Menú principal

martes, 30 de abril de 2013

Policías de incógnito venden iPhones en San Francisco

Hemos hablado en muchas ocasiones de hechos famosos que han ido ocurriendo sobre robos de dispositivos y la posterior venta de estos en las calles de grandes ciudades como Nueva York o Londres. Los robos de los terminales Apple no sólo los hacen los rateros a los ciudadanos, y fue un gran escándalo la noticia de que en los aeropuertos de EEUU se "perdían" más de 12.000 equipos a la semana lo que llevó a detenciones de vigilantes de seguridad.

Además, no hay que olvidar los incidentes ocurridos en Londres durante el 2011, los cuales eran aprovechados por los ladrones para robar dispositivos de Apple en las tiendas, que algunos han hecho hasta vestidos de Ninja Blanco. Estos hechos suelen provocar que después se produzca una avalancha de ventas en las calles de estos dispositivos robados, a un coste muy inferior de lo que en las tiendas cuestan, pero como ya os hemos dicho en muchas ocasiones, con un alto riesgo para el comprador.

Figura 1: Un iPad de madera vendido de "extraperlo"

El artículo de hoy nos hace viajar a San Francisco donde la policía ha decidido bajar a las calles y hacerse pasar por traficantes de dispositivos interesados en vender iPhone en el mercado "negro". Cuando un ciudadano intenta adquirir un iPhone a los policías que van vestidos de civiles se produce el arresto. El objetivo de todo esta trama es reducir el mercado de iPhone robados asustando a los consumidores de este mercado, ya que según informa la policía, la mitad de los robos que ocurren en San Francisco supone el robo de un smartphone.  Hay que recordar que allí la propia Apple "perdió" un prototipo de iPhone 4S.

Figura 2: El bar de San Francisco donde Apple perdió el prototipo de iPhone 4S

Como curiosidad indicar que es la mujer la víctima más utilizada por los ladrones de iPhone. Las calles de los mercados y algunas de las avenidas más famosas de San Francisco son las elegidas por los ladrones, por lo que es allí donde la policía está buscando con mayor intensidad. Los informes indican que los compradores tienden a sugerir ofertas que van desde los 25 dólares a los 200 dólares.

No está claro si este enfoque va a lograr reducir la demanda de los iPhone robados, y por extensión el robo de éstos. Un esfuerzo similar se llevó a cabo en la ciudad de Nueva York y dio lugar a una demanda contra la policía por presionar a un comprador, con el objetivo de que llevará a cabo la adquisición del dispositivo. En el Reino Unido, una iniciativa similar terminaba con la devolución de los terminales.

lunes, 29 de abril de 2013

iAuthenticate: Autenticación fuerte en iOS (iPhone & iPad)

La empresa Identive ha lanzado una solución de seguridad para dispositivos iOS basada en la lectura de Smart cards, que ha sido certificada por el programa MFI deApple para su uso en  dispositivos iPhone & iPad. La solución se denomina iAuthenticate y permitirá a los clientes con dispositivos iOS utilizar la autenticación con smartcards en entornos de redes, sitios web y sistemas de pago, mediante el uso de este lector.

Inicialmente está dirigido a los modelos iPhone 4/4S e iPhone 3GS, a la segunda y tercera generación de iPad y los nuevos iPads con iOS 5 o superior. iAuthenticate ha añadido también un adaptador que permite el uso de iPhone 5 e iPad mini. Los lectores están disponibles directamente desde el sitio web de la empresa de Identive.

Figura 1: iAuthenticate & Exchange en un iPhone

Este lector de Identive es una respuesta a la corriente, cada vez más popular, BYOD o “traiga su propio dispositivo” que se extiende hoy en día por los sectores empresariales y gubernamentales. La necesidad de una autenticación sencilla y segura permite que los dispositivos personales de los trabajadores que utilizan iOS en la empresa puedan autenticarse mediante ID. Según informa la empresa:
“Las posibilidades en el lado del gobierno podrían ser enormes, ya que por ejemplo, el departamento de defensa, el departamento de seguridad nacional y otras agencias del gobierno de los EEUU emplean millones de empleados y contratistas y cada uno lleva su propio dispositivo móvil. Para hacer frente a los problemas de seguridad, iAuthenticate, permite el inicio de sesión seguro empleado para sitios web federales, cuentas basadas en web y correo electrónico sin disponer de un equipo portátil o de presencia física en las oficinas”.
Además, iAutenticate incluye un PKard como lector seguro de aplicaciones, el cual permite PIV y CAC. Este lector es de Thursby Software, el cual es un proveedor líder de Apple en seguridad empresarial. Los estándares que se utilizan son TAA, FIPS 140-2 y FIPS 201.

domingo, 28 de abril de 2013

iMessage: El extraño bug que corta los mensajes en iPhone

Hace no demasiado os hablamos por aquí de problemas de seguridad que tiene iMessage y que pueden llevar a ser aprovechados por spammers o en esquemas de D.O.S. Hoy toca hablar otra vez de iMessage, pero en este caso de un extraño bug que se produce cuando el texto del mensaje tiene un determinado tamaño, ya que se queda cortado cuando se visualiza en iPhone y es enviado desde Messages de OS X.

En el siguiente ejemplo se mandan las frases "I could be the next Obama " y "The best prize is a surprise" y aparecen con parte de la última palabra invisible en la aplicación, a pesar de que el texto está ahí y puede ser copiado y pegado en otro sitio de forma completa.

Figura 1: Bug en iMessage que muestra el final invisible

Las primeras noticias que hay sobre este fallo datan del 21 de Diciembre de 2012, cuando un usuario alertaba de este problema en los foros Discussions de Apple, pero parece que todavía está presente. Tras muchas pruebas, como ya se ha dicho, parece que el problema se produce cuando el tamaño del texto del mensaje tiene una anchura en pixels concreta, así que será cuestión de que los técnicos lo solucionen en la próxima revisión.

sábado, 27 de abril de 2013

Cortafuegos para iPhone & iPad: Firewall IP para iOS

Una de las herramientas que se echa en falta en dispositivos móviles iOS son los cortafuegos. Firewall IP es la única herramienta de seguridad de su clase para iPhone/iPad/iPod Touch. El único requisito es que el dispositivo disponga del jailbreak realizado para poder instalarla de los repositorios de Cydia. La aplicación Firewall IP permite bloquear conexiones salientes, tanto en el protocolo de transporte TCP como UDP  para evitar sorpresas desagradables como la estafa de click Fraud que se escondía en una app.

El cortafuegos se conecta a las aplicaciones y avisa al usuario si la app quiere establecer una conexión a un host determinado, mostrando el nombre de dicho host. Entonces el usuario podrá optar por permitir o denegar la conexión una vez, siempre, permitir o denegar todas las conexiones para la solicitud.

El usuario en todo momento puede decidir si quiere que la aplicación pueda enviar o no datos, por lo que los desarrolladores no serían capaces de recoger estadísticas y datos sobre el dispositivo, como algunas apps hacen de manera bien intencionada y otras mal intencionada.

Esta característica es realmente interesante para evitar que información sensible del dispositivo que pueda ser utilizada en ataques dirigidos, como el UDID, o información sensible para la privacidad de los dueños del dispositivo, como son los números de teléfonos  , la agenda de contactos, o las estadísticas de uso salgan del terminal sin que se note.

Por todo esto, la privacidad del usuario mejora notablemente mediante la correcta configuración de la aplicación, además de que el usuario podría ahorrar dinero debido al control de los datos móviles que consumen algunas aplicaciones “sin el consentimiento previo”  del que paga la factura de los datos con la operadora.

Las características de Firewall IP se enumeran a continuación:
  • Bloquear conexiones TCP y UDP salientes de manera selectiva.
  • Bloquear puertos específicos.
  • Muestra el nombre de host al que una aplicación se intenta conectar. Esto es interesante para identificar posibles aplicaciones que realizan acciones “maliciosas”.
  • Bloquear proveedores analíticos o recolectores de datos que afectan a la privacidad del usuario.
  • Interfaz sencilla e intuitiva.
La compatibilidad de la app va desde iOS 3.0 hasta 6.X, lo que hace que casi cualquier dispositivo iOS pueda ejecutar la herramienta.

viernes, 26 de abril de 2013

OSX/Agent-AADL: Más malware de OSX contra el Tibet

Desde el blog de Naked Security han reportado ayer mismo el descubrimiento de una nueva campaña de ataques dirigidos contra miembros de la ONG Uyghur mediante una campaña de correos electrónicos de spam que lleva adjunto un fichero de tipo Microsoft Word que contiene un exploit para una versión sin actualizar de Microsoft Office para Mac. Dicho exploit, una vez que consigue ejecución en un sistema operativo OSX instala un malware que actúa como troyano y que ha sido catalogado como Troj/DocOSXDr-B.

El engaño para conseguir que los usuarios se sientan tentados a abrir dicho documento es que el documento pretende dar información del "6th International Uyghur Women's Seminar & 1st World Uyghur Women's Congress" organizado por la citada ONG International Uyghur Human Rights & Democracy Foundation.

Figura 1: El documento MS Office infectado

Esta no es la primera vez que la organización Uyghur o las ONGs por-Tibet se ven atacadas con campañas dirigidas - todas supuestamente desde China a pesar de que el gobierno lo niegue - y en varias ocasiones se ha utilizado el mismo esquema: un documento Microsoft Office, un archivo PDF, o unas fotografías infectadas.

jueves, 25 de abril de 2013

iOS tiene más vulnerabilidades pero Android más malware

La empresa de seguridad Symantec hizo público la semana pasada el informe Internet Security Threat Report 2013 en el que, entre otras cosas, se pueden visualizar las cifras respecto a las vulnerabilidades de seguridad en dispositivos móviles durante al año 2012. En ellas ha quedado reflejado que el sistema operativo iOS tiene un mayor número de vulnerabilidades conocidas en 2012 que el propio Android, aunque éste sigue siendo más atacado con malware.

El informe de Symantec revela que hay 387 vulnerabilidades de código documentadas en el software de iOS frente a sólo 13 en Android. Sin embargo, y pese a la mayor puntuación de vulnerabilidades en iOS, Android sigue siendo el principal sistema operativo móvil en lo que a malware se refiere.

Figura 1: iOS el sistema operativo con más vulnerabilidades documentadas

Symantec añade en el informe, que todo esto se debe a que el número de vulnerabilidades en un sistema operativo no tiene por qué ser igual a la cantidad de amenazas. Según el informe:
“Las vulnerabilidades móviles tienen poca o ninguna correlación con el malware móvil. Es más, mientras que iOS tiene más vulnerabilidades documentadas en 2012, sólo existía una amenaza creada para él”.
El informe plantea que las vulnerabilidades probablemente se convertirán en un factor de malware para móviles, pero la apertura de Android, y los múltiples métodos de distribución disponibles para aplicaciones embebidas convierten al sistema operativo de Google en un lugar donde el malware puede ahondar. Las infecciones de malware en entornos móviles se han disparado hasta un 58% en el 2012.

Figura 2: Muestras de malware en 2012

También afirma que el 32% de esos ataques son atacantes que intentan robar información sensible de los usuarios, como direcciones de correo electrónico, números de teléfono, documentos, etcétera. Este hecho refleja que los autores de dichas acciones buscan cometer algún tipo de robo de identidad. Entre otras conclusiones, queremos destacar que en el informe se recoge el aumento de los ataques a pequeñas y medianas empresas, con un 50% de todos los ataques dirigidos en el año 2012.

miércoles, 24 de abril de 2013

Cloudo: Un Sistema Operativo "Apple like" en la nube

La idea de tener un sistema operativo en la nube no es nueva. Desde las soluciones de escritorios remotos hasta los entornos VDI (Virtual Desktop Infrastructure) pasando por sistemas operativos basados en aplicaciones web la idea de poder conectarte a tu plataforma de trabajo desde cualquier sitio es lo suficientemente atractiva como para que todo hayamos probado alguna solución en nuestra vida. Algunos incluso lo tenemos como "el SO de Backup".

De hecho, es probable que aunque tengamos escritorios de trabajo pesado y no tengamos en la nube nuestros escritorio, la mayoría de nosotros necesitemos para el día a día muchos servicios online sin los que no podríamos realizar nuestras tareas.  Una de esas soluciones, aún en fase Beta, es Cloudo, un sistema operativo que se define como "Apple Like OS" en la nube, y que está basado en el desarrollo de un entorno virtual en HTML5, con apps bastante sencillas.

Figura 1: Probando Cloudo desde Seguridad Apple

La parte servidora está basada en un arquitectura LAMP (Linux, Apache, MySQL y PHP), en la que además del servidor web hay un servidor de ficheros, de base de datos y de correo electrónico que puede ser utilizado dentro del sistema.

Figura 2: Arquitectura de Cloudo

Hemos jugado un rato con él, y aunque se define como un sistema "Apple Like OS", lo cierto es que solo el look and feel de las ventanas recuerda un poco a OS X, pero tiene una barra de aplicaciones más similar a Windows o algunos entornos gráficos de Linux. El número de aplicaciones que tiene actualmente es muy reducido, con algunos juegos, y alguna app basada en servicios en la nube. El entorno de comandos no es una shell tipo bash, ni mucho menos, y el número de comandos que soporta es reducido. 

El proyecto, como ellos dicen, aún dista mucho de lo que pretenden que sea por lo que debemos ser pacientes para tener una opinión definitiva, pero la verdad es que si nunca has probado un sistema operativo en la nube basado "en una página web", merece la pena que te saques una cuenta, que es gratuita y se tarda 1 minuto, para que juegues con Cloudo un rato.

martes, 23 de abril de 2013

Java 7 SE: Nuevo fallo de seguridad para saltar la sandbox

A pesar de que Oracle ha actualizado Java 7 SE recientemente, ya se acaba de descubrir un nuevo fallo de seguridad que permite saltarse la sandbox y ejecutar código en la máquina directamente. El bug ha sido publicado en Full Disclosure por Adam Gowdiak de Seguridad Explorations, ya afecta a la última versión parcheada de Java.

Figura 1: Correo a Full Disclosure con información sobre el bug

El bug, según se informa en el correo, ha sido notificado a Oracle junto con una prueba de concepto, y parece que no solo afecta a todas las versiones de Java SE 7, sino que también lo hace a la versión Server JRE que se ha anunciado hace poco. El fallo está en el API de Reflection y se podría ejecutar código malicioso con solo la aprobación de la ejecución de un Applet por parte del usuario.

Figura 2: Bloqueo de Applets Java por sitio web

En la última versión de Apple Safari se puede elegir en qué sitios se quiere permitir ejecutar Applets de Java, así que os instamos a que solo habilitéis Java en los sitios de vuestro trabajo que sean de confianza que necesiten Java, para todos los demás: prohibido.

lunes, 22 de abril de 2013

Softonic distribuía adware para OSX con falsos instaladores

Esta semana pasada saltó otra noticia de adware distribuido especialmente para sistemas OSX. Como reportó Intego, la popular web de descargas de software estaba instalando un troyano de adware tanto si lo quería el usuario como si no. Para ello, mediante el uso de falsos instaladores de UnrarX o VLC, se le preguntaba al usuario si quería instalar la barra de ChatZum en los navegadores Apple Safari, Mozilla Firefox y/o Google Chrome.

Figura 1: Falso instalador de UnrarX pidiendo permiso para instalar las barras

Aún cuando el usuario contestaba que no deseaba instalar esta barra, el proceso instalaba un plugin llamado Zako que configura las búsquedas de todos los navegadores para que utilicen el servicio de ChatZum.

Figura 2: Plugin Zako cambia la búsqueda a chatzum

Como informan desde Intego, los falsos instaladores no tienen nada que ver con VLC - que se ha quejado muchas veces ya del crapware que re-empaqueta su software con este tipo de instaladores, o con UnrarX. De hecho, el software de los falsos instaladores está firmado por otra compañía que nada tiene que ver con ellas.

Figura 3: Firma digital del instalador del fake UnrarX

Actualmente este plugin está siendo reconocido como adware en todos los antimalware profesionales para sistemas Mac OS X, pero personalmente te recomendamos que nunca te bajes software de repositorios que re-empaquetan software si está disponible la web del desarrollador. Busca la web del fabricante y descarga el software desde la fuente original. Estos servicios tipo Softonic se gastan grandes cantidades de dinero en SEO para que los no acostumbrados a buscar la página original acaben siendo sus "clientes", y viven de instalar barras de navegadores y otros programas mediante estos instaladores.

domingo, 21 de abril de 2013

Fue Noticia en Seguridad Apple: Del 8 al 21 de Abril

Día tras día va pasando el tiempo y sin darnos cuenta ya estamos otra vez en el momento de repaso de todo lo acontecido durante las dos semanas pasadas en el mundo de Seguridad Apple. Como ya es habitual, no solo os hablaremos de los temas que hemos publicado, sino que también os referenciaremos otros temas interesantes que no hemos tocado por aquí. Vamos al lío.

El lunes 8 de Abril comenzamos con la reseña a OSX Autoruns, una herramienta que ayuda a analizar los puntos de ejecución automática de aplicaciones en sistemas operativos OS X, y que tradicionalmente son utilizados por el malware para lograr la persistencia en el equipo infectado.

El martes de esa semana la noticia fue una reseña a una nota interna de la DEA (Drug Enforcement Agency) en la que se ha filtrado su preocupación para poder interceptar los mensajes  enviados a través de Apple iMessage con las herramientas habituales.

El miércoles nos paramos a echar un ojo a iStupid, la herramienta de Taddong para obtener la Prefered Network List de redes WiFi en un dispositivo iOS. La herramienta está dentro de la presentación que se dio en RootedCON 2013 y merece la pena ver la sesión completa.

El 11 de Abril una reseña a la herramienta para iOS de Domain Tools, que te permite tener a golpe de clic toda la información sobre un dominio.

El viernes de esa semana la noticia fue para un bug re-introducido por Apple en OS X Mountain Lion 10.8.3 y que permite hacer D.O.S. a los servidores FTP que corran sobre esta versión del software.

El sábado de la semana anterior el post fue para algo que tiene que ver con las curiosidades de los ingenieros y con las técnicas de ingeniería inversa. Los huevos de pascua en productos Apple. Una buena colección que incluyen fotos, audios y hasta algún perro.

El domingo pasado os avisamos de software a instalar en vuestro OSX. Actualizaciones de seguridad de Adobe Flash, la nueva versión de Apple iCloud Control Panel para Windows y los nuevos codecs para las aplicaciones que usen Apple QuickTime. Todo por tener el software al día.

Este lunes os trajimos un tip de privacidad para poder concentrarse en el trabajo: Cómo deshabilitar las notificaciones de OS X de forma temporal. Aunque es sencillo hacerlo, encontrar la opción del menú es algo más complejo.

Para el martes os dejamos una reseña a las opciones de seguridad que tiene Apple Safari para evitar que alguien, en un ataque de XSS, ClickJacking o CSRF pueda enviar contraseñas por defecto en peticiones HTTP. El resto de los navegadores para OSX no muestran ninguna alerta cuando se hace uso de ellas en URLs incrustadas en iframes.

Ese mismo día, por la noche, Apple y Oracle actualizaron Java 6 y Java 7 en plataformas OSX, con un total de 19 bugs con criticidad máxima de un total de 42 CVEs. Apple puso actualizaciones para Mac OS X Snow Leopard, OS X Lion y OS X Mountain Lion.

El miércoles nos paramos a ver las actualizaciones de Apple Safari 5.19 y Apple Safari 6.0.4, que añaden no solo la solución de un CVE crítico, sino mejores opciones para bloquear la carga de plugins y Applets Java en función de sitios que los cargan.

Este jueves os trajimos la conferencia de prensa que dieron los Evad3rs en la pasada Hack In The Box Amsterdam 2013. Un vídeo de poco más de 30 minutos con un montón de buena información sobre este tema.

Para el viernes más actualizaciones para tu OSX. En este caso todas desde Apple que publicó drivers para impresoras Epson, HP y Canon, una nueva version de Aperture junto con un paquete de compatibilidad con nuevas cámaras digitales y una nueva release de iPhoto.

Terminando el periodo, ayer os publicamos una reseña a la utilidad que hemos publicado desde Informática 64 llamada iDStore y que permite generar las URLs a partir de un fichero .DS_Store para saber qué ficheros están o no publicados en ese sitio web.

Hasta aquí todo lo que hemos dado de sí en Seguridad Apple durante este periodo, pero han pasado más cosas que creemos que merece la pena que leais en otros blogs, así que para que no se os escapen cosas interesantes os recomendamos leer:
- iSteve: La "primera" película de la vida de Steve Jobs, hecha por Funny or Die, está online para ser vista por cualquiera. Un documento que no debes perderte.... si te gusta el humor freak absurdo. A nosotros nos gusta. 
- Todos podemos ser hackers: Artículo de David Barroso en el blog Think Big en el que habla de lo que significa ser hacker... en cualquier aspecto de la vida. 
- Hacking aviones: La presentación de Hugo Teso en Hack In The Box Amsterdam 2013 generó mucho ruido en los medios. Aquí tienes información sobre su ataque al software de los aviones, y algunas clarificaciones. 
Hasta aquí la lista de lecturas para este domingo. Esperamos veros en esta sección dentro de dos semanas y cada día en los artículos de Seguridad Apple.

sábado, 20 de abril de 2013

IDStore para analizar URLs de ficheros .DS_Store

Los ficheros .DS_Store aparecen en muchísimos sitios webs. Los hemos visto en sitios como Apple.com o en Google.com debido a que Finder de Mac OS X los crea y si no se borran manualmente o con herramientas de terceros, como iBoost, entonces es fácil que en una actualización de un sitio web se suban por error. Analizar un .DS_Store puede dar a un auditor de seguridad una lista de ficheros que permita descubrir archivos o carpetas del servidor web que pudieran ser importantes.

Para sacar las URLs que se pueden generar de un fichero .DS_Store se puede hacer un análisis de strings o utilizar el script File Disclosure Browser, escrito en Perl, pero desde esta semana se puede utilizar también una pequeña herramienta llamada IDStore que permite analizar estos ficheros.

Figura 1: Ejecución de IDStore versión Java con un .DS_Store de Internet

La utilizar está en Source Forge, y hay dos versiones escritas en Java y C# para que puedan ser utilizadas en todas las plataformas, permitiendo comprobar además los códigos de error HTTP de las rutas generadas.

Figura 2: Resultados de Salida

Te recomendamos que tengas mucho cuidado a la hora de actualizar tus servidores web desde Mac OS X, no vaya a ser que subas un fichero .DS_Store que ponga al descubierto una carpeta backup_db o database_bk que pueda meterte en algún problema por una relajación den las prácticas de seguridad.

viernes, 19 de abril de 2013

Apple actualiza Aperture, iPhoto y drivers de impresoras

Junto con las actualizaciones de Java y Safari que ya os hemos comentado, esta semana Apple ha puesto en circulación una buena cantidad de software. La lista comienza con la actualización de Aperture a la version 3.3.4 y de iPhoto 9.4.3, además de con un paquete que añade más compatibilidad con cámaras digitales en Aperture 3.x y a iPhoto'11.


A este software hay que añadir nuevos drivers de impresoras HP, Epson y Canon Laser para OS X, que si quieres mantener actualizado todos los programas y aplicaciones de tu sistema debes instalar.

jueves, 18 de abril de 2013

Conferencia de prensa de Evad3rs en Hack In The Box'13

Este mes de Abril ha tenido lugar la conferencia Hack In The Box 2013 en Amsterdam. Todas las presentaciones, como es habitual, han sido recopiladas por nuestros compañeros de Cyberhades para que no te pierdas ninguna. Sin embargo, uno de los acontecimientos más esperados fue la conferencia de prensa de los Evad3rs, el grupo detrás del jailbreak para iOS 6.X evasi0n, que contestó a muchas preguntas y que puedes ver aquí.


Volvieron a insistir en que saben lo que valen los exploits en el mercado negro, pero que ellos no están interesados para nada en ello, y que lo hacen por principios, por lo que no cobran por el jailbreak - solo donaciones - ni hacen exploits por encargo para organizaciones interesadas en ello. No te la pierdas.

miércoles, 17 de abril de 2013

Apple Safari 6.0.4 y Apple Safari 5.1.9

Además de Java, Apple ha actualizado a las versiones Apple Safari 5.1.9 for Snow Leopard y Apple Safari 6.0.4 for OS X (Lion y Mountain Lion). Estas nuevas versiones han mejorado las opciones de seguridad de los plugins, añadiendo una granularidad que lleva años integrada en otros navegadores como Internet Explorer, para poder decidir qué plugins se cargan dependiendo de la URL de Conexión.

Esta granularidad es especialmente importante cuando sale un exploit que aprovecha un 0day en un plugin que es necesario para el trabajo de una persona. Con esta nueva opción será posible deshabilitar Java o el plugin de PDF para todo Internet, dejando a salvo los sitios de trabajo del usuario.

Figura 1: Preferencias de Seguridad en Apple Safari

Las opciones de configuración son Preguntar antes, Bloquear el plugin, Permitir (en un determinado sitio) o Permitir siempre. Con ellas el usuario podrá trabajar y fortificar su conexión a Internet.

Figura 2: Opciones de carga de plugins por sitios

Por último, hay que hacer notar que Apple Safari está disponible a través de las actualizaciones de software del sistema, ya sea Mac App Store o Software Updates, y que esta actualización de Apple Safari también bloquea versiones inseguras de Adobe Flash Player y soluciona un bug de seguridad crítico - el CVE-2013-0912 - tal y como se recoge en el Security Advisory que Apple ha publicado.

martes, 16 de abril de 2013

Java: 19 de 42 bugs son de criticidad máxima (10.0) en la actualización de Abril. ¡Actualiza Java en tu Mac OS X ya!

Acaban de ponerse a disposición pública los parches de Java 6 SE y Java 7 JRE que solucionan un total de 42 CVEs, de los que Oracle ha catalogado 19 de ellos con máxima criticidad 10.0 en el CVSS al poder ser explotados remotamente sin interacción con el usuario. Debido a ello, tanto Apple como Oracle se han dado prisa en actualizar el software, así que tienes que actualizar ya tu Mac OS X.

Si tienes Java 7 en tu OS X Lion u OS X Mountain Lion
Vete al panel de Java en la Preferencias de OS X. Allí tendrás disponible la version Java 7 Update 21 de 50 MB de tamaño. Basta con que le des al botón Actualizar Ahora para dejar listo tu sistema operativo. No es necesario reiniciar.
Figura 1: Java 7 Update 21 disponible en panel de Java

Si tienes Java 6 OS X Lion u OS X Mountain Lion 
Entonces la actualización te la provee la propia Apple, para ello debes instalar Java for OX 2013-003 que deja la máquina virtual Java en la versión 1.6.0_45. Esta versión ocupa 63.92 MB y está disponible en el artículo de la knowledge Base DL1572. Según el Security Advisory, se han solucionado 21 CVEs en Java 6 SE.
Si tienes Java 6 en Mac OS X Snow Leopard
Entonces debes instalarte Java for Mac OS X 10.6 Update 15 que actualiza la máquina virtual Java a la versión 1.6.0_45 solucionando los 21 CVEs citados anteriormente. El software está disponible vía Software Updates y en el artículo DL1573 
El nivel de criticidad de estas actualizaciones es tal, que no deberías dejar pasar ni un minuto antes de actualizar el Java de tu sistemas OS X, si no quieres acabar infectado con algún malware que encuentre la forma de explotar estos bugs.

Sólo Safari en OS X avisa del envío de passwords HTTP

El otro día se publicaba en Un informático en el lado del mal que Apple Safari e Internet Explorer eran los únicos que mostraban un aviso cuando se pretendía enviar en un iframe una contraseña HTTP, que podría ser utilizada en un esquema de clickjacking que enviara las contraseñas en la URL. En ese artículo, tanto Google Chrome como Mozilla Firefox no mostraban ninguna alerta de seguridad, mientas que Apple Safari sí que lo hacía.

Figura 1: Alerta de Apple Safari en URLs con passwords HTTP

Queríamos probar el último de los navegadores de Internet más populares en plataformas Mac OS X, por lo que hemos hecho la misma prueba en un Opera Web Browser 12.15 sobre OS X Mountain Lion 10.8.3. Para ello hemos creado el siguiente archivo HTML, en el que se envía por HTTP una contraseña al servidor web de Seguridad Apple.

Figura 2: iframe con URL usando password en HTTP

Tras abrir el navegador con el iframe, se puede ver que el sitio se carga perfectamente, y la credencial ha sido enviada por la URL, quedando el usuario y la contraseña expuesta sin conocimiento del usuario.

Figura 3: Opera Web Browser para OS X no alerta de nada

Por supuesto es solo una protección más que podría defender al usuario de ataques Client-Side, pero el único que la tiene en sistemas OS X es Apple Safari. Curioso.

lunes, 15 de abril de 2013

OS X Mountain Lion: Deshabilitar las notificaciones en OSX

Cuando estás trabajando en algo, puede que las notificaciones que te llegan de cualquier aplicación de red social pueden interrumpirte y sacarte de la concentración. Es por eso que aparecen herramientas como Self Control, de la que ya os hablamos por aquí, o la opción de No Molestar de iOS. En OS X Mountain Lion aparecen también un buen número de actualizaciones que tal vez te molesten cuando estás trabajando, pero hay una forma de deshabilitarlas temporalmente.

Para deshabilitarlas hay que acceder al menú de las notificaciones que está en la esquina superior derecha. Allí aparecen las últimas actualizaciones que han sido enviadas desde el sistema operativo.

Figura 1: Panel de notificaciones

Allí, basta con arrastra hacia abajo el panel de actualizaciones para que aparezca una opción un tanto oculta que permite deshabilitar temporalmente esas actualizaciones, tal y como se puede ver en la imagen siguiente.

Figura 2: Al arrastrar hacia abajo está la opción de activar o no

Como se puede ver, este proceso solo dura hasta mañana, por lo que se volverán a activar las notificaciones de forma automática, por lo que te permitirá tener un poco de tranquilidad sin perder definitivamente la información del sistema.

Figura 3: Las notificaciones se reanudarán mañana

Si necesitas concentrarte para trabajar, tal vez esta sea una opción que te venga bien en tu día a día para que logres evitar distracciones temporalmente.

domingo, 14 de abril de 2013

Apple iCloud 2.1.2 for Windows, Adobe Security Updates & Apple ProApps QuickTime Codecs para actualizar tu OSX

Esta semana Adobe publicó el boletín APSB 13-11 con una actualización de seguridad crítica para Adobe Flash Player en la que se solucionaban 4 CVEs {CVE-2013-1378, CVE-2013-1379, CVE-2013-1380, CVE-2013-2555}. Si usas Google Chrome, no es necesario que actualices este software, pero si tu navegador es Apple Safari u otro sin actualización automática, es necesario que entres en la web de Get Adobe Flash e instales la última versión para él en tu Mac OS X.

Figura 1: Adobe Flash Player 11.7.700.169 para Apple Safari en Mac OS X

También en esta semana, Apple ha publicado la actualización de Apple iCloud Control Panel 2.1.2 para Windows. No es un software que solucione ningún bug de seguridad, pero - casi - siempre es recomendable tener las últimas versiones para obtener las últimas funcionalidades, que a veces tienen impacto lateral en la seguridad.

Figura 2: Apple iCloud Control Panel for Windows

Y por último, si quieres poner tu sistema actualizado totalmente, te informamos también de que Apple sacó hace unos días una actualización de codecs para las aplicaciones que usan QuickTime. Los tienes en ProApps QuickTime Codecs 1.0.2.

sábado, 13 de abril de 2013

Huevos de pascua de Apple. Los guiños de los ingenieros

Los huevos de pascua son guiños a los usuarios escondidos en el software de los sistemas informáticos que sólo aparecen cuando se producen algunos eventos muy concretos y que pueden pasar años desapercibidos e incluso perderse en la memoria del tiempo sin ser descubiertos. Los ingenieros de Apple no han sido ajenos a este juego y han escondido huevos de pascua en muchos sistemas. Aquí van los más conocidos.

El disco de arranque en el Macintosh Classic

Poca gente conocía que Macintosh Classic contenía una copia totalmente funcional del System 6.0.3 escondido en la ROM. Para acceder a él hay que encender el equipo pulsando Command-Option-X-O y aparecerá el escritorio clásico de Mac, dónde se puede hacer una copia del disco o instalar otro sistema operativo.

Figura 1: El classic desktop de Mac System 6.0.3

1987: Apple Macintosh SE

Este equipo contenía en al ROM las fotos del equipo de creadores. El huevo de pascua se conoce desde hace tiempo, pero no era demasiado popular saber cómo se podía obtener este comportamiento. Aquí publicamos cómo unos hackers sacaron el huevo de pascua haciendo ingeniería inversa sin saber que bastaba con entrar en modo debug en el Mac SE y escribir G 41D89A para que las fotos aparecieran en modo presentación.

Figura 2: Las fotos ocultas en el Macintosh SE

1988: Apple Fax Modem

En este caso es un huevo de pascua de audio escondido en el Apple Fax Modem, donde se puede escuchar a tres desarrolladores diciendo su nombre - Peter, Alan y Neal -. Para ello hay que pulsar el botón del panel frontal y encender el moden. Sonarán tres beeps y hay que responder pulsando tres veces el botón con el mismo ritmo y duración. Si lo haces bien oirás el huevo de pascua.

1989: Macintosh IIci / IIfx

Estos equipos, lanzados en 1989 y 1998 también llevaban las fotos de los equipos como huevos de pascua. En Macintosh IIci hay que poner el monitor en modo 8 colores, poner la fecha del sistema al 20 de Septiembre de 1989 - la fecha de lanzamiento del equipo -, luego reiniciar el equipo pulsando Command-Option-C-I y aparecerá la foto del equipo de ingenieros en la pantalla.

Figura 3: El huevo de pascua en Macintosh IIci

En Macintosh IIfx hay que modificar un poco el procedimiento, ya que hay que poner su fecha de lanzamiento que fue el 19 de Marzo de 1990 y luego reiniciar pulsando Command-Option-F-X. para ver la fotografía de los desarrolladores.

1992: Apple IIgs

Este equipo también lleva otro huevo de pascua de audio en la ROM v3 al que se puede acceder encendiendo el equipo y cuando salga el logo de Apple moviéndose en pantalla pulsar Control-Open Apple-Option-N. Entonces podrás oir al equipo de ingenieros gritando "¡Apple II!". El audio está disponible en Internet en el siguiente sitio.

1993: Macintosh Quadra 840AV

En la ROM de este equipo se esconde un huevo de pascua muy curioso donde aparecen los desarrolladores muy relajados e incluso un perro con ellos. Sacar estas fotos no es facil y se han volcado tradicionalmente desde la ROM con técnicas de ingeniería inversa.

Figura 4: El huevo de pascua del Macintosh Quadra 840av

Mr. Macintosh

Por último, hay que citar en esta historia la famosa leyenda de Mr Macintosh, ese personaje que iba a aparecer aleatoriamente, pero del que poca información se tiene más que una leyenda, un bitmap y una historia preciosa.

Figura 5: Mr. Macintosh

Los huevos de pascua son de esas cosas que hacen que los que amamos la tecnología hacen que la amemos más todavía.

viernes, 12 de abril de 2013

OSX 10.8.3 DoS por ftpd Remote Resource Exhaustion

El investigador Maksymilian Arciemowicz ha enviado a la lista de correo de Bugtraq un reporte de seguridad con una demostración en vídeo de un viejo fallo de seguridad en el servicio FTP de equipos con sistema operativo OS X Mountain Lion que, a pesar de haber sido supuestamente corregido por Apple, sigue siendo explotable en OS X 10.8.3 para realizar un ataque de Denegación de Servicio, tal y como se puede ver en el siguiente vídeo.

Figura 1: Vídeo de la PoC de DoS en OS X 10.8.3 con ftpd

El fallo se produce porque por una falta de control en el consumo de recursos que se produce desde una máquina remota en el servicio FTP que utiliza Apple, basado en tnftpd. Incialmente, Apple utilizaba la librería libc que fue parcheada en el CVE-2010-2632 en Mac OS X 10.6.8. Sin embargo, parte del código de libc - incluyendo la función glob vulnerable al CVE-2011-0418 - fue migrada a código propio de Apple, y parece que a partir de la version del 22 de Marzo de 2013 - incluida en OSX Mountain Lion 10.8.3 - el parche de control de recursos no se migró.

Figura 2: CVE-2010-2632 resuelto en Mac OS X 10.6.8

Es decir, Apple ha reintroducido un viejo bug de seguridad en OS X Mountain Lion, lo que lleva a que una prueba de concepto del año 2010 vuelva a funcionar perfectamente para hacer un D.O.S. a cualquier servidor OS X Mountain Lion con el servicio ftp, ya que el consumo de recursos afecta al sistema completo.

Figura 3: Servidores OS X con servicio FTP en Internet descubiertos con Shodan

Como se puede ver en la imagen superior, buscando con Shodan es posible encontrar en Internet miles de servidores OS X con el servicio FTP abierto a Internet que podrían ser objetivos de este tipo de ataques. Si tienes un servidor con Mac OS X Snow Leopard, asegúrate de tener instalada la versión 10.6.8. Si tienes un servidor con OS X Mountain Lion 10.8.3 configura reglas en el firewall de tu red para detectar múltiples conexiones al servicio ftp desde una misma dirección.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares