Menú principal

lunes, 30 de noviembre de 2015

OS X 10.11.1: Bug permite bypassear la confirmación de AppleScript y ejecutar código

La vulnerabilidad con CVE-2015-7007 publicada el pasado mes de Octubre afecta gravemente al nuevo sistema operativo de Apple denominado El Capitan. Una vulnerabilidad encontrada en OS X 10.11.1 permite a los atacantes bypassear la confirmación requerida por AppleScript para ejecutar código. Esta vulnerabilidad es grave o crítica ya que permite que un potencial atacante se apodere remotamente de un equipo con este sistema operativo instalado. 

La vulnerabilidad fue reportada por el investigador Joe Vennix de la empresa Rapid7. Seguramente debido a esto, el exploit se encuentra ya integrado con el framework de explotación de Metasploit. En versiones anteriores a la 10.11.1 el esquema applescript://url proporciona la posibilidad de ejecutar una secuencia de comandos a través del editor de AppleScript. Al pulsar sobre la combinación de teclas cmd - R en el editor de AppleScript se ejecuta el código sin ningún tipo de confirmación adicional del usuario. 

Figura 1: Descripción de la vulnerabilidad

Si se consigue que el usuario pulse el botón cmd - R en Safari y enganchando el evento keypress-cmd un usuario puede ser engañado para ejecutar código arbitrario con AppleScript. El investigador Joe Vennix ha publicado un módulo de Metasploit que permite realizar esta operativa de manera sencilla. Este módulo es de tipo client-side, por lo que creará un servicio que devolverá una página web maliciosa y que al visitarla conseguirá ejecutar, apoyándose en esta vulnerabilidad, código arbitrario en la máquina. 

Figura 2: Código del módulo CVE-2015-7007

Cómo se puede ver el módulo es realmente sencillo y mediante un client-side permitirá comprometer a los equipos OS X. Como nota, que minimiza el impacto de la vulnerabilidad, decir que Gatekeeper debe estar deshabilitado. Si quieres conocer más sobre Metasploit te recomendamos el libro de Metasploit para Pentesters escrito por nuestro compañero Pablo González.

domingo, 29 de noviembre de 2015

Ganadores de los Premios Bitácoras 2015

Este viernes se entregaron los Premios Bitácoras 2015 donde se entregan no solo galardones a los mejores blogs, sino también a los mejores podcaster, youtuber, tuitero e instagramer del año. Nuestro blog participaba en la categoría de Seguridad Informática aunque también podría estar en la parte de tecnología. Los ganadores en esas dos áreas fueron ReadWriteWeb por tecnología y la Oficina de Seguridad del Internauta por Seguridad Informática. Esta es la lista completa de ganadores.

Figura 1: Lista de ganadores de los Premios Bitácoras 2015

Hay que decir que el blog de nuestro compañero Chema Alonso, ganador en dos ocasiones del galardón de mejor blog de seguridad informática en los Premios Bitácoras, quedó el primero en la fase de votaciones del público, lo que nos llena de orgullo. En todas las ediciones de los Premios Bitácoras, El lado del mal ha estado siempre como blog finalista, algo que no ha conseguido ningún otro medio.

Figura 2: Finalistas de los Premios Bitácoras 2015 al mejor blog de Seguridad Informática

La lista de blogs de Seguridad Informática que participó en esta categoría la tienes en el siguiente enlace, donde podrás rebuscar buenos sitios para añadir a tu lector RSS. Buen fin de semana.

viernes, 27 de noviembre de 2015

Hoy da comienzo el Cybercamp 2015 en Madrid

Por segundo año se celebra en Madrid el evento organizado por Incibe denominado Cybercamp. En este multitudinario evento se concentran grandes profesionales del sector de la Seguridad de la Información. En esta edición habrá más variedad debido a las distintas áreas enfocadas entre las que se encuentran la empresa, la educación y la investigación. El Cybercamp es un evento que tiene de todo y para todos, podrás disfrutar de hackathones, de concursos, de talleres familiares, talleres técnicos, incluso obras de teatro, todo con un punto común Internet.

La entrada es gratuita y la ubicación el Barclaycard Center de Madrid, el cual podéis visualizar en la imagen inferior. En el área de Empleo y Talento Eleven Paths dispone de un stand dónde podréis pasar a saludarnos y dejar vuestro CV por si queréis hacer cosas con nosotros. Os invitamos a que os acerquéis y comentemos cosas sobre el mundo que nos apasiona. 

Figura 1: Ubicación Cybercamp 2015

Hoy viernes nuestros compañeros Rafa Sánchez y Pablo González darán un taller, a las 16.00, sobre IPv6 denominado Challenge Accepted. Después, a las 18.00, nuestros compañeros Felix Brezo y Yaiza Rubio impartirán un taller sobre el uso de las fuentes abiertas para identificar usuarios en Internet.

Figura 2: Talleres en Cybercamp 2015

Además, por parte de Eleven Paths en el evento participará, podéis ver la agenda, nuestro CEO Chema Alonso que dará una charla el Sábado 28 en el auditorio. La charla de Chema será a las 12.45 y se denomina Long Hanging Fruit: O cómo ser un Fashion Victim y un Looser. Además, nuestro compañero Pablo González dará una charla el Sábado por la mañana denominada How can (bad boys or even u) rule the world? 

jueves, 26 de noviembre de 2015

OS X 10.10.5: Módulo rsh/libmalloc en Metasploit para escalar privilegios explotando el CVE-2015-5889

El pasado mes de Octubre se hizo pública la última gran vulnerabilidad de escalada de privilegios para OS X. En esta ocasión con nombre rsh/libmalloc y que afectaba a los sistemas OS X 10.9.5 y 10.10.5. La vulnerabilidad que se puede encontrar en el CVE-2015-5889 permite modificar el fichero sudoers consiguiendo ejecutar un comando, un proceso o una shell con la identidad del superusuario root.

Es cierto que este año hemos ido viendo distintos ejemplos de vulnerabilidades locales que permitían escalar privilegios en sistemas OS X, como por ejemplo el exploit que cabía en un tweet, o Rootpipe I y Rootpipe II. El módulo puede encontrarse en el sitio web de exploit-db, aunque ya se puede encontrar en el github oficial de Metasploit Framework. Como se mencionaba anteriormente el modulo escribe en el fichero sudoers sin disponer de acceso de root explotando una vulnerabilidad en rsh. La línea que se escribe en el fichero sudoers indica que no se requiere password para utilizar la identidad de root, cuando un usuario ejecute el comando sudo. De este modo se da acceso completo, incluso si el root está deshabilitado.

Figura 1: Función initialize del módulo rsh/libmalloc

La vulnerabilidad ha sido parcheada en la versión OS X 10.11 El Capitan, pero es funcional en las versiones OS X 10.9.5 y OS X 10.10.5. Si queréis saber más cosas sobre Metasploit tenéis el libro de nuestro compañero Pablo González llamado Metasploit para Pentesters.

miércoles, 25 de noviembre de 2015

iOS 9 y los ajustes de privacidad y seguridad

El famoso blog norteamericano ZDNet ha publicado una guía de buenas prácticas visual para mejorar la experiencia en tanto a la privacidad como a la seguridad en sus dispositivos iOS. Es cierto que con iOS 9 se han añadido nuevas características que permiten mejorar la experiencia de uso en lo que a privacidad y seguridad se refieren. Esta guía visual ofrece información sobre esto de forma totalmente gráfica, dónde se pueden identificar los elementos que hay que configurar para mejorar la experiencia. El sistema operativo iOS 9 viene con una serie de mejoras tanto en seguridad como en privacidad que merece la pena repasar.

Antes de nada hay que realizar la personalización del dispositivo, teniendo en cuenta estas funcionalidades. En la guía se pueden visualizar 15 hitos que podemos ir comprobando y configurando para encontrarnos un poco más seguros y con una mejor experiencia en privacidad. Uno de los clásicos, pero que ha  evolucionado, es el famoso Passcode. Este elemento protege nuestra información cuando el dispositivo está apagado, y cuando éste está bloqueado. Con iOS 9 tenemos la actualización del Passcode más utilizado, el numérico, a 6 digitos. La guía explica cómo configurar el Passcode y como se puede vincular al Touch ID

La opción de trackear los sitios recientes puede ser deshabilitada en Ajustes - Privacidad - Localización y ahí se podrá deshabilitar. Además, de limpiar el histórico de ubicaciones. En la imagen se puede visualizar cómo afectaría a la privacidad del usuario.

Figura 1: Geolocalización de lugares frecuentes

Para las aplicaciones que quieren localizarnos o utilizar recursos de nuestro dispositivo se podría desactivar desde Ajustes - Privacidad indicando que aplicaciones pueden o no acceder a datos privados nuestros. En la imagen se puede ver como aplicaciones, como por ejemplo Twitter, pide acceso a los contactos. En el momento que estas aplicaciones tengan acceso a esta información.

Figura 2: Acceso a los contactos

En la pestaña Ajustes - iCloud se puede encontrar la posibilidad de habilitar la función Find My iPhone la cual permite encontrar el dispositivo en caso de pérdida o robo. Es reomendable habilitarlo. La funcionalidad Send Last Location permite enviar la última ubicación cuando el dispositivo se encuentra con batería crítica. Esto puede permitir encontrarlo o rastrear la zona dónde estuvo por última vez activo.

Otra funcionalidad que permite iOS para mejorar privacidad y seguridad es la opción de requerir la contraseña para realizar compras. Se puede configurar para que siempre sea requerida, lo cual es algo más seguro que requerir después de 15 minutos, que es la otra opción.

Figura 3: Requerir contraseña para realizar compras

Respecto a los mensajes de voz es recomendable hacer que expiren con el tiempo. En Ajustes - Messages se puede encontrar la opción de indicar el tiempo que debe transcurrir para que los mensajes de audio expiren. Esto fue introducido en la versión 8 del sistema operativo, pero es algo realmente útil para no dejar perpetuos ciertos mensajes en el dispositivo.

Figura 4: Tiempo para la expiración de mensajes de audio y video

Por supuesto que se habla de otras medidas como el cambio por defecto de la red WiFi del hotspot por defecto, la utilización del Touch ID y cómo se presentan las notificaciones en el dispositivo. Interesante guía que os dejamos para que visualicéis y podáis exprirmir las funcionalidades que aporta iOS para cuidar la privacidad y seguridad.

martes, 24 de noviembre de 2015

Ni Apple, ni Google, ni Microsoft, ni Twitter, ni Samsung quieren debilitar sus sistemas de cifrado

¿Cifrado o no cifrado?
Sigue la presión a las empresas tecnológicas para que incluyan puertas traseras en el cifrado para que el gobierno pueda acceder a la información que requiera. Apple y otras empresas como Microsoft, Google, Twitter, Samsung y otras 57 empresas se han unido para rechazar las peticiones de debilitar el cifrado diciendo que sería explotado por los criminales. Después de las afirmaciones de Tim Cook, de que una puerta trasera o backdoor es lo mismo para todo el mundo, el Consejo de Tecnología de la Información, que representa a 62 empresas de todo el mundo dijo que el cifrado es una herramienta de seguridad en la que nos apoyamos todos los días para detener delincuentes, evitar robos bancarios o evitar que aviones y coches puedan ser controlados por criminales.

Estas afirmaciones, tanto la de Tim Cook como la del Consejo de Tecnología de la Información, se encuentran alineadas bajo la premisa de no debilitar uno de los pilares de la seguridad. El debate, sin duda, es abierto a la sociedad, y seguramente ésta tenga un papel fundamental en el futuro sobre este tema. Los ataques de París han hecho que la sociedad se pregunté qué cosas deben ser seguras en Internet y cuales no, y el debate está entorno al cifrado. El director ejecutivo del Consejo de Tecnología de la Información, Dean Garfield, comentó que debilitar a la seguridad con el objetivo de promover la seguridad, simplemente no tenía sentido. La frase para redundante, pero es cierto que el cifrado es una herramienta para protegernos. Sin embargo, hay otros países, como el Reino Unido, han comentado que las puertas traseras deben crearse para mejorar la seguridad.

Figura 1: Tim Cook no cede ante la presión gubernamental

El comentario del país anglosajón choca de frente con la opinión de Garfield. Éste hace hincapié en que las puertas traseras a dispositivos y al cifrado crearán vulnerabilidades que pueden ser explotadas por los chicos malos, lo cual acabará siendo un daño físico y financiero grave en la sociedad.  El debate no ha finalizado, y seguramente lo tendremos abierto durante los próximos años, ¿Privacidad a cambio de Seguridad? Apple parece dispuesta a no debilitar su cifrado. Además, como hemos podido ver el ISIS recomienda utilizar iMessage para comunicarse entre sí, debido a la potencia de cifrado extremo a extremo que presenta Apple.

lunes, 23 de noviembre de 2015

iTouchSecure for iOS 9: Introducir passwords con TouchID

iTouchSecure es un tweak, el cual se puede encontrar en Cydia, que permite gestionar contraseñas que se pueden introducir en el dispositivo a través del Touch ID del dispositivo iPad o iPhone. Este tweak puede ser útil para ahorrar tiempo y evitar el tener que recordar las contraseñas a la hora de tener que introducirlas. El twak, como se puede ver en el video, está disponible para iOS 9 con Jailbreak, y permite introducir contraseñas en aplicaciones como Facebook, y también el navegador Safari. Como se menciona anteriormente, podemos optimizar el tiempo y la gestión de contraseñas.

El soporte para el navegador Safari es interesante y permite gestionar y utilizar de forma sencilla la contraseña en sitios web sin tener que escribirla. Cuando el usuario puede introducir la contraseña a través del uso de la huella se verá un icono o imagen de la huella digital al lado del campo de la contraseña. Si no hay contraseña guardada para la aplicación o la URL entonces se verá un rectángulo amarillo alrededor de la caja de texto.

Figura 1: Funcionamiento de iTouchSecure

El tweak guarda automáticamente la contraseña de cualquier nuevo servicio, una vez se haya ingresado manualmente por primera vez. Para poder utilizar iTouchSecure en Safari, primero se debe rellenar la configuración de Safari. Una vez hecho esto se podrá autenticar en los sitios con el tweak. También se puede utilizar este tweak en los navegadores de terceros como Google Chrome.

domingo, 22 de noviembre de 2015

Fue Noticia en Seguridad Apple: Del 9 al 22 de Noviembre

Tras dos semanas intensas, en las que el mundo de la seguridad informática no ha parado quieto. Llega el momento de sentarse y repasar todo lo visto en estos días. Como siempre, en Seguridad Apple os ofrecemos nuestro Fue Noticia, una selección de las publicaciones más interesantes de este y otros blogs.

El día 9 de Noviembre os hablamos de Gatekeerper, una extensión creada para el kernel de OS X y que fue publicada en Reverse Engineering Mac OS X con el objetivo de mejorar Gatekeeper, forzando la comprobación de toda librería cargada dinámicamente.

El martes nos centramos en la primera actualización para el nuevo Apple TV, TVOS 9.0.1, que por desgracia todavía no proporciona integración de Siri con Apple Music.

A mitad de semana os anunciamos el próximo Sinfonier Meetup, centrado en el tema del Ciberterrorismo, tan de moda estos días, que tendría lugar el 19 de noviembre en la sede Telefónica de Gran Vía.

Un caso de robo de credenciales ocupó nuestro post para el jueves de esa semana. Concretamente centrado en el caso de InstaAgent, una app que permitía conocer quién había visitado tu perfil de Instagram y que ha sido retirada por Apple.

El viernes de la semana pasada analizamos cómo la WebView de Twitter para iOS, si bien muestra el dominio al que se accede, puede recortar una parte del mismo, dejando al usuario parcialmente indefenso ante ataques de phishing.

Empezamos el fin de semana con una noticia sorprendente: Google anunció que retiraría el soporte de Chrome para los sistemas operativos OS X Snow Leopard, Lion y Mountain Lion, lo que los dejaría indefensos ante nuevas vulnerabilidades.

El domingo 15 os presentamos dos pruebas de concepto sobre ransomware para OS X, ambas desarrolladas por investigadores de seguridad españoles: Mabouia y Gopher.

Comenzamos la penúltima semana de noviembre con la historia del timador timado: un estafador que hacía e-mail spoofing para comprar vía Paypal fue trolleado por una de sus víctimas.

Un fallo de Apple centró nuestro atención el martes. Un error en la gestión de certificados ha provocado que los usuarios de OS X se hayan visto obligados a reinstalar multitud de aplicaciones para evitar problemas de seguridad.

Un día después, Apple pidió disculpas públicamente a sus usuarios por el incidente de los certificados y todas las molestias ocasionadas - que a tenor de lo visto en la web no fueron pocas - al tiempo que detallaba las correcciones llevadas a cabo.

El jueves os explicamos cómo Virus Total permite analizar malware de OS X a través de una sandbox, además de soportar Windows y Android.

Para el viernes la noticia fue otra vez sobre las posibilidades que ofrece Siri de extraer información de un terminal bloqueado y de cómo puede afectar a tu privacidad, algo de lo que se ha hablado ya largo y tendido.

Por último, ayer os recordamos que Oracle ha puesto a disposición pública la versión de Java 8 Update 66 por lo que debéis actualizar lo antes posible vuestros sistemas operativos OS X.

Y esto ha sido todo lo publicado en Seguridad Apple durante estas dos semanas, pero como es habitual os traemos otros temas que quizá puedan ser de vuestro interés. Esta es la selección que os hemos hecho:
- Exposición de credenciales de Amazon Web Services: Estudio realizado en Eleven Paths sobre el número de apps que publican sus credenciales de acceso a los servicios de AWS en el código de las apps Android. 
- Amazon, por fin, activa el 2FA en sus cuentas: Para permitir a los usuarios que se protejan contra el robo de identidad. Ya era hora que una gran empresa como Amazon lo hiciera. 
- El Internet de tus cosas con Intel Edison, Sinfonier y Latch: Artículo en tres partes que explica cómo controlar dispositivos con placas Intel Edison usando Sinfonier y Latch. El código ha sido publicado para que pueda usarse. 
- Conferencias esta semana - Codemotion y Cybercamp: Nuestro compañero Chema Alonso estará en los eventos de Codemotion y Cybercamp con dos charlas en el track principal. Aún puedes apuntarte. 
- Curso en vídeo de Python para hackers: Impartido por Daniel Echeverry, autor de los libros de Python para pentesters y hacking con Python. 
- Vulnerabilidad de e-mail spoofing en Gmail para Android: Un nuevo bug que abre siempre nuevas posibilidades para ataques de phishing.
Hasta aquí nos dio de sí esta sección. Esperamos veros dentro de dos semanas por aquí y cada día en los artículos que publicamos en Seguridad Apple.

sábado, 21 de noviembre de 2015

Java 8 Update 66 para OS X: Actualiza cuanto antes

Esta semana Oracle ha puesto en circulación una nueva actualización de la plataforma Java 8, en concreto la versión Update 66 para sistemas operativos OS X, que debes actualizar cuanto antes porque soluciona una buena cantidad de bugs de seguridad de nivel de severidad Highly Critical. Hay que tener presente que estos bugs, una vez que salen los parches, pueden acabar con un exploit en uno de los populares Kits de Explotación utilizados para infectar equipos, y ya hemos visto que se han utilizado en el pasado para controlar equipos con sistemas operativos OS X.

Para comprobar si tienes la última versión en tu equipo vete a las Preferencias del Sistema, y haz clic sobre el icono de Java. Ahí puedes dar al botón que te permite comprobar si hay una versión más moderna de la versión Java que tienes tú. Si no has actualizado aún, te deberían ofrecer Java 8 Update 66 para tu equipo.

Figura 1: Java 8 Update 66 para OS X

Mantener el software actualizado es una de las primeras normas básicas de seguridad, así que no dejes pasar este momento sin tener tu equipo con todos los programas en su última versión existente, y Java no es precisamente de los menos atacados. Ponte a actualizar ya.

viernes, 20 de noviembre de 2015

Saltar pantalla de bloqueo con Siri: Tu privacidad cuenta

Realizar un bypass de la pantalla de bloqueo de iOS con Siri es un problema creciente y que afecta a la privacidad de los usuarios de iOS. En menos de 30 segundos, cualquier persona con acceso a un dispositivo iPhone o iPad puede extraer gran cantidad de datos personales utilizando Siri, según informa la empresa Trend Micro. El proveedor de seguridad ha dado la voz de alarma sobre algo que hemos podido ver diversas veces en Seguridad Apple. Cualquier persona con acceso físico a un dispositivo iOS puede interactuar con Siri y de una manera sencilla extraer datos, aunque el dispositivo se encuentre bloqueado.

Los investigadores de Trend Micro han clasificado en 30 segundos lo necesario para extraer nombres, números de teléfono o entradas del calendario, incluso enviar a una cuenta de redes sociales contenido, desde un dispositivo de iOS bloqueado usando, simplemente, comandos de voz. Los investigadores indican que un dispositivo bloqueado nunca debe revelar información sobre la identidad y el contacto del propietario, y menos información sobre los amigos y personas de contacto del propietario. Siri no bloquea esto y proporciona información detallada y otras funciones en un dispositivo bloqueado.

Figura 1: Creación de una reunión con Siri

En Seguridad Apple hemos hablado de diversos casos en los que Siri ayudaba a conseguir información o realizar acciones con el dispositivo, como por ejemplo cuando Siri nos deja usar el iPhone aún con el passcode.Incluso algún bug que permitía a Siri desactivar Find my iPhone, por lo que si tu dispositivo era robado tendrías un problema para encontrarlo. También hemos hablado sobre su configuración y los peligros que aporta, por lo que te recomendamos la lectura de esta información.

Figura 2: Siri activando el modo avión del terminal

No es la primera vez que se demuestra cómo aprovecharse de Siri para extraer este tipo de información, pero parece que no hay intención por parte de Apple de ofrecer una solución ante este hecho. Estos debates ocurren desde que Siri fue introducido por primera vez en iOS. El objetivo de Trend Micro es el de recordar a los usuarios de iPhone e iPad que cada vez son más los vectores que están disponibles para que un atacante consiga extraer información del sistema. En este artículo tienes un ejemplo en el que se usa Siri para robar una cuenta de correo con ingenio.

Figura 3: Averiguar el correo del dueño de un iPhone con Siri

Además, una reciente investigación de la Agencia ANSSI ha mostrado cómo Siri y otros asistentes digitales como el de Google se pueden controlar de forma remota mediante ondas electromagnéticas. Utilizando un transmisor de radio barato se podría emitir comandos a Siri y a Google Now hasta a 18 pies de distancia. En el libro de la editorial 0xWord Hacking de dispositivos iOS: iPhone & iPad puedes encontrar más información detallada sobre estos ataques.

jueves, 19 de noviembre de 2015

Ahora puedes usar Virus Total para analizar OS X malware

En Abril de 2015, durante la conferencia RSA, Google comentó algo extraño para muchos. Denominó PHA, aplicaciones potencialmente dañinas, a aquellas aplicaciones que pueden ejercer alguna acción dañina en el dispositivo. Google comentó que no valía la pena preocuparse porque menos de 1% de los dispositivos Android tienen un PHA instalado. Si analizamos los datos, un 1% significa más de 10 millones de dispositivos Android, ya que se supone que hay más de mil millones de dispositivos.

En definitiva, VirusTotal es utilizado para analizar binarios de Windows y Android, pero hoy en día también es utilizado para analizar aplicaciones de OS X en una sandbox. ¿Qué se puede subir? Se pueden subir imágenes de disco DMG o un archivo Mach-O, que es el equivalente a un archivo PE en Windows. En la imagen se puede ver como subimos un fichero en formato DMG a VirusTotal, y éste lo analizará. Hoy día es interesante tener disponible esta funcionalidad y poder aprovechar del potencial de VirusTotal.

Figura 1: Subida de fichero DMG y análisis

Podemos ver los resultados de más de 53 motores de Antivirus y se obtiene un reporte con toda la información sobre los resultados. Además, tenemos la posibilidad a través de VirusTotal de que el fichero pueda ser ejecutado en una sandbox, lo cual puede ayudar a detectar un comportamiento anómalo, el cual por firma no detectaremos.

Figura 2: Fichero analizado

Es cierto que el riesgo de infección en un sistema OS X es inferior al de un sistema Windows, pero también hay que recordar que el aumento de la cuota de mercado en estos sistemas hace pensar que el porcentaje va aumentando.

miércoles, 18 de noviembre de 2015

Apple se disculpa por el certificado de Mac App Store

Tras lo ocurrido sobre el certificado caducado de la Mac AppStore, Apple ha pedido perdón. A través de una nota a los desarrolladores Apple ha decidido pedir disculpas por los problemas ocasionados a los desarrolladores y usuarios, explicando correcciones del lado del servidor y ofreciendo instrucciones sobre cómo parchear el software afectado. El problema era grave, ya que provocaba que los usuarios vean un error al abrir ciertas aplicaciones, que en algunos casos obligó a volver a descargar dicha aplicación.  El error mostraba como la aplicación no podía ser validada y se podría suplantar dichas aplicaciones.

En la imagen del tweet se puede ver una copia de dicha nota enviada por la empresa de Cupertino. En resumen, Apple dijo que la actualización del certificado de la Mac AppStore fue la causa principal de los problemas de la semana pasada. El nuevo certificado utiliza el algoritmo SHA-2 según la práctica recomendada. La empresa llegó a decir que fue una cuestión de la caché de la Mac AppStore dónde se almacena la información del certificado, y que al quedar cacheado se utilizó el certificado antiguo ya caducado. La empresa indica que el certificado nuevo fue emitido en Septiembre de 2015, por lo que la previsión fue correcta.

Figura 1: Apple responde ante el incidente del certificado caducado

El problema será abordado en una nueva actualización de OS X. La cuestión de la caché se vio agravada por las aplicaciones que utilizan versiones antiguas de OpenSSL no compatibles con SHA-2. Así que no solamente con cambiar el certificado vale, si no que los desarrolladores tendrán que actualizar algunos componentes de sus aplicaciones.

martes, 17 de noviembre de 2015

Un error de Apple en la gestión de certificados provoca que los usuarios de OS X tengan que re-instalar aplicaciones

La gestión de certificados digitales en los servidores lleva a que los usuarios tengan que eliminar y volver a instalar todas las aplicaciones que han comprado o descargado de la Mac App Store. Algo extraño ocurrió, pero los usuarios de OS X se enfrentan a problemas con sus aplicaciones, ya que el certificado digital que utiliza Apple para prevenir que le suplanten la identidad o engañen a los usuarios expiró el miércoles. Esto no es la primera vez que le ocurre, y es algo bastante grave y que afecta a todos los usuarios que descargan o compran aplicaciones de su Store.

Las aplicaciones descargadas de la Mac App Store estuvieron temporalmente fuera de servicio en el Reino Unido hace unos días, cuando el certificado de seguridad expiró, 5 años después de su creación y si un reemplazo posible inmediatamente. Incluso, una vez que Apple fijo el error y emitió un nuevo certificado para las aplicaciones, el cual vence el mes de Abril de 2035, los usuarios podrían tener problemas aún. Los que no pueden conectarse a Intenet no pudieron verificar el nuevo certificado, mientras que los que se habían olvidado su contraseña de iCloud no pueden utilizar las aplicaciones descargadas hasta que puedan iniciar sesión. 

Figura 1: Error al arrancar aplicaciones

Algunos usuarios se vieron obligados a eliminar y volver a instalar todas sus aplicacones. Como se puede ver, algunos mostraron su frustración vía Twitter. El certificado caducado fue descubierto por un desarrollador de OS X e iOS llamado Paul Haddad.

Figura 2: Certificado caducado

En definitiva un problema de planificación en Apple. Este tipo de debilidades pueden afectar a la imagen corporativa y afectar gravemente a la seguridad de los usuarios.

lunes, 16 de noviembre de 2015

Detectar e-mail spoofing a Paypal en compras fraudulentas

Hoy traemos una de esas historias que gustan y que tienen final feliz. Un timador que se aprovechaba de las personas que vendían sus dispositivos iPhone para engañarles. ¿Cómo los engaña? Cuando un vendedor promocionaba su iPhone 6 Plus, por ejemplo, en Ebay, este timador utilizaba e-mail spoofing para enviar un correo en nombre de Paypal a la persona que vendía el terminal. En el correo se indicaba que Paypal había recibido el dinero y que se le entregaría al vendedor, una vez que se enviara el dispositivo. 

Esto es, sin lugar a la duda, una estafa, y como se puede leer en este divertido artículo sobre como trollear a estos estafadores, hay que tener cuidado con dichos e-mails. ¿Cómo detectarlos? Paypal utiliza la tecnología DKIM para poder validar la identidad del dominio que envía el correo.

Figura 1: Funcionamiento de DKIM

Esto se traduce que Gmail da la opción de visualizar una llave al lado del nombre del correo que recibimos, por lo que si el correo ha sido validado que viene de Paypal se podrá visualizar dicha llave. Esto es algo importante de entender, para prevenirnos de estos ataques.

Figura 2: Un correo legítimo de Paypal firmado con DKIM

¿Cómo acabó la historia? Una de las potenciales víctimas se dio cuenta de la estafa y decidió "trollear" al estafador enviándole un iPhone 6 Plus de cartón envuelto con casi 25 metros de cinta y 10 envoltorios diferentes.

Figura 3: iPhone entregado al estafador


Siempre hay que tener mucho cuidado en Internet, tanto vendedores como compradores, por lo que hay que intentar estar seguros de quién nos envía la información, y soluciones como DKIM, SPF o Domain Keys ayudan en este aspecto. Final feliz para la historia del iPhone 6 Plus.

domingo, 15 de noviembre de 2015

Mabouia & Gopher: Ransomware para OS X. ¿Estás listo?

Todavía hay muchos usuarios de Windows que no tienen idea de qué es el Ransomware, a pesar de que muchos ya lo han sufrido con dureza en sus carnes. Si miramos hacia OS X, los usuarios no están nada avisados ni preocupados, y es de necios pensar que no habrá dentro de poco una campaña de Ransomware para OS X, así que más vale que tengas listas tus copias de seguridad, y que tengas fortificada tu plataforma al máximo, ya que si no, tendrás los mismos problemas que los usuarios de Windows que se han visto afectados por estos ataques.

Ya durante este año, el investigador brasileño Rafael Salema Marqués creó una Prueba de Concepto llamada Mabouia que demostraba lo sencillo que sería hacer un software malicioso tipo Ransomware para sistemas OS X.


Figura 1: Mabouia, primera PoC de Ransomware para OS X

Durante el pasado mes de Septiembre, otro investigador de seguridad, en concreto Pedro Vilaca, publicó el código de Gopher, otra Prueba de Concepto de cómo de cómo de sencillo sería hacer Ransomware para OS X. El código está disponible en Github.
Viendo esto, el tiempo que va a pasar hasta que tengamos una campaña de Ransomware en OS X va a ser muy pequeño. Nuestras apuestas son que antes de fin de año tenemos la primera serie. ¿Estás listo para evitarla?

sábado, 14 de noviembre de 2015

Google quitará el soporte de Chrome para OS X Snow Leopard, Lion y Mountain Lion. Sin parches de seguridad.

La aparición de nuevos sistemas operativos y la evolución tecnológica hace que muchos otros sistemas vayan quedando sin soporte. Esto también ocurre con los navegadores, y es que Google ha anunciado quitará el soporte a los sistemas operativos de Apple OS X Snow Leopard, Lion y Mountain Lion en Abril de 2016. Además, los sistemas operativos de Microsoft Windows XP y Vista también se verán afectados en la misma fecha. 

El anuncio se produjo a través del blog oficial de Chrome en el que se indicaba que los usuarios de OS X 10.9 Mavericks o posterior tendrían soporte y recibirían actualizaciones continuas de Google Chrome. Según el director de ingeniería Marc Pawliger, Chrome seguirá funcionando en plataformas heredadas, pero ya no se recibirán actualizaciones periódicas, ni revisiones de seguridad a partir de Abril de 2016.  Mientas que el anuncio del martes fue la primera indicación de cortar el soporte de Chrome, Google dio a entender que en Abril sólo se habían comprometido a soportar Windows XP hasta final de año, animando a la gente a actualizar a versiones más recientes de Windows.

Figura 1: Actualización de Google Chrome

La versión de OS X del navegador Chrome 46 ha mejorado mucho el rendimiento en el sistema operativo, consumiendo, además, menos memoria. A fecha de Septiembre de 2015, el navegador de Google ha presentado unos datos de uso enormes, alrededor del 65% del mercado global, mientras que Safari está siendo utilizado por un 3,6%.

viernes, 13 de noviembre de 2015

La WebView de Twitter para iOS nos puede confundir

Hace tiempo que hablamos sobre como las WebView pueden ser un caramelito para el phishing en los dispositivos móviles. La verdad es que siempre nos han llamado la atención los trucos que los atacantes pueden hacer para hacer ver al usuario que se encuentra visitando un sitio web que realmente no está visitando. Además, la inseguridad con la que aparecieron la WebView era clara y se reflejaba en que las principales aplicaciones de correo y de redes sociales no mostraban el dominio al que accedías, simplificando la vida del atacante. 

Allá por el año 2010 hablámos de como iOS ponía en bandeja el phishing en los dispositivos móviles debido a fallos en el diseño. Lo que quizá llame más la atención es que en 2013 seguimos hablando de esto, aunque es cierto que algunas aplicaciones empezaron a poner soluciones a estos detalles del diseño. La acción al final es sencilla, recibimos un enlace a través de por ejemplo nuestra aplicación de Twitter, dicho enlace se encuentra acortado y confiamos en que lo que nos muestra la WebView es real. En el caso de Twitter se cambió lo que se mostraba en el título de la vista, indicando el dominio al que se accede. Esto ayuda a que el usuario sepa si dónde accede es real o no, aunque no al 100%

Figura 1: Dominio entrecortado por ser demasiado largo

En función de como pongamos la vista del dispositivo podremos ver el dominio completo o no. En el caso de la imagen 1 podemos ver como se entrecorta, dejándonos ver parte del final del dominio y el comienzo. Esto puede dar pie a que un atacante compre un dominio que acabe en dominios como Twitter o Facebook y lo tengo anexado a algún nombre como securelogin o algo similar. Es decir, si compramos el dominio secureloginblablablablablablablablafacebook.com podríamos hacer que encaje y que visualmente sea algo no tan extraño para un usuario. Luego un atacante coloca un sitio web falso para loguearse en Facebook, que sea un fake y ya tiene la trampa. 

Figura 2: Descubriendo la longitud y el dominio real

Por suerte, si el usuario tumba el dispositivo, la vista apaisada tiene la posibilidad de mostrarnos más cantidad de caracteres, por lo que cualquier usuario podría leer el dominio real, tal y como se puede ver en la imagen. Es cierto, que esto se puede descubrir fácilmente, pero tenemos que tener en cuenta que hay muchos usuarios que  no se fijan en estos detalles y que pueden caer en la trampa de cualquier ciberdelincuente.

jueves, 12 de noviembre de 2015

Apple quita el popular cliente InstaAgent de la AppStore por robo de credenciales

Apple retira InstaAgent
Uno de los clientes más populares de Instagram llamada InstaAgent ha sido retirada por Apple el pasado martes de la AppStore. El motivo es que un desarrollador alemán encontró que los nombres de usuario y contraseñas se estaban recopilando por la aplicación y enviados a un servidor externo. Además, la aplicación era capaz de publicar en nuestro nombre. Exactamente, ¿Qué es InstaAgent? Para algunos desconocida, pero para otros muy utilizada, la aplicación se conecta a tu perfil de Instagram para mostrarte los perfiles que han visitado tu perfil.

Al iniciar sesión con InstaAgent la aplicación mostraba los contactos o perfiles de Instagram que consultaban tu perfil. Muchos han puesto en duda si esa información que se mostraba era verídica, ya que no queda muy claro en base a qué se decidía si un perfil había visitado tu perfil o no. La aplicación ya no hacia más, salvo recopilar la información de tu usuario y contraseña, y tal y como se puede ver en la imagen, enviarlas a un servidor en texto plano.

Figura 1: Usuario y contraseña enviado por InstaAgent

El servidor dónde se reciben los datos se denomina instagram.zunamedia.com. El investigador ha comentado que el servidor no está, como era de prever, conectado a la red oficial de Instagram. La app ya no se encuentra en la AppStore, aunque ha sido una aplicación capaz de recopilar gran cantidad de usuarios debido a su éxito. Se estima que más de 500.000 usuarios han podido ser extraídos con esta aplicación. En su versión de Android se ha estimado el mismo volumen de usuario, lo cual es preocupante también, y Google ha retirado también la app. Aunque InstaAgent ha sido quitada, siguen existiendo muchas otras herramientas que tienen un título similar o que indican que permiten consultar quién accedió a nuestro perfil. Instagram recomienda no descargar, interactuar, ni utilizar herramientas de terceros, que ya vimos en el pasado lo que sucedió con SnapChat.

miércoles, 11 de noviembre de 2015

Encuentro Sinfonier sobre Ciberterrorismo: 19 Noviembre

El próximo Jueves 19 de Noviembre se realizará el tercer MeetUp de Sinfonier con una agenda cargada de charlas y casos de uso, en esta ocasión el tema central es el ciberterrorismo. Si queréis aprender más sobre esta tecnología y profundizar en esta temática pasaros a las 18.00 por la Flag-Ship de Telefónica en la Calle Gran Vía 28 de Madrid.

Cada día son más las noticias que aparecen en los medios de comunicación que tratan sobre terrorismo en la red. En el MeetUp se hablará sobre las diferencias entre el terrorismo que conocemos del ciberterrorismo, cómo se mitiga, y que significa realmente. Además, se responderán a las preguntas tras las intervenciones de 20 minutos. 

Contaremos con profesionales de primer nivel que se anunciarán en los próximos días. A día de hoy solo se puede adelantar que seremos acompañados por representantes del principal Think Tank de ciberserguridad de nuestro país.

Figura 1: Tercer MeetUp

Además, os animamos a participar en nuestra comunidad de Eleven Paths, dónde podéis interactuar con grandes profesionales del sector de la Seguridad de la Información, y también os animamos a participar en el Concurso Sinfonier Community 2015. Para participar en el concurso puedes utilizar cualquier idea e implementarla a través de módulos y topologías innovadoras con Sinfonier. Por último, y como siempre, al final del encuentro tendremos un rato para hacer networking.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares