Menú principal

miércoles, 31 de diciembre de 2014

Thunderstrike: Bootkits en Mac usando Thunderbolt

ThunderStrike
Se había anunciado hace unos días que en el Chaos Computer Congress de este año se iba a presentar una nueva generación de bootkits para equipos Mac que se podrían instalar usando el dispositivo Thunderbolt. Los riesgos de la tecnología Thunderbolt se avisaron hace mucho tiempo, nada más publicarse, y hemos visto previamente ataques a la memoria vía Thunberbolt para saltarse el login, y hasta formas de introducir rootkits en OS X usando Thunderbolt - también de los mismos investigadores -. 

Ahora, los límites de estos ataques dan un paso más allá y son capaces de manipular vía EFI (Extensible Firmware Interface) la ROM programable del sistema y poner un bootkit, o lo que es lo mismo, un software malicioso que se ejecuta antes de arrancar el sistema operativo. Los investigadores, que han abierto una página web con toda la información sobre Thunderstrike, son capaces de saltarse a través de Thunderbolt, todos los controles del sistema, para llegar a manipulara y re-escribir el firmware del equipo con un nuevo programa.

Figura 1: Equipo MacBook infectado vía Thunderbolt con un bootkit que reemplaza la firma del SecureBot

En su prueba de concepto, cambiaron las claves RSA de Apple por unas propias, evitando que nadie pueda instalar ningún programa en el equipo sin que venga firmado por ellos. Este ataque no se conoce in the wild, pero por ahora no parece que haya ninguna solución, así que habrá que esperar a ver si Apple provee de alguna protección. Mientras tanto, la única protección es evitar que nadie conecte un dispositivo que no sea de confianza a tu equipo.

martes, 30 de diciembre de 2014

Cuidado con los equipos MacBook de oferta en Internet

Mucho se ha hablado de Activation Lock de Apple para evitar que un usuario pueda utilizar un dispositivo iPhone, iPad, o iPod Touch robado o perdido. El dueño puede bloquearlo remotamente y hasta que no se autentique contra Apple iCloud con las credenciales correctas no se puede volver a utilizar. Muchos son los usuarios estafados que han comprado uno de estos dispositivos a un precio fantástico, pero que luego no han podido utilizarlo, y por eso Apple puso en Internet un formulario para que se pudiera comprobar el Activation Lock Status. No solo este es uno de los riesgos que hay con un terminal iPhone robado y son muchos los problemas que puedes tener por hacerte con uno de estos dispositivos, como ya hemos contado muchas veces, pero esto también te puede suceder si compras un equipo Mac y este es robado.

En primer lugar, si el sistema está protegido por contraseña de Firmware, no va a ser posible arrancarlo. No vas a poder usar ese Mac porque no se conocen herramientas para quitar esa contraseña de los equipos MacBook modernos si no está el equipo arrancado. Si está encendido, puede ser que tenga software de rastreo y te pase como a alguno de los ladrones en modo EPIC FAIL de Mac.

Figura 1: Si te compras un Macbook robado puedes comprar un ladrillo

En segundo lugar, si el equipo ha sido denunciado a la Policía, en las tiendas Apple Store las víctimas pueden registrar su número de serie, y en cualquier momento que el equipo entre para reparar en una de las tiendas oficiales a los Apple Genius les saltará una alerta y no te arreglarán nunca el equipo, además de que quedará reflejado en el historial de ese equipo. Al final, haber comprado un equipo MacBook muy barato que haya sido robado es tener un problema a largo plazo, así que si compras un equipo de segunda mano, que venga con la factura de compra. Ante la duda, lleva al vendedor a un Apple Store y pregunta a un Genius si puede repararte ese equipo o no.

lunes, 29 de diciembre de 2014

Huellas dactilares "hardly hacked" en el Chaos Computer Congress

En una presentación dada por el investigador y experto en biometría Jan Krissler, conocido con el alias de Starbug, en el actual ciclo de charlas del Chaos Computer Congress que está teniendo lugar en Alemania estos días, se pudo ver cómo, a partir de una fotografía de cámara estándar, fue capaz de reconstruir la huella dactilar de la Ministra de Defensa Alemana Ursula von der Leyen usando un software público llamada VeriFinger.

Figura 1: Investigador Jan Krissler con un Mac con el logo tapado

Por desgracia la presentación está solo en Alemán, pero este trabajo abre la veda para saltarse muchos sistemas de seguridad a partir de fotografías que pueden estar públicas incluso en redes sociales.

Figura 2: Software SDK para trabajo con huellas dactilares. Funciona en Windows, OSX y Linux

Esto no quiere decir que los sistemas de biometría basados en huella estén muertos, sino que deben mejorarse las medidas de protección contra hackeo de los lectores, usando sistemas de medición paralelos en la anatomía del dueño, porque con la geometría y diseño de la huella no es suficiente. Incluido en la lista, por supuesto, Touch ID.

domingo, 28 de diciembre de 2014

Doce meses de artículos seleccionados: Parte II

Continuamos hoy con este pequeño repaso al año 2014 a través de los artículos que os hemos seleccionado de Seguridad Apple para que no se os pierdan las cosas más interesantes de estos doce meses. En esta parte vamos con el repaso de los meses de Julio a Diciembre que los meses de Enero a Junio ya los tenéis publicados. Disfrutad del domingo y cuidado con las inocentadas de hoy.

Figura 1: Artículos seleccionados de Seguridad Apple de Julio a Diciembre de 2014

Julio de 2014
La historia del escándalo de los backdoors de iOS: En las conferencias HOPE X (Hackers On Planet Earth) saltó el escándalo de ciertos servicios en el sistema operativo iOS que parecían puertas traseras puestas por Apple. Las respuestas no se hicieron esperar y aunque la justificación fue dada, los servicios siguen actuando como explicó el investigador en su presentación. 
También en ese mes saltó un bug en Instagram que permitía secuestrar cuentas en redes WiFi inseguras, además de que Apple activó Verificación en 2 pasos en los servicios de Apple iCloud.
Agosto de 2014
Elevación de privilegios en Windows por software de Apple: En la lista Full-Disclosure se debate sobre los bugs que permiten, a través de Apple iTunes y Software Updates para Windows, hacer elevación de privilegios. El asunto llegaría mucho más lejos después, con un buen montón de programas vulnerables a los mismos problemas. 
Durante ese mes también Apple sufrió una prohibición de vender en la administración china, se detuvo una banda de trabajadores de Apple que reciclaban iPhone robados, Rusia solicitó el código fuente de iOS y en la conferencia BlackHat USA 2014 Apple ganó el Pwnie Award al Most EPIC Fail por su fallo de Goto Fail. Cabe destacar que este mes se presentaron en las conference B-SIDES las técnicas Click-to-Call en iOS.
Septiembre de 2014
Sin duda, el tema del mes fue el Celebgate, con la publicación de fotos de famosas desnudas que llevaron a especular sobre diversos bugs y a Tim Cook a salir a la palestra para prometer mejores medidas de seguridad, entre las que se encuentra un mayor aviso de accesos y control remoto de sesiones. 
También ese mes fue el mes de ShellShock, y esta vez pilló a Apple de lleno, obligándole a actualizar todos sus productos de forma rápida.
Octubre de 2014
Este fue el mes en Apple presentó Apple Pay y Apple Watch, pero también fue el mes de Poodle, y el mes en que Apple desplegó las contraseñas de aplicación para evitar accesos no autorizados al backup de iCloud como se vio en el Celebgate. 
Por nuestra parte, este mes fue importante debido al lanzamiento de Latch para OSX y a que todas las PYMES españolas podrán tener la licencia Latch Silver gratis gracias a un acuerdo con Incibe.
Noviembre de 2014
Durante este mes el tema más impactante fue sin duda la aparición de Wirelurker y el ataque Masque en dispositivos iOS & OS X, que terminó con la localización y detención de sus creadores. Este ataque reemplaza apps legítimas haciendo uso de apps firmadas con certificados digitales de desarrolladores.  
También durante este mes fue noticia la detención y cierre del servicio de troyanos para dispositivos móviles de StealthGenie, y el mes en que WhatsApp puso el doble check azul para confirmar que el mensaje había sido leído. En el mundo de OS X, además de los problemas de privacidad con las Spotlight Suggestions, un grave bug - llamado Rootpipe - obligo a Apple a tomar medidas rápidas.
Diciembre de 2014
Este mes os destacamos el artículo de "El jefe explota ShellShock en los servidores de tu DMZ usando un iPhone", que explica cómo se puede realizar un ataque de ShellShock a un servidor vulnerable no publicado a Internet, haciendo navegar a una víctima con su iPhone a una página web maliciosa. 
Además, este mes Apple ha tenido que parchear un bug crítico en el servicio NTP y ha salido a la luz pública una herramienta para hacer ataques man in the middle a iPhone & OS X con ataques ICMP redirect tanto en IPv4 como en IPv6. Por último, cabe destacar que estos días tendrá lugar en el Chaos Computer Congress una presentación sobre cómo meter bootkits en OS X usando Thunderbolt, así que habrá que estar atentos.
Estos han sido los doce meses, resumidos someramente para que no te pierdas lo esencial. Hay que destacar que este año hemos tenido muchos ataques de phishing, ha aparecido mucho malware multiplataforma para OS X y que en los dispositivos iOS con jailbreak - especialmente - se ha visto también eclosionar malware. Habrá que ver que nos depara el año que viene.

sábado, 27 de diciembre de 2014

Doce meses de artículos seleccionados: Parte I

Se acaba el año 2014, así que desde Seguridad Apple hemos querido seleccionarte artículos de los doce meses del año que ya se nos va, para que si no los leíste en su momento no se te quede en el tintero nada de lo que ha pasado durante este tiempo. Estos son los que hemos seleccionado para ti.

Figura 1: Artículos seleccionados de Seguridad Apple de Enero a Junio de 2014

Enero de 2014
Dos formas de saltarse el filtro Anti-XSS en Apple Safari: En el mes de Enero publicamos desde Eleven Paths una forma de saltarse el filtro de seguridad Anti-XSS en Webkit, y otro investigador lo evolucionó para que al final se descubrieran dos formas de saltarse el filtro en Apple Safari. 
También ese mes el grupo "1775 Sec" publica un dump de una BD de Apple, supuestamente robada a miembros del FBI que podrían utilizarla para realizar ataques dirigidos a dispositivos por todo el mundo por medio de malware dirigido. Las sospechas de espionaje llegarían hasta el popular Angy Birds que fue acusado de colaborar con la NSA en el robo de la información.
Febrero de 2014
 Un "goto fail" provoca el caos SSL/TLS en iOS y OSX: Sin duda, la noticia en el mes de febrero de este año fue para el bug de Goto FAIL que rompía las validaciones de los certificados digitales en iOS y en OS X. ¿Sería un fallo en el módulo criptográfico inducido? 
También durante ese mes vimos el malware para OS X centrado en robar BitCoins ocultándose en billeteras, pero también en copias piratas del popular Angy Birds que llevaba OSX/CoinTheft, que volvió a verse implicado.

Marzo de 2014
Configurar Verificación en 2 Pasos en Apple ID: En el mes de marzo Apple puso por fin en España (y en muchos otros países), la posibilidad de utilizar un segundo factor de autenticación para evitar el robo de cuentas Apple ID. Eso sí, no lo puso en todos los servicios como veríamos después en el Celebgate. 
También durante este mes volvimos a ver problemas criptográficos. Tras solucionar el bug de Goto Fail, el sistema operativo iOS re-introdujo un problema de seguridad  del pasado en el generador de números aleatorios. Las especulaciones hablaban de una reintrodución de esta puerta trasera tras el cierre de la "puerta principal" en el bug de Go to Fail.
Abril de 2014
Hacking de iOS (iPhone & iPad) con SSLStrip: En el mes de abril os dejamos un tutorial para que pudierais probar cómo funcionan los ataques de SSLtrip con el sistema operativo iOS. Hay algunos detalles interesantes en este entorno de hacking, pero funcionan perfectamente. 
Las noticias de ese mes hablaban de HeartBleed, el bug de OpenSSL que permitía a cualquier atacante volcar los 64 k de la memoria del proceso en el servidor, accediendo a datos sensibles. Apple no parecía muy afectado por Heartbleed, pero al final tendría que actualizar el software de algunos de sus productos que sí se vieron afectados.
Mayo de 2014
El "ransomware" de Oleg Pliss bloquea iPhone & iPad con Find My iPhone: En el mes de Mayo la noticia fue que muchos usuarios denunciaron que sus equipos habían sido bloqueados con un ransomware. Al final, el ataque se hizo contra cuentas Apple ID que habían sido robadas con una campaña de phishing y que no tenían configurada la verificación en 2 pasos. 
También ese mes nos dimos un paseo por la Deep Web y encontramos un montón de tiendas Apple Store fraudulentas. Por último, nos gustaría destacar que Apple anunció tras los escándalos de las filtraciones sobre colaboración con la NSA, que Apple confirmó que avisaría a los usuarios cuando el gobierno pidiera datos de una de sus cuentas.
Junio de 2014
WebPG: Firmar y cifrar correos de Gmail en Mac OS X: Google sacó un plugin para utilizar PGP en Gmail desde Google Chrome, así que lo probamos para ver qué tal funcionaba en sistemas OS X y os hicimos un tutorial paso a paso para que lo configuréis.  
Ese mismo mes apareció información del primer malware para iOS que desde un equipo pareado se encargaba de realizar un jailbreak del dispositivo de forma silenciosa para después infectarlo. También ese mes hubo un estudio de cómo los cargadores no oficiales queman los iPhone y el CCN-CERT publicó una guía de seguridad para iPhone & iPad que te puede ayudar a mejorar la seguridad de tu dispositivo.
En la segunda parte os tenéis la selección de los meses que van de Julio a Diciembre, esperamos que con ellos os llevéis lo principal del año resumido en un par de artículos.

viernes, 26 de diciembre de 2014

El iPhone del jefe explota ShellSock en la DMZ de tu red

En la pasada NocONName celebrada en Barcelona, el Dr. Alfonso Muñoz y Ricardo Martín, compañeros de Eleven Paths, presentaron lo que denominaron Shellshock Client-Side Scripting Attack, el cual permite explotar bugs del famoso Shellshock en sistemas no publicados en Internet. El escenario es el siguiente un atacante que se encuentra fuera de la red empresarial prepara un entorno el cual es vulnerable, por ejemplo a un ataque de Cross-Site Scripting.

Cuando la víctima ejecuta código Javascript malicioso se ejecutan varias instrucciones con las que se puede enumerar los recursos de una red interna, tal y como puede verse en la presentación. La idea es que se puede localizar servidores web y otros recursos internos, los cuales pueden ser vulnerables a la vulnerabilidad de Shellshock. En la prueba de concepto que hemos montado simulamos que el dispositivo víctima es un iPhone, como ya se ha visto con otros ejemplos anteriores en los que se abusaba de un iPhone:
- Cómo explotar un SQL Injection en la DMZ a través de un iPhone
- Cómo explotar un CSRF en un router a través de un iPhone
Cuando el dispositivo iOS visita un sitio web malicioso y, por ejemplo, rellena un formulario en el cual tiene que pinchar sobre tres botones, se estará explotando la vulnerabilidad por detrás contra un tercer equipo de la organización.


Figura 1: Presentación de explotación de Shellshock en servidores no publicados

En la prueba de concepto, se preparara con Metasploit un handler con el que se recogerá la sesión en el equipo remoto. Una vez que el dispositivo iPhone accede al sitio web se le presenta un sitio web con el esquema del ataque, pero en un caso real estaríamos hablando de un formulario de registro, encuesta o, simplemente un sitio web con alguna vulnerabilidad client-side, como puede ser un Cross-Site Scripting. La preparación del handler es sencilla indicamos qué tipo de payload esperamos gestionar y qué dirección IP es la nuestra, la del atacante.

Figura 2: Configuración de exploit/multi/handler

La idea ahora es que cuando el dispositivo iOS visite la página realice tres peticiones contra algún activo interno de la organización. Esto es un claro ejemplo de los peligros que puede tener lo que se conoce como BYOD, y el estar conectado a la red corporativa de la organización. Cuando el dispositivo carga el sitio web ejecutará varias peticiones, aunque por simplicidad se ha decidido incluir tres botones en la prueba de concepto para ejemplificar lo que sucede con cada uno de ellos.

Figura 3: Generación de binario con payload

El esquema básico es el siguiente:
  1. Ejecución de comandos en la máquina interna de la organización, petición realizada por el propio iPhone. En esta petición se enviará a la máquina remota un echo con un payload codificado en base64 y se almacenará en /tmp. Para ello se genera el binario y se codifica en base64. 
  2. Una vez se dispone del binario codificado y subido a una máquina vulnerable a Shellshock en la organización, se realizará una segunda petición para decodificar y aplicarle permisos de ejecución al binario. 
  3. Por último, se realizará una tercera petición dónde se ejecutar el binario con el payload, el cual devolverá el control remoto de dicha máquina hacia el exterior de la organización. De este modo queda comprometida una máquina vulnerable a Shellshock que se encuentra en una red interna.
Una vez visto el esquema básico accedemos desde el iPhone al sitio web malicioso. El esquema es bastante claro y refleja el entorno corporativo y las posibilidades del ataque.

Figura 4: Sitio web malicioso

Por simplificación se han colocado tres botones, que ejecutarán cada uno las acciones expuestas anteriormente. En la siguiente imagen se puede ver como cuando el usuario pulsa sobre el botón 1, se ejecuta la primera petición maliciosa que explota la vulnerabilidad de Shellshock y sube un binario codificado en base64.

Figura 5: Subida de fichero a máquina interna de la organización

Cuando el usuario pulsa sobre el botón número dos, se ejecuta otra petición con explotación de Shellshock con la que se decodifica el binario y se le aplican permisos de ejecución mediante la instrucción chmod u+x.

Figura 6: Ejecución de chmod u+x

Por último, cuando el usuario pulsa el botón tres se ejecuta el binario ya preparado para devolver el control al atacante. Estamos ante un payload de tipo inverso, ya que la petición se genera desde la víctima hacia el atacante.

Figura 7: Ejecución de shellcode

Hay que tener en cuenta que en función de los permisos con los que se ejecute el CGI vulnerable, podríamos llegar a ser hasta administrador. Es probable también que no tengamos todos los privilegios, por lo que en ese caso deberíamos realizar una elevación de privilegios, aunque teniendo una sesión el equipo siempre será más sencillo.

Figura 8: Obtención de sesión con Metasploit

Debemos tener mucho cuidado con los distintos ataques, o combinación de ataques como se produce en este caso, y fortificar nuestros navegadores y nuestros entornos internos, aunque pensemos que por estar en una red interna estamos más seguros. Desde hace algunos años existen ciertos riesgos reales de que simplemente por visitar un sitio web con cualquier navegador, la red corporativa esté en riesgo, por lo que cuantas más capas de seguridad mejor.

jueves, 25 de diciembre de 2014

Los ladrones de Apple ID te "desean" Feliz Navidad

Ningún día de fiesta descansan los cibercriminales. Ahora, con el aumento de las compras online, los usuarios son más susceptibles a recibir un posible aviso de que su tarjeta de crédito ha sido robada, o de que su cuenta ha sido bloqueada por mal uso. Esto lo aprovechan los estafadores para enviarte correos, como éste, el mismo día de Navidad.

Figura 1: Correo de spam suplantando a Apple que lleva a un Phishing

Mirando el sitio donde está alojado, se puede ver que es un phishing clásico para robar el Apple ID del usuario, así que hay que evitarlo a toda costa.

Figura 2: Web hackeada con el portal de phishing de Apple ID instalado

Si miramos el formulario, vemos que se ponga lo que se ponga, el siguiente fichero PHP que se va a ejecutar es el emsg1.php.

Figura 3: Programa PHP invocado tras logearse

Este nos lleva directamente al corazón del Phishing, la solicitud de los datos de la tarjeta de crédito.

Figura 4: En la segunda fase se piden los datos de la tarjeta de crédito

Si volvemos a echar un ojo al formulario vemos que se está invocando a un nuevo fichero en PHP, donde esta vez se quiere hacer el robo completo de la identidad.

Figura 5: Nuevo fichero PHP invocado

En este caso se llega a un formulario que está solicitando datos personales y preguntas que puedan utilizarse para recuperar la identidad.

Figura 6: Datos de identidad personal en la tercera parte

El sitio web, por supuesto, está hackeado y han subido un clon de Apple ID que ya han utilizado en otros intentos anteriores, ya que si se buscan esos ficheros en Google, bassimo1.php, emsg1,php, y websrc.php es fácil localizarlos en otros sitios hackeados.

Figura 7: Directory Listing en el servidor web hackeado

Dicho esto, os queremos de corazón desear felices fiestas, y que no bajéis la guardia que los ladrones de identidad no descansan ningún día del año.

miércoles, 24 de diciembre de 2014

Mac EFI vulnerable a bootkits a través de Thunderbolt

Un ataque de tipo bootkit vuelve a tener a OS X como escenario de ataque. El congreso Chaos Communication que se celebrará la próxima semana en Alemania tendrá entre sus ponentes a un investigador que presentará un método con el que un agente malicioso podría utilizar un dispositivo Thunderbolt diseñado para inyectar un bootkit en la ROM de arranque EFI de cualquier dispositivo que se conecte a un Mac.

No es la primera vez que hablamos en Seguridad Apple sobre ataques similares que afecten al firmware y que se lleven a cabo por Thunderbolt, e incluso vimos ya cómo se podía acceder directamente a memoria para hackear los portátiles mediante la conexión Thunderbolt.

El ataque se aprovecha de un fallo antiguo en la opción ROM Thunderbolt, el cual se dio a conocer por primera vez en el año 2012, aunque a día de hoy sigue sin ser parcheado por Apple.

Con este fallo se puede escribir código personalizado en la ROM, pero el investigador mostrará un método con el cual el bootkit podría replicarse a sí mismo a cualquier dispositivo Thunderbolt adjunto, dotándole de capacidad de propagación a través de las redes. El ataque no puede ser mitigado mediante la reinstalación de OS X, o incluso intercambiando el disco duro, ¿por qué? Esto es debido a que el código alojando en una ROM está separado de la placa base. En el abstract del investigador se señala que él podría reemplazar la clave criptográfica propia de Apple con una nueva, por lo que afectaría gravemente a las actualizaciones de firmware legítimo.

Figura 1: El bug es el funcionamiento de la arquitectura Thunderbolt, como ya se avisó.

En la descripción de la charla también se puede leer que no hay hardware ni software que realice un control criptográfico en el momento del inicio sobre el firmware, por lo que una vez que el código malicioso se ha flasheado a la ROM, se puede controlar el sistema desde la primera instrucción. Las vulnerabilidades a tan bajo nivel son muy alarmantes, ya que son complejas de detectar, y en muchas ocasiones también complejas de subsanar por el proveedor. El ataque de Hudson, el investigador que ha encontrado el fallo, requiere de acceso físico, pero su capacidad y su posibilidad de propagación hace que sea realmente peligroso.

martes, 23 de diciembre de 2014

Hotfix crítico de Apple para el protocolo NTP en OS X

El año que se cierra ha dejado alguna noticia más que interesante respecto al protocolo NTP, como por ejemplo su uso en el mayor ataque de denegación de servicio que, a día de hoy, ha existido en Internet. La técnica utilizada fue la denominada como NTP Amplification y consiste en enviar un paquete UDP, el cual su respuesta es N veces mayor. De esta manera si diversas máquinas generan tráfico, obteniendo un valor N veces mayor en la respuesta, se puede lograr enviar dicho tráfico a los objetivos que se quiera. En esta ocasión la vulnerabilidad que el equipo de Apple ha solventado originaba la posibilidad de ejecutar código arbitrario con los privilegios del proceso ntpd.

Los investigadores del equipo de seguridad de Google Neel Mehta y Stephen Roettger han coordinado múltiples vulnerabilidades con el CERT en relación a dicha vulnerabilidad. Como NTP es ampliamente utilizado dentro de los despliegues de sistemas operativos de control industrial, es algo bastante crítico, ya que muchos atacantes podrían aprovecharse de estos fallos para explotar infraestructuras críticas. 

Figura 1: Actualización de seguridad de NTP
Además, la vulnerabilidad podría ser explotada remotamente. Los exploits se encuentran disponibles públicamente, por lo que cualquier usuario puede montarse un entorno de pruebas y realizar sus pequeños tests. Los productos que utilizan el servicio NTP en su versión inferior a la 4.2.8 se ven afectados. Este año ha sido dificil para Apple, ya que ha tenido que lidiar con diversas vulnerabilidades críticas y que afectaban a sus productos, tenemos que recordar el famoso Heartbleed o Shellshock. La actualización de seguridad se puede descargar desde la Mac App Store.

lunes, 22 de diciembre de 2014

Apple libera la beta pública de OS X Yosemite 10.10.2

Apple ha liberado una nueva versión beta de OS X Yosemite 10.10.2. Esta vez no sólo está disponible para desarrolladores registrados, si no que la nueva versión preliminar está disponible para todos los beta testers que quieran probarlo. Está disponible en la Mac AppStore para su descarga y ha aparecido una semana después de que Apple lanzase la tercera beta de desarrolladores de OS X 10.10.2. Las áreas dónde se centralizan los esfuerzos de los testers suelen ser Mail, VoiceOver y, sobretodo la conectividad Wi-Fi. Sabiendo los problemas históricos de la conectividad Wi-Fi en Apple, serán observados con lupa, aunque con OS X Yosemite 10.10.1 se supone que quedaron resueltos muchos.

Es cierto que sigue habiendo ciertos problemas que afectan a la conectividad Wi-Fi y que Apple ha estado tratando, por lo que se espera que en esta nueva versión del sistema operativo queden resueltos.

Figura 1: OS X Yosemite 

Con este lanzamiento Apple cumple la promesa de continuar con el problema de versiones beta públicas. Otra noticia de la que hay que hablar es que hace apenas un par de días, Apple lanzó la tercera beta de iOS 8.2 para desarrolladores, que trae soporte WatchKit, que es el conjunto de herramientas de desarrollo de software para el próximo Apple Watch.

domingo, 21 de diciembre de 2014

Fue Noticia en Seguridad Apple: del 8 al 21 de Diciembre

A las puertas de la Navidad, toca detenernos por un momento, echar la vista atrás, y resumir todas las noticias acontecidas en el mundo de la seguridad de los productos de Apple, en el último Fue Noticia del año. Os presentamos pues los post publicados en este blog durante las últimas dos semanas, así como en otros sitios web y blogs de referencia.

Comenzamos este repaso en el lunes 8 de Diciembre, con el anuncio de Sinfonier Meetup, un evento dirigido a analistas de seguridad informática en el que se presentaron casos de aplicación de diferentes tecnologías de este sector, como la de investigar el cibercrimen en Android.

Al día siguiente volvimos a las rencillas entre China y Apple, concretamente al recordatorio que el gobierno chino ha dirigido hacia la compañía en relación a la necesidad de proteger la privacidad de los usuarios y de la información que pueda afectar a la seguridad nacional.

El miércoles os presentamos la actualización 8.1.2 para el sistema operativo iOS, cuyo contenido de seguridad es el mismo que el de la 8.1.1, pero que corrige ciertos errores que causaban la pérdida de los ringtones adquiridos en iTunes.

Verificación en dos pasos
El jueves detallamos el trabajo publicado por Raúl Siles donde recopila todos los bugs que permiten bypassear el passcode en las diferentes versiones de iOS. Destaca el gran número de posibilidades y la aparente incapacidad de Apple para solventar este problema.

El viernes 12 volvimos sobre la política de second factor authentication presentada por Apple en marzo de 2013, y su estricta aplicación, que ha llevado a usuarios a perder potencialmente su cuenta por haber olvidado la clave de recuperación. Eso sí, nadie te robará la cuenta.

Arrancamos el fin de semana con un nuevo Security Advisory, en el que actualiza la política de bloqueos de plugins desactualizados de Adobe en Apple Safari, para ayudar al usuario a mantener actualizados a la última versión dicho software y evitar el mayor número de problemas posibles.

Flextivity
El domingo comentamos los detalles de las actualizaciones 8.0.2, 7.1.2 y 6.2.2 de Safari para el sistema operativo OSX. Se corrigen un total de 13 CVEs de seguridad, así como el fix para Adobe Flash Player.

El 15 de diciembre hablamos de Flextivity, una herramienta de Intego que pretende facilitar la gestión de la seguridad a las PyMES en los equipos con OSX.

El martes hablamos de CloudAtlas, un malware para dispositivos iOS que tengan realizado el jailbreak y que aparentemente está siendo usado por ciertos gobiernos para labores de espionaje de altos cargos políticos y de directivos de empresas.

A mitad de semana os explicamos un truco para evitar la previsualización de mensajes en la pantalla de bloqueo de OSX, característica que no siempre es deseable ya que puede suponer una fuga de información que podría incluso causar el robo de identidades.

El jueves nos ocupó de nuevo el malware Xsser mRAT, un troyano que permite otorgar el control de un dispositivo a un atacante remoto y que afecta principalmente a dispositivos Android y dispositivos iOS con jailbreak.

El viernes la noticia fue para la patente que Apple ha solicitado para mezclar el desbloqueo de terminales con iOS utilizando un movimiento de dedo sobre la pantalla unido con Touch ID. Esta patente proviene del equipo de biometría de Apple y parece que pronto estará en el mercado.

Para termina, ayer os hablamos de las técnicas de Rogue AV que algunos desarrolladores de apps para iOS están utilizando para promocionar con BlackSEO su descarga y posicionamiento en App Store, lo que se conoce como Black ASO (App Store Optimization).

Y hasta aquí todo lo que publicamos en este periodo de tiempo, pero como siempre, os traemos una selección de otras noticias y artículos que merece la pena que os leáis este domingo. Estos son los escogidos:
- SealSign y SmartID ya están disponibles: Los productos de Eleven Paths para la firma digital y para la autenticación biométrica utilizando dispositivos móviles ya están disponibles para el mercado. Toda la información está ahora en la web. 
- Proyecto Thoth: Recopilación de todos los vídeos formativos en modo píldora (no más de 5 minutos) sobre esta iniciativa de formación en seguridad de la información, con explicaciones sobre la criptografía, el criptoanálisis, la esteganografía y el estegonanálisis. 
- Ingeniero de Apple confirma que la compañía quería acabar con los "otros" iTunes: No querían bajo ningún concepto que hubiera otros clientes similares a iTunes, para lo que se tomaron muchas medidas. 
- Un Apple I de Steve Jobs & Steve Wozniak vale más de 600.000 K: Es lo que se está pagando en todas las subastas, así que ponte a ahorrar o sé muy bueno para que te lo traigan los Reyes Magos.
Un Apple I original subastado recientemente
- Grinch - Escalado de privilegios en GNU/Linux a través del usuario wheel: En HackPlayers recogen información de esta vulnerabilidad que afecta a los servidores Linux y que pone en jaque a muchos entornos de producción. 
-¿Qué es una VPN y por qué deberías usarla?: Explicación en Blog Think Big del concepto de red privada virtual y sus aplicaciones al mundo de la seguridad informática. 
- El FBI utilizó Metasploit para desenmascarar a los usuarios de TOR: Utilizó el popular framework de explotación para localizar la ubicación real de los usuarios marcando las conexiones de los clientes. 
- Cómo montar un sistema de ficheros no nativos en OS X con FUSE: Necesario para poder controlar las instalaciones de unidades cifradas con soluciones de terceros o para gestionar volúmenes NTFS. 
- 100.000 sitios de WordPress afectados por SoakSoak: Una gran cantidad de dominios con WordPress están infectados con malware que hace redirecciones al dominio SoakSoak.ru. Fortifica tu WordPress.
Y esto fue todo. Esperamos veros dentro de dos semanas en esta sección y cada día aguardamos vuestra visita en los artículos diarios de Seguridad Apple. Buen domingo.

sábado, 20 de diciembre de 2014

Avisos de Rogue AV para promocionar apps en App Store

Un compañero nos ha enviado un mensaje de aviso que le salió navegando por un enlace en una aplicación. Como puede verse en la imagen, el mensaje es el habitual utilizado por las compañías dedicadas a los Rogue AV que simulan haber escaneado el sistema operativo y encontrado algún virus. Lo curioso de este asunto es que hacen creer a la víctima que, en primer lugar, su equipo está infectado con virus y, en segundo lugar, que existen antivirus para iOS - ya sea iPhone o iPad en la App Store, algo que no es verdad. Lo cierto es que lo que están promocionando es una app de una empresa que, haciendo de servidor VPN, promete filtrar ataques y malware que vengan en la navegación, pero desde luego no han escaneado para nada el dispositivo y tampoco es un antimalware

Eso sí, están haciendo uso de técnicas de BlackSEO para promocionarse y conseguir usuarios que, de forma fraudulenta, acaben instalando su software en el dispositivo para después hacerles ventas con posibles engaños.

Figura 1: Anuncio que falsamente dice haber encontrado virus en tu iPhone

Tened cuidado con estas cosas, y avisad a la gente de vuestro entorno que menos conocimientos técnicos posea para evitar que sean víctimas de estos engaños y acaben gastando dinero en falsas protecciones para su dispositivo.

viernes, 19 de diciembre de 2014

Apple patenta usar Touch ID y movimiento de dedo para mejorar la seguridad en iPhone

Apple ha publicado una patente en la que se reflejan las intenciones claras de juntar la tecnología Touch ID y los patrones generados con el dedo. De esta manera se pretende ofrecer seguridad más avanzada para futuras generaciones de iPhone e iPad. La patente acreditada por Dale R. Setlak, co-fundandor de AuthenTec, compañía que fue adquirida por Apple para mejorar su identificación a través de los sensores biométricos de huellas. En la patente se detalla cómo el sensor Touch ID que disponen hoy día los dispositivos iPhone/iPad podrían interactuar con una interfaz de usuario para permitir que los usuarios desbloqueen su dispositivo. 

En la patente se detalla como el proceso determina el patrón de entrada generado con el dedo sobre el sensor Touch ID. En ese momento el proceso muestra una imagen sobre la pantalla que se corresponde con el movimiento realizado por el dedo sobre el sensor. El dispositivo se desbloqueará cuando el patrón coincide con un patrón almacenado en el dispositivo. 

Figura 1: Ejemplo de uso de Tocuh ID y movimiento de dedo

La patente muestra como el sensor Touch ID introducido en los últimos dispositivos móviles de Apple sirve para mucho más. La tecnología que muestra Apple en la patente permite detectar movimiento a través del sensor, con lo que se podría conseguir métodos de entradas únicos en un futuro cercano.

Figura 2: Ejemplo de patrones y movimiento

En los últimos dispositivos iPhone 6 e iPhone 6 Plus ya se ha comenzado a proporcionar esto de manera sutil con la característica Accesibilidad, la cual permite al usuario tocar el botón dos veces y hacer que la parte superior de la pantalla se muestre a mitad de la pantalla física, para que un usuario tenga más accesibles las zonas superiores a las cuales no puede llegar con el dedo de forma sencilla. La patente deja abierta las posibilidades que existen con esta nueva tecnología, y es que el sustituto de Touch ID podría proporcionar navegación basada en el contacto, precisión con el curso al editar texto, emulación de joystick óptico, característica de desplazamiento rápido, etcétera. 

jueves, 18 de diciembre de 2014

Xsser mRAT sigue siendo una amenaza en Android e iOS

Hace unos meses comentamos en Seguridad Apple la existencia de un malware que afectaba a dispositivos iOS denominado Xsser mRAT. Los investigadores que este troyano móvil sigue siendo una amenaza para los usuarios de dispositivos móviles, tanto de Android como de iOS. La empresa que descubrió el troyano fue Lacoon Mobile Security en Septiembre y ha informado de que existe una nueva campaña en países de Asia durante los meses de Octubre y Noviembre. David Fernández, jefe del equipo de PLXsert de Akamai, dijo que los ataques no han sido generalizados, pero esta RAT móvil está adaptada para ataques dirigidos a dispositivos.

Según el informe que ha preparado la gente de Akamai, podemos saber que el factor de infección es el Jailbreak. Lo que es asombroso, y se refleja en el informe es que solamente en China el 14% de los 60 millones de dispositivos iOS tiene Jailbreak.

Acceso remoto: Xsser mRAT

En el informe se especifica como se descubrió el troyano y como se descubrió una variante destinada a infectar dispositivos iOS surgió en el mercado, a través del Jailbreak. La aplicación se instala a través de un repositorio de Cydia y una vez el paquete se ha instalado y ejecutada se confirma la persistencia del malware. A continuación, se realiza comprobaciones del lado del servidor y se procede a la exportación de datos del dispositivo y ejecuta comandos remotos.

El paquete que se descarga con el malware es un archivo con extensión DEB, típica de los paquetes Debian. Consta de varios scripts de instalación un fichero Mach-O, nombre asociado a los binarios de Apple, ejecutable. Tras el proceso de extracción, el archivo postinst ejecuta una serie de comandos de bash para ajustar los permisos de los archivos.

Figura 1: Contenido del fichero bash

Después se ejecuta un script denominado xsser.0day_t.sh, el cual es utilizado para instalar LaunchDaemon plist, otorgando persistencia al troyano. En la imagen se puede visualizar el segundo script lanzado por el malware.

Figura 2: Obtención de persistencia por Xsser

Hosting de la aplicación maliciosa

Para distribuir Xsser mRAT debe ser subido en un repositorio de Cydia o ser almacenado en un host en Internet al que las posibles víctimas pudieran acceder para descargarlo. Según la gente de Akamai los métodos de infección son diversos en este caso, utilizando el SMS, el envío de emails, el uso de Cydia para su distribución, etcétera. Los usuarios deben agregar las fuentes a mano, o ser engañados para agregarlos. Es conocido que muchos usuarios añaden las fuentes sin ninguna garantía de que dicha fuente está a salvo de aplicaciones maliciosas.

Figura 3: myrepospace

Por ejemplo, myrepospace es un sitio web que ofrece alojamiento gratuito para fuentes de Cydia. Esto permite que usuario malicioso pueda subirlo y que las víctimas descarguen aplicaciones de dicho repositorio. Un ejemplo claro es el caso de flappybird a través de Cydia u otros juegos populares que se venden en la AppStore. Se puede utilizar técnicas de phishing para conseguir que los usuarios inserten el repositorio. Esta es una de las vías para que Xsser sea distribuido, pero como comentamos anteriormente hay otras que se utilizan, como el envío de SMS, email, etcétera.

Al final del informe se proprociona una serie de recomendaciones para prevenir la infección del dispositivo iOS. Entre ellas destacan el evitar utilizar conexiones inalámbricas no seguras, utilizar conexiones públicas, utilizar VPN en caso de estar en un entorno no seguro para realizar cualquier operación, ignorar conexiones dónde haya contenido de dudosa procedencia, incluso se habla de la posibilidad de ser víctima de ataques GSM, y de la dificultad de detectarlos por parte del usuario.

miércoles, 17 de diciembre de 2014

OS X: Evitar visualización de mensajes con pantalla bloqueada

Una de las características que tiene OS X, es la posibilidad de poder ver las notificaciones de aplicaciones con la pantalla bloqueada. Esto puede ser un problema si tienes un equipo en una zona de trabajo y te vas a tomar un café o a una reunión y alguien puede ver los mensajes que te van llegando.

Figura 1: Mensaje de Skype mostrado en pantalla bloqueada

Para evitar esto, se debe ir a las Preferencias del Sistema, entrar en la parte de Notificaciones y por cada aplicación decidir si se quieren ver o no las notificaciones con la pantalla bloqueada.

Figura 2: Configuración de visualización con pantalla bloqueada

Ten en cuenta que si alguien pide recuperar una cuenta y el código llega por medio de un correo electrónico o un iMessage, y éste está sincronizado con OS X, entonces podría costarte caro.

martes, 16 de diciembre de 2014

Malware iOS/CloudAtlas para dispositivos con Jailbreak

CloudAtlas parece ser la última muestra de malware usado por gobiernos para espiar a diplomáticos, políticos, militares y directivos, con un objetivo de interceptar  las comunicaciones y realizar grabaciones de llamadas telefónicas. Los usuarios que disponen de dispositivos iOS no están a salvo de esto ya que según informes publicados por Blue Coat y Kaspersky, existen víctimas en Rusia y otros países de alrededor siendo engañados para abrir documentos que haciendo clic en enlaces que hacen creer que verán información sobre un coche diplomático, o incluso haciéndoles creer que podrás descargar una versión mejorada de WhatsApp son infectados.

Figura 1: Enlace a un WhatsApp malicioso

Los dispositivos mas propensos a a ser infectados por este ataque, que explota vulnerabilidades en el formato de documento RTF, son las máquinas Windows pero este malware también puede infectar dispositivos iOS, como iPhone o iPad - si se ha realizado el Jailbreak -, por lo que se recomienda que se tomen muchas precauciones si el dispositivo se encuentra jailbrekeado.

Figura 2: e-mail con distribución de CloudAtlas vía exploit RTF

Los datos de posible procedencia de este malware aparecen diversificados dependiendo de la versión del sistema operativo que vaya a ser infectado. BlueCoat ha publicado los siguientes datos para poder ubicar la procedencia del mismo.

Figura 3: Posibles atribuciones del malware CloudAtlas

Una vez instalado en un dispositivo iOS jailbreak, el malware puede recoger una amplia variedad de información y transmitirla a una cuenta FTP bajo el control de los atacantes. Nada de esto, sin embargo, tendrá éxito si el iPhone o iPad está su estado de fábrica, y no se ha hecho un jailbreak para permitir aplicaciones de markets de terceros tengan vía libre por encima al dispositivo. No obstante, hay que tener presente que ya hay malware que hace directamente el jailbreak, así que hay que extremar las precauciones.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares