Menú principal

jueves, 31 de enero de 2013

Firmware que arregla un bug en la batería de los MacBook

Ayer mismo os publicábamos los últimos drivers que Apple había puesto disponibles durante este casi pasado mes de Enero, pero como si lo hicieran para dejarnos mal, esa misma tarde se liberaron en la web de soporte tres nuevas actualizaciones de firmware, en este caso para los equipos MacBook Air, MacBook y MacBook Pro que solucionan un, según la propia Apple, "raro" fallo en el software de gestión de las baterías que provoca que cuando una batería ha sido cargada más de mil veces se reinicie o apague el equipo inesperadadamente.

Figura 1: Actualizaciones de firmware para MacBook en Enero

Las actualizaciones disponibles para equipos MacBook, MacBook Air y MacBook Pro son las siguientes, que ya puedes descargar e instalar en tu equipo:
- MacBook Air SMC Update v1.8 [982 KB]
- MacBook SMC Firmware Update 1.5 [494 KB]
- MacBook Pro SMC Firmware Update 1.6 [666 KB]
Hay que recordar que el software de gestión de las baterías de Apple es algo bastante complejo que hasta el propio Charlie Miller se dedicó a estudiar para dar una conferencia en BlackHat de lo más peculiar en las que explicaba cómo hackearlo.

miércoles, 30 de enero de 2013

Curso Análisis Forense de Dispositivos Móviles en Febrero

La semana que viene, los días jueves 6 y viernes 7 de Febrero tendrá lugar una nueva edición del Curso de Análisis Forense de Dispositivos Móviles en las oficinas de Informática 64, en horario de 09:00 a 14:00 horas centrado en las herramientas y procedimientos necesarios para hacer un procedimiento de análisis forense a la SIM de smartphones, a terminales Andorid y a dispositivos iOS. Allí podrás ver cómo realizar un análisis forense de iPhone 4S o iPhone 5 con iOS 6, utilizando entre otras herramientas como Oxygen Forensics para automatizar los procesos. Estos son los contenidos:

 AFDM02 Análisis Forense de Dispositivos Móviles Online

Descripción: Cada vez los dispositivos móviles son más importantes en nuestro día a día, llamadas, agendas, notas y fotografías, pueden ser utilizados para cometer un delito o fraude. La presente acción formativa proporciona los conocimientos y las habilidades necesarias para llevar a cabo una investigación sobre teléfonos móviles mediante diversas herramientas. Los alumnos adquirirán experiencia práctica con las imágenes del teléfono y el análisis de tarjetas SIM y tarjetas de memoria.

Objetivos: Al finalizar la acción formativa, los asistentes dispondrán de los conocimientos, procedimientos y herramientas disponibles, para analizar, de forma efectiva, auditorías de análisis forense específicas. Todo ello adaptado para cada uno de los sistemas operativos disponibles en los dispositivos móviles más utilizados hoy en día, tales como Android, Windows Mobile o iPhone.

Audiencia: Analistas forenses, técnicos de seguridad y cualquier persona con interés en la seguridad informática.

Requisitos: Para el correcto desarrollo de la formación es recomendable que los asistentes dispongan de conocimientos a nivel de usuario en el uso de smartphones.

Duración: 10 horas

Contenidos:

1. Introducción
- Telefonía móvil
- Análisis forense de dispositivos móviles
- Consideraciones legales

2. Tarjetas SIM
- Introducción a las tarjetas SIM
- Creación de un entorno de laboratorio
- Análisis de tarjetas SIM

3. Análisis de dispositivos
- Forense de Dispositivos móviles
Evaluación.
Adquisición.
Análisis.
Generación de informes.
- Análisis forense de Android.
- Análisis forense iOS.
- Versiones de iOS: 1x - 3.x, 4.x, 5 y 6
- Modelos de dispositivos:
iPhone: 3G, 3GS, 4 GSM y CDMA, 4S, 5
iPad: 1, 2, 3 y 4a generación
iPod Touch: 1a a 4a generación
4. Herramientas software
- Forense con Oxygen Forensics:
Captura de datos
Análisis de mensajes
Análisis de contactos
Análisis del log de eventos
Análisis de backups
Crackeo de cifrado de backups
Análisis de datos borrados
Información de geolocalización
Generación de informes
- Otras herramientas:
Device Seizure
Zdiarski Technique
Cellebrite
BitPim
Mobiledit

5. Consideraciones legales
- Normativas de Seguridad
- Cumplimiento LOPD
- Esquema Nacional de Seguridad.
Tienes toda la información del curso y el proceso de registro en la web de Informática64.

Soporte de Apple: Drivers actualizados para Mac en Enero

En la web de soporte de Apple siguen apareciendo nuevas actualizaciones de drivers para dispositivos y periféricos utilizados en equipos Mac OS X. Durante el mes de Enero también hemos tenido nuevo software que debes instalar para mantener tu equipo con el mejor software disponible. Estos son los drivers que se han actualizado:

Figura 1: Drivers actualizados en Enero de 2013
- Drivers para impresoras Brother para OS X versión 2.10: Es la última versión de los drivers de las impresoras y scanners Brother para su funcionamiento en sistemas operativos Mac OS X Snow Leopard, Mac OS X Lion y OS X Mountain Lion
- Drivers para impresoras HP para OS X versión 2.13: Es la última versión de los drivers de las impresoras y scanners HP para su funcionamiento en sistemas operativos Mac OS X Snow Leopard, Mac OS X Lion y OS X Mountain Lion
- MacBook Air EFI Firmware Update 2.6: Actualización recomendada para todos los MacBook Air de mediados de 2012. Soluciona un problema con el color en monitories conectados por HDMI, un problema con el sistema operativo Windows que puede evitar que el sistema arranque correctamente y un bug que puede hacer que el sistema se bloquee al despertar tras desconectar un dispositivo Thunderbolt. Después de la actualización la versión de EFI ROM será. MBA51.00EF.B02
Si te gusta tener tus equipos al día para que no tengan ningún fallo conocido, ya puedes ponerte a actualizar este software.

martes, 29 de enero de 2013

iOS 6.1: 27 bugs solucionados y un poco de privacidad

Tras varias betas puestas a disposición de los desarrolladores Apple ha liberado ya iOS 6.1 para todos los terminales iPhone 3GS a iPhone 5 y para los iPad 2 o superiores. En esta nueva versión, se han corregido un total de 27 bugs de seguridad, descritos en el artículo de la knowledge base HT5642.

Figura 1: Descripción de iOS 6.1 en la web de Apple

De ellos, 22 fallos estaban en el Webkit, un fallo se encontraba en el kernel, otro en el módulo WiFi, uno dentro de los componentes internacionales para Unicode y otro en los servicios de identidad. El último de los bugs es el CVE relativo al fallo de seguridad que permite activar remotamente el JavaScript en el navegador, aunque éste haya sido explícitamente bloqueado. También en esta versión se han baneado unos certificados digitales emitidos por la CA TURKTRUST y que puede permitir realizar ataques Man in the middle sin generar ninguna alerta.

Además de esto fallos de seguridad, Apple ha añadido una nueva funcionalidad que permite resetear el id que utiliza Apple para gestionar la publicidad que se pone a un dispositivo. Este id es supuestamente anónimo, para que un usuario pueda cambiarlo cuando considere, se puede activar un reseteo desde los ajustes. Algo que supuestamente se ha añadido para evitar que los usuarios deshabiliten los "anuncios relevantes".

Figura 2: Limitar los anuncios relevantes y resetear el id

Por último, hay que citar como novedades una nueva capacidad de Siri para comprar entradas de cine, y la posibilidad de descargar solo una canción de iCloud con Match.

Ahora, tras la salida de esta nueva versión, se espera que salga pronto la herramienta de Jailbreak que la comunidad tiene lista para los terminales con iOS 6, así que veremos si pronto tenemos noticias desde los hackers habituales.

lunes, 28 de enero de 2013

Win32/Qhost.Banker.NC usa iPhone 5 como gancho

Desde ESET Latinoamérica están alertando de la existencia de campañas de spam geolocalizadas para la distribución de un troyano bancario en cuestión - Win32/Qhost.Banker.NC -que está siendo utilizado para robar dinero de entidades bancarias de Chile, Panamá y Costa Rica. Este troyano llega simulando ser un formulario que el usuario debe completar para poder canjear por el iPhone 5. En ejecución deshabilita el administrador de tareas y cierra herramientas como Process Monitor con el objetivo de dificultar su posterior análisis dinámico y remoción del sistema infectado - ataca equipos Microsoft Windows -

Una vez ejecutado, realiza un ataque de Pharming local, es decir, cambia en el fichero hosts la asignación de direcciones IP de las entidades bancarias atacadas, haciendo que el phishing del sitio sea de difícil detección.

Figura 1: Host infectado por Win32/Qhost.Banker.NC

Utilizar iPhone o iPad como reclamo para el mundo del malware no es algo nuevo, por lo que se debe estar atento a no caer en estas campañas de spam que siguen utilizando los mismos reclamos desde hace ya muchos años. Desde Seguridad Apple os recomendamos revisar periódicamente el contenido de vuestro archivo hosts e instalar un antimalware profesional para Mac OS X con protección en tiempo real, ya que los ataques de pharming también se hacen con asiduidad con objetivos centrados en sistemas Mac OS X, como el archifamoso caso de DNS Changer.

domingo, 27 de enero de 2013

Fue Noticia en Seguridad Apple: del 14 al 27 de Enero

Hoy domingo toca resumir en un sólo post todo lo publicado durante las dos semanas pasadas, así como algunos temas que nos han llamado la atención de otros medios. Vamos con ello.

Comenzamos el repaso el lunes 14 de Enero con la PoC del CVE-2013-0422 de Java en Metasploit, tomando el control de un Mac OS X 10.8.2 Mountain Lion. Un paso a paso para ownear un Mac OS X a través del grave fallo de seguridad de Java.

El martes de esa semana un ejemplo de cómo las notas que tomas en Mac OS X pueden acabar siendo vistas por cualquiera si usas iCloud con tu iPhone 4S o 5 y Siri está activado.

El miércoles 16 de Enero os dejamos una conferencia de Dino Dai Zovi en la que explica cuáles han sido las estrategias seguidas para conseguir realizar un jailbreak a los dispositivos iOS. Una charla en la que se analizan los principales exploits utilizados en detalle.

El jueves de la semana pasada nos topamos con la noticia de que, a pesar del parche de Oracle para solucionar el grave fallo de seguridad de Java, habían sido descubiertos nuevos bugs en Java 7 Update 11 y ya se estaban vendiendo en el underground para que fueran utilizados en el mundo del e-crime.

El 18 de Enero os dejamos un curioso servicio online que permite analizar los binarios de Mac OS X en la nube. Online Dissassembler, un desensamblador en la nube a tira de tu navegador.

El sábado de la semana pasada echamos un ojo a las Privacy Extensions de iPv6 en Mac OS X, y cómo la dirección MAC de la tarjeta de red está contenida en la dirección de vínculo local en IPv6

El domingo 20 de Enero os publicamos un artículo que muestra cómo es posible analizar el historial de descargas que se han producido en un equipo Mac OS X - independientemente del programa que se haya utilizado - analizado la base de datos SQLite que deja XProtect tras haber analizado los binarios.

El lunes de esta semana comenzamos con un repaso a la historia del malware, en este caso echando el ojo a IM-Worm.OSX.Leap, un gusano para Mac OS X que se extendía por iChat utilizando trucos de ingeniería social.

El martes os dejamos unos consejos de privacidad en Whatsapp, para que esta herramienta de comunicación sea un poco más llevadera en tu vida personal, ya que para muchos se ha convertido en el peor espía de su existencia.

El miércoles os anunciamos la publicación del RootedLab dedicado a Hacking & Forensics iOS (iPhone & iPad) que se va a realizar en el marco de la conferencia de hacking RootedCON.

Este jueves publicamos la sentencia que ha recibido el ladrón que robó el iPad de Steve Jobs, que tendrá que pasar 7 años en la cárcel por 8 delitos de robo en casas de la Bahía de San Francisco.

Para este viernes os dejamos otro truco con Siri que puede amargarle el sueño a más de uno, ya que aún con el terminal bloqueado es posible configurar alarmas despertador, por ejemplo, a las 4 de la mañana.

Por último, ayer mismo os dejamos una noticia un poco curiosa, la patente de Apple para poner sensores con conexión WiFi en los zapatos de las personas. ¿Tendremos zapatos hackeables en el futuro?

Hasta aquí todas las noticias que hemos publicado, pero además esta semana también ha habido muchas más cosas que nos han parecido interesantes, aquí os dejamos una selección de las que más nos han llamado la atención:
- Publicación del libro de Microhistorias - anécdotas y curiosidades de la informática: Los compañeros de Cyberhades han publicado un libro en el que cuentan 50 microhistorias de la historia de la informática, donde Apple, Steve Jobs y Steve Wozniak protagonizan gran parte de ellas. Más que recomendable. 
- Gestión de contraseñas en dispositivos móviles: Nuestro compañero Chema Alonso publica un par de vídeos en los que habla del peligro del Single Sign-On en los dispositivos móviles y de cómo utilizar un terminal móvil como gestor de contraseñas
- César Cerrudo descubre un bug en Twitter: El fallo permite a las aplicaciones ver los mensajes privados. Mientras, Charlie Miller anuncia que está buscando expertos para hacer más seguro Twitter
- Ciudadanos en Corea del Sur siguen denunciando a Apple: Continúan las demandas ciudadanas a Apple por el asunto del tracking de usuarios, ahora se reorganizan para conseguir más fuerza. 
- Extensiones de Google Chrome: En el blo de La muñeca Friki recogen algunas extensiones útiles para los usuarios de Google Chrome en Mac OS X, para hacerte la vida más cómoda. 
- Telefónica y Mozilla presentan Keos y Peak: Son los primeros dispositivos móviles con sistema operativo Firefox OS instalado de serie que la compañía pretende comenzar a distribuir en breve. 
- Múltiples opciones en el pago con móvil: En Blog Think Big analizan las opciones disponibles hoy en día para utilizar el terminal móvil como elemento de pago seguro. Además, en ese mismo blog analizan la posibilidad de utilizar nuevas baterías para dispositivos flexibles.
Y esto ha sido todo, que como veis no es poco. Os esperamos en esta sección dentro de dos semanas y cada día en Seguridad Apple.

sábado, 26 de enero de 2013

Zapatos hackeables con la privacidad en el meñique

Smart Shoe
Apple, que tuvo en el pasado una línea de ropa, sigue con los accesorios y se habla smartwatches o smartshoes. No sorprende tanto lo de un reloj o una cámara de fotos inteligente, porque son dispositivos electrónicos, pero lo del zapato quizá se espera más de una marca deportiva - que tendrán cosas hechas ya en este área - o de fabricantes de dispositivos médicos inteligentes, como Nuubo. No obstante en el 2010 Apple ya patentó un manejador de iPod para las zapatillas de deporte, así que esto no es nuevo.

Pero Apple es muy grande y ahora ha sido publicada la solicitud de patente titulada "SHOE WEAR-OUT SENSOR, BODY-BAR SENSING SYSTEM, UNITLESS ACTIVITY ASSESSMENT AND ASSOCIATED METHODS" en la que se presenta un sistema de sensores para poder medir el estado del zapato en todo momento y saber, entre otras cosas, cuando hay que cambiarlo porque esta gastado. Pero además de eso las cosas que se pueden medir son muchas.

Figura 1: El sensor en el zapato que sirve para darle inteligencia al zapato

En primer lugar hay un dispositivo inalámbrico, con lo que la privacidad de las comunicaciones o la ubicación de la persona puede estar expuesta en cierta manera. Además, un dispositivo de este tipo, tiene todas las papeletas de ser un objeto de lo que se llama "Internet de las cosas", donde se podría empezar a conocer dónde está una persona, cómo se encuentra físicamente o si tiene comportamientos reconocibles como estados de ánimo - algo así como los estudios que hacen los expertos en comportamiento social -.

Figura 2: El diagrama hardware con el sensor Wireless

Por supuesto, en esto sucederá lo de siempre Love & Hate, así que a parte de los detractores, es posible que salgan los amantes, y creen apps para poder hacer un check-in en  Four-Square con un  movimiento armónico del dedo meñique, o que salten tweets automáticos cuando la temperatura del pie sea alta, baja - para pedir cosas tiernas  por las redes sociales - o cuando el olor requiera medidas drásticas. De hecho, esos tweets podrían estar patrocinados por empresas de quita olores, así el mal olor de tus pies podrá generar dinero de los usuarios. Quién sabe el mundo que veremos, y que podrán hacer los hackers si ownean estos dispositivos.

viernes, 25 de enero de 2013

Vengarse es que Siri despierte a tu "amigo" a las 4 a.m.

Seguro que todos tenéis un amigo que llega a tarde a todos los sitios - si eres tú, deja de leer esto ahora mismo - al que te gustaría dar un escarmiento. Si es así, y tu amigo tiene un iPhone 5 o iPhone 4S con Siri activado, entonces puedes hacerlo con la idea que te vamos a dar en el artículo de hoy, ya que entre las muchas funciones que tiene, gran parte de ellas pueden ser utilizadas aún con el terminal bloqueado, lo que puede ser un verdadero quebradero de cabeza para la privacidad de tu vida.

Sin embargo, de la que venimos a hablaros hoy es de una función muy peculiar que también puede hacerse con Siri: Consultar y configurar las alertas del despertador. Basta con que le digas "Mostrar Alarmas" o "Crear Alarmas", para que Siri gestione las horas a las que debe despertar a tu amigo.

Figura 1: Configurando alarmas con Siri con el terminal bloqueado

En este caso hemos configurado varias alertas, así que le irán sonando una a una las alertas a tu amigo, consiguiendo que esté despierto a la hora a que a ti te venga bien. Es decir, que si quieres darle un pequeño escarmiento a tu amigo, píllale unos segundos el teléfono y Siri será tu aliado para que a las 4 de la mañana se levante.... y no llegue tarde luego.

jueves, 24 de enero de 2013

7 años de cárcel para el ladrón del iPad de Steve Jobs

El hombre que se coló en casa de la viuda de Steve Jobs y se llevó consigo varios iPad, una cartera con dinero y un iMac - que fue detenido tal y como os contamos en el informe de la resolución del robo de Steve Jobs - ya tiene sentencia según informa Inside Bay Area: 7 años de cárcel.

Kariem McFarlin - en la foto de la derecha -, que así se llama el ladrón, ha sido condenado no solo por robar el iPad de Steve Jobs, sino por un total de 8 robos en la zona de la Bahía de San Francisco, a pasar los próximos 7 años en la cárcel que podrían quedarse en la mitad de tiempo por motivos de buen comportamiento.

La sentencia podría haber sido peor, ya que se enfrentaba a un máximo de 16 años, pero en Naked Security hacen una reflexión que compara la sentencia de este jugador universitario de football que se quedó sin dinero y robó en 8 casas, con la de cibercriminales como Jeanson James que  creó una botnet de 400.000 computadores, la alquiló al mundo del fraude online, y cuando fue detenido recibió una sentencia de 57 meses - algo menos de 5 años -.

En cualquier caso, tanto las sentencias para cibercriminales, como para ladrones de casas, parece que no cumplen su misión de disuadir definitivamente a los delincuentes, y en ciudades como New York el robo de tecnología está al alza. Esperamos que siga habiendo muchos ladrones en modo EPIC FAIL

miércoles, 23 de enero de 2013

RootedLab - Hacking & Forensic iOS (iPhone & iPad)

Durante el mes de Marzo tendrá lugar la RootedCON y, como ya es habitual, los días antes tendrán lugar los RootedLabs, a los que ya puedes apuntarte. De entre todos ellos, hay uno especialmente interesante para los usuarios de iPhone & iPad que impartirá nuestro compañero Juan Miguel Aguayo, y que está centrado en Hacking de iOS y Análisis Forense de iOS.

El curso se impartirá el lunes 4 de Marzo, en jornada completa, y los asistentes tendrán incluido en el precio el desayuno y la comida, además del libro de "Desarrollo de aplicaciones iOS para iPhone & iPad" ya que se contará, entre otras cosas, como es posible programar un troyano para iOS

Objetivos del curso

El presente Rootedlab pretende mostrar algunas formas de realizar un pentesting a un terminal iPhone o iPad para conseguir vulnerar su seguridad. Para ello se estudiaran sus principales limitaciones de seguridad de las diferentes versiones de iOS. Además, se aprenderán cuáles son las principales técnicas forenses para analizar un informe sobre un terminal iPhone o iPad.

Contenido detallado
1.- Sistema Operativo iOS.
Arquitectura.
Seguridad en iOS: From iPhoneOS to iOS6.
Backups y sincronizaciones.
Versiones
2.- Hacking iOS
Cracking iPhone
Ataques al Passcode
Gecko
IGPRS
ElcomSoft Passworf Phone Breaker
iPhone Data Protection
Jailbreak
Malware en iOS
App Store
Configuration Profiles
Ataque dirigido con Provisioning Profiles Jailbreak & malware
Man in the Middle
Rogue WiFis
Javascript botnets
Fake CAs
OpenBTS (EDGE/GPRS)
3.- Análisis Forense en iOS
Evolución telefonía móvil
Consideraciones legales
Introducción al análisis forense de dispositivos móviles
Directrices y guías de buenas prácticas
Diferencias y puntos en común con el forense clásico
Forense con herramientas software open source o gratuitas
Borrado seguro
Volcados y copias con dd
Herramientas para el data carving
iPhone Data Protection
Forense del backup
Forense con herramientas comerciales
Oxygen Forensics
Tienes toda la información de este RootedLab en "Hacking & Forensic iOS" y de todos los RootedLabs de este año en la web de la RootedCON: RootedLabs 2013

martes, 22 de enero de 2013

Consejos de privacidad personal en Whatsapp

La malévola herramienta WhatsApp es culpable de muchas de las rupturas de parejas hoy en día. Con esta facilidad de enviar mensajes a través de Internet en cualquier momento desde el teléfono móvil se convirtió rápidamente en muy popular. Por otro lado, hay que reconocer que tiene unas funciones muy peligrosas a tener en cuenta, que pueden ser la culpa de la ruptura. Aquí tienes unos pequeños tips de configuración de WhatsApp en iPhone, para evitar problemas indeseados, que si no, acabarás como los de Are you App?

1) No guardar las fotos enviadas/recibidas en el carrete

Por defecto, WhatsApp para iPhone almacena todas las fotos recibidas en el carrete de fotos, y puede pasar que un día, enseñando las fotos de la familia a amigos o compañeros de trabajo, aparezca una de esas fotos que se han enviado por WhatsApp, y que no es precisamente enseñable en público.

Figura 1: Auto-guardar archivos en el carrete

2) No mostrar la última vez que estuviste online

Esto puede ser tu peor pesadilla si tu pareja tiene también WhatsApp, ya que puede entender que cada vez que has abierto la malévola herramienta de mensajería, es para chatear con otr@s y si no le has enviado un mensajes a el/la entonces hay bronca segura.

Figura 2: Configuración de ocultación de la última vez que se estuvo online

Ojo, ten en cuenta que esto te informa de que tarda en actualizarse cada 24 horas, así que no lo conectes/desconectes pensando que es instantáneo.

3) Evitar la previsualización de mensajes

Nunca sabes lo que puede llegarte por un WhatsApp, así que no confíes nunca en dejar que se muestre el contenido en la previsualización.

Figura 3: Ajuste de notificaciones de WhatsApp

Si además puedes evitar los sonidos o vibraciones de los mensajes - que las parejas suelen tener oídos finos  - mejor que mejor.

4) No muestres las fechas y horas del envío y recepción de los mensajes

El tiempo que tardas en responder un mensaje puede ser un argumento más en una discusión de pareja, así que evita dejar cualquier rastro.

Figura 4: Configuración de hora de envío y recepción

5) Restringir tu mensaje de estado y foto de perfil

Hoy en día cualquiera puede dar con tu número de teléfono, o lo puedes usar para cosas "poco" dignas, así que mejor controla quién puede ver tu mensaje de estado y tu fotografía de perfil.

Figura 5: En las opciones de privacidad se puede restringir el acceso al estado y la foto


Todas estas opciones las puedes configurar desde el panel de ajustes del propio WhatsApp y desde las opciones de privacidad de iOS de tu iPhone, y más te vale que las apliques, que según las últimas estadísticas son más de 28 millones las parejas rotas por culpa de WhatsApp.

Figura 6: Estadísticas de rupturas por culpa de WhatsApp

Por último, os recordamos que existe un servicio online que permite Recuperar mensajes borrados de WhatsApp y que en este artículo tenéis todas las formas de espiar WhatsApp que existen.

lunes, 21 de enero de 2013

IM-Worm.OSX.Leap: Un gusano de Mac OS X por iChat

Hoy vamos a volver a mirar a la historia del malware para Mac OS X, en concreto, vamos a recordar a IM-Worm.OSX.Leap, un gusano que se creó para Mac OS X 10.4 Tiger y que se distribuía vía iChat, bajo un truco de ingeniería social.

Este gusano se distribuía vía iChat, enviando un mensaje a todos los contactos del usuario infectado con un enlace a Rapidshare, donde había un archivo llamado latestpics.tgz en el que se suponía que había capturas de pantalla del nuevo Mac OS X 10.5 Leopard. Si el usuario descargaba ese archivo, lo desempaquetaba y lo ejecutaba, quedaba infectado, y de nuevo se convertiría en el origen de los mensajes a todos sus contactos vía iChat usando Bonjour.

El fichero que se utilizaba para distribuirse estaba construido únicamente para PowerPC, y además utilizaba SpotLight, que solo estaba disponible a partir de Mac OS X Tiger, así que solo podía infectar a usuarios de Mac OS X 10.4 Tiger en PowerPC, tal y como se puede ver en esta captura hecha con el comando file de bash en SecureLists.

Figura 1: El formato de OSX/Leap.A es de tipo Mach-O para PowerPC

Las cadenas del ejecutable, para evitar su análisis, habían sido ocultadas con un cifrado XOR utilizando una clave de cifrado, por lo que a primera vista no se podían analizar, pero tras un procesado de las mismas y un análisis del flujo de ejecución se podía conocer su comportamiento:

Figura 2: Cadenas cifradas y clave de descifrado
- Se copiaba a si mismo en /tmp con el nombre de latestpics.
- Creaba un fichero .tgz.
- Extraía un Input Manager, llamado “apphook.bundle” y lo copiaba a /tmp.
- Si se ejecutaba con el uid 0 (root) entonces se creaba el directorio /Library/InputManagers/. Cualquier hook de aplicaciones se borraba y el nuevo hook de aplicaciones era copiado desde /tmp.
- Si se ejecutaba con uid 0 creaba ~/Library/InputManagers/.
- Cuando una nueva aplicación era ejecutaba se lanzaba, y el nuevo hook de aplicaciones se cargaba en su espacio de direcciones.

Figura 3: Búsqueda de aplicaciones
- Cada vez que era cargado en una aplicación intentaba enviar latestpics.tgz vía iChat para distribuirse.
Los ingenieros de ESET, que cuentan con una solución profesional antimalware para Mac OS X, publicaron un detallado documento de todo el proceso que puedes descargar desde el siguiente hipervínculo: OSX/Leap.A: Under the Hood

domingo, 20 de enero de 2013

Mac OS X: Analizar historial de descargas usando XProtect

Desde Mac OS X 10.6 Snow Leopard en el sistema operativo está disponible XProtect, una especie de solución "antimalware" que intenta detectar firmas de las familias más utilizadas en Internet, aunque como ya vimos este número es más bien reducido y no es excesivamente bueno. Sin embargo, para los analistas forenses, la información que genera es extremadamente útil, ya que todas las aplicaciones que hacen uso de él, añaden la URL de descarga como metadata extendido al fichero que puede verse com xattr.

Figura 1: URL de descarga del instalador de Firefox

Esto puede ser especialmente útil para rastrear un malware en el sistema, o simplemente para recomponer el historial de navegación de un usuario de Google Chrome, Mozilla Firefox o Apple Safari, sólo con analizar las URLs de las descargas que se han realizado.

Figura 2: URL de dónde se descargó un fichero visto en Finder

Sin embargo, como explica Mr Wolf en Lost in Security, existe una base de datos en SQLite dentro del perfil de usuario, que puede consultarse directamente para extraer la información de todo lo que ha sido descargado. Esta base de datos está situada en:
$HOME/Library/Preferences/com.apple.LaunchServices/LSQuarantineEventsV2
Si entramos en ella, veremos que solo hay una tabla, de la que podemos describir sus campos.

Figura 3: conexión a la base de datos y descripción del contenido

Estos campos, almacenan la siguiente información:
LSQuarantineEventIdentifier: identificador UTI que se usa como clave primaria.
LSQuarantineTimeStamp: fecha de descarga, representada en segundos desde el 1 de enero de 2001 12:00 AM (es decir, que hay que sumar 978307200 segundos para poder tener un UNIX timestamp normal).
LSQuarantineAgentBundleIdentifier: el nombre del bundle del programa que ha descargado el archivo (por ejemplo com.google.Chrome).
LSQuarantineAgentName: el nombre del programa que ha descargado del archivo (por ejemplo Google Chrome).
LSQuarantineDataURLString: la URL desde donde se ha descargado el archivo.
LSQuarantineSenderName: el nombre de la persona que envió un attachment de correo (es decir, sólo se pone si LSQuarantineTypeNumber es igual a '2').
LSQuarantineSenderAddress: la dirección de la persona que envió un attachment de correo, igual que en el caso anterior.
LSQuarantineTypeNumber: el tipo de método de descarga:
0 si es web (kLSQuarantineTypeWebDownload)
1 si son otros programas (kLSQuarantineTypeOtherDownload) - como por ejemplo Transmission, o el mismo XCode
2 si son attachments de correo (kLSQuarantineTypeEmailAttachment)
3 si son attachments de programas de mensajería instantánea
(kLSQuarantineTypeInstantMessageAttachment); iChat
4 si es calendario (kLSQuarantineTypeCalendarEventAttachment)
5 si son otros attachments (kLSQuarantineTypeOtherAttachment)
Figura 4: Consulta de programa utilizado y URL de descarga

Como se puede ver, basta con hacer una consulta Select con los campos que más nos interesen en un análisis forense y poder reconstruir el historial de navegación de un usuario, los ficheros adjuntos descargados en correos electrónicos o qué aplicaciones ha estado utilizando.

sábado, 19 de enero de 2013

Configurar Extensiones de Privacidad IPv6 en Mac OS X

Por defecto los equipos Mac OS X vienen con IPv6 activado y para configurar una dirección de forma automática, lo que hace que generen la dirección de vínculo local (Local-Link), que acepten direcciones IPv6 por DHCPv6 y que se generen una nueva dirección IPv6 por cada mensaje Router Advertisement reciban por la red, mediante el protocolo SLAAC (State-Less Address Auto-Configuration).

Tanto en el caso de las direcciones Local-Link como en las generadas con SLACC se utiliza por defecto un derivado de la dirección MAC, lo que permite a un atacante que quiere hacer un escaneo de la red poder predecir las direcciones IPv6 generadas a partir de las MAC obtenidas - y poder buscar solo los equipos Apple reconociéndolos por la red -.

Figura 1: Solo se cambia el 7º bit más significativo de la dirección MAC en la dirección IPv6

Para evitar esto, a partir de Mac OS X Lion 10.7 se añadieron por defecto las Private Extensions de IPv6, descritas en el RFC 4941 que hacen que se genere una dirección IPv6 SLAAC con un valor aleatorio, haciendo que no sea posible predecir estas direcciones a partir de una dirección física MAC. Esto se controla en Mac OS X con el parámetro: net.inet6.ip6.use_tempaddr. Para consultar el valor con el que está configurado es suficiente con hacer una llamada como esta:
sysctl net.inet6.ip6.use_tempaddr
Los valores que pueden tomar son:
0 : No utilizar las extensiones de privacidad
1 : Utilizar las extensiones de privacidad
2 : Utilizar extensiones de privacidad y hacer estas direcciones preferidas
Como podréis comprobar en Mac OS X Lion y en OX Mountain Lion el valor por defecto es 1, lo que hace que cuando se genere una dirección con SLAAC esta no contenga la dirección MAC en ella. 

Figura 2: Configuración por defecto de Private Extensiones en Mac OS X

Sin embargo, la dirección de Local-Link seguirá siendo la misma, lo que hará que, por defecto, en cualquier comunicación entre dos equipos por IPv6 del mismo segmento en el que no sea necesario utilizar un router, se utilice la dirección Local-Link en lugar dela generada con SLAAC. Por lo que si hay que compartir archivos o conectarse a cualquier otro sevicio por IPv6 se utilizaría la dirección de Local-Link, que es aún predecible.

Para evitar esto se puede utilizar el valor 2, lo que haría que se usara la dirección autogenerada con SLAAC, la dirección configurada de forma estática o la configurada por DHCPv6 en lugar de la de Local-Link, consiguiendo que fuese más complicado preparar un ataque Man in the middle al no ser fácil escanear la red. Configurar esto en Mac OS X se puede hacer de manera temporal mediante el comando siguiente.

Figura 2: Cambiando el valor por defecto de las Private Extensions en IPv6

O permanentemente configurado el fichero /etc/sysctl.conf y añadiendo una linea con el valor:
net.inet6.ip6.use_tempaddr=2
Con esto, el entorno IPv6 de Mac OS X quedaría un poco más fortificado, pero si no estás utilizando IPv6 en tu sistema, recuerda que puedes deshabilitarlo de esta forma.

viernes, 18 de enero de 2013

Online Disassembler: Un desensamblador en la nube

Hoy nuestros compañeros de Cyberhades están de enhorabuena con la publicación de su nuevo libro dedicado a Microhistorias, de las que nosotros nos declaramos fan absolutos - sobre todo cuando tienen que ver con Apple, Steve Jobs y Steve Wozniak. De ellos nos enteramos también de una herramienta que no conocíamos y que nos ha gustado mucho Online Disassembler.

Figura 1: Online Disassembler

Esta herramienta permite contar un desensamblador en la nube que podremos utilizar en cualquier momento y desde cualquier sitio. La solución soporta una buena cantidad de arquitecturas, entre las que están, por supuesto las arquitecturas x86 y PowerPC, para que puedas usarlo con los binarios de tus Mac.

Figura 2: Arquitecturas soportadas en Online Disassembler

Tienes la web disponible en Oline Disassembler, así que dale un vistazo y pruébalo en un minuto a ver qué te parece.

jueves, 17 de enero de 2013

Exploit 0day de Java 7 Update 11 vendido para e-crime

El mundo está revuelto otra vez con Java, y de nuevo por un fallo de seguridad crítico. Después de la actualización de urgencia que Oracle tuvo que sacar para solucionar el CVE-2013-0422 debido a que está siendo utilizado en kits de explotación masivamente, ahora parece que hay un nuevo 0day en Java 7 Update 11 que se está vendiendo en el mercado negro.

Figura 1: Java 7 Update 11 vulnerable al nuevo exploit

Según la nota de Krebsonsecurity, parece que el exploit ya ha sido vendido una vez, pero se espera vender más veces, lo que hará que no pasando mucho tiempo podamos encontrarlo en los kits de exploits o como parte de las operaciones de cyber-espionaje, como se reporta que ha sucedido con anteriores bug de Java en la operación Red October.

Figura 2: El mensaje en el foro de e-crime donde se vendía el exploit para el 0day

Si tienes Java activado en tu navegador, te recomendamos que lo desactives y solo lo uses en las webs de total confianza - y solo puntualmente para realizar tu trabajo -. Si no, de momento, desactiva Java en el navegador, que la cosa se está poniendo peligrosa.

miércoles, 16 de enero de 2013

Estratégias para realización de jailbreak en iOS

En la pasada conferencia THREADS Mobile Security Conference, que tuvo lugar en Diciembre de 2012, el famoso experto en seguridad Dino Dai Zovi impartió una conferencia sobre las diferentes estratégias que se han seguido a la hora de realizar jailbreak a los diferentes dispositivos y versiones de iOS. Éste es el vídeo de la conferencia.


La charla, de la que puedes descargarte las diapositivas aquí, analiza los exploits más famosos, como el exploit Corona o Limera1n y su impacto en el mundo de la seguridad. Además, compara las estrategias utilizadas con las que se emplean en otros sistemas operativos como Android o BlackBerry, aportando idéas sobre lo que sería lo ideal. Si tienes una hora, merece la pena para entender mejor la seguridad de iOS y los dispositivos móviles.

martes, 15 de enero de 2013

Las notas de tu Mac OS X robadas de tu iPhone o iPad

En los equipos con sistema operativo Mac OS X hay una cómoda aplicación llamada Notas que a muchos gusta usar para tener las idéas rápidas clasificadas. Esta aplicación suele estar en el Dock, siempre a mano, para anotar esa idea que no se debe olvidar, o el número de teléfono que nos acaban de dar. La verdad es que se le toma cariño y se acaba utilizando.

Figura 1: Notas en tu Mac OS X, iPad o iPhone sincronizadas por iCloud

Por supuesto, esta aplicación se encuentra también en iOS, y se puede utilizar tanto con el teclado letra a letra como utilizando Siri, eso sí, enviando la voz a los servidores de Apple para que procese el mensaje previamente y lo transforme en texto.

Figura 1: Creando una nota en iPhone con Siri

Estas notas son, como se puede ver en el panel de configuración de iCloud, unos de los elementos que se sincronizan por defecto entre tu Mac OS X y tu iPhone o iPad a través de los servicios en la nube - si estos no está caídos -.

Figura 3: Configuración de elementos a sincronizar a través de iCloud

Dicha sincronización es bidireccional, es decir, se envían las notas de tu Mac OS X a tu iPhone y de tu iPhone a tu Mac OS X, así siempre tienes todo a mano.  Si entras en la consola de mensajes de log en OS X Mountain Lion, y miras los registros del servicio Ubiquity encontrarás la "chachara" que se traen entre tu Mac OS X y tu servicio de iCloud. Ahí podrás ver cómo estos se piden y se mandan ficheros. Ahí van tus notas si está activada la sincronización.

Figura 4: Envio y recepción de elementos entre iCloud y un Mac OS X Mountain Lion 10.8.2

Eso no es nada malo, al contrario, es todo bueno. El problema puede venir cuando tienes activado Siri en tu iPhone 4S o iPhone 5 con la pantalla bloqueada y alguien pide el comando "Mostar todas las notas". Entonces Siri mostrará la primera línea de cada nota y cualquiera podrá ver la nota completa diciéndole a Siri algo como "Muestrame la nota X", donde X es una palabra que aparezca en la primera línea de la nota que se ha visto antes.

Figura 5: Siri mostrando las notas con la pantalla bloqueada

Así de sencillo, si no has tenido cuidado con la seguridad de tu iPhone, Mac OS X e iCloud las anotaciones de tus ideas pueden acabar en manos indeseables. Por si acaso, recuerda no dejar por escrito nada que sea comprometedor.

lunes, 14 de enero de 2013

CVE-2013-0422 bug en Java 7 Update 10 en Metasploit

Un nuevo 0-day de Java, con CVE-2013-0422, salió a la luz estos días provocando el caos en Internet. Los usuarios que navegan por sitios web pueden acabar siendo infectados con malware gracias a esta vulnerabilidad que los kits de explotación ya aprovechan a través del uso de Java en los navegadores. La versión 7 de Java hasta su Update 10 son vulnerables. Oracle ha publicado HOY de urgencia Java 7 Update 11, aunque reportan que aún tiene bugs. No obstante ¡Actualiza!

En Seguridad Apple hemos querido reflejar el proceso de actualización, ya sea de forma manual o automatizada, para lograr el exploit que ayudará a tomar el control de una posible víctima de esta vulnerabilidad en un test de intrusión. Para el ejemplo la víctima ejecuta un sistema operativo OS X Mountain Lion 10.8.2 .

Obtención del exploit

Para la obtención del exploit se puede utilizar la herramienta msfupdate que incorpora el framework de Metasploit. Tal y como se puede visualizar en la imagen siguiente. Tras la ejecución de dicha herramienta, se actualiza todo el framework. Esta acción puede llevar varios minutos, incluso alguna hora, dependiendo de lo desactualizado que se encuentre la versión que se esté usando.

Figura 1: Actualización del framework de Metasploit

El exploit también se puede obtener de manera manual mediante la descarga desde Internet, por ejemplo desde exploit-db. Además, su incorporación al Metasploit se realizaría de manera sencilla, copiando el fichero Ruby en la ubicación que se desea en el interior del framework, tal y como se puede visualizar en las siguientes imágenes.

Figura 2: Descarga del exploit desde Exploit-db

Figura 3: Copia del exploit al directorio exploit/multi/browser del framework

Configuración del módulo del exploit

Tras utilizar alguna de las vías anteriores para obtener el exploit vamos a configurarlo para dejar preparado un ataque con el que tomar el control remoto de una máquina vulnerable. Para acceder al módulo se utilizará el comando use de la siguiente manera use exploit/multi/browser/java_jre17_jmxbean.

Figura 4: Configuración del módulo

Tras mostrar las opciones se puede comprobar que los parámetros requeridos vienen por defecto configurados. Se montará un servidor web que recibirá peticiones y lanzará el exploit con el payload, que al ejecutarse en la memoria del equipo víctima - siempre y cuando el equipo sea vulnerable que hoy en día lo son todas las versiones de Java 7 -, devolverá el control al atacante mediante una shell. Por comodidad se debe añadir la instrucción set URIPATH /, con la que el recurso al que se debe realizar la petición por parte de la víctima será la raíz.

Figura 5: Configuración del payload y ejecución del módulo

Cuando un usuario se conecte, es decir, realice una petición al servicio donde Metasploit espera para lanzar el exploit se obtendrá el control de dicha máquina. ¿Cómo se hace para que la víctima se conecte? Realmente en Internet existen diversas maneras, ya que dependerá si el ataque es dirigido o no. La mayoría de ataques no son dirigidos por lo que si se disponen de sitios web hackeados en Internet, los cuales pueden ser manipulados para reenviar peticiones hacia esta máquina. De esta forma, mediante kits de explotación es realmente sencillo obtener el control de las máquinas o distribuir malware en ellas.

Figura 6: Obtención del control del Mac OS X 10.8.2 vulnerable

Mitigación del bug y aprendiendo más

Para finalizar, desde Seguridad Apple te recomendamos deshabilitar Java del navegador para evitar sobresaltos al usuario si no es absolutamente imprescindible. El peligro es realmente grande y seguramente se reportará gran cantidad de malware distribuido mediante este método, así que actualiza lo antes posible.

Si te gusta Metasploit y quieres conocer mucho más de él, puedes apuntarte a los cursos online o presencial que vamos a impartir sobre Metasploit para pentesters y os recordamos que en la colección de libros de seguridad informática de Informática64 disponéis de este tipo de pruebas de concepto y explicaciones más detalladas en el libro de nuestro compañero Pablo González "Metasploit para Pentesters".
Artículos relacionados

Otras historias relacionadas

Entradas populares