Menú principal

miércoles, 30 de diciembre de 2015

Apple paga 1810 dólares a un usuario que le denunció

Apple tuvo que pagar 1810 dólares a un usuario de iPhone que denunció a la empresa. Es un curioso caso que se ha dado en el Reino Unido. El usuario tenía guardado en su dispositivo más de 15 años de recuerdos y fotografías, los cuales fueron eliminados por un error en el sistema. El usuario de llama Deric White y se ha hecho famoso en el ámbito de las denuncias a Apple por ganar el juicio. Quizá para el usuario sus recuerdos valgan más, pero ese es el precio que le han dado. Al menos podrá decir que él le ganó un juicio a Apple.

Deric dejó el teléfono al servicio técnico de Apple, ya que el iPhone 5 le mostraba un error, el cual no podía quitarse de la pantalla. Ese error hacía que su dispositivo no funcionase correctamente. Cuando fue a recoger el dispositivo de nuevo al servicio técnico el problema había sido resuelto, no aparecía el error en la pantalla. La sorpresa fue que al abrir la agenda de contactos y su álbum de fotos pudo comprobar que no había nada. El servicio técnico había eliminado todo el contenido sin haber hecho previamente una copia de seguridad de los datos. 

Es cierto que se pide al cliente que haga copia de seguridad antes de acudir al servicio técnico, pero el juez dictaminó que los empleados de Apple habían actuado de manera negligente, causando la pérdida de la valiosa información, por motivos sentimentales. De esta forma se resolvió este curioso caso. Para Apple no es nada pagar esta cantidad, pero abre un antecedente para futuros casos.

martes, 29 de diciembre de 2015

Infer: Detecta bugs en tus apps de iOS antes de subirlas

Hoy traemos una herramienta interesante, la cual permite detectar bugs antes de que la app se publique. La herramienta se llama Infer y puede ser descargada a través de Github. La herramienta pertenece a Facebook, desarrollada en su laboratorio de código abierto. Es una herramienta de análisis estático de código que permite actuar sobre Objective-C, Java o C. Tras el paso del código por la herramienta se pueden detectar diferentes vulnerabilidades, lo cual es algo de ayuda, ya que si la vulnerabilidad se detecta en este instante, se podrá arreglar antes de subirla al store.

En cualquier caso, Infer puede interceptar o identificar bugs críticos, por lo que merece la pena tener la costumbre de desarrollar el código y utilizar este tipo de herramientas de análisis estático para fortificar nuestro proceso de desarrollo. En el sitio web de la herramienta se indica que para iOS, además, se devuelve un informe de posibles memory leaks.

Figura 1: Código Objective-C y detección de bug

Los developers de Facebook utilizan internamente esta herramienta como parte del proceso de desarrollo. En el sitio web de la herramienta se nombran aplicaciones como Facebook Messenger, Instagram o la propia app de Facebook. Al final toda herramienta que sume en temas de seguridad es bienvenida. Además, esto es un indicio de que el ciclo de vida de desarrollo que utiliza Facebook es de los que se denominan S-SDLC.

lunes, 28 de diciembre de 2015

Mac OS X 10.11 FTS Deep Structure Buffer Overflow

Cada vez es más fácil encontrarse con información sobre vulnerabilidades en sistemas OS X. Esta afirmación es algo bueno, ya que significa que hay muchos investigadores probando las profundidades del software de la empresa de Cupertino. Hace unos días hablamos de los Security Update que había liberado Apple, además de la salida de la nueva versión de OS X El Capitan 10.11.2. Vimos que se parchearon más de 50 vulnerabilidades, pero echando un ojo por packetstorm o exploit-db se puede encontrar una pequeña prueba de concepto de la vulnerabilidad CVE-2015-7039.

La prueba de concepto que se menciona trata de un buffer overflow en el sistema de archivos por una vulnerabilidad en la librería FTS. El principal problema se produce cuando se crea la jerarquía del sistema de ficheros de manera recursiva, también denominada en profundidad. El comportamiento inesperado de muchos programas y la escritura en memoria no válida es un problema interesante como menciona el descubridor de la vulnerabilidad Maksymilian Arciemowicz de CXSecurity.

La prueba de concepto que se presenta en exploit-db por el investigador es sencilla. En primer lugar crea un directorio dentro de otro hasta 1024 veces, para posteriormente volver hacia el punto inicial, es decir, se vuelve desde el directorio 1024 creado hacia atrás. Tal y como se puede ver en la imagen los códigos de bash son sencillos. Después se lanza un ls recursivo ejecutando 10 veces y como se puede ver hay segmentation fault. El crasheo parece aleatorio. El investigador hace pruebas con lldb y valgrind y la conclusión es que parece un buffer overflow en la función memmove(), cuyo código puede encontrarse en el dominio Open Source de Apple

Figura 1: PoC de CVE-2015-7039

El software afectado por esta vulnerabilidad son los comandos de Mac OS como ls, find o rm. El dispositivo iPhone 4S y posteriores, el reloj de Apple, el Apple TV y, también como menciona el investigador, probablemente más. Se recomienda actualizar todos los dispositivos reflejados anteriormente. Estaremos atentos a la posibilidad salida de un exploit público para la vulnerabilidad comentada.

jueves, 24 de diciembre de 2015

Los emoticonos pueden darte problemas en tu contraseña de OS X

El sistema operativo OS X El Capitan no permite utilizar emoticonos en la contraseña de inicio sesión. Esta acción preventiva parece algo normal o coherente, pero se ha dado un caso en el que un usuario de OS X Yosemite se ha quedado sin poder acceder a su cuenta debido a la utilización de un emoticono en su contraseña de inicio de sesión. Apple no tenía la misma regla con Yosemite, por lo que el usuario no fue capaz de conectarse a su cuenta.

El usuario se llama Artiom Dashinsky y publicó que creó una contraseña utilizando el teclado emoji. Para introducir el emoji se puede utilizar la combinación de teclas Ctrl + Command + Espacio. El problema vino que tras introducir el emoticono en la contraseña, después no podría acceder a la cuenta. Incluso había cifrado con FileVault, por lo que sería más complejo restablecer su contraseña.

Figura 1: Imagen de parodia con un posible emoticono en la contraseña

Al final Dashinsky fue capaz de recuperar su cuenta, aunque tuvo que llevar a cabo un proceso largo. Él tuvo que instalar y arrancar OS X en un disco duro externo utilizando el modo de recuperació y se instaló el teclado que le permitió introducir la contraseña emoji para descifrar su unidad mediante la Utilidad de Disco de OS X. Una vez que la unidad fue descifrada, cuyo proceso le llevó más de 2 horas, reinició en modo de recuperación y ejecutó en un terminal el comando ResetPassword para su disco principal. Sin duda fue una curiosa historia, la cua hizo perder bastante tiempo a este usuario de OS X.

El uso de los emojis como contraseña es una idea que una startup del Reino Unido está trabajando, ya que para el usuario será mucho más sencillo recordar estos iconos que una contraseña larga. Además, al incluir los emojis al charset posible de combinaciones hacen que la contraseña sea más robusta frente a ataques de fuerza bruta.

miércoles, 23 de diciembre de 2015

Apple demandado por el iPhone 5

La empresa de Cupertino se enfrenta a la demanda de un usuario relacionada con el excesivo uso de datos en el iPhone 5. En su demanda, el usuario indica que los de Cupertino conocían este error, por lo que no era un error por parte del usuario. El consumo excesivo de los datos es la fuente del problema que hizo que el usuario demandase a la empresa. En la demanda se indica que el dispositivo es capaz de cambiar de una conexión Wifi a una red de datos en ciertas circunstancias. Esto hace que un usuario consuma más datos de pago, por así decirlo, de lo que se supone en un comienzo.

Este percance fue arreglado en 2012 para algunos usuarios de algunas compañías, pero no se solucionó para los usuarios de AT&T hasta años después. Uno se puede imaginar lo que pensaron más de un usuario respecto al tema, todo el dinero que se ha podido gastar un usuario debido a esto multiplicado por varios años. Según indica la denuncia, Apple conocía este error, pero no lo solucionó para AT&T y tampoco se pronunció sobre dicho defecto. Este problema afectaba a todas las versiones de iOS 6 e iOS 7 que resolvió con el lanzamiento de iOS 8.1 a finales de 2014.

Figura 1: iPhone 5 es el elemento a juicio

Los abogados del denunciante demostraron que el dispositivo iPhone 5 era capaz de autoconfigurarse para que cuando un usuario consimiese un volumen grande de datos, el dispositivo entrase solo en ahorro de energía y cambiase la conexión de Wifi a LTE. No se conoce la cantidad exacta a la que la empresa de Cupertino se enfrenta, pero si se perdiese el juicio podrían surgir otras demandas por otros usuarios con los mismos problemas.

martes, 22 de diciembre de 2015

Las apps bancarias en iOS siguen teniendo debilidades respecto a 2013

La seguridad de las aplicaciones de banca móvil ha mejorado mucho en los últimos años, aunque todavía existe un margen de mejora que se debe cumplir. Se ha publicar por parte de IOActive un reporte en el que se hace una comparativa con el año 2013. En este reporte se pretende observar las mejoras o no mejoras que se han llevado a cabo.

La conclusión que podemos sacar del informe es que la seguridad en las apps móviles ha mejorado en los dos últimos años, aunque las apps siguen siendo vulnerables. La investigación se llevó a cabo sobre 40 aplicaciones de banca para iOS de todo el mundo. La investigación se limito a buscar debilidades de seguridad del lado del cliente, no incluyendo ninguna prueba del lado del servidor. La metodología de pruebas se explica con detalle en el artículo publicado por IOActive

Figura 1: Resumen debilidades apps bancarias 2015

Hay 5 de las 40 aplicaciones auditadas que no validaban la autenticidad de los certificados SSL presentados, por lo que son susceptibles a ataques Man in the Middle. Más de un tercio de las aplicaciones contenían enlaces no seguros en toda la aplicación. Esta diferencia permitiría a un atacante interceptar tráfico e inyectar código arbitrario Javascript o HTML en un intento de crear un indicador o entrada falsa para estafas. 

Además, un 30 por ciento de las aplicaciones no validan los datos entrantes dejándolos potencialmente vulnerables a inyecciones de Javascript. Los resultados son una mejora de lo que se vio en 2013, tal y como puede verse en la imagen. Esto llama la atención, ya que en 2015 no es que hayan mejorado mucho, pero como se ve es una mejora respecto al pasado.

Figura 2: Comparativa entre 2013 y 2015

La prueba también cubrió el análisis binario. En esta fase se vio que el 15 por ciento de las aplicaciones almacenan información sin cifrar, como por ejemplo acerca de los clientes, las transacciones de éstos, etcétera. Los ficheros dónde se almacena esta información son ficheros SQLite en texto plano. 

Como conclusiones, el consultor Ariel Sanchez indica que la mayoría de las aplicaciones han aumentado la seguridad de los datos mediante la validación de certificados. A pesar de que los números se han reducido en general, todavía hay un gran número de aplicaciones que almacenan datos inseguros en el sistema.

lunes, 21 de diciembre de 2015

Tiny V: Troyano de iOS que está infectando dispositivos con Jailbreak

Se ha alertado de la existencia de un nuevo troyano denominado Tiny V que se aprovecha de los dispositivos con Jailbreak. Los investigadores que lo descubrieron han emitido una advertencia a los usuarios de iPhone, sobretodo en China, ya que están siendo infectados sin saberlo, siempre y cuando hayan realizado el Jailbreak al dispositivo. Además, parece que la propagación del malware está siendo llevada a cabo a través de versiones piratas de software, generalmente con el pretexto de que son publicidad.

Entre las aplicaciones con las que se tiene que tener cuidado son las versiones de Youku, iQiYi y la de Watermelon, que son reproductores de video. Incluso del último parece ser que se ha distribuido a través de su sitio web oficial. Mientras tanto los otros reproductos ofrecen a los usuarios la posibilidad de no tener publicidad, pero con el regalo que supone la ejecución del troyano en tu dispositivo.

Figura 1: Tienda de aplicaciones no confiables en China con iQiYi y Youku

Utilizando una combinación de APIs, trucos en los ficheros plist y hookeando código, el malware descarga código desde Internet, instalando aplicaciones dentro de los dispositivos iOS. Lo interesante es ver cómo se comporta el malware, y esto se puede estudiar en el artículo que ha publicado la gente de Palo Alto

Tras la ejecución de la app que tiene el troyano, éste descarga un archivo ZIP. Este archivo está alojado en un servidor apt.appstt.com. El archivo que se descargaba desde aquí se denominaba deb.zip. En el fichero había 4 archivos que se enumeran a continuación:
  • safemode.deb.
  • freeDeamo/usr/bin/locka. Es un Mach-O que implementa un comportamiento malicioso.
  • freeDeamo/Library/LaunchDaemons/com.locka.plist. Es el fichero plist que tiene la configuración para lanzarlo como demonio en iOS.
  • freeDeamo/zipinstall. Es un shell script
Después de descargar y descomprimir el archivo se ejecutará el script de zipinstall e instalará locka con la configuración de com.locka.plist. En otras palabras se copia el fichero locka a /usr/bin y cambia su usuario y grupo a root, cambiando los permisos a 755. El fichero com.locka.plist se copia en /Library/LaunchDaemons, cambiando su usuario y grupo a root y cambiando permisos a 644. Después ejecuta /bin/launchctl para cargar el com.locka.plist. Después viene la conexión el servidor C2 para obtener comandos remotos.

Figura 2: El binario malicioso está instalado como un launch daemon

En resumen se puede decir que hay una mala noticia y una buena tras este hecho. La mala noticia es que los clientes de Apple que tienen el Jailbreak están aparentemente poniendo sus datos en riesgo, a través de la instalación de software de fuentes no fiables. No quiere decir que los que no tengan Jailbreak estén totalmente seguros, ya que se ha visto en diferentes casos como las aplicaciones de confianza extraen datos del dispositivo afectando a la privacidad de los usuarios. Solo hay que recordar el mes pasado el caso de InstaAgent que robaba credenciales del dispositivo. La buena noticia es que, después de 8 años desde que se lanzara el primer iPhone, los delincuentes todavía tienen que ir al extremo para infectar dispositivos iOS. Por supuesto estas dos afirmaciones son debatibles, pero en líneas generales se puede llegar a conclusiones similares.

domingo, 20 de diciembre de 2015

Fue Noticia en Seguridad Apple: Del 7 al 20 de Diciembre

Diciembre está siendo un mes cargado de novedades. Han sido muchas las noticias relevantes que han ocurrido en el sector de la seguridad informática, así que tal vez sea buena idea detenerse por un instante para recapitular lo visto durante las últimas dos semanas. Como solemos hacer en Seguridad Apple, os presentamos el mejor resumen de las publicaciones de este blog, así como los mejores contenidos de otros sitios de referencia.

Para comenzar, el lunes 7 os presentamos un detallado estudio de Veracode que demuestra que 4 de cada 5 de las apps de iOS tienen algún fallo de cifrado, y por tanto alguna vulnerabilidad criptográfica.

El martes os detallamos iNetTools, una suite de herramientas de seguridad para hacer diagnósticos de red desde tu dispositivo iOS, permitiendo escaneos ARP, de puertos o pings

El ataque backstab, que permite el robo de información sensible de las víctimas, centró nuestra atención a mitad de semana, puesto que  de nuevo es posible realizarlo en dispositivos iOS, según demuestra un informe de la empresa Palo Alto Networks

Un par de días después de hablar de iNetTools, os presentamos otra herramienta similar denominada Joe's Network Diagnostics Analyzer Monitor Scanner, disponible en iTunes para dispositivos iPhone y iPad.

El viernes os contamos las novedades de la actualización iOS 9.2, que resuelve más de 50 bugs de seguridad, evitando así diversos ataques de ejecución de código arbitrario y escalada de privilegios en dispositivos iOS.

El día 14 os detallamos las novedades incluidas en otras tres actualizaciones, esta vez dirigidas a sistemas operativos OS X El Capitan, Yosemite y Mavericks. Además se liberó la versión 9.0.2 de Safari, solventando 12 vulnerabilidades.

El martes os hablamos de la predicción de la firma de seguridad Simantec, que informa que, basándose en las estadísticas recientes, habrá un aumento de las amenazas contra dispositivos Apple en 2016.

Un bombazo acaparó nuestra atención a mitad de semana: MacKeeper fue vulnerado por un investigador de seguridad, obteniendo acceso a los datos de más de 13 millones de usuarios, en un leak de 21 Gb.

El jueves 17 os explicamos cómo investigadores de Google han demostrado una vulnerabilidad crítica en FireEye que permite acceso total de los atacantes a redes internas corporativas.

La liberación de la versión beta de iOS 9.2.1 por parte de Apple fue la noticia de nuestro post del viernes. Dicha beta ya está disponible para descarga en el Apple Developer Center.

En el mundo de la seguridad informática hemos podido disfrutar con otras noticias que no dejan indiferente a nadie. A continuación se muestra un listado de noticias que recomendamos que leáis desde Seguridad Apple:
Y esto fue todo. Esperamos veros dentro de otras dos semanas en esta misma sección y cada día en los artículos que publicamos en Seguridad Apple. Bueno domingo para todos.

viernes, 18 de diciembre de 2015

Apple libera la beta de iOS 9.2.1

Si Apple libera la beta de iOS 9.2.1 muy poco tiempo después de que se liberase iOS 9.2 es que algo ocurre. Al parecen han aparecido una lista de pequeños bugs que la empresa de Cupertino se ha propuesto resolver en una pequeña release. Como se comentó antes, apenas una semana ha pasado desde el lanzamiento de iOS 9.2, el cual fue la segunda actualización de seguridad más grande desde la propia salida de iOS 9. Además, se implementaron diversas actualizaciones de bugs de funcionalidad y aparecieron dstintas características como Apple Music, News, Mail o iBooks.

La nueva beta de iOS 9.2.1 se encuentra disponible para descarga inmediata a través del Apple Developer Center y su versión final está disponible en un futuro cercano, quizá en unos días. Lo que si se sabe gracias a que Apple ha publicado un documento sobre ello es que los problemas sufridos con Mobile Device Management en iOS 9.2 serán resueltos. 

Figura 1: iOS 9.2.1 beta

El problema reside en que cuando se instalan aplicaciones en iOS 9.2 a través del MDM, algunas aplicaciones no finalizan el proceso de instalación. De acuerdo al documento enlazado anteriormente un bug fix está en camino, y se liberará dentro de la versión 9.2.1 del sistema operativo.

jueves, 17 de diciembre de 2015

Un email puede dar acceso total a la red interna en un bug crítico de FireEye

Investigadores del equipo de seguridad de Google denominado Project Zero han encontrado una vunerabilidad crítica en el kit de FireEye que permite a los atacantes acceder a las redes corporativas con el envío de un solo correo electrónico. La vulnerabilidad ha sido calificada como "666". El reputado investigador Tavis Ormandy describe la vulnerabilidad como un escenario de pesadilla. 

Los parches por parte de FireEye no se han hecho esperar, y han lanzado actualizaciones para NX, FX y AX que son las cajas de FireEye. Estas soluciones de monitorización de tráfico se colocan a la salida de la red corporativa. Ormandy y su compañero de Google encontrar el defecto como parte de una investigación. El exploit es muy peligroso ya que el kit es vulnerable en su estado predeterminado. Según informa FireEye están prestando apoyo, incluso a los clientes cuyos contrados han vencido. ¿Cuál es el vector de ataque? Un atacante podría enviar un correo electrónico a un usuario de la organización protegida con esta solución y tener acceso a toda la red interna. El destinatario no tendría que leer el correo electrónico, simplemente recibiéndolo sería suficiente. 

Figura 1: Esquema de los dispositivos FireEye que monitorizan tráfico

Para explicar brevemente, el detalle puede visualizarse en un artículo publicado por la gente de Project Zero, decir que una organización instala un dispositivo FireEye en su red interna y se conecta a un puerto espejo en el punto de salida. Éstos están monitorizando puertos de los equipos de la red. El dispositivo FireEye monitoriza todo el tráfico de la red de forma pasiva. El seguimiento de protocolos comunes, como HTTP, FTP, SMTP, etcétera. Si se detecta una transferencia de archivos, por ejemplo un archivo de correo adjunto o una descarga HTTP, FireEye extrae el archivo y lo analiza en busca de malware.

En principio, si el usuario recibe un correo electrónico o visita un sitio web malicioso, el dispositivo de FireEye observa el tráfico y avisa al administrador de la red. La vulnerabilidad descubierta puede ser explotada a través de la interfaz de monitoreo pasivo, es decir, un atacante solo tiene que enviar un correo electrónico a un usuario para acceder a la red. En concreto se puede acceder a un tap de la red, que es una de las máquinas más privilegiadas de la red, ya que tiene acceso a correo de empleados, contraseñas, descargas, historial de navegación, archivos adjuntos confidenciales, es decir, todo lo importante de la organización.


Figura 2: Explotación de vulnerabilidad

En algunas configuraciones, un atacante podría manipular el tráfico, o incluso, insertar puertas traseras. En los dispositivos vulnerables, se suele tener una interfaz secundaria conectada a Internet para las actalizaciones y la gestión, la cuestión es que podría ser una vía para propagar gusanos a través de Internet.

miércoles, 16 de diciembre de 2015

MacKeeper expuesto: 13 Millones de usuarios y 21 Gb de información sensible pública

El pasado domingo se publicó una de las noticias del mes, y puede que del año en el mundo Apple. El investigador en seguridad Chris Vickery anunció a través de Reddit que fue capaz de acceder a 13 millones de identidades. Estas identidades pertenecían a la empresa propietaria de MacKeeper. No es la primera vez que a esta empresa le ocurren cosas negativas, ya que hay que recordar que hace unos meses se utilizó un bug crítico que se descubrió en el software con el que se infectaba sistemas OS X

Según el investigador, los datos eran o son de acceso público, es decir, no existía una contraseña que los protegiese. En otras palabras, él no vulneró el sistema lanzando ningún tipo de ataque, o ningún tipo de exploit. Simplemente, anuncia, que se conectó al servidor de base de datos que se encontraba público y sin protección. La afirmación anterior parece increíble, ya que es un hecho importante. Vickery encontró una debilidad o un error de configuración a través del buscador Shodan

Figura 1: Historia en Reddit del investigador

El investigador ha estado en contacto con los desarrolladores de MacKeeper. Según parece ya se han fortificado las bases de datos que eran accesibles desde el exterior y que no tenían, al parecer, autenticación. Según indica la propia empresa, ha tomado medidas para proteger los datos de los clientes y de las amenazas cibernéticas. También informaron que la tarjeta de crédito del cliente y la información de pago nunca estuvo en riesgo, ya que no las almacenan. 

Figura 2: Evidencia de acceso a los 13 Millones de usuarios

El investigador mostró en público la imagen anterior para reflejar el acceso a la información. No se muestra en ningún momento información sensible, pero se puede ver como se accede a la base de datos, en este caso un MongoDB y se tiene acceso a la colección Users. La colección tiene más de 13 millones de documentos, ocupando ésta más de 21 GB

martes, 15 de diciembre de 2015

Los expertos predicen un aumento en las amenazas contra dispositivos de Apple en 2016

La firma de seguridad Symantec ha publicado un reporte en el que se predice que, según las estadísticas de los últimos meses y años, habrá un aumento importante en las amenazas contra los dispositivos Apple en el año 2016. Este año 2015 que se acaba ha tenido varios ataques pronunciados de malware contra los sistemas iOS y OS X. Por esta razón, la firma de seguridad piensa que el aumento será pronunciado en el nuevo año. Hay que tener en cuenta vulnerabilidades como Rootpipe, la vulnerabilidad que cabía en un tuit, o la última de rsh y su módulo para Metasploit, ayudan a que el malware se propague. 

Se sabe que este tipo de vulnerabiliades, junto a otras, se han utilizado para propagar malware mediante el uso de campañas, por ejemplo en redes sociales. También se sabe que los delincuentes van optando por atacar los sistemas de Apple debido al aumento progresivo de la cuota de mercado. El investigador Dick O'Brien indica que existe un número creciente de amenazas diseñadas para infectar dispositivos que ejecutan OS X o iOS. Según el reporte de la firma, el malware dirigido a iOS se duplicó en 2015, mientras que el del número de equipos Mac infectados en 2015 era 7 veces mayor que en 2014.

Figura 1: Malware en OS X e iOS
Symantec ha publicado un análisis de 30 hojas muy interesante sobre el estado de seguridad de Apple. En este documento se puede encontrar vulnerabilidades y ataques que han sufrido en los últimos tiempos y cual es la tendencia.

El informe señala que los ataques contra estos 2 sistemas operativos eran bastante bajos, si se comparaban con los principales competidores de la empresa, por ejemplo Android y Windows. Lo que si recalca el informe es que a nivel de infecciones de malware, en los últimos 18 meses se ha disparado este número. O'Brien también especula con que Apple podría ser un objetivo para los delincuentes en 2016, dado el incentivo financiero en la búsqueda de vulnerabilidades en el sistema, por ejemplo el caso Zerodium.

lunes, 14 de diciembre de 2015

OS X El Capitan 10.11.2, Security Update 2015-005 Yosemite y Security Update 2015-008 Mavericks

Más de 50 vulnerabilidades han sido parcheadas con la liberación de OS X 10.11.2 y los diferentes Security Updates para OS X Yosemite y OS X Mavericks. Toda la información referente a estas nuevas versiones de los sistemas operativos de Apple puede encontrarse en su sitio web. Casi la mitad de las vulnerabilidades permitían la posibilidad de ejecutar código arbitrario, lo cual ponía en riesgo los sistemas. Además, Apple ha decidido liberar Sarafi 9.0.2, el cual parchea 12 vulnerabilidades

En el documento de Security Update se puede encontrar las diferentes aplicaciones y componentes del sistema que han sido actualizadas. Por ejemplo, el módulo de PHP para Apache ha sido actualizado ya que presentaba 2 vulnerabilidades. La Sandbox, el Bluetooth, la herramienta Disk Images, EFI, Hypervisor, iBooks, etcétera. Han sido parcheados. Como se ha comentado anteriormente, la mitad de las vulnerabilidades prácticamente eran de ejecución de código arbitrario, con todo el riesgo que ello conlleva. 

Figura 1: OS X El Capitan 10.11.2 y Security Updates

Por otro lado, 3 vulnerabilidades presentaban la posibilidad de que el sistema cayera, es decir, quedará sin posibilidad de dar servicio. La aplicación del sistema con más parches y que tiene un documento propio para sus actualizaciones es el navegador Safari. La actualización del navegador es importante, ya que presenta vulnerabilidades críticas que permiten la ejecución de código arbitrario en la máquina, tal y como puede verse en la imagen.

Figura 2: CVE de Safari 9.0.2 de ejecución de código

El componente afectado en Safari es el Webkit, el cual tiene 11 vulnerabilidades que permiten ejecutar código y una que permite revelar información sobre la navegación del usuario, es decir, afecta a la privacidad de éste. Se recomienda que se actualicen los sistemas lo antes posible y que se disponga de software actualizado para una mejor experiencia en Internet.

viernes, 11 de diciembre de 2015

iOS 9.2 liberado para solventar más de 50 bugs de seguridad

Apple ha liberado la nueva versión de iOS, la cual será la 9.2. La nueva versión del sistema operaivo incluye más de 50 parches, ya que se habían acumulado otras tantas vulnerabilidades conocidas. Las vulnerabilidades que afectaban al sistema operativo eran en su mayoría críticas, ya que podrían permitir la ejecución de código arbitrario, afectar a la privacidad del usuario, e incluso, en algunos casos, causar la denegación de servicio. Cómo se puede ver de este pequeño resumen las vulnerabilidades eran críticas e importantes. 

El detalle de las vulnerabilidades resueltas se puede encontrar, como siempre, en el sitio web de Apple. A continuación aportamos los CVE que son solventados en esta nueva version de iOS, agrupándolos por tipo de impacto que provoca la explotación de la vulnerabilidad, y por criticidad.
  • Ejecución de código arbitrario. CVE-2015-7048, CVE-2015-7095, CVE-2015-7096, CVE-2015-7097, CVE-2015-7098, CVE-2015-7099, CVE-2015-7100, CVE-2015-7101, CVE-2015-7102, CVE-2015-7103, CVE-2015-7064, CVE-2015-7065, CVE-2015-7066, CVE-2015-7038, CVE-2015-7039.
  • Denegación de servicio. CVE-2015-7040, CVE-2015-7041, CVE-2015-7042, CVE-2015-7043. 
Figura 1: Descarga de iOS 9.2
Cabe destacar el CVE-2015-7094. Un atacante puede ganar privilegios en la red a través de un bypass de HSTS. Desde hace un tiempo el mecanismo de protección HSTS es un objetivo claro de investigadores, y poco a poco van saliendo vías y técnicas dónde se consigue bypassear. Recomendamos a todos los usuarios de iOS que actualicen su sistema lo antes posible, ya que la nueva versión, como se puede ver, viene cargada de parches.

jueves, 10 de diciembre de 2015

Joe's Network Diagnostics Analyzer Monitor Scanner: Escanea desde tu iOS

Hace unos días hablamos de la suite iNetTools, una herramienta que permitía realizar diagnóstico de red desde dispositivos iPhone. Hoy trataremos una herramienta similar llamada Joe's Network Diagnostics Analyzer Monitor Scanner. La aplicación se encuentra en iTunes dispnible para dispositivos iPhone e iPad. La aplicación presenta una serie de herramientas que permiten realizar pruebas, tanto en la red local como en Internet. Se puede echar la vista atrás y hablar de herramientas como Pirni para hacer sniffing y ataques ARP Spoofing, que también podían hacer ARP Scan

Disponer de la posibilidad de escanear las máquinas que hay en una red desde el iPhone o el iPad puede ser útil en una auditoria. Hay muchos escenarios dónde pueden ser útiles, o la posibilidad de encender máquinas desde el propio iOS puede resultar útil en ciertos escenarios. Las funcionalidades que presenta la herramienta son las que se enumeran a continuación:
  • Ping, Trace, resolución DNS, funcionalidades sencillas que ayudan al diagnóstico de red.
  • LAN. Posibilidad de mediante un escaneo ARP conocer las diferentes máquinas que hay en una red.
  • Escaneo de puertos sobre las máquians de la red o sobre una dirección IP que se proporcione.
  • Opción de despertar o arrancar máquinas en remoto.

Figura 1: Listado de máquinas detectadas con la app en la LAN

Una vez que se descubren máquinas en una red, se pueden escanear sus puestos abiertos, tal y como se puede ver en la imagen inferior. El escaneo se realiza sobre los 1024 primeros puertos, y el timeout es configurable. También se puede configurar que el escaneo se realice sobre todos los puertos de la máquina detectada previamente. Sea como sea se obtiene información como el servicio y puertos detectados en este proceso.

Figura 2: Escaneo de puertos a través de la app

Otra app que se debería probar y tener en nuestro cajón de utilidades. Nunca se sabe cuando podemos necesitar este tipo de herramientas, ni para qué exactamente nos puede servir. Podemos recordar cómo a veces con cervezas y con este tipo de herramientas se puede pasar el rato. Os recomendamos que lo probéis.

miércoles, 9 de diciembre de 2015

BackStab ha vuelto para los dispositivos iOS

La empresa Palo Alto Networks ha publicado el pasado lunes un informe dónde se habla de la vuelta de BackStab. En este informe se pueden encontrar detalles de cómo se realiza este ataque nuevamente. Este ataque es utilizado para robar información privada de los archivos de las copias de seguridad de los dispositivios móviles almacenados en el equipo de la víctima. En líneas generales, el paper publicado por la Unit 42 de la compañía explica cómo se utiliza el malware para infiltrarse remotamente en los equipos y ejecuta ataques BackStab de una nueva forma.

¿Para qué se utiliza este tipo de ataque? Se utiliza para capturar mensajes de texto, fotografías, datos de localización geográfica de las víctimas, y en definitiva cualquier información almacenada en el backup, es decir, que esté en el dispositivo móvil. Las configuraciones por defecto de la tienda de Apple es uno de los puntos que se aprovechan por este tipo de ataques. Tener acceso remoto a la máquina de las víctimas y acceder a los archivos de copia de seguridad no cifradas en ubicaciones fijas o conocidas es un factor importante.

Figura 1: Tipo de malware que utiliza BackStab

En el informe se enuncia que los equipos de seguridad deben darse cuenta que porque una técnica de ataque sea bien conocida, no significa que ya no sea una amenaza. Durante la investigación de Palo Alto se juntaron más de 600 ejemplares de malware a partir de 30 países en todo el mundo que fueron utilizados para llevar a cabo ataques BackStab remotos, dijo Ryan Olson director de Threat Intelligence en la empresa.

Las recomendaciones para los usuarios son diversas, y también se pueden leer del reporte generado por Palo Alto. A continuación se enumeran algunas:
  • Los usuarios de iOS deben cifrar sus copias de seguridad locales o utilizar el sistema de copia de iCloud eligiendo contraseña segura y utilizando doble factor de autenticación.
  • Los usuarios deben actualizar los dispositivos iOS a la versión más reciendo. Como pudimos ver hace poco esto se está llevando a cabo por parte de los usuarios. En la versión más reciente ya se crean copias de seguridad cifradas por defecto.
  • Cuando se conecta un dispositivo iOS a un ordenador, los usuarios no deben hacer clic en el botón Trust cuando aparezca el cuadro de diálogo

martes, 8 de diciembre de 2015

iNetTools: Una suite de herramientas de diagnóstico de red en tu iPhone

En muchas ocasiones hemos hablado de la importancia que pueden tener estas herramientas en tu dispositivo móvil. Seguro que más de una vez has echado de menos no tener a mano una herramienta que te permita realizar un escaneo ARP, un escaneo de puertos o, simplemente, realizar un ping contra algún host. En el blog ya hemos hablado del escáner por excelencia que es Fing. Además, en algún en otros sitios se ha podido comprobar como con unas cervezas, Fing y un poco de ingenio uno puede pasar un buen rato. 

Dando un paseo por la AppStore uno puede encontrar herramientas como iNetTools, la cual nos permite realizar el diagnóstico mínimo de red desde nuestro dispositivo móvil. La aplicación tiene una versión gratuita y otra de pago disponibles en la AppStore. ¿Qué podemos hacer con la herramienta?
  • La ejecución de utilidades como ping, traceroute, DNS lookup o whois. Estas son las típicas herramientas de diagnóstico que podemos encontrar en cualquier sistema.
  • Posibilidad de lanzar un Port Scan, utilizando intentos de conexión SYN para comprobar si el puerto se encuentra abierto o no. 
  • En la versión de pago nos encontramos con LAN Scan con el que se puede hacer descubrimiento a través del protocolo ARP.

Figura 1: Menú principal de iNetTools

Hemos estado probando la herramienta y sus funciones básicos. Como se puede ver en la imagen el uso de ping es trivial, mientras que el uso del escaneo de puertos necesita que se introduzca la dirección IP o dominio de la máquina destino y el rango de puertos. Como se puede ver los resultados son mostrados en un área en la parte inferior de la aplicación dónde el usuario va descubriendo en tiempo real los resultados de la funcionalidad que se está ejecutando.

Figura 2: Ejecución de ping y escaneo de puertos

Una buena app que se debe llevar en el cajón de las utilidades, ya que nunca se sabe cuando podemos necesitarla. Quizá la funcionalidad más deseable sea la del escaneo de puertos y la del escaneo de red a través de ARP. Os recomendamos que lo probéis.

lunes, 7 de diciembre de 2015

Según un estudio el 80% de las apps de iOS tienen fallos en el cifrado

La firma Veracode ha publicado un estudio dónde se extraen varias conclusiones acerca de las vulnerabilidades en el software. La más impactante es que más del 80% de aplicaciones móviles para iOS tienen fallos en el cifrado. Estas cifras son muy altas y el informe se puede descargar desde el sitio web de Veracode. La fuente de información utilizada para la generación del reporte ha sido una plataforma que la firma tiene en la nube, la cual ha analizado más de 1,5 billones de líneas de código fuente. Tras el análisis de este código han podido llevar a cabo un diagnóstico y detección de ciertas carencias en el software.

Los resultados del informe van más allá de las vulnerabilidades criptográficas, pero si nos centramos en lo que se puede encontrar en el informe sobre el tema es sorprendente. Existe una alta prevalencia de problemas criptográficos en iOS y Android. Cómo se puede ver en la siguiente imagen existe un gran número de vulnerabilidades criptográficas sobre las apps de estos sistemas.

Figura 1: Listado Top 10 errores criptográficos en apps

Además, el informe habla de las vulnerabilidades más genéricas según el contexto de CWE y el MITRE. Incluso en el informe se puede ver como se hace un análisis de los lenguajes que pasan los test de OWASP y el porcentaje de éxito. El test es pasado en un 44% por Objective-C, el lenguaje de iOS. Hay que detallar que este resultado es el segundo mejor, solamente por detrás de C/C++, que tiene un 60%. El propio Android o Javascript se encuentran por detrás en este ranking.

Figura 2: Resultados de OWASP para los lenguajes

En definitiva, un interesante reporte que se ha presentado hace unos días y que muestra la evolución de los riesgos y vulnerabilidades en lenguajes y plataformas. Los resultados en el tema criptográfico hacen reflejar que algo no se está haciendo bien por parte de los desarrolladores y que se debe mejorar. Seguiremos atentos en Seguridad Apple a estos informes que reflejan las mejoras o no del mundo del desarrollo seguro.

domingo, 6 de diciembre de 2015

Fue Noticia en Seguridad Apple: Del 23 de Noviembre al 6 de Diciembre

Estamos ya en Diciembre y la Navidad está a la vuelta de la esquina. Pero lejos de ser unos tiempos de paz y prosperidad, el mundo de la seguridad informática no se detiene nunca. En Seguridad Apple sí lo hacemos, pero solo por un momento, para ofreceros el resumen de las noticias publicadas en este blog durante las últimas dos semanas, así como un rápido vistazo a los contenidos más interesantes de otros sitios de referencia.

El lunes 23 de noviembre os hablamos de la posibilidad de introducir passwords con TouchID gracias a un nuevo Tweak para iOS9 denominado iTouchSecure, que permite ahorrar tiempo y evitar recordar contraseñas.

Al día siguiente os contamos las reticencias de las principales compañías del mercado digital, Apple, Google, Microsft, Twitter y Samsung, a debilitar los sistemas de cifrado de sus dispositivos y aplicaciones.

El miércoles os presentamos los nuevos ajustes de privacidad y seguridad incluidos en iOS 9, que permiten multitud de configuraciones y personalizaciones, siempre con la seguridad del usuario y su información como meta.

Un día después os explicamos cómo funciona el módulo rsh/libmalloc, una vulnerabilidad que afecta a sistemas OS X 10.10.5 permitiendo a un atacante realizar una escalada de privilegios mediante la modificación del fichero sudoers.

El viernes os anunciamos el comienzo del Cybercamp Madrid 2015, un evento orientado a la ciberseguridad organizado por Incibe en el que se dieron cita los principales profesionales del sector de la seguridad informática.

Comenzamos el fin de semana con la lista de los ganadores de los Premios Bitácoras 2015, en el que el blog Oficina de Seguridad del Internauta obtuvo el galardón a mejor blog de seguridad informática de 2015.

Cerramos el mes de Noviembre presentando un bug aparecido en sistemas OS X 10.11.1 que permite bypassear la confirmación de AppleScript  y la ejecución de código, siendo por tanto una vulnerabilidad crítica que pone en grave riesgo la seguridad de los usuarios.

Diciembre comenzó con la presentación de una técnica para desde una interfaz CLI ser capaz de listar los contactos de Telegram a partir de los metadatos que almacena la aplicación, lo cual supone un grave problema para la privacidad.

El miércoles 2 os explicamos cómo instalar MacOS "Classic" en una Raspberry Pi, un proceso nada sencillo que hacie uso de RetroPie, una herramienta de hardware emulado.

El jueves os presentamos la nueva versión del navegador Google Chrome, la 47, que además de nuevas funcionalidades pone punto y final a 41 vulnerabilidades, una de ellas crítica, que comprometían la seguridad de los usuarios.

Por último, el viernes hablamos sobre la cuota de usuarios que ya se habian pasado a iOS 9. Más del 70% de usuarios ya disponen del nuevo sistema operativo, mientras que la suma entre iOS 8 e iOS 9 ya supera el 92% de la cuota de usuarios de Apple en dispositivos móviles. Sin duda, son buenos números para ver cómo los usuarios van actualizando sus dispositivos, siempre que sea posible

Esto ha sido lo que hemos publicado, pero como ya tradición, os dejamos una lista de otros artículos en otros medios que creemos que merece la pena que leáis. Aquí van:
Y ahora sí se acabó esta sección por hoy. Volveremos a repasar toda la actualidad dentro de dos semanas y esperamos veros todos los días en los post diarios de Seguridad Apple.  

viernes, 4 de diciembre de 2015

El 70% de los usuarios de iOS ya está en iOS 9

Apple ha publicado un estudio en el que se revela que la gran mayoría de usuarios que utilizan sus dispositivos ya utilizan el nuevo sistema operativo iOS 9. Esto es importante para la empresa, ya que pueden ir viendo como sus usuarios se van actualizando, y protegiendo frente a las vulnerabilidades que se van descubriendo en el día a día. Hace 2 meses que iOS 9 llegó a los usuarios y ha logrado en poco tiempo estar en más del 70% de los dispositivos. Al parecer Apple lo está midiendo por los dispositivos que acceder a la App Store y pueden ver qué versión del sistema lo realiza.

Apple indica que el 22% de los dispositivos utiliza alguna versión de iOS 8, mientras que solamente el 8% tiene iOS 7 o inferior. Evaluando las 2 últimas versiones del software se obtiene el 70 más el 22 por ciento de todos los dispositivos, por lo que se puede inferir una desaparición casi completa del soporte de iOS 7. La empresa de Cupertino ya comentó en el pasado que haría una limpieza sobre la AppStore en busca de eliminar malware y casos que tuvieran no localizados.

Figura 1: Gráfica con resultados de sistemas iOS instalados

Si se realiza una comparación al año pasado, dónde un 60% de usuarios habían instalado el sistema operativo iOS 8 parece que algo se ha concienciado y mejorado en esto. Muchas veces tenemos que mirar a la plataforma de al lado, en este caso Android, para ver que sólo el 26% de los usuarios con Android tienen instalado Lollipop o Marshmallow. Esto es debido a los problemas que tienen todos los fabricantes con el tema actualizaciones de Android. Apple lo tiene mucho más sencillo y se demuestra con estos resultados.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares