Menú principal

viernes, 31 de enero de 2014

Actualización de iOS a 7.0.5: Versión especial para China

Apple ha liberado la versión 7.0.5 de iOS para poder corregir algunos problemas de conexión de los dispositivos iPhone 5S y 5C, y solamente para estos dispositivos estará disponible, en China. Entonces, si no vives allí no estarás afectado por los problemas de conectividad, pero siempre es interesante actualizar y arreglar los fallos que existan en versiones anteriores. En este caso solo se podrá actualizar si eres propietario de un iPhone 5S o 5C

Figura 1: iOS 7.0.5

La actualización se centra en mejorar la estabilidad general, corregir algunos errores específicos y sobretodo, corregir el problema de conectividad en China. Como siempre, la actualización se podrá descargar vía OTA o a través del apartado de actualizaciones en Apple iTunes.  La beta 4 de iOS 7.1 salió hace apenas una semana y se espera que se libere a lo largo del mes de febrero, aunque la gente de Apple no han oficializado el día. 

jueves, 30 de enero de 2014

Spying Birds: Defacement en el sitio web de Angry Birds

Desde Angry Birds se ha negado en todo momento que ellos colaborasen entregando algún tipo de datos de sus usuarios a agencias de espionaje como la NSA, el GCHQ o cualquier otra de cualquier país, aunque se reconoce que el espionaje de los terminales móviles de sus usuarios se podría haber realizado a través de sus juegos y apps - como a través de cualquier otro juego o app - usando las redes de empresas de publicidad que proveen de contenidos a las apps de los juegos.

Sea como fuere, las sospechas de colaboración tras todos los escándalos de espionaje descubiertos día a día gracias a las filtraciones de Edward Snowden tienen a todo el mundo muy sensibilizado, y la web de los Angry Birds sufrió un defacement que dejó el sitio tal y como podéis ver en la imagen siguiente.

Figura 1: Defacement de la web de Angry Birds almacenado en Zone-h

El defacement fue confirmado - según informa IBT - y retirado a los pocos minutos, pero está reportado a Zone-h donde se puede ver cómo dejaron el sitio con un mensaje muy claro "Spying Birds" con el logo de la NSA en la frente de uno de los pájaros. Parece que no han convencido las declaraciones de Rovio a todo el mundo.

miércoles, 29 de enero de 2014

La NSA y el espionaje de iPhone a través del Angry Birds

Las noticias de que la NSA habría podido estar usando apps tan famosas como Angry Birds para poder recolectar datos de determinados usuarios desde el año 2007 ha generado un montón de controversia sobre la seguridad de iOS. Ya hace tiempo, con pleno escándalo de las filtraciones de Edward Snowden publicamos un reporte aquí en el que un distinguido miembro de la NSA se jactaba contando como un AppleStore se hablaba de que había más de 400.000 apps para el terminal lo que para él significaba 400.000 puertas de colarse en el sistema operativo.

Al final, las apps de iOS tienen acceso a mucha información dentro del dispositivo, como es la localización, los contactos, las fotografías, etcétera. Toda esta información además, asociada al UDID (Unique Device ID) del dispositivo que hasta no hace mucho todas las apps tenían acceso, ya que ha sido desde hace muy poco cuando Apple empezó a prohibir el acceso a estos datos. El poder tener acceso al UDID daría la posibilidad de crear una base de datos con toda la información del terminal y a través de ella saber exactamente donde está una persona que tenga un determinado terminal.

Figura 1: Anuncio de Apple de bloqueo de apps que accedan al UDID

Hace un par de años, desde el grupo anonymous se filtró un fichero de 1.000.001 registros de UDID de terminales de iOS con los nombres de los dispositivos, alegando que había sido robado de la computadora portátil de un miembro del FBI, algo que después se negó desde una empresa que dijo haber sufrido el robo de esa base de datos. Hoy en día, visto todo lo visto con la NSA, ¿sería una cortina de humo esa negación para evitar que alguien sospechara de las prácticas de espionaje del gobierno?

Figura 2: Porción del fichero con los datos de UID filtrados

Lo cierto es que las apps instaladas en los terminales tienen la capacidad de acceder a muchos datos como se vio en los escándalos de Storm8 y su robo de información, y si la NSA tiene la base de datos de UDID de los terminales - que visto lo visto los tendrá - entonces podría en cualquier momento generar un troyano de espionaje utilizando un provisioning profile como ya hace el software profesional de espionaje y como se explica en el libro Hacking iOS: iPhone & iPad.

martes, 28 de enero de 2014

Audios y Vídeos de charlas de DEFCON en Apple iTunes

Desde hace tiempo los miembros de la organización de las famosas conferencias de hacking DEF CON se han preocupado que todo el contenido generado quede disponible para todo el mundo en Apple iTunes, donde ya está disponible el audio de la última edición DEF CON 21 en formato Podcast. En ella está incluida la presentación de Evil FOCA Defcon Edition.

Figura 1: Speeches de DEF CON 21 en Apple iTunes

Además, es posible conseguir parte del material de las conferencias anteriores en los siguientes enlaces:
- DEF CON 21 [Audio]
- DEF CON 21 [Official Soundtrack]
- DEF CON 17 [Audio]
- DEF CON 17 [Video and Slides]
- DEF CON 16 [Video]
- DEF CON 14 [Video]
- DEF CON 13 [Audio]
- DEF CON 13 [Video]
- DEF CON 13 [Music Videos]
- DEF CON 12 [Video]
- DEF CON 12 [Audio]
- DEF CON 6 [Audio]
- DEF CON 4 [Audio]
Como se puede ver, no está todo el material de todas las charlas, pero poder escuchar charlas de la DEF CON 4, que tuvo lugar hace muchos, muchos, muchos años, no tiene precio. Aquí os hemos dejado los enlaces para que los descargues directamente desde tu Apple iTunes.



lunes, 27 de enero de 2014

WhatsApp y apps con seguridad y privacidad en tus chats

El número de apps que pretenden añadir más seguridad a las comunicaciones vía mensajes cortos es muy alto. Aunque el rey indiscutible sigue siendo aún el de siempre, los problemas de privacidad que han llevado a que se conozcan muchos métodos de cómo espiar WhatsApp, han hecho que proliferen otros sistemas de mensajería que intenten hacer de la seguridad y la privacidad una palanca para meterse en este mundo.

Hace tiempo, una de las ventajas de Kik Messenger era que utilizaba cifrado en toda la comunicación, algo que no sucedía con WhatsApp y permitía que cualquier compañero de WiFi pudiera ver los mensajes.

Figura 1: Un mensaje de WhatsApp descifrado en una WiFi

Más tarde, el equipo de desarollo de WhtasApp decidió añadir una capa de cifrado a los mensajes enviados y recibidos, pero en lugar de usar una comunicación bajo el estándar SSL decidieron implementar ellos mismos un sistema de criptografía, con no demasiada buena suerte, ya que cometieron algunos problemas de diseño y se podían descifrar los mensajes de WhatsApp.

Figura 2: Una conversación de WhatsApp descifrada en la PoC publicada

Otro problema de WhatsApp es que aunque los mensajes se borren, pueden quedar en la base de datos durante mucho tiempo, lo que permiten que si alguien es capaz de llegar al fichero de mensajes vía el backup de iTunes o vía acceso al terminal iPhone, con un sistema como RecoverMessages podrían recuperarse algunos mensajes borrados hace semanas. Todo esto está bien documentado en el libro de Hacking iOS, donde se explica cómo hacer un análisis forense de un terminal iPhone en detalle.

Figura 3: Accediendo a la base de datos de mensajes de WhatsApp de un iPhone

Otros sistemas de mensajería usados, como por ejemplo los Direct Messages de Twitter, tienen la ventaja de que se puede borrar un mensaje enviado, y a la otra persona no le aparecerá. En esos casos, sin embargo, herramientas como Twtiter Anti-Delete Protection Messages permiten al dueño de una cuenta de Twitter evitar que alguien le borre los DM, y bastaría con conectar el terminal iPhone a su equipo para poder recuperarlos todos.

Figura 4: Twitter Anti-Delete Protection Tool para iPhone

El funcionamiento de esta herramienta es similar al de WhatsApp Anti-Delete Protection Tools o Skype Anti Protection Tools, y evitan que los mensajes que se han borrado lo sean para siempre, por lo que nadie podría ver que los mensajes aún están en tu terminal, pero nunca se borrarían.

Figura 5: Ejemplo de funcionamiento de WhatsApp Anti-Delete Protection Tool

En comunicaciones cifradas y controladas, hay que citar sin duda a Secure Text de Moxie Marlinspike y su WhisperSystems, pero que por desgracia "aún" solo está disponible para Android, por lo que los usuarios de iPhone o Windows Phone deberán seguir esperando.

Figura 6: TextSecure para Android de WhisperSystems

En Android, la base de datos de WhatsApp se encuentra en dos ubicaciones, una en la tarjeta sdcard, en la ruta: /sdcard/WhatsApp/Databases/msgstore.db.crypt a la que se puede acceder fácilmente e incluso muchas apps maliciosas de Android, con que el usuario les conceda el permiso de acceso al almacenamiento, pueden llevársela, tal y como se explica en el libro de Desarrollo Seguro Android, y como ofrecen muchos troyanos profesionales de espionaje para Android.

Figura 7: Chats de WhatsApp robados por un troyano

La idea de seguridad es que esa base de datos está cifrada, pero se conoce su forma de descifrar, y desde hace tiempo es fácil hacerlo. En RecoverMessages basta con que subas la base de datos cifrada y se obtiene descifrada. Si no existe ese fichero, se puede forzar la creación desde WhatsApp->Configuración Avanzada->Más->Hacer copia de seguridad y también se puede obtener desde su ubicación real en /data/data/com.whatsapp/databases/msgstore.db aunque para acceder a esta base de datos se necesita nivel de root

En todos los casos, muchos usuarios no quieren que queden los mensajes almacenados, por lo que han demandado esa característica en las apps. El rey en cuando a los mensajes que se autodestruyen sigue siendo SnapChat, que sin embargo ha sido popular recientemente por una brecha de seguridad que ha permitido que se saquen los datos de casi 5 millones de usuarios de este sistema, lo que ha generado mucha desconfianza en la seguridad general del mismo. No es el único que ofrece esta funcionalidad, como ya vimos con TigerText, diseñada incluso para su uso en entornos empresariales.

Figura 8: Tiger Text para iOS

El último que se ha subido al carro de la privacidad y la seguridad de los sistemas de mensajería ha sido Telegram, una app que ha salido para iOS y Android, con el objeto de ser un sistema tan cómodo, rápido y flexible, pero añadiendo mucha seguridad en las comunicaciones y privacidad en los mensajes, pero habrá que ver si esto es así por mucho tiempo o pronto tenemos más datos.

Figura 9: Telegram for iOS

En cualquier caso, sea una de estas, u otras apps de mensajería como Facebook Messenger, Line, o el propio iMessage de Apple que también promete una comunicación mucho más segura y privada, al final siempre hay tres cosas que nunca vuelven: La flecha lanzada, la palabra dicha, y la oportunidad perdida. Aplícate el cuento.

domingo, 26 de enero de 2014

Actualizaciones: iWork, iMovie, iCloud Control Panel y más

Esta semana ha sido un periodo movido de actualizaciones desde Apple. Ayer mismo os hablábamos de Apple iTunes 11.4, pero han sido más los productos que se han actualizado, así que aprovechamos hoy domingo para pedirte que guardes un poco de tiempo y actualices todo tu software. Esta es la lista de los binarios que tienes disponibles.
- Apple iCloud Control Panel 2.1.3 para Windows Vista: Esta versión es sólo para Windows Vista, así que si tienes Windows 7 o Windows 8 no debes instalar esta versión. En ella se han corregido fallos que ya están resueltos en las versiones de Windows 7 y Windows 8. 
Figura 1: iCloud Control Panel 2.1.3 para Windows Vista
- ProApps QuickTime Codecs v1.0.4: Conjunto actualizado de codecs para las herramientas de edición de mutlimedia en OS X. Es recomendable instalar esta nueva actualización si usas Final Cut Pro X, Motion 5 o Compressor 4. 
- iMovie 10.0.2: Actualización de iMovie que resuelve varios fallos de estabilidad que hacían crashear la app en el sistema. Está disponible en la MacApp Store.
Figura 2: iMovie 10.0.2 en MacApp Store
- Epson Printer Drivers v2.16 for OS X: Nueva revisión de los drivers para impresoras Epson en OS X. Son compatibles con sistemas operativos Mac OS X Snow Leopard, Lion, Mountain Lion o Mavericks.
- KeyNote 6.1: También se ha actualizado esta semana iWork para OS X y para iOS, solucionando problemas de estabilidad y añadiendo alguna opción de seguridad, como la posibilidad de compartir presentaciones por medio de iCloud protegidas por contraseñas.
Figura 3: Apple Keynote 6.1 en la Mac App Store
- Digital Camera RAW Compatibility Update 5.03: Esta actualización añade soporte para la cámara Canon EOS M2 en Aperture 3 y en iPhoto'11, además de solucionar problemas con Sony Cyber-shot DSC-RX100 y en algunas imágenes de las cámaras Olympus OM-D E-M1.
Y por último, además de todas estas actualizaciones, coincidiendo con los 30 años de historia de Macintosh, también hay disponible una actualización de Mactracker la app que permite conocer todo el hardware y software que la compañía ha comercializado a lo largo de todos esto años.

Figura 4: Mactracker 7.3 en la MacApp Store

Dedica un poco de tiempo al mantenimiento de tu sistema, que es una buena práctica para tener el software con más calidad y asegurado frente a posibles fallos y bugs conocidos.

sábado, 25 de enero de 2014

Apple iTunes 11.4 arregla un total de 25 fallos de seguridad

Este jueves Apple ha sacado una nueva actualización con mucho foco en solucionar problemas de seguridad para su producto Apple iTunes, llegando a la versión 11.4. La nueva actualización se encuentra disponible para los siguientes sistemas operativos:
  • Mac OS X 10.6.8 o posterior.
  • Windows 8, Windows 7, Windows Vista.
  • Windows XP SP2 o posterior.
Todos los bugs - algunos del año 2013 - solucionados están descritos en el APPLE-SA-2014-01-22-1 iTunes 11.1.4 y se resuelven con esta actualización de software:
- CVE-2014-1242: El contenido de la ventana de ayuda de Apple iTunes se muestra recogiéndose a través de la red con una conexión HTTP. Un atacante puede inyectar contenidos arbitrarios.
- CVE-2013-1024. Existe un problema en el acceso a memoria en el que no se incializa contenido de texto. Descubierto por Richard Kuo y Billy Suguitan de Triemt Corporación.
- Los siguientes expedientes describen varios problemas de corrupción de memoria en el WebKit, con los que se podía ejecutar código remoto: CVE-2013-1037, CVE-2013-1038, CVE-2013-1039, CVE-2013-1040, CVE-2013-1041, CVE-2013-1042, CVE-2013-1044, CVE-2013-1045, CVE-2013-1046, CVE-2013-1047, CVE-2013-2842, CVE-2013-5125, CVE-2013-5126, CVE-2013-5127, CVE-2013-5128
- Los siguientes expedientes describen varios problemas de corrupción de memoria que existían en libxml: CVE-2011-3102, CVE-2012-0841, CVE-2012-2807, CVE-2012-5134
- Los siguientes expedientes describen varios problemas que existían en libxslt: CVE-2012-2825, CVE-2012-2870, CVE-2012-2871.
Para descargar las actualizaciones de Apple iTunes 11.1.4 puedes ir a Software Update o la MacApp Store o directamente descargarla desde la web del Apple iTunes.

viernes, 24 de enero de 2014

Dos formas de saltarse el filtro AntiXSS en Apple Safari

En el blog de Eleven Paths se han publicado dos formas distintas de saltarse el filro AntiXSS que implementa WebKit y que actualmente afectan a Apple Safari. La primera de ellas, que está solucionada en el proyecto Chromium pero aún ha sido implementada en Apple Safari, fue descubierto por nuestro compañero Ioseba Palop, del equipo que desarrollo el servicio de pentesting persistente Faast.

Figura 1: Código de web con iframe vulnerable a este ataque

Dicho fallo se encuentra en la implementación que hace Webkit de la etiqueta IFRAME, que en HTML5 permite el uso de srcdoc, con lo que una inyección en un iFRAME permtiría inyectar el atributo srcdoc con un campo SCRIPT que no es sanitizado por AntiXSS en la versión actual de Apple Safari, dando lugar a lo que se ve a continuación.

Figura 2: Se inyecta una cadena del tipo "srcdoc="<script>alert('XSS')</script>

El segundo de los fallos fue publicado por un investigador chino que aprovecha una inyección dentro de un bloque de código SCRIPT. En ese caso, inyecta solo la etiqueta de apertura y se aprovecha de la etiqueta de cierre que ha puesto el programador en la web.

Figura 3: Ejemplo de código vulnerable y explotación

El resultado es lo que se puede ver a continuación, basta con inyectar una cadena con la etiqueta de apertura en una web vulnerable y se obtiene la ejecución del SCRIPT.

Figura 4: Ejecución del script en Apple Safari última versión en OS X Mavericks

Esperemos que Apple Safari actualice su motor con las últimas versiones del filtro AntiXSS y soluciones estos dos bugs que abren la puerta a los ataques client-side, ya sean phishing y/o hijacking.

jueves, 23 de enero de 2014

Malware para OSX: El ataque del “paquete no entregado”

Recientemente se ha visto en crecimiento un una nueva técnica de robo de datos vía malware que afecta a los usuarios de Mac OS X - tal y como explican en Naked Security -, basada en la típica estafa del “Paquete No Entregado” que con tanto éxito se ha explotado durante años en el mundo Windows. La creciente popularidad de OS X entre los usuarios ha atraído a los creadores de malware y era cuestión de tiempo que todos los viejos trucos acaban llegando a la plataforma. Veamos cómo funciona este esquema:

Todo empieza cuando recibimos un e-mail que, aparentemente, procede de una compañía de mensajería. En el correo se nos explican que ha surgido un problema en el reparto de un paquete destinado a nosotros, y se nos da un enlace en el que podremos consultar información relativa al paquete y modificar los datos que se complete el envío.

En ocasiones, estos mensajes pretenden haber sido enviados por compañías de mensajería reales, como DHL y Royal Mail, y otras veces los atacantes utilizan portales completamente falsos creados específicamente para tal fin. A pesar de esto, si el ataque está bien ejecutado, los e-mails pueden llegar a ser extremadamente convincentes, y más aún cuando los atacantes conocen cierta información de la víctima (número de teléfono, empleo, etc…) y pueden llevar a cabo un ataque dirigido.

Figura 1: un correo electrónico con la estafa del paquete perdido en Mac OS X

En el correo de la imagen se puede leer lo siguiente:
Le informamos de que tenemos un paquete a su nombre pendiente de entrega desde hace diez días, con número de paquete […]. El paquete se envió para reparto en la dirección que figura abajo pero no había nadie para recogerlo. Su paquete contiene un conjunto de documentos de ingeniería que fue descubierto al realizar un examen de seguridad en nuestra oficina central. Le enviamos una copia escaneada del contenido del paquete. Confírmenos si le pertenece a usted.
El contenido del mensaje y la vaguedad de los detalles son suficientes para, al menos, desconfiar. Sin embargo, si el destinatario trabaja como ingeniero y está acostumbrado a recibir paquetes de este tipo, puede que no repare en lo sospechoso que resulta este mail. 

Si la estafa cuela y nos creemos que realmente tenemos un paquete esperando para ser entregado, el siguiente paso es obvio: hacer clic en el link. A partir de ese momento, estamos expuestos. 
  1. Obviamente el link no nos llevará a la página de la compañía de correo, sino que intentará redirigirnos a un dominio controlado por los atacantes. En este punto pueden suceder varias cosas: Que estemos usando un dispositivo móvil, en cuyo caso el servidor mostrará un mensaje de error. 
  2. Que estemos utilizando un navegador de escritorio que no sea Safari, en cuyo caso se descargará un archivo .zip que contiene un programa de Windows al que Sophos cataloga como Mal/VBCheMan-C, un malware similar al troyano Zeus.
  3. Que estemos usando Safari. En este caso, lo que recibimos es un malware en la forma de un paquete de aplicación comprimido dentro de un archivo ZIP. 
Por defecto, en OS X 10.9.1 Mavericks, el navegador descarga el archivo automáticamente, mostrando una página en blanco y el icono del archivo descargado en el Dock. Aparentemente, lo que nos hemos descargado es un archivo PDF.

Figura 2: El fichero simula ser un documento PDF

Lo que ha sucedido es que Apple Safari ha descomprimido automáticamente el archivo descargado, generando un paquete de aplicación y dándole aspecto de PDF. Sería sencillo comprobar que no lo es a través de la terminal, pero si somos lo suficientemente inocentes para hacer clic en el PDF, OS X trata de avisarnos de que no estamos abriendo un documento, tal y como creemos. 

Figura 3: El archivo sigue pareciendo un PDF perfecto porque está oculta la extensión

El problema es que el mensaje de advertencia no es lo suficientemente explícito, como podemos ver en la imagen, y es más que probable que muchos usuarios acaben dando a Open con la esperanza de abrir el documento PDF.

Figura 4: Advertencia de que es una app y no un documento

Además, no nos muestra el típico mensaje de que vamos a ejecutar un programa de un desarrollador desconocido, puesto que el malware viene firmado digitalmente, algo que resulta ser demasiado habitual en los últimos tiempos.

Si a pesar de la poco efectiva advertencia insistimos en abrir el archivo, no pasa nada. Al menos, nada que podamos ver. Lo que realmente sucede es que se ha lanzado un proceso llamado foung que corre en segundo plano. Foung no es más que un simple bot, o para ser más precisos, un RAT (Remote Access Tool) al que Sophos cataloga como OSX/LaoShu-A.

Figura 5: El malware corriendo en segundo plano

En este momento los atacantes pueden tomar el control de nuestro ordenador y de esta manera, por ejemplo, crear una botnet para otros fines. Sin embargo, el uso que se le da a este malware está íntimamente relacionado con el robo de información al usuario particular. La funcionalidad de LaoShu permite buscar documentos en la máquina del usuario (archivos con extensión .DOC, .PDF, etcétera), empaquetarlos en ZIP y subirlos a un servidor propiedad de los atacantes, así como descargar archivos y ejecutar comandos de shell.

Como siempre, ante este tipo de amenazas, la prevención es la mejor defensa, y desconfiar de los e-mails recibidos, sobre todo si no estamos esperando ningún paquete, nunca está de más. Por otro lado, aunque vayas a una tiene Apple Store y un Genius te diga que no es necesario tener un antimalware en tu Mac OS X, nosotros te recomendamos que lo tengas.

miércoles, 22 de enero de 2014

OSX/Crisis.C: Un malware para OS X llamado Francisco

Dese Intego informan de que vía Virus Total se ha distribuido una nueva muestra de malware detectada para sistemas Mac OS X. Se trata de una nueva variación del malware OSX/Crisis que viene el rootkit Da Vinci de la empresa Hacking Team. Esta pieza de malware es una mutación que venía un fichero llamado "Frantisek", que al final es el nombre de Francisco en los países de la Europa del Este. Como todas las muestras de OSX/Crisis se instala vía dropper que descarga el rootkit y como en las últimas muestras funciona en Mac OS X 10.5, 10.6 y OS X 10.7 Lion, pero crashea en OS X  Mountain Lion y Mavericks.

En la parte referente al dropper parece que Hacking Team ha cambiado un poco el código y el formato del fichero de configuración, ya que según el análisis realizado por Intego ahora utilizar un segmento de código que no aparece en previas muestras, llamado __INITSTUB, que es llamado antes de ejecutarse la función _main del programa, algo que haría que un ingeniero de reversing con poca experiencia pudiera infectarse antes de llegar al main del programa.

Figura 1: Símbolos de OSX/Crisis.C obtenidos con IDA

Según el análisis que han hecho los ingenieros de Intego, cuando OSX/Crisis.C consigue ejecución se oculta en la carpeta del perfil de usuario que está en la ruta ~Library/Preferences, dentro de una falsa aplicación que tiene como nombre del bundle OvzD7xFr.app. Los ficheros que se crean dentro son:
El fichero del backdoor: 8oTHYMCj.XIl (32-bit)
Fichero de configuración : ok20utla.3-B
Extensiones del kernel: Lft2iRjk.7qa (32-bit) y 3ZPYmgGV.TOA (64-bit)
Script de adición: EDr5dvW8.p_w (FAT)
Servicio XPC: GARteYof._Fk (FAT)
Icono TIFF de Preferencias del Sistema.TIFF: q45tyh
Cuando el malware consigue ejecución entonces se crea un LaunchAgent llamado com.apple.mdworker.plist para conseguir las persistencia en el sistema. Al igual que OSX/Crisis.B esta muestra está ofuscada con el packer MPress y aunque tiene pequeños cambios sigue funcionando como las versiones anteriores, tal y como explican en Intego, se oculta a si mismo modificando la aplicación del Monitor de Actividad, toma capturas de pantalla, graba audio y vídeo por la webcam, extrae datos del usuario, su ubicación GPS, se conecta a redes WiFi y sincroniza todos los datos con un panel de control del que recibe las ordenes.

No se sabe muy bien cómo o por donde se está distribuyendo, ya que este tipo de piezas de software suelen usarse para ataques dirigidos, pero merece la pena conocer cómo funcionan estas muestras para estar siempre alerta y mantener el sistema protegido.

martes, 21 de enero de 2014

Apple ha liberado iOS 7.1 beta 4 para los desarrolladores

Parece que es en Marzo cuando Apple tiene pensado liberar la nueva versión del sistema operativo iOS 7.1 así que está agilizando la salida de las versiones beta para los desarrolladores. Hace un par de semanas estaba disponible iOS 7.1 beta 3 y ya tenemos la nueva versión del sistema operativo con código de compilación 11D5134c.

Figura 1: iOS 7.1 beta 4 disponible en la web de developers

Esta versión no viene sola, y Apple ha liberado también XCode 5.1 beta 4 con número de compilación 5B90f, lo que es más que lógico si ha cambiado alguna función en el sistema operativo que necesita estar disponible en la herramienta para desarrolladores.

Figura 2: XCode 5.1 beta 4 disponible en la web de developers

En las versiones anteriores de iOS 7.1 parece que había problemas con con el envío de mensajes, la pila de conexión Bluetooth y las aplicaciones de 32bits no funcionaban bien en los dispositivos de 64bits. Por su parte, XCode también ha corregido un buen número de fallos que había sido reportados. En cualquier caso, sobre los bugs de seguridad que han sido arreglados, y si se parcharán los explotados por evasi0n7, la herramienta que permite hacer jailbreak, aún no se sabe nada, así que habrá que esperar hasta marzo para conocer más detalles sobre la nueva versión iOS 7.1

lunes, 20 de enero de 2014

Apple demandada por solicitar el código postal las tiendas

Tienda Apple Store
No es la primera vez que en una tienda de España te solicitan el código postal tras cada compra. Esto es una información que siempre hemos pensado que se solicitaba como forma de estudio para saber de dónde venían a comprar los clientes. Sin ir más lejos, el conocido Leroy Merlin hace esto en España. Pues bien, según informa Apple Insider, hacer esto en una tienda Apple Store de Massachusetts le ha costado a Apple una demanda, ya que según la legislación del estado es considerado un dato personal de los clientes que no debería ser solicitado.

Según acusan los demandantes, Apple podría solicitar esos datos de forma ilícita según la ley para no solo hacer análisis de su negocio, sino para sacar un rédito de los datos vendiendo esta información a terceros que podrían conocer más datos de los potenciales clientes.

Figura 1: Extracto de las declaraciones de los demandantes

Según parece, los demandantes, después de entregar el código postal en una tienda de Apple Store comenzaron a recibir "materiales de marketing no solicitados". Esto no ha sido contestado por parte de Apple y tras intentar llegar a un acuerdo con la compañía la cosa ha terminado en el juzgado. ¿Aplica esto a la Ley de Protección de Datos Española¿Quién es el malo en este caso?

domingo, 19 de enero de 2014

Fue noticia en Seguridad Apple: del 6 al 19 de Enero

Como cada dos semanas, volvemos a pararnos y repasar en un único artículo todo lo publicado en este periodo en Seguridad Apple junto con algunos temas de actualidad que no hemos podido tratar pero que merecen vuestra atención. Comenzamos con el repaso sin más dilación para aprovechar el día:

El lunes 6 hablamos del protector de pantalla en iPad Air y iPhone 5 llamado mPact Glass. En el popular blog Apple Insider ha hecho una excelente revisión de este producto que sin perder nitidez ni afectar a la sensibilidad en el uso añade la capa de protección perfecta que todos queremos en nuestros dispositivos móviles.

El martes 7 le dedicamos la entrada al Authentec FingerLoc, el famoso prototipo biométrico de Apple que permite que disfrutemos del servicio de Apple Touch ID  en nuestros terminales iPhone 5S . Este prototipo no nació siendo tan pequeño, sino que eran mucho mas grandes y no funcionaba muy bien al principio.

El miercoles 8 nos paramos a analizar Flashback Botnet, la botnet que aun tiene 22000 Mac OS X infectados y que llenó todas las portadas de los medios de comunicación centrados en seguridad informática y/o centrados en las tecnologías Apple.

El jueves 9 conversamos un poco de los posibles problemas que se pudieran tener con 4G en iPhone o iPad, ya que nuestros dispositivos soportan estas tecnologías en la actualidad nuestras operadoras intentan brindar las conexiones mas rápidas del mercado. 

Al día siguiente analizamos un articulo muy interesante titulado: "Hunting for OS X rootkits in memory" de la revista Hack in the Box Magazine. En este artículo en concreto se proporcionan no solo técnicas, sino también scripts para hacer los volcados de las las tablas de objetos en memoria para poder analizar lo que está pasando en el sistema y localizar lo que puede que se esté ejecutando y esté oculto.

El sábado abarcamos el  cambio de política en Gmail permitiendo la carga de imágenes por defecto y qué usuarios de Google+ pueden enviarte ahora mensajes de correo sin conocer tu dirección de e-mail.

El domingo les trajimos iNalizer, un framework con el que puedes analizar aplicaciones desarrolladas para iOS. Si te dedicas o quieres dedicarte a analizar la seguridad de apps de iOS, debes echarle un vistazo sin duda, pues ofrece utilidades que tal vez puedan ayudarte o completar el arsenal de ellas que ya tengas.

El lunes 13 hablamos del estudio que revela graves fallos en las apps de banca para iOS. Fue realizado por el investigador Ariel Sánchez, de la conocida empresa consultora en seguridad informática IOActive en la que se tomaron como muestra 40 de las apps pertenecientes a bancos del Top 60 mundial.

El martes 14 trajimos otra herramienta del arsenal que puedes conseguir para iOS. En esta ocasión hablamos de Fing, el cual es un scanner de redes para iOS que puedes conseguir en la App Store y con el que ademas de llevar a cabo las tareas comunes de un scanner, permite añadir notas a los dispositivos para recordar información de ellos, geo-posicionar los dispositivos descubiertos y hacer un escaneo de los puertos más comunes usando los Well-Known Ports.

El miércoles hablamos del Starbucks for iOS, el cual almacena passwords en ficheros de log. La noticia a día de hoy es curiosa, ya que siguen apareciendo apps no seguras en la forma que gestionan las credenciales de los usuarios. El fichero en cuesto se encuentra en la ubicación /Library/ Caches/ com.crashlytics.data/ com.starbucks.mystarbucks/ session.clslog y en formato HTML se puede acceder a la información anteriormente citada. La compañía acabó actualizando la app debido a la presión mediática.

El jueves 16 publicamos la noticia de que el grupo 1775 Sec había realizado un dump de una base de datos de Apple. Al parecer la noticia explicaba que habían obtenido datos de usuarios de iTunes y contraseñas, aunque los datos no eran muy de fiar, ya que algunos números no eran reales desde hacía tiempo.

El viernes 17 hablamos sobre un IDS para Mac OS X denominado MIDAS. Explicamos las características de MIDAS y una comparación con auditd utilizado en GNU/Linux con un fin similar. Fue ideado por el equipo de Facebook, al que posteriormente se unió Etsy.

Por último, para este sábado hablamos de la nueva patente sobre el sensor biométrico de Apple que ha sido publicada en la que se puede ver cómo hay planes para integrar el sensor en todos los dispositivos para que funcione en todos los entornos. Además de que hay información de que a partir de Q2 comenzará la producción del mismo para iPhone6.

Esta es la lista de todo lo que hemos publicado durante este periodo en nuestro blog, pero desde hace tiempo os venimos recuperando noticias que han pasado también en este periodo y que merecen la pena que no se os pasen. Aquí va la selección:
- ¿Por qué los equipos zombies de OSX/Flashback son una amenaza? Aunque para los expertos de seguridad parece evidente que el que haya más de 20.000 equipos aún infectados con este malware es un riesgo - esperando que alguien controle la red -, algunos piensan que no. En este post de Intego disertan sobre esto mismo. 
- Cómo capturar mensajes SMS y conversaciones GSM: Artículo que explica cómo usar las tarjetas RTL-SDR para poder capturar las comunicaciones GSM y grabar conversaciones y/o mensajes SMS. Merece la pena la lectura. 
- HACRON - Mega evento de seguridad en Canarias: En este evento participarán expertos de seguridad y nuestro compañero Chema Alonso hablando de seguridad y hacking. Un must-be. 
- Guía de configuración e instalación de Latch en ACENS: Si tienes una cuenta en el servicio de hosting de ACENS, aquí tienes una guía paso a paso de cómo puedes añadir esta protección extra a tu cuenta. 
- Réplica de un MacPro usando una papelera: Una curiosa historia de Cyberhades que merece la pena leer para saber cómo tener tu propio MacPro a partir de una papelera. 
- Fortificar OpenSSH en modo paranoico: Un tutorial para los que quieran añadir seguridad a OpenSHH. A este artículo habría que completarlo con una protección Latch en SSH como se explica en este otro post.
Y esto es todo, os esperamos cada dos semanas en esta sección y cada día en los artículos que os publicamos en Seguridad Apple.

sábado, 18 de enero de 2014

Apple desvela información de su nuevo sensor biométrico

Ya hemos conocido cuáles son los planes a futuro de Apple respecto a la biometría, y que como pudimos ver por todas las patentes que se hicieron púbicas y que analizamos en detalle en este artículo, eran muchos más de los que podíamos haber supuesto en un inicio. Ahora, a través de otra patente de 53 páginas titulada "Redundant Sensing Element Sampling" hemos podido conocer más datos con un alto nivel de detalle sobre cómo piensa la compañía desarrollar el hardware y el software de sus nuevos sensores biométricos a utilizar en los dispositivos.

La idea que transmite esta patente es la de poder integrar la tecnología biometrica para que funcione en todos los dispositivos y bajo todas las condiciones, ya que a lo largo de las muchas páginas y gráficos que describen la invención, los creadores de la patente se esfuerzan en eliminar el factor de ruido dependiente del entorno de captura de la huella. Esto deja a las claras la intención de Apple de tener esta tecnología en todos los dispositivos que tiene la compañía actualmente.

Figura 1: Descripción de componentes en el nuevo sensor biométrico de Apple

Por otro lado, ya hemos sabido por medio de MacRumors que la producción de los nuevos sensores - de mayor eficiencia - para iPhone 6  comenzarán a partir de Julio de este año, así que queda claro que este es el camino que va a seguir Apple.

viernes, 17 de enero de 2014

MIDAS: Mac OS X Intrusion Detection Analysis System

Este sistema de detección de intrusos para sistemas Mac OS X fue ideado originalmente por el equipo de seguridad de Facebook, al que posteriormente se unió la Etsy. Hoy en día es mantenido y actualizado por ambos equipos de seguridad y podemos ver los resultados a través de Github, en el cual se puede observar los avances interesantes de la herramienta. ¿De dónde sale la idea? Realmente de las experiencias presentadas en Homebrew Defensive Security y Attack-Driven Defense.

Figura 1: MIDAS en Github

Además, en Github se puede encontrar documentación de la herramienta, su arquitectura y los módulos que lo componen. MIDAS está escrito en Python, y permite la extracción de información de un sistema Mac OS X ante una intrusión. ¿Qué tipo de información? Por ejemplo, la configuración de red del sistema, las extensión del kernel, los demonios que están ejecutados o LaunchDaemons, los agentes en el sistema o LaunchAgents, la configuración o reglas del firewall, etcétera.Estas acciones permitirán al usuario mantener cierta integridad en el sistema, detectando posibles anomalías provocadas por una intrusión en puntos críticos del sistema.

Hay un archivo llamado example.py que implementa un ejemplo de lógica de negocio de auditoría. El módulo realiza un registro de una gran cantidad de archivos plist cada sesenta segundos. Además, se centra en los módulos del kernel instalados, calculándose un hash SHA1 para el archivo en disco, y algunos archivos de configuración.

Lo que MIDAS como IDS basado en anomalías debe hacer en primer lugar es realizar un seguimiento de los cambios en el sistema. MIDAS comprueba, por defecto, cada hora si existen cambios en estos lugares críticos, prefijados.

El foro y lo que comparan con auditd

En reddit en un tema dedicado a MIDAS los usuarios han realizado una comparación con auditd, que es un registrador de eventos en el sistema, sobretodo conocido por utilizarse en sistema GNU/Linux. El archivo data_science.py de MIDAS se encarga de buscar cambios en el sistema, por lo que es parte fundamental del sistema, mientras que auditd sigue, realiza un tracking, de las llamadas al sistema, y se centra en las llamadas de escritura en los archivos de configuración, pudiendo detectar más o menos las mismas cosas en global. En el foro indican que auditd realiza casi las mismas operaciones que MIDAS de forma fiable, antes y con mayor detalle en la información sobre los eventos registrados.

MIDAS crece y se personaliza

El detalle de la comparación entre herramientas es interesante, y ver como los usuarios en el foro debaten sobre las características de ambas herramientas. MIDAS está en crecimiento y proporciona ciertas características de personalización interesantes:
  • Adición de módulos que implementen nuevas funcionalidades al entorno.
  • Despliegue de código a equipos finales de OS X en la organización.
  • Configuración un cron para ejecutar MIDAS en un intervalo de tiempo concreto.
  • Utilizar un syslog como mecanismo para reenviar los logs a un equipo centralizado. Esta opción es realmente interesante.
  • Analizar los datos recolectados y las alertas o anomalías generadas. Este hecho es realmente interesante, ya que el objetivo es detectar y poder procesar.
Si os gusta este mundo, podéis probar todas las funciones de MIDAS en un entorno de pruebas y estudiéis los distintos módulos de personalización que ofrece. Un IDS a coste de crisis.

jueves, 16 de enero de 2014

El grupo "1775 Sec" publica un dump de una BD de Apple

El grupo 1775 Sec que se hizo responsable del incidente de seguridad con Dropbox, aunque Dropbox niega que hubiera tal incidente, ha publicado vía Twitter un supuesto acceso no autorizado a una base de datos de Apple. De acuerdo con lo publicado, el grupo 1775 Sec habría llevado a cabo una operación con la complicidad o beneplácito del Ciber Ejército Europeo, y publicó los resultados en la página web de Pastebin. El documento hace sospechar a muchos, ya que aunque se ha podido comprobar que algunos datos de usuario son legítimos, la veracidad de otros datos, como por ejemplo contraseñas, direcciones de correo electrónico, e incluso algunos nombres de usuario parecen cuestionables.

Como ejemplo, si alguno de los lectores realizase alguna llamada a los números de teléfono que aparecen en el volcado de la base de datos nos podríamos dar cuenta de que ya no están en servicio, lo cual sugiere que los datos tienen bastante tiempo o directamente son falsos. Otra de las posibilidades que existe es que los datos de la base de datos de Apple no sean realmente de la empresa de Cupertino y que sea un movimiento estratégico para captar la atención de los medios de comunicación, pero ¿con qué fin?

Figura 1: Campos del dump filtrado en pastebin

Antes las dudas de la opinión pública sobre el incidente, siguieron publicando imágenes de su supuesto éxito en Twitter, intentando mostrar que los datos no eran tan antiguos. Para ello, mostraron fotos de supuestos campos con versiones del sistema operativo de los terminales que tenían registrados.

Figura 2: Foto sobre supuestos datos con versiones de iOS

Y para demostrar que tenían más datos que los publicados inicialmente en el dump, siguieron mostrando más y más fotografías de unos supuestos logs de acceso a los datos.

figura 2: Fotos con datos de la supuesta BD de Apple

En los tweets posteriores de 1775 Sec se aludió a su participación en la reciente interrupción de servicio de Dropbox, la cual puso a muchos usuarios fuera del servicio durante más de un día. Esto en sí es algo sospechoso, ya que el grupo inicialmente afirmó haber hackeado la base de datos de Dropbox, y luego cambió repentinamente la historia para reclamar la responsabilidad de un ataque DDoS, lanzado en conmemoración por la muerte de Aaron Swartz. Esta es la historia, ahora debes decidir tú si le das credibilidad o no a lo que dicen.

miércoles, 15 de enero de 2014

Starbucks for iOS almacena passwords en ficheros de log

Si eres usuario de la app de Starbucks para iOS te interesa conocer este fallo de seguridad que ha sido publicado en la popular lista de seguridad Full Disclosure. En él se detalla que la app que actualmente está publicada en la App Store de Starbucks, la versión 2.6.1, hace un almacenamiento inseguro de los ficheros de log cuando se produce un crash de la app. En esos ficheros de crash queda información sensible como el usuario, la contraseña, la dirección de correo o los token OAuth que usa la app para su funcionamiento.

Figura 1: Starbucks para iOS con acceso a tus puntos y dinero

El fichero en cuesto se encuentra en la ubicación /Library/ Caches/ com.crashlytics.data/ com.starbucks.mystarbucks/ session.clslog y en formato HTML se puede acceder a la información anteriormente citada. Para acceder a esta información - y gastarse todo tu dinero con tu cuenta - es necesario tener acceso a estos ficheros, así que vigila a tu pareja, familia y/o compañeros de trabajo que no te roben tu Chai-Tea Late con Leche de Soja.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares