tomarse el control de tu máquina con solo visitar una página web.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares