Menú principal

domingo, 30 de junio de 2013

Aparecen más variantes del adware para OS X de Genieo

Las empresas que viven del adware ganan mucho dinero como para dejar de evolucionar sus técnicas de instalación de sus productos, y entre ellas Genieo es una de las más activas en OS X, como estamos pudiendo comprobar en los últimos tiempos. La última noticia que tuvimos de su actividad se refería a cómo estaban haciendo uso del truco de simular ser una actualización de Adobe Flash para intentar engañar al usuario y conseguir la instalación de su adware, que apuntaba en esta ocasión a Softonic como partner - empresa que ya ha sido acusada varias veces de distribuir crapware -.

Tras un análisis más en profundidad por Thomas Reed en The Safe Mac, se pudo comprobar como ese adware que estaba distribuyéndose llevaba incluida como sorpresa la descarga de un "viejo" amigo para los usuarios de Mac OS X, el malware OSX/FKCodec-A. En nuevas variaciones, se ha visto que el adware de Genieo se está distribuyendo con los mismos trucos de ingeniería social basados en Codecs de vídeo, a través de sitios web que simulan el proceso de instalación de plugins de los navegadores, consiguiendo engañar al usuario para lograr la ejecución del software.

Figura 1: Página simulando la instalación de un plugin del navegador con una barra amarilla

Una vez instalada esta última variante, en Intego han analizado el comportamiento - solo compatible en Mac OS X 10.6 y Mac OS X 10.7 - en el que solicitan la contraseña y la instalación de Java a la vez que desactiva el flag de la cuarentena de XProtect para no generar ninguna alerta al usuario.

Figura 2: Desactivación del flag de cuarentena de XProtect en el adware

Una vez lo consiguen y está en ejecución, como explica Thomas Reed, este adware se introduce como un LaunchAgent de Apple Safari para lograr la persistencia en el sistema con el nombre de archivo com.genieoinnovation.macetension.plist, e intercepta todas las peticiones a los buscadores, no dejándose desinstalar de ninguna forma manual.

Para acabar con él el número de acciones que hay que realizar es alta, por lo que se recomienda si es posible tirar de una copia de restauración del sistema. Puedes localizarlo en tu equipo haciendo uso de OSX/Autoruns y analizando los LaunchAgents, y si lo encuentras en tu sistema tienes aquí algunas instrucciones de cómo quitarlo.

Figura 3: Solicitud de Instalación de Java para ejecución de Genieo

Lo más importante, en cualquier caso, es que tomes precauciones para evitar este tipo de adware actualizando tu sistema, no ejecutando la instalación de software desde repositorios no oficiales, teniendo un antimalware en tiempo real activado, y no introduciendo tu contraseña de administrador en la instalación de plugins descargados por recomendación de webs nunca.

sábado, 29 de junio de 2013

Virus histórico para Mac OS: nVir (1987)

Retomando el recordatorio de virus históricos para sistemas de Apple, en esta entrada vamos a hablar de uno de los primeros virus que surgió, el nVIR (1987). Este virus es de la misma década que los virus primigenios para Mac, como el Elk Cloner (1982), y destaca por ser considerado uno de los virus más prolíficos para estos sistemas - dado que el código fuente del virus original fue ampliamente difundido -, contando con una larga lista de variantes. 

¿Cómo funciona este virus?

Su método de acción era cambiar la primera instrucción que realizaba una aplicación al ser lanzada (CODE 0 resource), haciendo que esta ejecutase el proceso de instalación del virus en el sistema. Este proceso comprobaba la existencia de unos archivos de recursos que utilizaba el virus, instalándolos en caso de no encontrarlos. Los recursos que instalaba era un archivo INIT32 y varios ficheros llamados “nVIR” seguidos de un número (de ahí el nombre del virus). Una vez hecho esto, la aplicación se iniciaba con normalidad.

El archivo INIT32 se ejecutaba al inicio del sistema, parcheando el TEInit trap (interrupción del sistema operativo) haciendo que cualquier aplicación que ejecutase la interrupción, quedase infectada. Los archivos nVIR, daban “soporte” al virus. Por ejemplo, el 0 contenía un contador que marcaba el inicio de la actuación del virus, el 2 guardaba la instrucción original de inicio de la aplicación y el 3 (en algunos variantes el 5) guardaba una copia del INIT32.

Era capaz de extenderse a través de cualquier sistema usado para compartir aplicaciones como disquetes o redes de datos y dado el periodo que este virus permanecía latente (marcado por el contador del nVIR 0) una vez ya instalado, era difícil averiguar cual era la causa de la infección sin un análisis exhaustivo de las aplicaciones del sistema.

¿Cuáles eran sus síntomas?

nVIR (conocido también por alguno de estos alias: AIDS, Fuck, Hpat, Jude, MEV#, MODM, nCAM, nFLU, kOOL, SHIT, prod) presentaba varios síntomas, dependiendo de la variante del virus, pero se pueden discernir los siguientes síntomas comunes a todas las variantes: cierre de aplicaciones, fallos a la hora de imprimir, tiempo de respuesta del sistema lento, o fallos del sistema operativo. Las tres “cepas” principales del virus fueron las siguientes:
nVIR-A. El contador contenido en el fichero nVIR 0 estaba inicializado a 1000 y disminuía en 1 cada reinicio del sistema y en 2 cada vez que una aplicación infectaba era ejecutada. Una vez llegado a 0, se reproducía al usuario el mensaje “Don´t Panic” si MacInTalk (sintetizador de voz para Mac) estaba instalado y en caso contrario, emitía un pitido. Esto sucedida 1 de cada 16 inicios del sistema y en 1 de cada 8 inicios de una aplicación.

nVIR-B, que presentaba el mismo sistema de contador con iguales características a las mencionadas para nVIR-A, pero esta variante no usaba MacInTalk, emitiendo solo pitidos. En este caso la frecuencia de este suceso era menor que la de la variante A, ocurriendo 1 vez de cado 8 inicios del sistema y 1 de cada 4 inicios de una aplicación.

nVIR-C, cuyo comportamiento es idéntico al de la variante B, residiendo la diferencia en uno de los ficheros de recursos nVIR que el virus instalaba en el sistema de ficheros.
Soluciones para combatir al virus

El síntoma evidente para reconocer la existencia del virus, aparte de los pitidos y mensajes emitidos al usuario, era la existencia de los archivos nVIR e INIT32. Por otro lado se podía comprobar si una aplicación estaba infectada inspeccionándola (con ResEdit, por ejemplo). Si contenía en su instrucción de inicio (CODE 0 resource) el código hexadecimal 0000 3F3C 0100 A9F0 entre los bytes 16-23, la aplicación estaba corrupta. La existencia de un CODE 256 (255 en algunas variantes) resource de tamaño 372 bytes, también era síntoma de infección en la aplicación. Para combatir al virus existían varías opciones:
• La más fácil de cara al usuario era usar un antivirus o antimalware, que protegía y eliminaba el virus. Ya por aquella época existían antivirus de reconocida calidad y de licencia gratuita que trataban al nVIR, como Disinfectant.
Figura 1: Disinfectant para Mac OS
• Se podía desinfectar una aplicación de forma manual, sustituyendo los bytes del 16 al 23 del CODE 0 por el contenido del nVIR 2 (que contenía los bytes de la instrucción original), eliminando el CODE 256 si era de 372 bytes y finalmente, eliminando todos los archivos nVIR.

• Se podía hacer inmune al equipo frente a este virus en particular creando en el sistema de ficheros un archivo INIT32 de 2 bytes hexadecimales, 45 75 (instrucción RTS, retorno de subrutina) y creando 8 archivos nVIR (del 0 al 7, importando las mayúsculas y minúsculas del nombre) vacíos. De esta forma se podía “engañar” al proceso de instalación del virus haciéndole creer que ya esta instalado en el sistema.

viernes, 28 de junio de 2013

Find my Device más seguro en iOS 7

Dentro del conjunto de medidas de seguridad que Apple ha introducido en iOS 7 para disuadir a los posibles ladrones, como el famoso Kill Switch o la detección de cables no oficiales, también se hecho que la opción de Find My Device no pueda desactivarse si no se tiene la contraseña de la cuenta de Apple ID.

Figura 1: Para desactivar Find My Device se necesita password de Apple iD

Esta opción permite que los ladrones que puedan hacerse con un terminal iOS 7 no bloqueado por passcode no puedan desactivar fácilmente la localización del dispositivo y disfrutar de él para siempre como podía hacer antes, por lo que el auténtico dueño siempre podrá localizar el terminal si tiene la contraseña de Apple ID y usa el servicio de localización de dispositivos. Interesante opción.

jueves, 27 de junio de 2013

Bug permite saltar el passcode en iOS 7 beta y ver las fotos

Tras la publicación de la beta de la nueva versión de iOS 7 para desarrolladores, no han parado de salir noticias que giran entorno a esta nueva versión del sistema operativo de Apple. En esta ocasión, se debe a una nueva vulnerabilidad encontrada por José Rodríguez que permite acceder a las fotografías almacenadas en un iPhone con iOS 7, sin necesidad de introducir la contraseña para desbloquear el dispositivo. Un nuevo truco para saltar el passcode un iPhone o iPad.

La vulnerabilidad fue reportada por Forbes, que obtuvo un video donde se mostraba a un usuario desbloqueando el iPhone sin necesidad de meter su contraseña. Esta vulnerabilidad permite a un usuario no solo saltarse la pantalla de bloqueo fácilmente y acceder así, a las fotos privadas de los usuarios sino también eliminarlas o publicarlas en las distintas redes sociales. 


Las opciones que da la nueva versión de iOS 7 de poder usar apps como la calculadora o la cámara de fotos sin desbloquear la pantalla de inicio, ha hecho posible que José Rodríguez descubriese esta vulnerabilidad. Ya que para saltarse la pantalla de bloqueo lo primero que hizo fue abrir la calculadora y luego abrir la cámara, una vez dentro ya nos permite acceder a los álbumes de fotos, haciendo posible compartirlas o eliminarlas.

Recordamos que aun así iOS 7, sigue estando en beta y a lo largo del tiempo seguramente sigan saliendo muchos bugs que serán parcheados por Apple para la versión final.  En el libro Hacking iOS: iPhone & iPad se explican técnicas para las distintas versiones de iOS que permiten saltarse la protección del passcode.

miércoles, 26 de junio de 2013

Fabricante Chino crackea autenticación de cables en iOS 7

El fabricante de accesorios para dispositivos Apple llamado iPhone5mod ha publicado un vídeo en el que muestra cómo ha sido capaz de saltarse una de las más modernas medidas de seguridad integradas en iOS 7, la verificación de autenticidad de los dispositivos conectados por Lightning.

Figura 1: Alerta de conexión de un accesorio lightning no oficial en iOS 7 beta

Esta protección incluida en iOS 7 pretende controlar la creación de accesorios que se conectan a los terminales iPhone, iPad o iPad mini, evitando no solo la venta de accesorios no oficiales sin obtención de beneficios por parte de Apple sino la proliferación de posibles ataques de tipo Juice Jacking que puedan infectarte con malware, crackear el passcode a un iPad o simplemente robar datos.

Figura 2: Vídeo demostración en el que se saltan la verificación

Pero, como se puede ver en el vídeo, este fabricante Chino ha sido capaz de saltarse esa verificación de Lightning en la última versión beta de iOS 7, lo que le permite seguir creando nuevos accesorios para el futuro.

martes, 25 de junio de 2013

Tutorial de GPG Tools para Mac OS X (V de VI)

En el quinto articulo de la serie dedicada a GPG Tools para Mac OS X se hablará sobre el uso de los servicios integrados con OS X y Mac OS X para cifrar, descifrar, firmar o verificar archivos y carpetas disponibles en el disco duro. El conjunto de utilidades que forman las GPG Tools ofrecen al usuario la posibilidad de utilizar todo el potencial de la suite aplicándola sobre los archivos y carpetas para proteger los datos sensibles de los usuarios del sistema operativo de Apple.

Tras la instalación de GPG Tools se integra con el botón derecho en las acciones sobre carpetas y archivos los servicios de interacción con GPG. En otras palabras, el usuario podrá realizar distintas acciones con sus claves PGP sobre los datos sensibles de interés. Tal y como se puede visualizar en la siguiente imagen, las acciones son las siguientes:
  • Crear un mensaje de Mail añadiendo dicho archivo al correo electrónico.
  • Validar una firma digital perteneciente a un archivo.
  • Firmar un archivo.
  • Importar datos PGP al keychain.
  • Cifrar un archivo.
  • Descifrar un archivo.

Figura 20: Servicios disponibles con GPG Tools

Cuando el usuario decide cifrar un archivo se visualizará un asistente gráfico en el que se solicitará al usuario con qué clave se quiere cifrar. Hay que recordar que para cifrar se utiliza la clave pública de un usuario, ya sea nosotros mismos si es algo que queremos proteger o con la clave pública de otro usuario si se lo queremos enviar y que en caso de ser interceptado no pueda ser visualizado. Solo quién posea la clave privada podrá descifrar el archivo cifrado con la clave pública contraria a ésta.

Figura 21: Cifrado de archivo

En la imagen superior se puede visualizar dicho asistente, además se puede elegir la posibilidad de firmar el archivo e incluso cifrar con un password a modo de capa suplementaria al cifrado por clave pública.

Figura 22: Fichero cifrado
El resultado de la acción anterior es un archivo con extensión GPG tal y como se puede ver en la imagen. El icono es el de la aplicación GPG Tools facilitando de un simple vistazo su localización e identificación en el tipo de contenido. Hay que recalcar que por defecto la suite GPG Tools no borrará el archivo original, quedando en el directorio tanto el archivo cifrado como el archivo sin cifrar. Es altamente recomendable borrar el archivo sin cifrar una vez generado este proceso.

Figura 23: Petición de PIN para uso clave privada

Una vez el usuario quiera descifrar el archivo se hará uso de su clave privada, por lo que como ya se ha visto en esta serie, tocará utilizar el PIN asociado a ella para poder utilizar y descifrar el contenido de dicho archivo, tal y como se ve en la figura 23.

Figura 24: Firmar archivo

Por otro lado, la acción de firmar un archivo se puede llevar a cabo para mantener la integridad de dicho archivo, ante un posible cambio en su contenido por una tercera persona. De este modo, se detectaría que lo que nosotros firmamos es real y no ha sido modificado, en caso contrario la verificación fallará.

Figura 25: Verificación de firma

Como se está podiendo ver en esta serie sobre las GPG Tools en un entorno de Apple nos sirven para la confidencialidad, privacidad e integridad en un gran número de ámbitos de nuestra vida laboral del día a día. Es importante acostumbrarse, conocer y utilizar estas actividades a modo de mejorar la seguridad personal tanto de nuestros datos como de nuestras comunicaciones, ya que una de las principales vías de comunicación en nuestro día a día es el correo electrónico.

=======================================================
Tutorial de GPG Tools para Mac OS X (I de VI)
- Tutorial de GPG Tools para Mac OS X (II de VI)
- Tutorial de GPG Tools para Mac OS X (III de VI)
Tutorial de GPG Tools para Mac OS X (IV de VI)
Tutorial de GPG Tools para Mac OS X (V de VI)
Tutorial de GPG Tools para Mac OS X (VI de VI)
=======================================================

lunes, 24 de junio de 2013

Apple patenta un lector biométrico de huellas dactilares

A pesar de que Apple es una empresa a la que le gusta ser puntera en la innovación, a veces se le atascan algunas tecnologías en la lista de tareas pendientes. Entre ellas se pueden citar la emergente tecnología NFC que Apple se negó a integrar en iPhone 5, y por supuesto la integración de las tecnologías biométricas en sus dispositivos portátiles y terminales móviles. Con respecto a la biometría parece claro desde hace tiempo que Apple pretende atacar esta debilidad en serio, como quedó demostrado con la compra de la empresa de seguridad especializada en biometría Authentec.

Ahora Apple ha conseguido una patente para integrar un lector biométrico de huellas dactilares en la carcasa de equipos MacBook o terminales iPhone & iPad, tal y como se puede ver en la patente número 20130154031, donde se describe la estructura de este dispositivo. Por supuesto, esta patente no parece nada innovadora, ya que el número de lectores de huellas dactilares integrados en computadoras portátiles o de sobremesa es enorme, pero está claro que Apple busca defenderse contra posibles denuncias, por lo que ha patentado un dispositivo ligeramente modificado.

Figura 1: Descripción del dispositivo lector de huellas dactilares incluido en la patente

Se espera que en el futuro Apple integre estos lectores en los futuros iPhone, iPad y MacBook, para añadir mejores soluciones de seguridad. Hay que recordar que en la App Store hay aplicaciones que dicen cifrar con biometría archivos o carpetas, pero no son más que juegos que no garantizan para nada la seguridad biométrica del sistema.

domingo, 23 de junio de 2013

Fue Noticia en Seguridad Apple: 10 Junio a 21 Junio

Volvemos con el repaso de las noticias de nuestro blog Seguridad Apple, donde recopilamos las noticias que se han ido publicando a lo largo de estas dos semanas para que no te pierdas nada de los temas que hemos tratado.

Hace dos semanas se comentaban las polémicas decisiones de Apple respecto al PRISM para obtener los datos almacenados en los dispositivos iOS, ya que se pueden almacenar tanto la ubicación, como los mensajes de iMessage y los backup del terminal, aunque después Apple negaría el almacenamiento y la posibilidad de interceptar estos mensajes debido al a arquitectura del servicio.

Un dia después mostrábamos la herramienta Teensy 3.0 bypaseando el passcode de los iPad, que permitía realizar ataques de fuerza bruta al passcode para obtener un código de seguridad simple en menos de un día.

El miércoles seguimos con iOS con iStupid de Taddong, un script en Python que permite analizar las conexiones WiFi de los dispositivos, para que se puedan eliminar de la lista y evitar ataques de tipo RogueAP.

El jueves de esa semana contábamos incorporación deActivation Lock en iOS7,una medida para disuadir ladrones que bloqueara el terminal al activar Find My iPhone, evitando que el ladrón pueda wipearlo o desconectarlo de Find My iPhone.

Para acabar la semana enseñamos una nueva herramienta del proyecto Recover Messages que permite recuperar mensajes borrados de la popular herramienta WhatsApp, llamada WhatsApp Ant-Delete Protection Tool para iPhone que permitirá crear una especie de papelera de reciclaje para los mensajes que se borren de la aplicación WhatsApp, siendo posible recuperarlos después haciendo otra vez uso de WhatsApp Ant-Delete Protection Tool, pero serán invisibles para el resto de usuarios.

El sábado pasado se liberaban las actualizaciones de Java, AirPort, iTunes y demás software para OSX, solucionando graves bugs de seguridad, ¿Todavía no has actualizado tu OS X?

El malware no descansa ni el domingo, desde Karspersky llegaba el mapa de amenazas para usuarios de Mac OS X, con un pequeño informe de las cinco amenazas más importante junto con diez recomendaciones esenciales para estar más seguro.

El lunes aunque no es del campo de la seguridad, hay que destacar el trabajo del desarollador de Joeffice, una suite ofimática escrita en Java en tan solo 30 dias, actualmente es capaz de abrir archivos de Excel, PowerPoint y Docx además de CSV, SVG o DB y la ventaja de poder ejecutarse como un Applet en el propio navegador. ¿Riesgos de seguridad?

El 18 de Junio fue noticia del compromiso de Apple con laprivacidad de clientes y PRISM, donde hemos traducido la polémica respuesta de Apple sobre el espionaje del gobierno de USA.

Después hablamos de iOS HotspotCracker para iPhone que rompe con diccionario la contraseña que se establece por defecto al montar el punto de acceso WiFi en un iPhone.

Cifrado con GPGTools
Por otro lado, al día siguiente Apple actualiza Java 6, paraSnow Leopard, Lion & Mountain Lion, corrigiendo de nuevo varios problemas de seguridad críticos que en su día eran preocupantes.

Terminando la semana,  continuamos la saga de Tutoriales de GPG Tool para Mac OS X para cifrar los correos con la herramienta GPG Mail.

Para terminar el repaso, ayer sábado os hablamos de la tendencia de promocionar falsos Jailbreak para terminales iOS que ya hablan incluso de iOS 6.1.3, iOS 6.1.4 y el aún no liberado iOS 7, por lo que debes tener cuidado con lo que usas.

Hasta aquí todo lo repasado en nuestro blog, pero como solemos hacer desde hace algún tiempo, os traemos otras noticias que no hemos tratado pero que no podéis perderos. Estas son algunas de ellas:
- Los errores de diseño de Apple: No siempre ha acertado Apple en la innovación por el diseño de sus productos. En esta presentación de recogen algunos de los fallos de diseño más importantes de la compañía. No te la puedes perder. 
- Recopilación de técnicas para saltar el passcode en iOS: En El lado del mal se recogen todas las técnicas para averiguar el valor de un passcode en iPhone o iPad, además de los trucos para saltarselos y las posibilidades de uso del dispositivo sin saber el código. 
- Otro Apple I a la venta que podría superar los 500.000 USD: De nuevo en subasta otra pieza de colección de Apple que sale a la venta. El último Apple I superó los 640.000 USD así que no se espera menos de medio millón de dólares por este producto. 
- Hacker Épico (Edición Hache): Un popular hacker español es detenido cuando rastreaba la red TOR. Una detección que él mismo explica.
Y hasta aquí nuestro resumen bi-semanal de noticias. Esperamos veros cada dos semanas en esta sección y todos los días en nuestro blog Seguridad Apple.

sábado, 22 de junio de 2013

Falsos Jailbreak para iOS 6.1.3, iOS 6.1.4 y para iOS 7

Recientemente están apareciendo una gran cantidad de versiones falsas de jailbreak para las ultimas actualizaciones oficiales de iOS, en concreto para la 6.1.3 y la 6.1.4 para el iPhone 5 además de para el nuevo iOS 7, tal y como alertan los evad3rs. Todo esto esto se ha exacerbado con el anuncio en las redes sociales de que se habían encontrado cosas en iOS 7 que permitirían tener un jailbreak rápidamente, aunque no antes de que salga la versión final.

Figura 1: Anuncio de Jailbreak en iOS 7

Esta situación esta produciendo que muchos usuarios que poseen un iPhone sean engañados, bien instalando versiones de iOS falsas que provocan daños en sus terminales, o bien pagando a servicios que prometen un jailbreak de sus iPhone con las ultimas versiones, siendo este servicio totalmente falso y una estafa para a sus clientes. 

Figura 2: Fake Jailbreak para iOS 6.1.3 y para iOS 6.1.4

Con la salida de la nueva versión de iOS 7, se espera que se produzca una nueva ola de versiones falsas de jailbreak, aprovechando que es una de las versiones más esperadas por los usuarios de la comunidad Apple. Este tipo de servicios fraudulentos se asemeja a los servicios de pornografía o películas piratas, que están usando servicios para estafar a los usuarios y que están muy extendidos en la web.  De hecho, el truco no es nuevo, y ya en el año 2011 alguien consiguió subir una app a la App Store que prometía el jailbreak por 9.99 $.

Figura 3: Fake Jailbreak app en la App Store

En el libro de Hacking iOS: iPhone & iPad tienes una completa descripción de cuáles son las herramientas y exploits disponibles para hacer el jailbreak a día de hoy. Además, en The iPhone Wiki tienes una lista detallada de exploits y herramientas en las que está trabajando la comunidad de jailbreak, así que no te dejes engañar. Os recordamos que a día de hoy NO existe ninguna herramienta de Jailbreak para iOS 6.1.3, iOS 6.1.4 e iOS 7. Cuando exista ya os avisaremos.

viernes, 21 de junio de 2013

Tutorial de GPG Tools para Mac OS X (IV de VI)

En este cuarto artículo de la serie dedicada a las GPG Tools para Mac OS X se tratará la herramienta GPG Mail, la cual se integra con el gestor de correo electrónico que proporciona Apple en sus sistemas operativos. Esta integración facilita, y mucho, al usuario la posibilidad de firmar y cifrar mails importantes que serán enviados a otros usuarios. El usuario utilizará este mecanismo en su gestor de correo, siempre y cuando haya herramientas que se integren con dicho gestor, por lo que es un punto a favor del gestor Mail.

Figura 14: Generación de clave para cuenta Mail

Hay que recordar que la cuenta o una de las cuentas asociadas al gestor Mail debe coincidir con el correo electrónico con el que se generó la clave pública en el GPG Keychain. Por lo que, si el usuario dispone de una cuenta en Mail para el correo pablo@11paths.com, también debe disponer de una clave pública generada para ese correo electrónico. Debido a esto, lo primero que se va a realizar, tal y como se explicó en el artículo dedicado al keychain de GPG, es la generación de la clave para el correo electrónico asociado.

Figura 15: Passphrase para clave privada

Una vez se dispone de una clave pública asociada a la cuenta de e-mail que se dispone en el gestor de correo Mail, simplemente toca abrir el gestor e intentar escribir un correo electrónico. Mail proporciona un candado para cuando se quiera cifrar el contenido de un correo y una rueda para cuando se quiera firmar el correo. Ambas acciones se pueden hacer simultáneamente. Cuando se envía un correo cifrado a una dirección de otro usuario se debe disponer de la clave pública de dicho usuario en el keychain.

Figura 16: Opción de cifrar el mensaje

Cuando un correo electrónico cifrado o firmado llegue a Mail, automáticamente se descifrará o verificará en función de lo que se disponga en el keychain. De este modo la seguridad de las comunicaciones vía correo electrónico aumenta protegiendo el contenido y pudiendo verificar la integridad de un mensaje enviado por un usuario. 

Figura 17: Correo recibido firmado y cifrado

Por último, hay que destacar que en preferencias del sistema de OS X se dispone de GPG Preferences. En este apartado se puede elegir que clave se utilizará por defecto, por ejemplo. Además, Mail dispone en Preferences de varias opciones para configurar en el gestor de correo, tal y como puede visualizarse en las imágenes.

Figura 18: GPG Tools Preferencias

Como se puede ver en la Figura 18, es posible utilizar un gestor de claves PGP para consultar todas las claves públicas de los destinatarios de correo electrónico.

Figura 19: GPG Mail

En la Figura 19 se pueden configurar las actualizaciones de la herramienta GPGMail, comprobar su estado y decidir si por defecto se quiere cifrar o firmar los borradores.

=======================================================
- Tutorial de GPG Tools para Mac OS X (I de VI)
- Tutorial de GPG Tools para Mac OS X (II de VI)
- Tutorial de GPG Tools para Mac OS X (III de VI)
- Tutorial de GPG Tools para Mac OS X (IV de VI)
- Tutorial de GPG Tools para Mac OS X (V de VI)
- Tutorial de GPG Tools para Mac OS X (VI de VI) =======================================================

jueves, 20 de junio de 2013

Apple actualiza Java6: Snow Leopard, Lion & Mountain Lion

Apple vuelve a publicar actualizaciones de Java 6 con un nuevo paquete, en su ya conocido como año negro en torno a vulnerabilidades. El año empezó con el famoso Java 7 update 10, CVE-2013-0422, un 0-day que era explotable fácilmente desde Metasploit framework. Poco después salió Java 7 update 11, el cual cuando fue liberado ya contaba de algunos bugs conocidos. Apple ha intentado evitar otro caso FlashBack Trojan, por lo que se apresuró a parchear sus sistemas lanzando sus actualizaciones, pero tal y como se puede comprobar una nueva actualización pone en duda la seguridad de Java en entornos Mac OS X.

El impacto que producen estas vulnerabilidades es crítico en alguna de ellas, ya que pueden permitir a un applet no seguro ejecutar código arbitrario fuera de la sandbox que proporciona Java. La técnica consiste en que un usuario malicioso colocará en un sitio web un applet no seguro, preparado para ejecutar código arbitrario o shellcode con el fin de tomar el control de la máquina o distribuir malware. Por lo que, un usuario con Java no actualizado, visitando dicha página la máquina del usuario puede ser explotada y troyanizada. El usuario malicioso dispondrá del mismo nivel de privilegios que el usuario que ejecuta Java, por lo que no existe una escalada de privilegios directa, pero si se podría dar a posteriori. 

Figura 1: Actualizaciones de Java 6 para Mac OS X

La actualización de Java 6 for Mac OS X 10.6 update 16 y Java 6 for OS X 2013-004 puede obtenerse desde la aplicación de Software Update en preferencias del sistema, Mac App Store o visitando las URLs:
- Java 6 for OS X (Lion & Mountain Lion) 2013-004
- Java 6 for Mac OS X Snow Leopard 10.6 Update 16

miércoles, 19 de junio de 2013

Crackear redes WiFi iPhone creadas en iOS como Hotspot

Los terminales iPhone, como muchos otros sistemas operativos móviles, permiten compartir la conexión a Internet por medio de la conexión WiFi, para la que se genera una contraseña de la red WPA2-PSK por defecto, que tiene una palabra y un número de cuatro cifras. Los investigadores Andreas Kurtz, Daniel Metz y Felix C. Freiling analizaron la forma en la que se genera esa contraseña y el paper "Usability vs. Security: The Everlasting Trade-Off in the Context of Apple iOS Mobile Hotspots" explican el funcionamiento en detalle, permitiendo fácilmente realizar un ataque a este tipo de conexiones.

Figura 1: Paper en el que se analiza la seguridad de las passwords de las iOS WiFi Hotspots

Tras el estudio inicial se pudo comprobar cómo se utiliza una llamada de generación de clave que parece que es aleatoria, pero después de lanzar la creación de más de 250.000 redes WiFi dentro de un mismo terminal se pudo comprobar que esta contraseña se genera con un número estable de 1.842 palabras diferentes del idioma inglés.

Figura 2: Generación de la clave en iOS

De todas ellas, algunas se repiten con más frecuencia, lo que hace que sea posible generar un fichero de posibles contraseñas con ellas ordenadas en ratio de mayor a menor frecuencia de uso. El top ten de las contraseñas que más se utilizan son:


Una vez conseguido generar el fichero, atacar estas conexiones sería muy rápido mediante un ataque de diccionario. Para ello es necesario capturar la negociación de conexión de un cliente, para poder crackear el handshake y averiguar la clave de la red WiFi utilizando este fichero. Los tiempos estimados en romper una red WiFi de estas características pueden verse en la siguiente tabla.


Para ayudarte a generar el fichero de contraseñas, es posible utilizar la herramienta iOS App HotSpot Cracker, de la que está disponible el código fuente y el proyecto en XCode para poder analizarla.

Figura 5: iOS App HotSpot Cracker

Por supuesto, en la creación de una red WiFi en iPhone es posible cambiar la contraseña, así que esperamos que este trabajo te demuestre por qué es importante que la cambies y no dejes la que el sistema operativo iOS te propone. Si te gusta el hacking de iOS, te recomendamos el libro de Hacking iOS: iPhone & iPad.

martes, 18 de junio de 2013

Compromiso Apple con la privacidad de clientes y PRISM

Tras el escándalo de estas dos semanas que afectó a Apple por estar dentro del revelado programa PRISM de espionaje del gobierno de los Estados Unidos, ayer la compañía publicó una nota en la que bajo el título del Compromiso de Apple con la privacidad de sus clientes revela la cantidad de datos que se han ofrecido a las fuerzas de seguridad del estado y para qué tipos de operaciones. La nota de prensa ha salido solo en inglés, pero os la traducimos aquí:
Hace dos semanas, cuando las compañías tecnológicas fueron acusadas indiscriminadamente de compartir datos de los clientes con agencias del gobiernos, Apple publicó una clara respuestas: La primera noticia que tuvimos de PRISM fue el 6 de Junio cuando las agencias de noticias nos preguntaron por él. Nosotros no proporcionamos acceso directo a nuestros servidores a ninguna agencia del gobierno, y cualquier agencia del gobierno que quiera datos debe solicitar una orden judicial. 
Al igual que otras compañías, hemos pedido permiso al gobierno de los USA permiso para informar de cuantas peticiones recibimos relativas a seguridad nacional y cómo las manejamos. Hemos sido autorizados para compartir algunos de los datos y los estamos proporcionando aquí en interés de la transparencia. 
Desde el 1 de Diciembre de 2012 hasta el 31 de Mayo de 2013, Apple recibió entre 4.000 y 5.000 peticiones de los cuerpos de seguridad de USA sobre datos de usuarios. Entre 9.000 y 10.000 cuentas o dispositivos fueron especificados en esas peticiones, que vinieron desde autoridades locales, federales y estatales y que incluían tanto investigaciones criminales como asuntos de seguridad nacional. La forma más habitual de petición proviene de investigaciones policiales sobre robos y otros delitos, búsqueda de niños perdidos, intentos de localizar a pacientes con Alzheimer o la esperanza de prevenir un suicidio. 
Dependiendo de las circunstancias, nuestro equipo legal conduce una evaluación de cada petición y, solo si se considera apropiada, nosotros obtenemos y entregamos el mínimo conjunto de información posible a las autoridades. De hecho, de vez en cuando, cuando vemos inconsistencias o inexactitudes en una petición, rechazamos cumplimentarla.

Apple siempre ha situado como prioridad proteger los datos personales de nuestros clientes, y no recogemos o mantenemos una montaña de datos personales de nuestros clientes desde el primer momento. Hay ciertas categorías de información que no proporcionamos a las fuerzas de la ley o cualquier otro grupo porque elegimos no retenerlos. 
Por ejemplo, conversaciones que tienen lugar por iMessage o FaceTime, están protegidas por sistemas de cifrado punto a punto así que solo el emisor y el receptor pueden leerlos. Apple no puede descifrar esos datos. Similarmente, nosotros no guardamos datos relativos a la posición de los usuarios, búsquedas de mapa o peticiones a Siri de ninguna forma identificable. 
Continuaremos trabajando duro para conseguir equilibrar la balanza entre cumplir nuestras responsabilidades legales y proteger la privacidad de nuestros clientes tal y como ellos esperan y merecen.
Esta es la carta traducida por nosotros al español, pero no olvides leerla en inglés por si hemos cometido minimo error en la traducción que elimine algún sutil detalle del lenguaje. Os la dejamos aquí para que opinéis, y dejamos para otro día la valoración de algunos puntos que nos han llamado especialmente la atención.

lunes, 17 de junio de 2013

Joeffice: Una suite ofimática escrita en Java en 30 días

Esta noticia de hoy no tiene que ver mucho con seguridad - si no tenemos en cuenta que Joeffice está escrita en Java e implica que hay que mantenerlo actualizado en nuestro sistema si queremos usarla no vaya a ser que haya problemas -  pero la verdad es que la historia nos ha sorprendido.  Como pone en el título, un único desarrollador, durante 30 días, construyó esta suite ofimática a la que ha bautizado como Joeffice - un juego de palabras en Java y Office -, para dar soporte a múltiples documentos en una única aplicación.

Figura 1: Joeffice abierta con Netbeans

La herramienta puede abrir ficheros Excel, PowerPoint y Docx además de CSV, SVG o DB, pero no da soporte a formatos ODF. Según el creador, tiene la ventaja de que puede correr como un Applet en el navegador y que los programadores pueden hacer sus propios plugins en Java. Funciona en Windows, Linux y Mac OS X y aquí tienes un vídeo demostración de la herramienta.

Figura 2: Vídeo demostrativo de uso de Joeffice

Visto esto, es una rareza como ella sola que seguro que tendría que enfrentarse a problemas de seguridad en el futuro, pero hay que reconocer que tiene mérito hacerse una solución como esta en solo 30 días. Tiene licencia Apache POI, así que puedes descargar todo el código y colaborar en el proyecto.

domingo, 16 de junio de 2013

Mapa de amenazas para usuarios de Mac OS X

Desde Karspersky han elaborado un pequeño informe sobre cuáles son las 5 amenazas más importantes para la seguridad de los usuarios de sistemas operativos Mac OS X. Además han creado una lista de 10 recomendaciones de protección para los usuarios. Como han generado una infografía para explicarlo bien, aquí os la dejamos completa.


sábado, 15 de junio de 2013

Actualizaciones OSX: Java, AirPort, iTunes 11.04 y más.

Si quieres mantener el software de tu sistema OS X actualizado - y siempre un poco más seguro - te toca trabajar y ponerte a instalar las nuevas versiones de todo lo que ha sido publicado durante estos últimos días. Para que no se te escape nada vamos a hacer esta pequeña lista de lo que hay disponible, y tú ponte a buscar espacio libre y tener ancho de banda para descargar las actualizaciones.

Oracle Java 7 para OS X
Se ha anunciado un Critical Path Update de Junio de este año en el que Oracle actualiza Java JRE 7 a la Update 22, solucionando un total de 40 CVEs de los que 37 son de nivel crítico y explotables en remoto, así que si quieres tener tu sistema seguro debes actualizar ahora. Entra en las preferencias de Java, busca nuevas actualizaciones y dale a actualizar.
Apple iTunes 11.0.4
La actualización está disponible desde el día 5 de Junio, pero estábamos esperando a que Apple publicara los CVE solucionados a los que hace referencia en el artículo de la knowledge base. Siguiendo su linea no lo ha hecho aún, pero asumimos que alguno habrá, así que actualiza a la nueva versión: 
- Apple iTunes 11.0.4
- Apple iTunes 11.0.4 for Windows 64
Microsoft Office for Mac 2011
Microsoft ha puesto disponible la versión 14.3.5 de Microsoft Office for Mac 2011, en la que se corrigen varios CVE de seguridad, así que si tienes este paquete ofimático instalado debes instalarlo. Recuerda que si tienes el Microsoft AutoUpdate instalado te avisará automáticamente de la existencia de estas nuevas actualizaciones.
AirPort Utility, AirPort Base Station y AirPort Time Capsule
También tienes actualizaciones para OS X que afectan a tus productos AirPort, así que tienes que actualizar estos dos componentes en tu plataforma:
- AirPort Utility 6.3 for Mac 
- AirPort Base Station & AirPort Time Capsule Firmware Update 7.7.1
Google Chrome 27 para Mac OS X
De nuevo hay una actualización del navegador Google Chrome, en este caso la versión 27, que corrige 12 vulnerabilidades de seguridad, por lo que debes comprobar que se ha actualizado correctamente tu versión yendo a chrome::about para ver si está actualizado tu navegador.
Esperamos que actualices todo pronto y dejes tu sistema como los chorros del oro con todas las nuevas versiones funcionando. 

viernes, 14 de junio de 2013

WhatsApp Anti-Delete Protection Tool para iPhone

Dentro del proyecto Recover Messages se ha lanzando una nueva herramienta para sistemas operativos Windows llamada WhastApp Anti-Delete Protection Tool que permite crear un sistema de anti-borrado de mensajes de WhatsApp.

Figura 1: WhatsApp Anti-Delete Protection Tool

El sistema crea una papelera de reciclaje en la app WhatsApp para iPhone guarda todos los mensajes que han sido borrados en la herramienta. Para ello no es necesario realizar jailbreak, pero sí tener acceso físico a terminal iPhone y conocer el passcode. Tienes un ejemplo de uso en el siguiente vídeo.

Figura 2: Vídeo de funcionamiento de WhatsApp Anti-Delete Protection Tool

Este sistema puede ser útil para control parental de menores, o privacidad personal, permitiendo que si alguien te inspecciona el WhatsApp de tu iPhone no vea lo que tu no quieres, y los mensajes no estén realmente borrados, sino almacenados aparte, pudiendo ser consultados con la herramienta WhatsApp Anti-Delete Protection Tool.

jueves, 13 de junio de 2013

iOS 7 Activation Lock, una medida para disuadir ladrones

En el reciente evento WWDC de Apple se ha hablado mucho de iOS 7, del que seguro que ya habéis leído mucho por todas partes. Centrándonos en seguridad hay algunas novedades dignas de citar, como la incorporación del estándar Do Not Track en Apple Mobile Safari en iOS 7 o la planificación de añadir actualizaciones automáticas silenciosas en el sistema operativo para acabar con el malware - y con el que tendrán que lidiar los jailbreakers -. Muchas novedades en seguridad de las que queremos centrarnos hoy en el llamado Activation Lock.

¿En qué consiste el Activation Lock?

Una de las características más útiles para recuperar un terminal iPhone o iPad perdido es el uso de Find My iPhone, que permite a través de los servicios de Apple iCloud localizar un terminal perdido. Esta característica puede ser sorteada por un ladrón apagando el terminal y realizando un reseteo del mismo, por lo que hemos visto que el incremento de robos de iPhone se ha convertido en una auténtica plaga

Esto es lo que se quiere evitar con el Activation Lock. La idea es que cuando un terminal quiera desconectarse de Find My iPhone o ser wipeado, necesitará proporcionar la contraseña de Apple iCloud sea introducida, lo que dejaría el terminal sin funcionar para el "nuevo dueño".

Figura 1: Activation Lock en iOS 7

Por supuesto, la pregunta que se hace todo el mundo es si habrá alguna de bypassear estas medidas de seguridad, pero habrá que esperar a que esté funcionando de forma definitiva en la versión final de iOS 7, pero todo lo que sea disuadir a amigos de lo ajeno de robar un terminal nos parece bien. Esta función parece entrar dentro de aquella idea que tenía Apple de configurar el terminal en un modo defensivo para luchar contra los ladrones, de los que ya os contamos algunas patentes hace tiempo.

miércoles, 12 de junio de 2013

iStupid: Analizar conexiones WiFi de iOS (iPhone & iPad)

Ya hemos hablado muchas veces de las configuraciones inseguras de la redes WiFi en iOS. De todas las cosas malas que tienen, destacamos hace ya dos años la no posibilidad de borrar las redes WiFi si no están al alcance, lo que abre la posibilidad de ataques de Rogue AP con mucha facilidad.

Figura 1: Parámetros de iStupid

Desde Taddong han generado una herramienta llamada iStupid que permite monitorizar cuáles son las redes WiFi que busca un determinado terminal iPhone o iPad y simular dichas redes para que el usuario sea capaz de verlas en el alcance y eliminarlas de la red.

Instalación y Uso

Para que funcione iStupid es necesario tener Python y Scapy instalado en el terminal. Como se puede ver en las capturas, estos casos se han ejecutado sobre la distribuición para hacer pentesting Kali.
# python -V
Python 2.7.3
# dpkg -l | grep -i scapy
ii python-scapy 2.2.0-1 all Packet generator/sniffer and network scanner/discovery
Una vez instalado es necesario poner la tarjeta WiFi en modo monitor, para lo que se puede utilizar el comando de aircark-ng "airmon-ng start wlan0" o utilizar los siguientes comandos en Kali Linux, ajustando en cada caso los nombres de las interfaces phy11, wlan0 y mon0 a la configuración de cada sistema.

Figura 2: Poniendo la tarjeta WiFi en modo monitor en Kali Linux

Simular una red WiFi con iStupid

Para que un terminal iOS pueda eliminar una red WiFi de la lista de redes WiFi preferidas es necesario que esta esté en el rango de actuación del terminal. Para ello con iStupid se puede simular una red abierta (OPEN) con el siguiente comando.

Figura 3: Configurando una red OPEN con iStupid

Si la red tuviera un modelo de seguridad sería necesario establecer uno de los esquemas de seguridad utilizados en las redes WiFi, a saber: OPEN (--open), WEP (--wep), WPA-Personal (--wpa), WPA2-Personal (--wpa2), WPA-Enterprise (--wpa-enterprise), o WPA2-Enterprise (--wpa2-enterprise).

Figura 4: Configurando una red WPA con iStupid

Si no se conociera el modelo de seguridad, se puede utilizar el modo --loop, que iría generando la misma red con todos los modelos de seguridad posibles - uno cada 30 segundos -, para que al final apareciera como la red que está almacenada y pueda ser eliminada.

Figura 5: Configurando una red en modo loop con iStupid

En la herramienta se ha añadido la capacidad de anunciar redes aleatorias, esperando ver qué clientes se intentan conectarse a ellas. Para ello se lanza el comando en modo monitor sin elegir ningún SSID concreto. En cualquier caso, con la opción -v (Verbose) es posible ver con puntos el número de beacon frames que están siendo enviados en tiempo real.

Figura 6: Publicación de SSID aleatorios y modo Verbose

Con el modificador -i se puede establecer el intervalo de envío de los beacon frames - por defecto 100 ms -, con el modificador -b se puede establecer un valor de BSSID - por defecto es aleatorio - en caso de que se quiera utilizar esta herramienta con sistemas operativos que controlen el BSSID - ni iOS ni  tampoco OS X almacenan el valor BSSID de las redes a las que se conectan - lo que es un problema de seguridad y los hace propensos a ataques de Rogue AP - y con -t se puede elegir el ratio de las señales 802.11 (11b u 11g). En cualquier caso, el modificador -h da toda la ayuda de los switches que pueden utilizarse con la herramienta.

Monitorizando conexiones a redes WiFi

El último modificador a conocer es -m que permite analizar las conexiones Probe sólo de un determinado cliente, para lo que hay que establecer la dirección MAC de los equipos que se quieren observar. Como se puede ver, la conexión Probe permite saber qué tipo de seguridad está buscando el cliente en cada conexión.

Figura 7: Monitorizando las conexiones de un cliente

Esto se puede hacer para todos los clientes usando el valor -m ff:ff:ff:ff:ff:ff, lo que valdría para cualquier dirección MAC, tal y como se puede ver en la imagen siguiente:

Figura 8: Monitorizando todas las conexiones a WLAN con iStupid

Todo esto hay que hacerlo para poder eliminar la lista de redes preferidas debido a que, como ya os contamos hace 2 años, la gestión de redes WiFi en iOS es insegura. Puedes leer los artículos originales en inglés de iStupid en el blog de Taddong:

- iStupid
- iStupid: Setup & Basic Usage
- iStupid: Advanced Usage

Veremos si en iOS 7 mejora la seguridad a la hora de gestionar las conexiones WiFi de un terminal iPhone o iPad y no hay que hacer estos malavarismos para estar un poco más seguros. En el libro de Hacking iOS: iPhone & iPad se abordan en detalle esquemas de ataque utilizando estos fallos de seguridad.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares