Menú principal

jueves, 31 de julio de 2014

Hijacking a Instagram for iOS en redes WiFi públicas

Instagram for iOS tiene un fallo en la configuración de la aplicación el cual podría permitir a un atacante realizar un hijacking de sesión de un usuario si el atacante y éste se encuentran en la misma red WiFi pública. Stevie Graham, presentó la vulnerabilidad directamente a Facebook, al cual fue contestado con un "Se conoce desde hace años"Graham decidió escribir una herramienta para comprometer las cuentas de Instagram para demostrar el fallo y darle la importancia que tiene.

Ha llamado a la herramienta Instasheep, en honor al famoso Firesheep, el plugin de Firefox que permitía obtener sesiones de usuario siempre y cuando estuviéramos en medio de una comunicación, por ejemplo mediante un ataque ARP Spoofing. Graham explica que por ejemplo, podría ir a la tienda de Apple y obtener miles de cuentas en un día para luego utilizarlas para enviar spamGraham comenta lo siguiente respecto al ataque:
"Creo que este ataque es muy grave, ya que permite un robo de sesión completo y es automatizable fácilmente".
Figura 1: Esquema de Hijacking

Lo que realmente ha encontrado Graham es un problema de configuración que es conocido hace mucho tiempo, y que ha llevado a que muchas compañías de Internet cifren el tráfico completamente para evitar el problema. La API de Instagram realiza solicitudes no cifradas a algunas partes de su red. Este hecho representa una oportunidad para que un potencial atacante que esté ubicado en la misma red WiFi pública, la cual no utiliza ningún tipo de cifrado, pueda capturarlas sin ningún problema. 

¿Sin ningún problema? Hay que recordar que una red WiFi pública o sin cifrado, se comporta como un hub, ya que el medio de difusión de los paquetes es el aire, y cualquiera puede escuchar dicho tráfico, incluso sin estar conectado a la red pública. El atacante puede configurar su tarjeta inalámbrica en modo monitor y capturar el tráfico. Entonces, si la red WiFi no está cifrada y tampoco lo están las peticiones de Instagram, se puede obtener la cookie de sesión de cualquiera que esté utilizando dicha red.

Figura 2: El ataque ha sido automatizado con la herramienta instasheep

El co-fundador de Instagram respondió que la plataforma está en constante implementación del cifrado completo en todas sus comunicaciones, pero que el proceso no es tan ligero como puede parecer en un principio. Esperan pronto haber solventado el problema de configuración que está desembocando en un fallo de seguridad, y más hoy en día con los smartphones. En el blog de Hackplayers podemos ver los pasos para reproducir el ataque que ha expuesto Graham:
  1. Conectar con un punto de acceso abierto o WEP. 
  2. Interfaz en modo promiscuo filtrando por el dominio i.instagram.com. Graham pone como ejemplo la instrucción  tcpdump - In -i en0 -s 2048 -A dst i.instagram.com. 
  3. Esperar a que alguien con iOS utilice Instagram.
  4. Extracción de la cookie de la cabecera de una petición capturada. 
  5. Suplantación de la cookie para cualquier llamada a la API.
Se puede ver que el ataque es sencillo, ya que no es nada nuevo y es de fácil reproducción. También hay que tener en cuenta que el impacto está limitado a una red inalámbrica, por lo que se recomienda no conectar el dispositivo a redes que no sean de confianza. La herramienta se puede descargar desde su repositorio de Github.

miércoles, 30 de julio de 2014

Signal - Private Messenger: Llamadas cifradas en iPhone

Hace tiempo, el investigador de seguridad Moxie Marlinspike publicó RedPhone para Android, un sistema de comunicación por voz que permitía cifrar las llamadas entre dos dispositivos Android con claves que solo estaban disponibles extremo a extremo. Esta misma solución es la que se ha aplicado a su homóloga en el mundo iPhone, llamada Signal - Private Messenger, que ha sido publicada por Open Whispers Systems, la organización que gestiona el proyecto Free and Open Source detrás de esta app que ya está disponible para usar.

La app permite, además de hacer llamadas cifradas, contar con sistemas de notificaciones push y espera contar un sistema de mensajes de texto cifrado y seguro tal como ya existía en el pasado Secure Text para Android.

Figura 1: Signal - Private Messenger para iPhone

Si quieres probar la app, necesitas contar con un terminal iPhone y un amigo que la haya instalado también para tener a alguien a quién llamar. Conociendo el trabajo que suele hacer Moxie en el pasado con sus sistemas seguro que no te defrauda en la usabilidad ni en el cifrado para evitar los ataques VoIP conocidos.

martes, 29 de julio de 2014

Cerca de aparecer una nueva Ley para el Unlock en EEUU

Existe la posibilidad de que una Ley para tratar el desbloqueo de dispositivos móviles se haga realidad, aunque puede conllevar una trampa. El proyecto de ley para el derecho de los consumidores a desbloquear sus teléfonos móviles está cerca de convertirse en Ley. De momento, es una medida provisional, y el Congreso aún tiene que tomar la decisión que la convierta en realidad. La Ley es la S517, también conocida como la Ley de elección del consumidor a desbloquear y competencia inalámbrica en temas móviles.

Se puso por primera vez ante el Congreso en 2013, como una respuesta del Congreso a los cambios  que implica la DMCA (Digital Millennium Copyright Act). Por varias razones, el desbloqueo del dispositivo móvil cae en el ámbito de la DMCA. En principio el congreso evalúa las prohibiciones de la DMCA cada tres años, y de 2006 a 2012, se permitió a los teléfonos celulares ser desbloqueados de su proveedor original después de que el contrato original entre el cliente y el proveedor expirase. Es en 2012, cuando se cambió de opinión y se decidió que la regla no se aplicaría a los nuevos teléfonos comprados después del 26 de Enero de 2013

Este cambio de actitud provocó un gran revuelo en la sociedad, y en forma de protesta se creó una petición insistiendo que el Congreso debía cambiar de opinión. Los usuarios que por cuestiones de trabajo viajaban mucho, tenían el problema de no disponer de sus terminal en algunos países debido a la incompatibilidad de operadoras. Otros usuarios que se quejaron fueron los que adquirían smartphones de segunda mano.

El gobierno de Obama ha estado a favor de permitir el desbloqueo, y la FCC, bajo la dirección de su presidente Tom Wheeler, ha presionado a la industria de las telecomunicaciones para hacer que el desbloqueo menos costoso. La industria ha cumplido con un acuerdo voluntario, pero la FCC pide una mayor flexibilidad con este asunto. Un ejemplo es el de que las compañías permitan a los clientes desbloquear sus dispositivos móviles en cualquier momento durante el contrato que tengan con ellos, aunque el contrato se deberá cumplir.

Sina Khanifar, el organizador de la petición, dice que este es un aspecto crucial del debate. Sina indica que si alguien ha comprado un dispositivo móvil, el propietario debería ser capaz de hacer lo que quiera con él. Un punto distinto sería si hubiera alguna claúsula en el contrato con el operador dónde se indique que no se puede liberar, pero si no existe tal claúsula, el cliente tiene total libertad con su dispositivo. 

El mayor obstáculo sigue siendo, el Congreso y el gusto por revisar periódicamente las normas de la DMCA. Las reglas de la DMCA permiten, lo cual es muy sorprendente, realizar jailbreak a un dispositivo. El dispositivo móvil tendrá una re-evaluación en 2015, podría haber cambios por petición popular, la pelota está en el tejado del Congreso de los EEUU.

lunes, 28 de julio de 2014

Rompiendo la seguridad de los navegadores para iOS: Phishing, Universal Cross-Site Scripting y bugs en iPhone

Esta semana pasada se han publicado las diapositivas de las conferencias SyScan360. Entre la lista de charlas nos hemos parado a ver una que estaba centrada en la seguridad de los navegadores de Internet para iOS, titulada "Mobile Browser Security: iOS" y que se centra en analizar todos los fallos de seguridad de distintos productos y cómo explotarlos en diferentes esquemas de ataque, que van desde el Phishing y el Address Bar Spoofing hasta el Universal Cross-Site Scripting. Eso sí, no solo se centra en Mobile Safari, sino en los más de 70 navegadores que a día de hoy es posible descargarse desde AppStore. Sí, a nosotros también nos han parecido demasiados.

Al principio pensábamos que no daría para mucho, y que la gran mayoría de los trucos estarían ya tratados en el libro de Hacking iOS: iPhone & iPad, donde en su momento le dedicamos un capítulo entero a estos ataques. Lo cierto es que además de los que allí se cuentan y explican en detalle, han añadido alguno más a la lista que hay que tener presente. Aquí os dejamos algunos de ellos.

El truco del phishing por tiempo de error

Este truco, que afecta a Mobile Safari nos ha gustado especialmente. En él se habla de aprovechar que el tiempo que tarda el navegador Mobile Safari for iOS en generar un Time-Out en una página web va desde 1 minuto hasta 10 dependiendo de las diferentes versiones del navegador. La gracia está en que en el momento en que se invoca se cambia la barra de navegación con el nuevo sitio que se llama. Para ello, el truco es enviar a la víctima a una página de Phishing y ejecutar un código como el que se ve a continuación.

Figura 1: Un Phishing abusando del time-out de carga en Mobile Safari

En la parte del Document.Write se debe pintar la página de Phishing, y al invocar la web que se quiere suplantar por un puerto que no está disponible, se comenzará a intentar cargar, cambiando la barra de dirección, pero sin modificar el contenido de la página hasta que se produzca el Time-out.

Figura 2: Efecto de phishing que se produce aprovechándose de este truco

Mientras tanto la víctima verá la página con el Phishing, y la barra de dirección con el dominio real. Eso sí, saldrá la barra azul de carga intentando explicar que el sitio está intentando cargar algo, pero durante ese tiempo, la víctima puede caer en el engaño.

El title como barra de dirección

Un truco simple que funciona en muchos navegadores que ocultan la barra de dirección es tan sencillo como poner en el title la URL del sitio al que se quiere hacer Phishing, obteniendo un efecto visual muy resultón en todo el proceso.

Figura 3: Efecto de poner en el title una URL de phishing

En la presentación se analizan un montón de CVEs en los diferentes navegadores, y algunos de ellos de tipo Universal Cross-Site Scripting, es decir, que afectan al software del cliente y permiten acceder a datos de todos los dominios que estén cargados.

Figura 4: Ejemplos de Universal Cross-Site Scripting que se detallan en la presentación

Los creadores de esta conferencia mantienen un blog en el que publican periódicamente fallos de seguridad en los diferentes navegadores de dispositivos móviles que merece la pena que tengas en tu RSS, se llama Browser Shredders.

domingo, 27 de julio de 2014

Hopper: Debugger para ingeniería inversa en OS X & Linux

Hoy domingo, por si estás con algo de tiempo libre y quieres dedicarlo a aprender algo nuevo, o comenzar con un camino distinto, como por ejemplo el reversing de binarios que es tan útil en los CTF de las conferencias de hacking, vamos a a hablaros de una herramienta que seguro que os viene bien tener en vuestro OS XHopper es una herramienta que nos permite realizar un análisis estático de los ficheros ejecutables. Es decir, nos va a permitir realizar debugging sobre los binarios, con lo que podremos jugar y saber como funciona. Se debe poder conocer qué instrucciones está ejecutando un binario para poder saber que está haciendo realmente en el sistema.

La interfaz de Hopper es bastante intuitiva si estás metido en el mundo de la ingeniería inversa. Principalmente consta de tres áreas:
  • El panel izquierdo contiene una lista de todos los símbolos definidos en el archivo y cadenas de la lista. La lista se puede filtrar utilizando etiquetas y texto. 
  • El panel derecho, denominado Inspector, contiene información contextual sobre el área que está siendo explorada.
  • La parte central de la aplicación es dónde se muestra el lenguaje ensamblador.


Figura 1: Interfaz de Hooper para la visualización de código debuggeado

Hopper permite asignar nombres o símbolos a las direcciones, para tener un recordatorio más sencillo y eficaz de partes de código interesantes. Otra característica interesante es que permite la navegación por el stack de manera sencilla e intuitiva. La barra de navegación permite al usuario disponer gráficamente mediante el uso de una línea de las diferentes partes de la aplicación. El índice de colores utilizado es el siguiente:
  • Color azul para representar las partes de código.
  • Color amarillo para representar procedimientos.
  • Color verde para representar los ASCII strings.
  • Color púrpura para representar zona de datos.
  • Color gris para representar una zona indefinida.

Figura 2: Índice de colores para conocer cantidades de tipos de datos en el binario analizado

Otra de las cosas que nos han gustado es la exportación de los gráficos a PDF y como la información es presentada mediante el CFG, Control Flow Graph. Se puede mover los bloques de la gráfica, y haciendo doble click en un bloque se navega hasta las instrucciones correspondientes, las cuales se presentan en la parte central de la herramienta.

Figura 3: Gráfico de Flujo de Control en Hooper sobre un binario analizado

Se recomienda que si eres un inquieto del mundo Apple y te gusta la ingeniería inversa pruebes la herramienta. No es gratuita, pero proporciona un período de prueba con el que podrás ver las características interesantes que proporciona antes de decidir si merece la pena hacer la inversión. A nosotros nos ha gustado.

sábado, 26 de julio de 2014

Apple retira el firmware que brickeaba los MacBook Air

A principios de esta semana Apple puso en circulación una actualización de EFI Firmware para equipos MacBook Air de mediados del año 2011. En concreto, la versión 2.9 que podía descargarte desde la zona de descargas de la knowledge base en la web de Apple. Al poco, muchos usuarios comenzaron a quejarse de equipos brickeados, es decir, que los dejaba totalmente inútiles.

El foro de Discussions donde se ha tratado este tema está cercano a los 1.000 casos y se ha convertido en un hot topic desde que Apple lanzó el firmware. La solución que han aplicado los técnicos ha sido eliminar la actualización para dejar los equipos otra vez funcionales con la versión anterior.

Figura 1: Primer caso de brickeo de MacBook Air reportado en Discussions

Al final Apple ha descubierto que ese software contenía un bug, y ha decidido retirar la descarga desde la web de soporte, donde ahora no hay ninguna información al respecto de la actualización.

Figura 2: La web de la actualización de EFI Firmware Update ha desaparecido

Si has tenido la mala suerte de toparte con este problema, lleva tu equipo a una Apple Store y los técnicos te lo solucionarán rápidamente, que están más que informados del problema.

viernes, 25 de julio de 2014

Ya puedes instalar OS X Yosemite beta version

OS X Yosemite ha sido publicada por Apple en su versión beta pública. Se puede descargar para que cualquier usuario pueda instalarla en su Mac. Si estás inscrito en el "Beta Program" de Apple habrás recibido un correo con las instrucciones para la descarga e instalación. El requisito que Apple te solicita es sencillo, se debe tener un OS X Mavericks ejecutando en un equipo Mac de la compañía para poder acceder a ella y hacer la migración a la nueva versión que será publicada en breve - se espera que durante el mes de Septiembre -.

Hay que recordar que no deja de ser una beta, por lo que no se recomienda su uso en tareas profesionales ni personales, y solo en un entorno de prueba dónde no se maneje ningún tipo de información.

Figura 1: Cómo participar el programa beta y cómo instalar OX Yosemite Beta

Apple está recibiendo feedback a través de este programa público, y ante cualquier error que podáis encontrar se debe notificar para que el sistema operativo sea lo más seguro posible ante su salida este mismo Otoño.

jueves, 24 de julio de 2014

La historia del escándalo de los backdoors en iOS

A principios de semana llegó una noticia bomba sobre iOS desde la conferencia HOPE (Hackers On Planet Earth) de New York. Allí se explicó que iOS viene con algunos servicios que pueden actuar como backdoors, y por supuesto la gente se asusta y mucho. Cuando nos dicen que Apple puede acceder a todos los datos del dispositivo en cualquier instante y que, por lo tanto, las agencias de seguridad, por ejemplo la NSA, puede acceder a esa información, la cosa sigue asustando y mucho. Esto es afirmado por el investigador Jonathan Zdziarsk, que ha presentado un trabajo dónde expone una cantidad elevada de servicios sin documentar que corren bajo el sistema operativo de Apple.

Además, para hacer todo esto más oscuro, estos servicios dan acceso a la información en formatos que la propia Apple no puede explicar fácilmente, por lo que el revuelo ha sido aún mayor. Los servicios que dan acceso remoto a la información que se encuentra en el dispositivo tienen un formato que no lo hace útil para soporte técnico, según indica el autor del trabajo. Además, a esta información se puede acceder aunque el dispositivo tenga passcode o huella dactilar cifrando el contenido.

Esto es un hecho sorprendente sabiendo como funciona la arquitectura de seguridad de los ficheros y la accesibilidad de los datos en iOS. Esto puede ser un gran problema, ya que cuando el ingeniero de Apple implementa una backdoor pensando que nadie la podrá utilizar se están equivocando. Cualquier investigador puede llegar a descubrirla, y lo que es peor, estas backdoors pueden caer en malas manos.

Figura 1: Diapositivas de la presentación sobre los servicios no documentados de Apple

Hasta aquí y según enuncia Zdziarski parecen ser puertas traseras en iOS. Apple ha emitido un comunicado respondiendo a todo esto negando que esto sea así, y que dispongan de puertas traseras en sus dispositivos. Además, indican que "Apple nunca ha trabajado con agencias de inteligencia". Los chicos de Cupertino han publicado un documento dóde se describe los tres servicios que Zdziarski destacaba en su trabajo.

Apple responde que estos servicios son capacidades de diagnóstico y que requieren que el usuario haya abierto su dispositivo y lo tengan pareado con otro equipo. Los datos transmitidos entre el dispositivo iOS y el equipo de confianza están cifradas con claves no compartidas con Apple. Para los usuarios que han activado iTunes Wi-Fi Sync en un equipo de confianza, estos servicios también se pueden acceder de forma inalámbrica desde ese equipo.

Figura 2: Respuesta en la página de soporte de Apple sobre estos servicios

Los tres procesos que Apple describe son, los que podemos ver en la imagen anterior:
  • com.apple.mobile.pcapd. Captura de paquetes a un equipo de confianza, utilizado para el diagnóstino de problemas de aplicaciones y de conexión VPN de la empresa.
  • com.apple.mobile.file_relay. Se utiliza en dispositivos internos y se puede acceder, con permiso del usuario, por AppleCare con fines de diagnóstino.
  • com.apple.mobile.house_arrest. Utilizado por iTunes para la transferencia de documentos y por XCode durante el desarrollo de aplicaciones y pruebas
Existen algunas preguntas más sobre el funcionamiento de estos servicios, por ejemplo ¿Hay alguna forma más segura de realizar las tareas que manejan? Al menos, con el comunicado de Apple se ve una intención de trasparencia por parte de la empresa de Cupertino. Con lo que se sofocará la especulación de los últimos días sobre el asunto de las puertas traseras en los dispositivos iOS. El día 23 de Julio, Zdziarski respondió a Apple por la publicación del documento de soporte de Apple. Él reconoce las revelaciones de Apple, pero argumenta que Apple está minimizando el poder de estos servicios.
Doy crédito a Apple por el reconocimiento de esos servicios, y por tratar de dar una respuesta a las personas que quieren saber por qué estos servicios están allí. Me pregunto si los altos mandos de la empresa son realmente conscientes de la cantidad de información personal que se copia mediante cualquier vía. 
Zdziarski también ha hecho hincapié en que nunca ha sugerido que Apple esté involucrado en una conspiración, solo que podría ser utilizados por aquellos que buscan tener acceso a los datos. 

miércoles, 23 de julio de 2014

Wickr: Mensajería instantanea con seguridad militar en iOS

WhatsApp ha tenido un gran impacto en nuestras vidas y en nuestra forma de entender la mensajería instantánea, gracias al auge de los smartphones. En el mundo de los que quieren espiar WhatsApp también ha tenido un gran impacto debido a los problemas de seguridad, sobretodo referente a la privacidad. Es difícil comenzar un artículo de una herramienta de mensajería instantánea sin hablar de WhatsApp o Telegram, pero hoy queremos hablaros de Wickr, que es promocionada como la única aplicación de envío de mensajes para móviles con grado de seguridad militar. Su creadora es Nico Sell, fundadora de r00tz y una de las organizadoras de la DEFCON.

La comunicación es realizada utilizando un modelo entre pares (peer-to-peer) cifrados. No existen servidores centralizados, por lo que se evita, a priori, que los datos queden almacenados en servidores pertenecientes a la empresa. El identificador (ID) e información del dispositivo son hasheadas con varias iteraciones de SHA256 más un salt. Los datos que se almacenan en el dispositivo son cifrados con AES-256, pero además se dispone de una característica que es la destrucción de información.

Figura 1: Nico Sell hablando de Wickr

A los datos se les configura un TTL, Time To Live, con el que una vez pasado ese tiempo los datos son eliminados del dispositivo. Este borrado se hace de manera forense, también denominado wipping. Los mensajes también son cifrados en tránsito con AES-256, es decir, cuando el emisor envía un mensaje al receptor, la información viaja cifrada en todo momento.

Un dato muy importante es que la contraseña y los hashes de la contraseña no se alojan en el dispositivo. Las claves de cifrado se utilizan una única vez y son regeneradas en cada mensaje. Hemos podido probar la herramienta y nos ha parecido realmente interesante, por las capas de seguridad y privacidad que aporta.

Creación, configuración y uso de Wickr

Lo primero de todo es crear una cuenta, para ello solamente se debe utilizar un ID y una contraseña. El ID es importante, ya que posteriormente nos podrán buscar gracias él. Una vez creada la cuenta, se pedirá confirmación vía e-mail para validar la creación. Este e-mail se debe facilitar en un paso previo al mostrado en la imagen.

Figura 2: Creación del id de Wickr

En la parte de configuración  se dispone de las opciones configurables que se mencionaban anteriormente. Tanto en la parte de cuenta como de conexiones ID podemos configurar más emails o números de teléfono asociados a la cuenta. Cabe destacar el listado de bloqueos, a modo de lista negra que dispone la herramienta.

Figura 3: Configuración de la cuenta de Wickr

El apartado de Default Destruction permite configurar el TTL de los mensajes en el dispositivo. Esto no es novedad en este tipo de herramientas, pero es algo que sigue sorprendiendo a muchos usuarios, no involucrados en el mundo de la seguridad. Es importante tener presente de que esta característica no aportaría si los mensajes quedasen copiados en alguna otra ubicación, como por ejemplo un servidor intermedio. En teoría, y gracias al cifrado en tránsito, esto no ocurrirá, existiendo dos copias de los mensajes, una la tuya y otra la del receptor.

Figura 4: Configuración de la autodestrucción de mensajes

Cuando escribimos un mensaje a otro destinatario, se dispone de un área en el que se van almacenando los mensajes. En la imagen se puede visualizar un ejemplo de ello. Si se pulsa sobre el icono de la aplicación se obtienen otras funcionalidades para anexar archivos o realizar fotografías que pueden ser enviadas a través de la aplicación.

Figura 5: Envío de mensajes por Wickr con autodestrucción

Una vez que transcurre el TTL configurado en el dispositivo, podemos observar como se van eliminando los mensajes. En la imagen siguiente se puede observar este hecho.

Figura 6: El mensaje se autodestruye cuando se acaba el TTL

Tras probar la herramienta podemos decir que las funcionalidades que nos encontramos no son novedosas, aunque si hace hincapié en asignar un gran número de medidas de seguridad para asegurar la privacidad de los usuarios. Estas medidas están bien elegidas y los usuarios a los que les gusta el modo paranoico para proteger su privacidad le recomendamos su uso.

martes, 22 de julio de 2014

El popular repositorio de apps BigBoss de Cydia hackeado

BigBoss, uno de los más conocidos repositorios que podemos encontrar en Cydia, ha sido hackeado. Este repositorio, el cual viene por defecto con la herramienta Cydia en dispositivos iOS con Jailbreak, ha sido comprometido por un grupo que se hace llamar "Kim Jong-Cracks". Si eres un usuario con dispositivo jailbrekeado ten en cuenta que tu dispositivo se encuentra en peligro, ya que al estar el repositorio activo por defecto con Cydia deberás tomar medidas. La noticia ha sido una bomba en el mundo del Jailbreak, ya que se abre una brecha de seguridad importante, en un repositorio que aparecía por defecto con la tienda Cydia.

Al parecer los atacantes han tenido acceso a todos los paquetes, por lo que ningún paquete del repositorio es seguro a día de hoy. La posibilidad de quedar infectado por aplicaciones descargadas a través de este repositorio ha crecido altamente. El repositorio contiene miles de aplicaciones, ajustes, temas y otros componentes que ayudan a mejorar la experiencia de usuario en el dispositivo iOS. Además, durante mucho tiempo ha sido el repositorio más grande.

Tras el hackeo, los atacantes han sacado el repositorio "ripBigBoss". Con este repositorio los "Kim Jong-Cracks" pretenden ofrecer todos los paquetes del BigBoss, la suma total asciende a 13.954, de forma gratuita. Incluso, se han publicado un archivo masivo de registro que nombra todos y cada uno de los paquetes, y sus hashes MD5, como prueba de verificación de integridad.

Figura 1: RipBigBoss en Internet

¿Por qué este ataque? Esta pregunta de momento no queda muy clara. Según informa iDownloadBlog el acto se ha realizado bajo el eslogan "Competencias vs Comunidad". Pero muchos piensan que simplemente es un intento de ocultar su verdadero porqué.

Los chicos de "Kim Jong-Cracks" afirman que ha inyectado malware en los paquetes originales del repositorio de BigBoss, aunque otras fuentes indican que no habrían hecho tal cosa, y que a priori solamente han copiado dichos paquetes. Por otro lado, el grupo "Kim Jong-Cracks" afirma que los paquetes que han colocado en el nuevo repositorio, "ripBigBoss", no contienen ningún tipo de malware agregado al paquete, pero esta afirmación no es muy creíble. Realmente, a día de hoy, ninguno de los dos repositorios es considerado seguro.

En un comunicado del BID, Saurik, creador de Cydia, dijo:
No creemos que se haya agregado malware al repositorio BigBoss. Los paquetes en los repositorios de Cydia son criptográficamente comprobados en un índice de paquetes. Tengo un índice de todos los cambios históricos a los índices de paquetes para repositorios por defecto, y he comprobado que el contenido de BigBoss no cambió de forma que los administradores de repositorios no esperasen.
Según @compiledEntropy, un usuario que ha comprobado los hashes de ambos repositorios, comentó lo siguiente:
He descargado todos los paquetes y he comprobado los MD5 contra los listados por BigBoss. Todos los paquetes muestran sumas distintas, y las enumero en este paste: https://ghostbin.com/paste/6xsdz.
Estaremos atentos para ver como acaba la historia del hackeo de BigBoss y si existen casos de distribuciones masivas de malware realmente.

lunes, 21 de julio de 2014

Actualiza Java a la versión Java 7 Update 65 para OS X

En su ciclo de parches de seguridad del mes de Julio, Oracle ha publicado un Critical Update que corrige 113 parches de seguridad en todos sus productos, entre ellos el framework de Java. Para los sistemas operativos OS X con Java 7, la casa ha publicado Java 7 Update 65, que está disponible desde el panel de control de Java en las Preferencias del Sistema desde el día 15 de Julio que se publicó.

Esta nueva actualización está clasificada como Highly Critical, ya que un atacante remoto podría ejecutar código en el sistema mediante un Applet malicioso e instalar un malware en la máquina, como ya sucedió en el pasado con OSX/FlashBack.

Figura 1: Actualización de Java 7 Update 65 disponible

Muchos de estos bugs afectan también a Java 5 y Java 6, pero para sistemas operativos OS X deberemos esperar a que Apple compile las nuevas versiones y las distribuya como actualizaciones para sus sistemas operativos Snow Leopard, Lion y/o Mountain Lion

domingo, 20 de julio de 2014

Fue Noticia en Seguridad Apple: del 7 al 20 de Julio

Tras dos semanas llenas de importantes noticias en el mundo de la seguridad relacionadas con los productos y servicios de Apple, es el momento de hacer una pausa y recapitular. Como siempre, en la sección Fue Noticia en Seguridad Apple os ofrecemos un rápido vistazo a los contenidos más destacables que se han publicado en este blog y algunas referencias de otras noticias durante las últimos catorce días.

El lunes 7 de Julio os dejamos un ejemplo de cómo emplear la tecnología Touch ID en el popular gestor de contraseñas 1Password, siempre que dispongamos de un iPhone 5S con iOS8. De esta manera, la aplicación se vuelve más usable.

Al día siguiente la noticia que nos ocupó fue la liberación de la iOS 8 Beta 3 para desarrolladores, que permite probar un gran número de características nuevas. Conjuntamente fue liberada una nueva versión preview de OS X Yosemite, la 3.1.0.

Un tema controvertido protagonizó el post del miércoles 9. Apple se ha visto obligada a cambiar su política de reembolsos en la App Store a raíz de una sentencia desfavorable dictada por la comisión de comercio de Corea del Sur, que afecta también a Google.

El jueves hablamos de KeePassX, un potente gestor de credenciales especialmente útil para ser utilizado en departamentos de IT de entornos corporativos, debido a sus grandes ventajas en términos de seguridad y eficiencia.

Una nueva actualización de iTunes, la 11.3, fue en lo que se centró el post del viernes 11. A parte de añadir nuevas características para las películas en HD, se han solucionado bugs de seguridad derivados del uso de librerías de terceros en versiones anteriores de iTunes.

Una de las noticias de la semana fue la publicación de la Rosseta Tool, la herramienta de Michelle Spagnolo utilizada para convertir ficheros SWF en caracteres alfanuméricos para explotar JSON endpoints vulnerables. La respuesta de Apple ante semejante vulnerabilidad fue la protagonista de nuestro post del sábado.

Para cerrar la semana os presentamos una nueva funcionalidad que puedes ser controlada desde el servicio Latch, que fue publicada en el blog de Eleven Paths. Con este sistema es posible controlar la conexión y desconexión de dispositivos USB conectados al equipo, con lo que se pueden prevenir y mitigar ciertos tipos de ataques derivados del uso de dispositivos USB, como pendrives o webcams.

El lunes publicamos un post recomendando tres extensiones especialmente útiles para Google Chrome, que permiten analizar las tecnologías de servidor que nos encontramos al navegar. Dichas extensiones son Shodan Extension, Wappalyzer, y ChromeBleed Checker.

El martes informamos de una grave vulnerabilidad que afecta a la aplicación de Gmail para iOS. La aplicación no realiza Certificate Pinning, es decir, no verifica correctamente los certificados, lo que expone la comunicación.

A mitad de semana, una notica sorprendente se hizo hueco en nuestro blog. China puso en entredicho a Apple, acusando a la funcionalidad Frequent Locations del iPhone de ser una potencial fuga de información capaz de comprometer gravemente la seguridad del país.

El post del jueves presentó una aplicación para, literalmente, ser más productivo al trabajar. Se trata de Freedom, una herramienta que desconecta al usuario de OS X de Internet de forma temporal, para evitar distracciones.

El viernes hablamos de la decisión de Apple de introducir la Verificación en 2 pasos en los países de de centro y sudamérica. Sin duda, una buena noticia para los usuarios de Apple de esos países.

Por último, ayer sábado la noticia fue para la implementación TLS que Apple ha añadido a las comunicaciones entre servidores de correo iCloud y Me.com, lo que hace que todos los correos electrónicos servidos entre ellos sean ahora cifrados en tránsito, algo que antes no sucedía.

Hasta aquí todo lo publicado en Seguridad Apple, pero como siempre os vamos a dejar una lista de otras noticias y artículos que os recomendamos leer, ya que consideramos que os van a complementar la lista de cosas que han sucedido durante este periodo:
- Publicación del SDK de Latch para Node.js: Este viernes, en el blog de Eleven Paths, se publicaba la disponibilidad de Latch para Node.js, una tecnología que se ha vuelto mainstream en Internet. Ahora ya se puede usar Latch en ella. 
- Transmisión de datos con impulsos en el magnetómetro: Curioso trabajo del mundo académico que demuestra cómo es posible enviar datos a través de un canal paralelo en los dispositivos móviles usando una placa que inyecta impulsos medibles con el magnetómetro de los smartphones. 
- El Ministerio del Interior anuncia el uso de e-Garante para la denuncia de contenido ilícito en Internet: A partir de ahora cuando alguien encuentre contenido delictivo en la red podrá denunciarlo haciendo uso de la tecnología de e-Garante incluida en el sitio de denuncia de la Guardia Civil. 
- Europa piensa que Apple no está esforzándose en arreglar in-App Purchase: Muchas son las apps que cobran por contenido dentro de la app y a Europa no le gusta el tipo de protecciones que Apple está implementando ahora para evitar el abuso en las ventas sin control. 
- Nuevas fotos del sensor de Touch ID en iPhone 6: Estas fotos muestran ligeras modificaciones en la forma en la que Apple va a dar soporte hardware a esta tecnología. 
- Google avisa ahora cuando el contenido tiene Flash: Y por lo tanto no se podrá ver correctamente en iPhone o iPad, algo que ayuda a mejorar la experiencia en el contenido que puede accederse desde ese dispositivo. 
- Si usas Endomondo en iPhone, cuidado con la privacidad: Las rutas que realizas quedan publicadas por defecto en la web, y los ladrones podrían conocer tus rutinas y dónde vives para perpetrar un robo a tu vivienda. Además, publicar el ritmo cardiaco podría suponerte problemas en tu vida en el futuro. 
- Un niño es diagnosticado "alérgico al iPad": Debido a la cantidad de nickel que contiene el dispositivo, a un niño le generar reacciones alérgicas y no puede usarlo. 
- Los gestores de passwords suspenden en seguridad: Un informe refleja que los gestores de contraseñas más populares adolecen de fallos de seguridad graves, algo que es contradictorio. 
- Google 36 corrige 26 bugs de seguridad: Actualiza tu navegador en OS X lo antes posible, para evitar ser atacado por algún exploit que saque partido de ellas.
Y hasta aquí todo lo que teníamos pensado para esta sección. Esperemos que os entretenga un rato este domingo y que os podamos a ver dentro de dos semanas en esta sección y desde mañana mismo en todos los artículos que publicamos en Seguridad Apple.

sábado, 19 de julio de 2014

Apple cifrará con TLS el intercambio de e-mails en iCloud

Apple ha decidido dar un paso adelante para aumentar la seguridad del servicio de correo electrónico iCloud añadiendo cifrado extremo a extremo para los mensajes enviados desde me.com e icloud.com. El cambio de Apple, viene por la presión que tienen las grandes empresas, especialmente las que disponen de servicios de correo electrónico. El objetivo que se marcó Apple es cifrar los datos en tránsito tanto como sea posible para dificultar a las agencias de inteligencia, como la NSA que puedan obtener la información, al menos públicamente.

En otras palabras, agencias como la NSA disponen de la capacidad de recopilar grandes cantidades de datos sin cifrar. Algunos proveedores de correo electrónico, como por ejemplo Google o Microsoft, han estado utilizando el cifrado TLS desde hace tiempo. Apple ha decidido utilizar TLS, Transport Layer Security, para llevar a cabo el cifrado en la capa de transporte cuando un mensaje es enviado entre servidores de correo de Apple iCloud y Me.com

Lo que es cierto es que existen ciertos problemas debido a la naturaleza de la criptografía de clave pública que sustenta a TLS. Ambas partes, es decir tanto servidor que envía como servidor que recibe deben utilizar este mecanismo para conseguir que los mensajes permanezcan ilegibles por terceros que tengan la capacidad de interceptar dicho tráfico.

Figura 1: Funcionamiento del túnel TLS cifrado entre dominios de iCloud

Lo que es algo que, a priori, puede parecer lógico y sencillo de montar tiene sus problemas. Generalmente, los usuarios pueden utilizar distintos proveedores de correo electrónico, por lo que para que un servidor de Apple pueda cifrar el tráfico en tránsito con el servidor de correo electrónico de otro proveedor puede suponer algún que otro problema. Entonces, los mensajes enviados desde iCloud para servidores de correo de otros proveedores sin soporte TLS son entregados sin cifrar.

Funcionamiento TLS

El protocolo TLS proporciona una capa de seguridad a los paquetes que se envían en la capa de transporte. Para ello se debe crear este canal seguro, por lo que existe una fase de intercambio de mensajes entre los servidores, extremo a extremo, para poder fijar el canal seguro.

El primer mensaje enviado es quién inicia la comunicación. Mediante el envío de un mensaje ClientHello se especifica un listado de cifrados, métodos de compresión disponibles por parte del cliente. Además, se añade la versión del protocolo más alta conocida y unos bytes aleatorios, los denominados Challenge de cliente o desafío. El servidor responde con un ServerHello, en el que el servidor elige ciertos parámetros de conexión, en función de lo que haya expuesto el cliente en el mensaje previo. Cuando estos parámetros son conocidos, cliente y servidor intercambian certificados, actualmente del tipo X.509.

Figura 2: Negociación de desafío

En este punto, tanto cliente y servidor negocian la clave secreta, la cual es denominada master secret. La clave secreta se engloba dentro de la criptografía simétrica. Generalmente, esta master secret se envía cifrándola con una clave pública del destinatario y enviándola. Al llegar la clave secreta es descifrada con la clave privada del receptor. En otras ocasiones se puede utilizar el algoritmo de intercambio de Diffie-Hellman para distribuir la clave secreta. Los datos restantes referidos a claves se derivan a partir del master secret. Ahora, ambos extremos disponen de la información necesaria para poder enviar información de manera segura extremo a extremo. Para mayor detalle se puede consultar los RFC pertenecientes a TLS:
Ejemplo técnico 1: Envío entre proveedores con soporte TLS

A continuación hablamos de un ejemplo en el que el usuario alice@me.com envía un correo a bob@mac.com. Ambos usuarios tienen un correo electrónico perteneciente a Apple y el correo electrónico será enviado entre servidores de la compañía con soporte TLS. Cuando Alice genere el correo electrónico y lo envíe el servidor de correo saliente realizará la generación de la comunicación segura con el servidor de correo entrante, también puede ser conocido como destino. El escenario quedaría como el siguiente:

El servidor me.com realiza el ClientHello como se explicó anteriormente hasta lograr el conocido como "Encrypted TLS Tunnel". Todo el contenido del correo electrónico circula por dicho túnel y se encuentra protegido. Esto es importante para que ninguna corporación o propietario de elementos de red que haya en medio en el camino pueda interceptar los mensajes o saber del contenido de los correos electrónicos.

Ejemplo técnico 2: Envío entre proveedores con y sin soporte TLS

En el sencillo, y altamente probable, caso de alice@me.com envíe un correo electrónico a un amigo, joshua@mailnoseguro.com, que tenga como proveedor de correo electrónico la empresa ficticia mailnoseguro.com no se podrá llevar a cabo la protección del canal cuando el correo salga del servidor de me.com. En este caso puede haber interceptación de correos electrónicos por entidades con el poder para colocarse en medio, o simplemente porque el tráfico pasa por ellos.

Conclusiones

Esta medida ha sido la última de una serie de modificaciones técnicas y declaraciones públicas de Apple para conseguir que el público quite el foco sobre que los correos electrónicos de los usuarios de Apple es visualizado por agencias de inteligencia. La sombra de que Apple ha cooperado con el gobierno de los EEUU ha hecho daño en la imagen internacional de la compañía. Apple sigue anunciando que la privacidad para ellos es algo prioritario, y que sus usuarios utilizan el hardware y software más seguro del mundo, pero los hechos constatados hacen pensar que esto no es así al cien por cien.

Figura 3: Porcentaje de correos entrantes y salientes de iCloud

Google ha puesto a disposición de los usuarios un sitio web dónde se puede visualizar el porcentaje de correos electrónidos entrantes y salientes que se canalizan a través del propio Gmail u otros proveedores, por ejemplo iCloud. En la siguiente imagen se puede visualizar los números pertenecientes a iCloud. Los datos que se arrojan desde este sitio web es que los usuarios están siendo protegidos mediante la implementación de TLS en sus servidores.

Las gráficas sobre iCloud indican que desde hace una semana casi todo el correo electrónico entrante y saliente se encuentra cifrado. Esto es un cambio respecto a lo que Google publicó a principios de verano, dónde se mostró que casi ninguno de los correos entrantes y saliente de los dominios de Apple se cifraban.

viernes, 18 de julio de 2014

Apple lleva Verificación en 2 Pasos a Centro y Sur América

Desde que Apple puso en circulación la medida de seguridad de Verificación en 2 Pasos, las críticas fueron los pocos países en los que estaba disponibles. Tras una segunda actualización llegó a España - solo hace unos meses - pero se dejó por el camino todos los países de Sudamérica, Centro América y gran parte de Europa, algo que no gustó a muchos. Ahora se ha expandido esta protección a 59 nuevos países, llegando a gran parte del mundo.

Ahora en Argentina, Bolivia, Chile, Brasil, Costa Rica, Colombia, México, Ecuador, Perú, Guatemala, Honduras, Costa Rica y demás países de la región ya se puede configurar el sistema de Verificación en 2 Pasos para proteger las cuentas de Apple ID, lo que hará más difícil el que se roben las cuentas de los usuarios de Apple y reducirá aún más el robo de terminales. 

Figura 1: Configuración de Verificación en 2 Pasos para Apple ID

Poner un sistema de autenticación en dos pasos es fundamental para proteger las identidades digitales, ya sea vía SMS, implementando una protección como Latch o configurando soluciones como Google Authenticator. Si eres usuario de Apple ID, aquí tienes un tutorial para configurar la Verificación en 2 Pasos desde hoy mismo.

jueves, 17 de julio de 2014

Ganar en productividad a costa de Internet en tu OS X

Hoy en día Internet ha supuesto una explosión sin precedentes con la tecnología que mueve el mundo de los negocios o del entretenimiento. Cuando el entretenimiento se introduce en el mundo laboral ocurren ciertos problemas, que la empresa detecta como baja productividad.  Desconectarse de Internet es una acción sencilla, pero es algo que requiere más de fuerza de voluntad de lo que hablamos. Si cada diez minutos miramos Facebook, lo que queda claro es que la productividad baja considerablemente.

Freedom es una aplicación que se encuentra disponible para Microsoft Windows, OS X, Ubuntu, e incluso Android. La herramienta te desconecta de la red por un tiempo determinado por la configuración que se le aplique. Dispone de licencia, con un coste de unos 10 USD. Aunque una de las limitaciones que observamos en la herramienta, es que si reinicias el equipo vuelves a tener el control total sobre Internet. Eso sí, el proceso de reiniciar ya da suficiente pereza como para conseguir su objetivo.

Figura 1: Freedom para Mac OS X

Otra herramienta para conseguir esta tarea es SelfControl, de la que ya hablamos por aquí. Esta herramienta lo que hace es bloquear algunas reglas en el firewall y cambiar la configuración de la resolución DNS de los servidores de las redes sociales, para que sea imposible realizar la conexión. Existe un Github de la herramienta dónde podéis consultar el código de la aplicación, ya que la aplicación es Open Source. Entre las acciones más interesantes encontramos las siguientes:
  • Añadir cualquier sitio web a una lista negra, de tal modo que si en el tiempo marcado se intenta acceder a esa dirección web el resultado será negativo. 
  • Permite añadir una lista blanca, dónde los dominios que se introduzcan serán los permitidos para que el usuario los utilice durante su trabajo. 
  • Bloquear el correo electrónico, tanto entrante como saliente, por un período determinado.
  • Mientras está en ejecución no se puede ni detener, ni desinstalar
  • El reinicio del equipo, a diferencia de la herramienta anterior, no permite saltarse la medida.
Figura 2: SelfControl para OS X

Esta herramienta también puede ser hackeada, como ya explicamos en nuestro artículo para en caso de necesidad volver a estar descontrolado. En definitiva, si ves que necesitas concentrarte y ponerte serio con el trabajo estas dos herramientas para OS X pueden ayudarte a mejorar la productividad, y acordarse de deshabilitar las alertas que llegan directamente al sistema operativo OS X, que pueden ser lo más peligroso de todo.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares