Menú principal

martes, 31 de julio de 2012

Apple Safari 6 en OS X Mountain Lion 10.8 Crasheando

El 26 de Julio andábamos por el Caesar's Palace de Las Vegas participando en Black Hat USA 2012, y decidimos darnos un paseo al Apple Store que hay allí mismo, para ver el nuevo OS X Mountain Lion 10.8, y juguetear un rato con él. Como ya sabéis, esta nueva versión viene con Apple Safari 6, como parte de sus novedades de seguridad, así que nos pusimos a enredar un rato. En menos de 1 minuto, el navegador dio una bonito crash, como podeis ver en la foto que hicimos.

Figura 1: Apple Safari 6 crasheando en OS X Mountain Lion 10.8 el 26 de Julio de 2012 en un Apple Store

Parece que ya hay por Internet quejas de bastantes crasheos en el sistema, usuarios que reportaron muchos fallos con la compra de las licencias y las instalaciones. No os preocupéis que seguro que mejora, pero de momento voy a esperar una semana más antes de instalarlo en mi equipo personal, que no me apetece tener problemas en Agosto.

lunes, 30 de julio de 2012

Fue Noticia en Seguridad Apple: Del 16 al 29 de Julio

Llegamos al checkpoint que hacemos cada dos semanas en Seguridad Apple para poder repasar toda la actualidad de lo publicado en el blog. En esta ocasión, este periodo ha convivido con el lanzamiento de OS X 10.8 Mountain Lion, que a buen seguro nos va a dar mucho que hablar en el futuro. Vamos con el repaso de lo que aquí hemos publicado.

Comenzamos el lunes 16 de Julio con la presencia de Apple en las conferencias BlackHat USA 2012. Algo único, que generó mucha expectación en los medios, aunque al final a muchos defraudara la información que se dio sobre iOS Security allí, ya que no aportó muchos datos desconocidos por los investigadores de seguridad.

El martes de esa semana publicamos el proceso de instalación de CyberSecurity para Mac OS X, una solución antimalware profesional de la compañía ESET, muy popular en sistemas Microsoft Windows por su solución NOD32.

El miércoles unas herramientas muy curiosas de App Store que permiten conocer la peligrosidad de las zonas en las ciudades que visitas, mediante la creación de un mapa de la ciudad con las zonas calientes en las que se han reportado delitos criminales.

El jueves de esta semana, una curiosa herramienta en la App Store para los analistas forenses de dispositivos móviles que permite seguir con una guía el proceso completo del mismo BK Forensics iOS App.

El 20 de Julio la noticia fue para la actualización de Mozilla Firefox 14 para Mac OS X, con soporte de búsquedas en HTTPs y la solución de 15 vulnerabilidades de seguridad, lo que hacen más que recomendable su aplicación.

El sábado 21 de Julio dedicamos el post del día a Log Leech, una útil herramienta para la revisión de los logs de sistemas Mac OS X. Si te gusta tener control de lo que pasa en tu sistema, debes echarle un ojo, porque es muy cómoda de utilizar.

El domingo quisimos probar el ataque de Alexey Borodin al sistema de compras de in-App Purchase de Apple, para comprobar de primera mano cómo funcionaba todo el proceso. Ese día también se había añadido el soporte para Mac App Store y Apple comenzó a liberar la API privada que utiliza internamente para que los desarrolladores no estén desprotegidos.

El lunes la noticia fue para el intento de detección de ladrones de terminales móviles por parte de la Policía de Sussex que terminó como un "fracaso" cuando los terminales eran devueltos a la Policía por buena gente.

El 24 de Julio el post se lo dedicamos a Clueful, la aplicación de la empresa Bitdefender que permite conocer qué permisos y qué mecanismos de tracking utilizan las aplicaciones que tienes instaladas en tu terminal, y que fue retirada de la App Store por Apple, no sabemos bien el porqué.

El miércoles la noticia fue para la llegada de OSX/Crisis, también conocido como OSX/Morkut, un malware para Mac OS X que fue descubierto en Virus Total y que se convertía en el último malware profesional para los sistemas de Apple descubiertos.

El jueves Apple cerraba el caso de Alexey Borodin y las compras de in-App Purchase gratuitas en Mac App Store y App Store… por ahora, según publicaba el hacker ruso.

Ese mismo día, con la salida de OS X Mountain Lion, quisimos recoger las principales novedades en seguridad que aporta este nuevo sistema, para conocer un poco mejor lo que nos ofrece a los usuarios de Mac OS X.

El viernes pudimos disfrutar de mucha más información sobre OSX/ Crisis, OSX/Morkut, para descubrir que es un software profesional que se vende como kit, que permite espiar conversaciones de Microsot Messenger, Skype, Adium, etcétera, y hasta grabar con la webcam al usuario infectado. Lo más revelador fue que había sido utilizado como APT contra periodistas marroquís contrarios al gobierno que llevaron la voz cantante en la primavera árabe.

Ayer sábado, una nota para recordar a los usuarios que había salido ya Apple Safari 6, pero solo para Mac OS X. Una actualización que soluciona 121 bugs, de los cuales 105 podrían ser utilizados para ejecutar código arbitrario en la máquina.

Por último, ayer domingo, nos hicimos eco del parche de Apple para XCode del bug de B.E.A.S.T - publicado hace casi un año - y para evitar que se pueda acceder al keychain de las aplicaciones descargadas desde el App Store.

Y esto fue todo. Esperamos veros por aquí mañana mismo, y en el resumen cada dos semanas.

domingo, 29 de julio de 2012

Apple parcha B.E.A.S.T. en XCode... casi 1 año después

En Septiembre del 2011, Juliano Rizzo y Thai Dong sorprendían de nuevo a mundo desde la Ekoparty - conferencia que se está acostumbrando a este tipo de situaciones - con la publicación de B.E.A.S.T. (Browser Explotation Against SSL & TLS) recogido en su famoso paper "Here como the Ninjas". En aquella presentación, demostraron cómo era posible descifrar la comunicación SSL & TLS de una comunicación si se controla un padding en el comienzo del algoritmo de cifrado. Rápidamente aparecieron las aplicaciones que implementaban este tipo de técnicas, y todos los fabricantes de tecnología SSL & TLS tuvieron que parchar sus sistemas.

Figura 1: Thai y Juliano en la Ekoparty 2010

Sin embargo, Apple no ha actualizado XCode, el entorno IDE de desarrollo contra este bug hasta esta semana, en la que por medio del Apple Security Advisory APPLE-SA-2012-07-25-2 Xcode 4.4 comunicaba a la comunidad de investigadores de seguridad que publicaba un parche en la librería neon para solucionar el bug con CVE-2011-3389, es decir, el de B.E.A.S.T. Esto evitaría que tus aplicaciones con soporte SSL o TLS fueran vulnerables a este bug.

No solo ha solucionado este bug, sino que en el mismo advisory se encuentra un parche para el bug CVE-2011-3389 que puede permite a las Helper Tools construidas con XCode acceder a cualquier dato almacenado en el keychain por cualquier aplicación, lo que llevaría a que una aplicación maliciosa de la App Store, accediera al keychain de otras, algo que es más que probable que Apple haya descubierto en activo en aplicaciones de la App Store.

En definitiva, Apple actualiza XCode a la versión 4.4, por lo que si estás realizando software o quieres hacerlo, te recomendamos que instales la nueva versión cuanto antes, ya que depende del IDE que tus aplicaciones quede seguras frente a estos bugs.

sábado, 28 de julio de 2012

Apple Safari 6: 121 parches de seguridad y novedades

Apple aún NO ha publicado la versión de Apple Safari 6 para Windows, pero en la versión para Mac OS X se han solucionado 121 bugs de seguridad, de los cuales 105 podrían permitir la ejecución arbitraria de código. Con esta gran cantidad de bugs solucionados, y permitiendo tantos la ejecución de código arbitrario en el sistema, el nivel de esta actualización de seguridad es Highly Critical, ya que los exploits para algunos de esos bugs están o estarán en breve disponibles públicamente.

La lista de todos los CVE parchados está disponible en el Apple Security Advisory APPLE-SA-2012-07-25-1 Safari 6.0 y en el artículo de la Knowledge Base HT5400, donde se pueden ver los nombres de todos los descubridores de los fallos, así como todos los módulos afectados.

Figura 1: Apple Safari 6 vía Software Update

A parte de los fallos de seguridad Apple Safari 6.0 aporta otras novedades, como mejoras en la lectura offline, la inclusión de gestos de navegación en documentos PDF, y mejoras en los filtros anti-phishing, pero sólo con los 121 bugs debería ser suficiente para convencerte de que debes actualizarlo ahora mismo. Puedes descargarlo desde la web de Apple Safari y está disponible vía Software Update.

viernes, 27 de julio de 2012

OSX/Crisis - OSX/Morcut: Más información desvelada

Hace un par de días tuvimos la primera noticia de la aparición de un nuevo malware para plataformas Mac OS X, al que se denominó OSX/Crisis. Hoy ya son varios los ingenieros que han realizado análisis del "bicho" y se dispone de más información al respecto, que vamos a intentar recoger en este artículo.

La vía de infección

Inicialmente el malware fue descubierto a través de Virus Total por Intego, pero la firma Sophos también ha publicado información sobre el mismo, al que ha denominado como OSX/Morcut. Tras unos primeros análisis de Intego, parece que el malware utiliza un Applet Java que simula ser un plugin de Adobe Flash. Los nombres concretos de los ficheros descubiertos hasta ahora son Adobe.jar y AdobeFlashPlayer.jar.

Figura 1: El Apple no firmado que se lanza

Una vez se arranca, utiliza técnicas de ingeniería social para conseguir que el usuario acepte la ejecución del mismo, donde se lanza un programa llamado WebEnhacer que genera una alerta de seguridad por no venir firmado por una fuente de confianza. Algo que el usuario debería tener en cuenta.

Figura 2: La comprobación del sistema operativo en WebEnhancer

Una vez ejecutado, el malware comprueba si está sobre un sistema Mac OS X o Windows, para lanzar la descarga de un backdoor u otro e infectar convenientemente cada sistema. Además, para hacer más complicada su detección, modifica el Monitor de Actividad del sistema

El ataque dirigido

En las últimas horas se ha sabido que el troyano fue subido a Virus Total por la empresa DefensiveLabs, en nombre de un periodista marroquí, que parece que fue víctima de una ataque dirigido contra periodistas críticos con el gobierno que tuvieron su importancia durante la pasada "Primavera Árabe". Esa es la razón por la que apareció en Virus Total el malware original. El ataque no se hizo por medio de un Applet Java, sino por medio de un documento en formato Word, titulado scandal.doc.

Las acciones en el sistema

Este malware viene con un backdoor y un módulo de kernel que le ayuda a esconderse dentro del sistema. Una vez allí, el programa infecta aplicaciones como Adium, Skype, Microsoft Messenger y Firefox, entre otras, para monitorizar todo tipo de acciones.
- Espía conversaciones de Skype y graba todas las llamadas
- Espía Firefox y Safari, donde hace screenshots y graba todas las URLs
- Graba conversaciones de MS Messenger y Adium
- Envía ficheros con toda la información al servidor
Además de todas esas acciones, es capaz de activar la webcam y grabar a las personas, ejecutar programas en el sistema, grabar los keystrokes, etcétera, lo que lo convierten en una solución muy profesional.

Quién está detrás

Según parece, este es un kit comercial de malware que se vende a gobiernos y empresas para realizar espionaje de sistemas. El software tiene por nombre Remote Control System DaVinci - dejando una referencia a la película Hackers -, y según Intego se podría comprar por unos 200.000 €, lo que deja fuera de juego a script kiddies.

Todas las compañías antimalware ya están sacando firmas para este nuevo troyano, así que si tienes una solución profesional en tu Mac OS X, solo deberás actualizar la base de datos de firmas.

jueves, 26 de julio de 2012

OS X Mountain Lion: Novedades en seguridad


Con la salida de OS X Mountain Lion os presentamos algunas de las novedades interesantes en el ámbito de la seguridad. Se puede decir que Apple empieza a tomarse en serio el mundo de la seguridad, tal y como ocurrió en su día con MicrosoftLas novedades más esperadas y que más revuelo han porporcionado al mundo de la manzana son las siguientes: 

Sandboxing en todas las aplicaciones

Una sandbox aisla la ejecución de una herramienta para evitar la ejecución de código malicioso en el sistema. En OS X Mountain Lion se aisla la ejecución de las aplicaciones de componentes críticos del sistema operativo y de gestión de datos privados. Se añade sandboxing a nuevas aplicaciones como las notas, recordatorios o el Game Center y se optimiza la ejecución de la sandbox en aplicaciones que ya disponían de ella, como con el cliente de correo Mail o FaceTime. Para todas las aplicaciones que se distribuyan por medio de la Mac App Store será obligatorio el uso de sandbox, aunque Apple no lo haya hecho en su Apple Configurator.

Gatekeeper 

Esta utilidad, Gatekeeper, controla qué aplicaciones se pueden descargar y ejecutar y cuales no, pero la decisión final sigue siendo a cuenta del usuario. Esta aplicación evitará que los usuarios menos avanzados caigan en las redes de los creadores de malware.

Existirán 3 niveles de seguridad para ver qué política se ejecuta sobre el sistema. La política más restrictiva sólo permitirá la instalación de aplicaciones que provengan de la Mac App Store.

El segundo nivel de restricción, el cual vendrá configurado por defecto, amplia el mercado de aplicaciones a aquellas que han sido desarrolladas por programadores certificados por Apple. Por último, se dispone de la opción o tercer nivel dónde se dejará las cosas como están en la acutaildad, es decir, no se tomará ninguna medida de prevención con el tema de las aplicaciones. Como última novedad hay que decir, que los usuarios de Mac OS X Lion también podrán disfrutar de GateKeeper.

Actualizaciones de seguridad del sistema y las aplicaciones de la Mac App Store

Hoy en día es muy importante tanto para particulares como empresas disponer de su software actualizado y con la nueva versión del sistema operativo se dan dos pasos más hacia la homogeneidad: Actualizaciones del sistema operativo mejoradas y actualización de software de terceros integrada.

Figura 1: Actualizaciones de seguridad en OS X Mountain Lion

El nuevo OS X Mountain Lion permitirá al usuario que su software de la Mac App Store se actualice automáticamente, al igual que los parches o actualizaciones del sistema. Está comprobado que la mayoría de las máquinas de los usuarios tienen sus puntos débiles en las actualizaciones que tienen pendientes en las aplicaciones  del seguridad y software de terceros.

Apple Safari: Antiphishing mejorado

El phishing permite a los usuarios malintencionados mostrar un entorno muy parecido al real para llevar a las víctimas a caer en el engaño. De este modo, se consigue información privada de las víctimas, como pueden ser nombres de usuario, contraseñas, sesiones, tarjetas de crédito, etcétera. Apple Safari en la nueva versión vendrá con nueva tecnología anti phishing mejorada para proteger a los usuarios de este tipo de estafas.

FileVault 2 se mejora: Discos externos con FDE y Time Machine

La nueva versión de FileVault 2 estará disponible con OS X Mountain Lion. El cifrado de los datos, hoy en día es imprescindible, y en la nueva versión de FileVault 2 no solo se podrá hacer uso de Full Disk Encryption con AES 128, sino que también se podrá cifrar cualquier unidad extraíble por lo que unido al soporte de Time Machine, se podrá disponer de los archivos de respaldo o backup cifrados y protegidos.

XProtect: Anti malware mejorado

Después de lo pasado en el último año, Apple no está dispuesta a seguir ignorando el mundo del malware, por lo que en OS X Mountain Lion, la tecnología XProtect será mejorada, para dar un mejor conjunto de herramientas defensivas para luchar contra el software malicioso procedente de los archivos descargados de Internet, que serán analizados por el sistema operativo para verificar que no disponen de malware. Si ocurriese esto, OS X  Mountain Lion avisará y ofrecerá la posibilidad para moverlo a la papelera.

Aún así, entendemos que distará aún de tener todas las opciones de un anti malware profesional, ya que Apple está apostando más por uso de code-signing como en GateKeeper en lugar de tecnologías reactivas.

¿Y si te  roban el Mac? Find My Mac
 
Apple ha explicado que si tu Mac es robado o "perdido" se podrá encontrar gracias a iCloud y el propio sistema operativo del equipo. Se podrá utilizar la herramienta Find My iPhone un dispositivo como iPhone o iPad para localizar al equipo. Si el equipo no se encuentra conectado a Internet cuando se solicita que dé señales de vida, se puede programar que cuando el equipo se conecte a Internet notifique su posición mediante un correo electrónico.

Se puede dejar un mensaje para el ladrón... indicándole que vas a bloquear el equipo con un código que sólo tu conoces, al menos si no disfrutas tu el equipo, que no lo haga él. Y por último, se podrá lanzar una señal remota para borrar los datos personales y restaurar el Mac a los ajustes de fábrica.

Esperamos con ganas poder disfrutar del nuevo sistema operativo y poder estudiarle a fondo para contarlo en Seguridad Apple. ¿Preparados para el nuevo felino?

Alexei Borodin: It's all over... for now

Uno de los hackers del momento, Alexei Borodin, creador del ataque que permitía hacer in-App Purchases gratuitas en sistemas iOS y Mac OS X, ha comentado que Apple ha puesto el ataque fuera del negocio, por el momento. Estas palabras son pronunciadas debido a la actualización de la API realizada por Apple, con la que se ha conseguido evitar que se puedan obtener las compras sin identificar al usuario. 

El propio Alexei Borodin ha posteado lo siguiente:
"Actualmente, nosotros no tenemos ninguna vía para bypassear la API actualizada. Este hecho es una buena noticia para todos, nosotros hemos actualizado o mejorado la seguridad en iOS y los desarrolladores tienen sus aplicaciones en un entorno más seguro."
También dice que el exploit, el cual requiere el uso de los servidores de terceros y certificados de seguridad especialmente instalados seguirá corriendo y funcionando hasta que Apple libere iOS 6. La última semana Apple había dicho que:
"El software, el cual estará disponible en los próximos meses, parcehará el exploit"
La compañía por el momento ha proporcionado la API privada y actualizada para permitir a los desarrolladores validar cada  compra realizada dentro de sus aplicaciones. Ante este hecho, Alexei Borodin comentó:
 "Tras las últimas observaciones de Apple acerca del problema de seguridad en la App Store y el arreglo en iOS 6, yo puedo decir que, actualmente, el juego ha finalizado, por ahora".
Desde Seguridad Apple hemos seguido este capítulo inédito hasta el momento con autentica curiosidad y hasta hicimos un step-by-step probándolo. Veremos que pasa en el futuro, que ha quedado claro, como también queda de manifiesto en la agenda de BlackHat de este año, que los hackers han puesto sus ojos en las tecnologías Apple.

miércoles, 25 de julio de 2012

Descubierto nuevo malware para Mac OS X: OSX/Crisis

La compañía Intego ha reportado el descubrimiento de un nuevo malware para Mac OS X 10.6 Snow Leopard y Mac OS X 10.7 Lion, localizado en el repositorio de Virus Total. La pieza de malware está formada por un dropper y un backdoor, descargado por este primero, a los que han bautizado como OSX/Crisis y Backdoor:OSX/Crisis

Como no ha sido descubierta activamente, no se conoce el modo de distribución que se está utilizando, y puede ser realizado mediante un binding con otros programas de instalación o usando exploits con kit de explotación habituales.

El dropper, una vez instalado, crea una serie de carpetas, dependiendo de si se ejecuta con permisos de administrador o no en el sistema, de las que algunas son con nombres aleatorios, y otras con nombres fijos, como son:
/Library/ScriptingAdditions/appleHID/
/System/Library/Frameworks/Foundation.framework/XPCServices/
La última de estas carpetas se crea sólo si el malware consigue permisos de administración, con el objeto de lograr la persistencia en el sistema frente a reinicio del sistema.

Figura 1: Llamadas al sistema realizadas por OSX_Crisis

El malware, según parece, utiliza sistemas de ofuscación para dificultar las tareas de ingeniería inversa por parte de los analistas, y se conecta a una dirección IP fija cada 5 minutos, 176.58.100.37, lo que hace suponer que se ha estado probando allí o controlando desde esta dirección. Esperaremos a ver más resultados de este análisis y a ver si se publican los hashes de las piezas de software para poder ver resultados de otros analistas.

martes, 24 de julio de 2012

Apple retira aplicación que vigila los permisos de otras apps

La empresa BitDefender no sabe aún bien por qué han retirado de la App Store la aplicación Clueful, una aplicación que permite a un usuario conocer qué aplicaciones están haciendo uso de qué permisos en el terminal del usuario. Entre otras cosas, esta utilidad permitía saber qué apps están recolectando el UDID del terminal, algo que Apple prohibió, y que ahora no queda muy claro si, después del hackeo del sistema de in-App Purchases realizado por Alexey Borodin, va a volver a habilitar.

Lo cierto es que la herramienta, como se puede ver en la captura, da información valiosa al usuario respecto a la privacidad que tiene al instalar y/o utilizar cada una de las aplicaciones de su termina, pero Apple ha decidido que incumple alguna de las normas de la App Store, y la ha retirado.

Suponemos que toda la situación que se está viviendo estos días, y la cercanía de a anunciada llegada de iOS 6 tiene a Apple definiendo las reglas del juego para las aplicaciones y tendremos que esperar acontecimientos para ver en qué termina todo este lio.

lunes, 23 de julio de 2012

La Policía en UK pone dispositivos trampa a ladrones de móviles pero la buena gente le devuelve los terminales

La Policía del Condado de Sussex, en el sur de Inglaterra, ha tenido un particular fracaso en la lucha contra los ladrones de telefonos móviles según cuentan en Naked Security

Para detectar cuáles son las redes de ladrones de terminales en la zona, la Policía de Sussex orquestó una operación llamada Mobli, en la que se utilizaron dispositivos marcados y con sistemas de seguimiento ocultos con el objeto de conocer los movimientos que hicieron los malechores de la zona.

Con la colaboración ciudadana, y disfrazados de paisano, intentaron dejar los terminales "descuidados" en bares de la zona, pero casi siempre con el mismo resultado: el terminal les era devuelto a ellos o al responsable del bar por algún samaritano de turno, haciendo que no hayan podido conseguir colocar ningún terminal marcado, debido a la buena gente.

Como resultado del fracaso, el Sargento Ché Donald, del equipo de Policía que llevó la operación ha declarado en la nota de prensa de emitida que su fé ha sido restaurada en la gente, con la devolución de los teléfonos por gente de buen corazón, lo que es un gran resultado.

Por último, se recuerda que en el Reino Unido, cualquier bien puede ser registrado en la Base de Datos Nacional de Propiedad Privada, y que esta es revisada por la Polícia cada vez que se recupera algún objeto robado, por lo que se recomienda registrar los terminales.

¿Qué piensas tú? ¿Una bonita historia de esperanza antes del comienzo de los Juegos Olímpicos de Londres o una operación mal diseñada para cazar a los verdaderos profesionales del hurto? ¿Será que no quieren acabar los malos en el Hall of Shame de ladrones en modo EPIC FAIL?

domingo, 22 de julio de 2012

Hack de in-App Purchase de iOS se extiende a Mac OS X, Apple libera API Privada para los desarrolladores y una POC (Prueba de Concepto) del ataque de Alexey Borodin.

Apple está respondiendo al problema de seguridad que ha permitido que algunos usuarios realizaran compras en las aplicaciones de iOS de manera gratuita. Estas compras se realizan por el conocido sistema que Apple proporciona a los desarrolladores a través de una API, para realizar ventas en sus aplicaciones, denominado In-App Purchases - de ahora en adelante IAPs -, y así maximizar sus oportunidades de negocio, junto con iAd” la plataforma de publicidad.

Es curioso que, a principios de este año, Apple comenzó a rechazar aplicaciones que utilizasen el identificador UDID, para aumentar la privacidad del usuario, ya que identifica a los dispositivos de manera unívoca. Sin embargo, parece que ellos si que lo utilizan y han liberado ese API privada para que los programadores puedan defenderse de estos hackeos, en un primer paso de reforzar la seguridad del sistema de ventas IAPs. Los programadores podrán averiguar qué dispositivos están  hackeando el sistema de ventas.

El hackeo del sistema lo realizó el hacker ruso Alexey Borodin, hace menos de una semana, y se calcula que ya se han podido realizar más de 30.000 transacciones virtuales de manera ilegal, a través de la web que montó el hacker, todavía online, y que es In-AppStore.com. Ahora miso, el sistema ha sido extendido también al sistema IAP de la Mac App Store, con lo que no solo afecta a los desarrolladores iOS, sino también a los desarrolladores Mac OS X.

Prueba de Concepto del Sistema de Alexey Borodin

La primera noticia de esto fue publicada en el blog ruso I-ekb.ru. El hackeo conocido como In-App Proxy, que el propio autor explicó, consiste en cuatro sencillos pasos:

  • Desconectarse o cerrar sesión de la cuenta asociada a App Store en el terminal, accediendo a General >Store”, seleccionando la cuenta y cerrando sesión.
  • Instalación de dos certificados que se encuentran disponibles a través de In-AppStore.com, seleccionando la opción Getting Started. En dicha web viene documentado todo el proceso, y están alojados los dos certificados que hay que instalar respetando el orden:
- Primero (CA Certificate): http://91.224.160.136/certs/cacert.pem
- Segundo (In-AppStore.com certificate): http://91.224.160.136/certs/itcert.pem
Para la instalación de los certificados, basta con cargar la web In-AppStore.com, seleccionarlos e instalarlos, tal y como se aprecia en las siguiente captura:

Figura 1: Instalación de certificados de In-AppStore

A continuación se muestran las capturas de la instalación del primer certificado (CA certificate):


Figura 2: Instalación del primer certificado (CA certificate)

Y a continuación se muestran las capturas de la instalación del segundo certificado, en este caso el certificado de In-AppStore.com:


Figura 3: Instalación del segundo certificado

  • El tercer paso consiste en realizar una compra, y cuando salga el mensaje de confirmación Esta seguro de que desea realizar esta compra hay que seleccionar la opción Cancelar.
  • El cuarto y último paso es cambiar los DNS de la configuración de la red Wi-Fi. A continuación se muestra una captura en donde se aprecia el cambio:

Figura 4: Cambio de los DNS de la red Wi-Fi a la que se está conectado.

Y listo. Ya se puede realizar la compra IAP dentro de una aplicación. Como prueba de concepto he escogido este juego al que personalmente estoy un poco enganchado, para obtener unas moneditas de oro extra, y aumentar los niveles de la varita mágica de mi clérigo. A continuación se muestra una captura del sistema de ventas IAP del juego:

Figura 5: Aspecto del sistema IAP del juego "Heroes vs Monsters - H vs M"

Se selecciona la compra deseada, en nuestro ejemplo se ha elegido el pack más pequeño de monedas, es decir el de 3.000, y acto seguido aparecerá un mensaje como el siguiente, en lugar del habitual mensaje de Apple:

Figura 6: Mensaje de compra de "In-App Proxy"

Se acepta la compra, y se va a la sección Store o la tienda del juego, en donde se puede comprobar como ahora se poseen las 3.000 ansiadas moneditas de oro.

Figura 7: Comprobando que se han adquirido las 3.000 moneditas de oro

Varias cosas a tener en cuenta con este sistema de hacking:
  • La primera es que el sistema solo funciona a través de la conexión Wi-Fi.
  • Otro factor a tener en cuenta, es que In-App Proxy sólo sirve para realizar compras gratuitas de el sistema de ventas IAPs, pero no en la App Store. De hecho si se intenta realizar alguna compra, aparece la siguiente imagen:


Figura 8: Intentando realizar una compra en App Store.
Por tanto, después de realizar nuestras "compras" (ya que son ilegales) en IAPs, habría que cambiar los DNSs de nuevo para poder acceder correctamente a la App Store.
  • Otro aspecto a tener en cuenta es que todo el sistema In-App Proxy es una versión beta, y no funciona en todos los casos, dependiendo de markets, apps, países, etc. Y se puede ver que hay una sección en la web del desarrollador, en donde se pueden ver mensajes de fallos del sistema, reportados por usuarios. Además Apple provee de un sistema a los desarrolladores, para comprobar los recibos en las ventas IAPs, tal como se puede ver aquí. Característica que deberían utilizar todos los desarrolladores.
  • Por último cabe decir que no es necesario realizar el jailbreak a nuestro dispositivo.

Reacción de Apple

Al parecer Apple ha hecho un comunicado al respecto, alegando lo siguiente: La seguridad de la App Store es increíblemente importante para nosotros y para la comunidad de desarrolladores, declaró la representante de Apple Natalie Harrison a The Loop. "Tomamos todos los informes de actividades fraudulentas muy en serio, y estamos investigando”.

Para finalizar el artículo, decir que el propio autor ha declarado que no ha almacenado datos de los usuarios, pero que el hecho de que se envíen datos del terminal, debería ser suficiente para que la gente no lo intente. Así que aquellos que deseen intentarlo deben tener en cuenta que se envían datos de vuestros dispositivos…y que Apple se toma en serio el fraude. Nosotros hemos comprado las monedas de forma legítima a posteriori, para hacer esta POC.

También ha declarado que aquellos desarrolladores que utilicen el sistema de recibos mencionado anteriormente, tampoco están seguros, y que tan sólo aquellos que hayan desplegado sus propios servidores para comprobar las compras IAPs, podrán evitar el hackeo.

sábado, 21 de julio de 2012

Log Leech: Revisión de eventos del sistema en Mac OS X

El registro de eventos en los sistemas Mac OS X utiliza diferentes formas de almacenamiento. Algunos de esos eventos se envían a la consola, mientras otros se almacenan en ficheros independientes, los cuales son algunos en formato plist,, otros en formato binario bplist y los de algunas aplicaciones concretas son meros archivos de texto. Aquí hemos hablado ya de alguno de esos ficheros, como son los de las conexiones USB que se han hecho en el sistema o los dispositivos BlueTooth que han estado en contacto con nuestro Mac OS X.

Hace casi dos años os hablamos de GeekTool, una solución para ver los ficheros de log para los amantes de los interfaces geek, y hoy hemos probado la versión de evaluación de Log Leech, que puede descargarse desde la web de la empresa que la desarrolla. Esta herramienta proporciona una solución que centraliza y muestra de manera muy sencilla todos los eventos que se han producido en el sistema. Log Leech lee todos los repositorios de eventos y presenta la información de una manera vistosa y sencilla.

Figura 1: Eventos organizados por módulo y fecha. 23 mensajes de Google Software Update.

La aplicación permite al usuario agrupar los archivos de registro por la aplicación que creó el evento en el sistema lo que supone un proceso simplificado a la hora de buscar algún evento concreto de una aplicación. Esta acción se puede realizar a través de la línea de comandos mediante el uso de búsquedas avanzadas, lo cual es una ventaja para Log Leech.

Figura 2: Eventos por fecha. Lista de eventos del firewall

Los eventos pueden ser ordenados por fecha del suceso, por nombre de aplicación o el número de entradas que han generado las distintas aplicaciones, con ésta última opción se puede encontrar lo que las aplicaciones o procesos han escrito totalmente en los registros de la máquina.

Figura 3: Lista de redes WiFi a las que se ha conectado el equipo.

Otra de las opciones que permite Log Leech es la posibilidad de visualizar todos los registros del sistema o simplemente los registros de la consola. Como no ha habido un archivo con nombre console.log en las últimas versiones de Mac OS X, esta última opción muestra los resultados de syslog-C, lo cual muestra entradas del registro que afectan a la cuenta local del usuario actual. Estas opciones son, a menudo, útiles para solucionar problemas y ver qué tipo de errores se han producido con las aplicaciones que se ejecutan en Mac OS X

Figura 4: Eventos fallidos de su en el sistema.

Es altamente sencilla y cómoda si eres de los administradores que quieren estar viendo los eventos del sistema de forma rápida. Log Leech ofrece una versión trial de 30 días y está disponible por un precio de 9.99 $ para Mac OS X y 4.99 $ para iOS.

Mac reparte sus cartas

Mac o PC, una elección, dos alternativas, miles de charlas entre informáticos y entre usuarios acerca de las beneficios de uno y otro. Los usuarios de Mac no tienen duda, su ordenador es el mejor, el que más opciones da y el que ofrece un funcionamiento más acorde a los tiempos. Los de PC les dan la razón en muchos aspectos pero les recuerdan los graves problemas de compatibilidad que tienen los ordenadores de la marca de la manzana prohibida.

En el mundo del juego online y, en concreto, de las páginas de casinos online, esta disyuntiva también está muy presente. Por todos es conocida la gran proliferación de empresas que operan en la red ofreciendo la posibilidad de jugar una partida de poker seguro, ya sea con dinero ficticio o real.

Y como no podía ser de otra manera, Apple se ha dado cuenta del tremendo mercado que este tipo de juegos abría y son cada vez más las páginas que ofrecen un software compatible para poder disfrutar del más famoso juego de cartas de la historia a través de la pantalla y el teclado de tu Mac.

Hace un tiempo que esto parecía una utopía, la razón era que casi todas las salas de poker eran archivos con extensión .exe, es decir, que no eran compatibles y no podían ser ejecutados en este tipo de ordenadores.

La solución ha llegado de dos maneras. Los usuarios de Mac tienen ahora la opción de utilizar un software descargable o la de utilizar otro, que no necesita ser descargado, y que es compatible tanto para los ordenadores de Apple como para PC.

Ahora son muchas las páginas de poker que ofrecen a los usuarios de Mac la oportunidad de disfrutar de los mejores juegos de poker en cualquiera de sus modalidades, ya sea el Texas Holdem online, el Omaha, el 5 card draw u otra de sus modalidades.

Las mejores webs de poker online pueden funcionar, sin ningún tipo de problema para Mac. Algunas de estas son PartyPoker, PokerStars o 888Poker. Es decir, tres de las más conocidas salas de poker online del mundo.

Autor: Jaime

viernes, 20 de julio de 2012

Seminario de Análisis Forense de Dispositivos iOS

Durante toda las semana que viene tendrán lugar una serie de seminarios presenciales dedicados a las técnicas de análisis forense y hacking en las oficinas de Informática 64, y a través de Internet en formato Virtual Hands On Lab dedicados al desarrollo de aplicaciones Android. De todos ellos, hay uno que queremos destacar especialmente para los seguidores de este blog, por su temática, como es el dedicado al Análisis Forense de dispositivos iOS: iPhone, iPod Touch & iPad

El seminario será el jueves 26 de Julio, en horario de mañana y con 6 horas de duración en total y el profesor será Juan Miguel Aguayo, autor del libro Desarrollo de aplicaciones iOS para iPhone & iPad: Essentials. Su coste es de 60 € y tienes toda la información del registro en la web. Los contenidos son los siguientes.
Análisis forense en dispositivos iOS
Los dispositivos móviles hoy en día disponen de gran parte del mercado, son utilizados por la mayoría de las personas y almacenan gran cantidad de información privada. Esta información puede ser extraída ante la necesidad de un caso concreto de forense y puede llevar a la resolución de casos o incidentes. 
1. Introducción
- Introducción a la telefonía móvil
- Iniciación de un proceso forense
- Consideraciones legales 
2. Tarjeta SIM
- Conceptos básicos
- Entorno de laboratorio: clonadoras
- Análisis de la SIM 
3. Análisis de dispositivo
- iOS: Online, Offline y backup
- Versiones de iOS
- iOS 1.X a 3.X
- iOS 4.X
- iOS 5.X 
4. Herramientas de software
- Forense con Oxygen Forensics
- Otras herramientas
- Comparativa

Mozilla Firefox 14: 15 CVEs y búsquedas con HTTPs

La fundación Mozilla ha liberado una nueva versión de su barco insignia, el navegador de Internet Mozilla Firefox en versión 14, con soluciones a bugs críticos y con la inclusión de búsquedas en Google con HTTPs por defecto. Esta nueva actualización del navegador web presenta un total de 15 bugs de seguridad parchados, algunos de los cuales han sido catalogados con nivel de severidad crítico, lo que hace que sea más que recomendable actualizar a esta versión lo antes posible.

A continuación se listan las vulnerabilidades críticas que se solucionan con la nueva versión:
Los usuarios pueden llevar a cabo la actualización de Firefox usando el menú del navegador Firefox -> Acerca de Firefox -> Buscar actualizaciones, o descargar una copia de la nueva versión desde la web de Firefox.

jueves, 19 de julio de 2012

Análisis Forense de iOS siguiendo BK Forensics iOS App

BK Forensics, una reconocida empresa americana de soluciones comerciales para análisis forense de dispositivos móviles, tiene disponible una app en la App Store. La aplicación se publicita como una guía paso a paso para que el analista forense la tenga siempre a mano, a la hora de hacer el trabajo de campo. Según la empresa, la aplicación es una utilidad que todo agente de la ley o miembro de un cuerpo o fuerza de seguridad del estado, debería tener instalada en su terminal iPhone o iPad para tener una guía que seguir desde el primer momento.

Presentada como MPS Guide (Mobile Phone Seizure Guide), la aplicación le guiará en todo lo que necesita saber sobre la recogida de teléfonos móviles envueltos en una investigación criminal. La siguiente captura muestra la pantalla principal de la aplicación, para hacernos una idea de su aspecto, y el comienzo de la guía que se debe seguir para realizar un análisis forense de este dispositivo móvil.

Figura 1: Pantalla Principal y First Responder Checklist

La aplicación tiene varias secciones en barra menú desde las que se cubren las diferentes fases del análisis. En la primera sección, la aplicación guía al usuario de manera muy detallada para cumplir con las mejores prácticas a la hora de incautar o requisar dispositivos móviles en una investigación, y preservar así los datos volátiles, evitar que se realicen conexiones no deseadas, etcétera.

Figura 2: Secciones de la guía MPS

En las anteriores capturas se muestran diferentes secciones de la aplicación, en donde aparece desde una “First Responder CheckList”, que indica toda la información útil que se puede recopilar en el lugar del incidente, y dónde se puede encontrar dicha información (facturas, caja del dispositivo, titular de la factura, etcétera), además de recordar que se debe recoger el cargador, el equipo con el que se sincroniza, el cable de datos, y todo el material útil para el posterior análisis forense. Cosas que puedan parecer tal vez evidentes, pero que merece la pena seguir con una checklist en un caso forense.

Otras secciones muestran cuales son todas las evidencias, o cuales son los datos que se pueden encontrar o extraer de un dispositivo móvil. Pero la aplicación no sólo es una guía de referencia, sino que pretende ser una aplicación de productividad, permitiendo a los usuarios que gestionen y documenten sus dispositivos incautados, adquiridos, etcétera.

Figura 3: Sección "Seize Phone" que sirve para documentar el proceso de adquisición

Tal y como se puede ver en la anterior captura, la app permite realizar fotos, y tomar notas de datos vitales para el caso, como marca y modelo de terminal, ICCID, IMEI, passcode, pin de la SIM, almacenar la localización geográfica del incidente, nombre del propietario, número, etc, etc. A continuación varias capturas que muestran como se documenta una adquisición:

Figura 4: Datos de localización e IMEI/SN y ICCID del terminal

Un vez que la información ha sido salvada, se pueden ver los diversos casos en los que se ha trabajado en la tercera sección de la aplicación, titulada “Manage Phones”, tal y como se aprecia en la siguiente captura:

Figura 5: Sección de "Manage Phones" y datos de un caso guardado

Además se pueden compartir la información recopilada de cada caso, si se desea, con agencias colaboradoras, partners, otras fuerzas de seguridad del estado, etc. Para ello basta con pulsar el botón “Share Record” y automáticamente se adjuntan los datos en un correo, tal que así:

Figura 6: Datos de un caso, y envío de los mismos por correo electrónico

Y aquí finaliza el post de hoy. Esperamos que os haya gustado esta aplicación para los analistas forenses y que os pueda resultar útil, que además es gratis.
Artículos relacionados

Otras historias relacionadas

Entradas populares