Menú principal

miércoles, 30 de septiembre de 2015

Ven al Security Innovation Day 2015 y ¡Siente el Poder!

Estamos a una semana de que Eleven Paths junto con Telefónica de España anuncie y presente las novedades en las que todos los miembros de la empresa hemos estado trabajando durante este año. Todo esto será en el evento Security Innovation Day al que te puedes apuntar ya - y deprisa que quedan muy pocas plazas -.

Figura 1: Security Innovation Day 2015. 8 de Octubre de 2015. Madrid & Streaming.

La fecha elegida para la celebración del evento es el Jueves 8 de Octubre de 2015. En la agenda se puede ver que a partir de las 15.00 hora local de España se podrá disfrutar de la siguiente agenda.

Figura 2: Agenda del Security Innovation Day 2015

Contaremos con Nir Zuk fundador y CTO de Palo Alto Networks y con Ben Matzkel fundador y CTO de Vaultive. Además, Chema Alonso, CEO de Eleven Paths, Pedro Pablo Pérez, Business Development Director y Francisco Ginel, Vice President of Strategic Alliances and Vice President Eleven Paths Brasil, nos anunciarán las novedades para 2016 en la oferta de seguridad de todas las empresas del Grupo Telefónica

El evento se podrá seguir vía Streaming en la propia web del evento. Además, también habrá seguimiento en tiempo real a través de la Cuenta Twitter de @ElevenPaths. Si quieres asistir debes registrarte cuanto antes. Además, a los asistentes que tengan Latch en al menos dos identidades, podrán llevarse una de nuestras famosas camisetas de Latch.

martes, 29 de septiembre de 2015

No se puede localizar un iPhone usando un Android

Si un usuario de Apple pierde o le roban su dispositivo y sólo tiene un dispositivo Android para poder rastrearlo y localizarlo, el usuario no podrá recuperar su dispositivo. iCloud no soporta los navegadores que se ejecutan en Android, incluyendo el navegador por defeto, así como Opera, Firefox, APUS Browser o CM Browser. Google Chrome puede cargar la página en modo escritorio, pero no se puede desplazar alrededor del sitio o llegar a la imagen de Find My iPhone. El cambio de vista a modo apaisado no ayuda en exceso.  Si intentas abrir otras aplicaciones de iCloud como es Drive con la intención y esperanza de que se podría encontrar el menú desplegable en la parte superior izquierda de la pantalla, no se consigue.

Es posible que Apple tiene el soporte deshabilitado para navegadores Android, ya que no quiera que los usuarios accedan a sus mapas en plataformas móviles rivales, pero este hecho hace que sea realmente dificil localizar un dispositivo iOS perdido si no hay otro medio.

Figura 1: No se puede consultar desde navegadores Android

No está claro que Apple haya paralizado la función de seguimiento del dispositivo para plataformas rivales, pero es una mala decisión si esto es así, ya que muchos usuarios pueden necesitar utilizar plataformas rivales para encontrar su dispositivo. Disponer de un equipo de escritorio para llevar a cabo el proceso es una de las soluciones, aunque no es la solución más cómoda, ya que en ocasiones deberíamos estar en movimiento para localizar a nuestro dispositivo.

lunes, 28 de septiembre de 2015

Pangu libera una herramienta para verificar si tu iPhone está infectado con XCodeGhost

En Seguridad Apple ya hemos hablado del malware del momento XCodeGhost, el cual ha afectado a cientos de aplicaciones legítimas en la AppStore de China, entre las que destacan WeChat, China Mobile o Citic Bank. Antes de que Apple aporte su solución a los desarrolladores de aplicaciones, el equipo de Jailbreak de Pangu ha colaborado lanzando una herrramienta que permite comprobar si el dispositivo se ve afectado por el malware.  En el sitio web de Pangu se puede encontrar esta herramienta, accediendo a ella desde el navegador móvil, por ejemplo con Safari.

Desde este sitio web se puede instalar la aplicación pinchando sobre las palabras XCode que están en blanco. Saldrá un pop-up indicando que ssl.pangu.io quiere instalar XCode. El proceso no es normal, por lo que muchos usuarios pueden desconfiar de ello. Hay que tener en cuenta que cuando se hace un Jailbreak al dispositivo con las herramientas de Pangu también pueden meter cualquier cosa.

Figura 1: Instalación de la herramienta de Pangu

Tras instalar la aplicación, se indicará que esta aplicación de empresa no es de confianza para el iPhone. Se debe abrir la parte de Configuración del dispositivo y en el apartado de General se puede ver los Perfiles. Existirá un perfil llamado Shenzhen Avaintel Technology y hay que cambiarle a seguro.

Figura 2: Poner a trust el perfil de empresa

Ahora ya se puede ejecutar la aplicación de Pangu. Dentro de la aplicación hay un botón que permite ejecutar el chequeo dentro del dispositivo para comprobar si el dispositivo tiene alguna aplicación infectada con XCodeGhost. Si el dispositivo no está infectado saldrá una gran marca verde indicando que el dispositivo no está infectado por este malware. Como último dato, según el equipo de Pangu, más de 3400 aplicaciones se han encontrado infectadas por XCodeGhost, seguramente seguiremos descubriendo nuevas apps infectadas con el paso de las horas.

domingo, 27 de septiembre de 2015

Fue Noticia en Seguridad Apple: 14 al 27 de Septiembre

Otra vez llegamos al punto de control de contenidos que hacemos cada dos semanas en Seguridad Apple. Durante este periodo hemos vivido la salida de iOS 9, el descubrimiento de la mayor brecha de seguridad en la AppStore y un montón de polémicas y bugs alrededor de las tecnologías Apple. Este es el resumen que con, todo nuestro aprecio haci ti, hemos preparado para ti.

Comenzamos el 14 de Septiembre con el libro gratuito de Reversing de Apps iOS, un manual que puedes descargarte gratuitamente y utilizar como referencia en tu camino de aprender a hacer auditorías de seguridad a apps de iOS.

El martes de esa semana hablamos de Pumpic para iOS, una app de control parental para dispositivos iOS con Jailbreak, para controlar la utilización que de los sistemas iOS hacen tus tutorados. Ojo que esta herramienta solo se puede utilizar para controlar los dispositivos de aquellas personas que están a tu cargo legalmente.

El día siguiente trajimos más documentación, en concreto una Guía Práctica de Seguridad y Privacidad para OS X Yosemite que no puedes dejar de tener en tu arsenal. Está disponible gratuitamente en la web a través del enlace que te hemos dejado en el artículo.

Para el jueves 18 hablamos de iOS 9 y sus más de 100 bugs de seguridad corregidos. Sí, es cierto que veríamos después como aparecieron fallos inducidos por iOS 9 que tuvieron que ser arreglados en iOS 9.0.1, pero con que hayan cerrado 101 con iOS 9 era motivo más que suficiente para instalarlo pronto.

El viernes hablamos del trabajo de Mark Dowd en el que explicaba como meter un troyano en un terminal iOS a través de un sistema OS X pareado al que se le inyectaba el malware a través de AirDrop. Una vez en el sistema OS X, usando un provisioning profile, el malware acaba en el iPhone o iPad.

El sábado 20 de Septiembre la entrada se la dedicamos a LapLock para OS X, un programa que permite controlar cuándo tu MacBook es desconectado de la batería, para que sepas si alguien está intentando robarte tu computadora.

El domingo 21 llego la bomba informativa de XCodeGhost, el malware que había infectado copias de de XCode para conseguir que se publicaran apps de iOS y de OS X infectadas en el AppStore. Entre la lista de apps, algunas muy populares como WeChat Messenger con millones de usuarios.

El lunes publicamos que el troyano inyectado con XCodeGhost en las apps infectadas había sido utilizado, entre otras cosas, para robar cuentas de iCloud, haciendo phishing directamente en el dispositivo. 

El martes Apple sacó por fin Apple Watch OS 2.0 después de haberlo tenido que retrasar por un bug de seguridad no corregido en él. Salió tarde, pero al final salió y con un buen número de nuevas funcionalidades. Aquí el Security Advisory con todos los bugs corregidos.

El miércoles, repaso a todas las actualizaciones de seguridad. XCode 7, además de cómo verificar la integridad de tu copia para evitar un nuevo problema de XCodeGhost, actualizaciones de OSX Server, de iTunes 12.3 y de Adobe Flash Player.

El 24 de Septiembre llegó la actualización de iOS 9.0.1, con solución de bugs inyectados en iOS 9. Otra vez a actualizar el sistema para intentar tenerlo lo más protegido posible.

El viernes de esta semana se especuló que el ataque utilizado podría apuntar al gobierno de EEUU, y en concreto a la CIA, ya que seguía el esquema descrito en uno de los documentos filtrados por Edward Snowden, así que ya tenemos de nuevo la guerra USA-China vía Apple de por medio.

Por último, ayer sábado trajimos el artículo de Dipu Daswani que habla sobre cómo cambiar el DVD de un MacBook para introducir una ampliación de disco SSD. Un Do It Yourself para los más manitas.

Hasta aquí todo lo publicado en este periodo de tiempo en nuestro blog, pero como es habitual os traemos una selección de otros artículos que no debéis dejar de leer este domingo de repaso. Esta es la lista de hoy.
- Eleven Paths libera Evil FOCA como Open Source: La herramienta está escrita en .NET y sirve para hacer auditorías de seguridad con ataques de red en protocolos IPv4 & IPv6. No funciona en OS X, pero con la liberación de .NET para OS X probablemente se pueda adaptar con pocos cambios. 
- No puedes usar Find My iPhone desde Android: Una queja con toda la razón del mundo. Apple no da compatibilidad a los dispositivos Android para entrar en Find My iPhone, cuando muchos usuarios en situación de pérdida del dispositivo pueden querer entrar desde Android. 
- Ejecutar FOCA en OS X: Utilizando las herramientas de Wine, WineBottler y WineTricks, es posible correr FOCA en OS X. Aquí tenéis la explicación y en el siguiente vídeo todo el proceso descrito. 

Instalar y Ejecutar FOCA en OS X
- Un nuevo bug que crashea Google con 16 caracteres: En Hackplayers nos traen una URL que provoca un DoS en los navegadores de Google Chrome con solo intentar abrirla.   
- Apple explica la privacidad en Hey, Siri: Mucha es la controversia generada debido a que Siri esté escuchando todo a ver si alguien dice "Hey, Siri". Además preocupa el nuevo Live Photos, así que Apple se ha explicado. 
- Hands On con las extensiones para bloqueo de contenido en Safari para iOS: Una de las novedades en iOS es que Apple ha permitido utilizar los ad-blockers. Estos se basan en el uso de las extensiones de Apple Safari para el bloqueo de contenido. Aquí tienes cómo sacarle partido en tu dispositivo. 
- Miles de sitios WordPress infectados con Malware: Se basa en un bug parcheado en la última versión, así que actualiza lo antes que puedas. Si tienes Latch para WordPress instalado, hemos probado que funciona correctamente con la última versión. 
- Detenido con un iPhone en la sandalia: Su objetivo era hacer fotos a las chicas por debajo de la falda controlándolo con los auriculares. 
- Apple actualiza las firmas de XProtect para detectar apps con XCodeGhost en OS X: Se han añadido nuevas firmas de apps para OS X que también están infectadas con XCodeGhost.
Y hasta aquí dio de sí esta sección. Esperamos que tengáis un buen domingo y veros dentro de dos semanas en esta sección y cada día en los artículos que publicamos en Seguridad Apple.

sábado, 26 de septiembre de 2015

Do it Yourself: Sustituir el DVD por un SSD en Macbook Pro & Habilitar TRIM en OS X Yosemite

Desde que me hice con mi Macbook Pro de 13”, allá por 2012, siempre he lamentado no haberlo adquirido con un disco SSD de serie, pero en aquel entonces el coste se disparaba bastante, a la par que las capacidades de almacenamiento eran bastante limitadas. No escatimé en elegir el modelo con procesador i7 y 8Gb de RAM, pero con un disco HDD convencional de 500 Gb. Desde entonces, siempre he pensado en cambiar mi disco por un SSD, o realizar un hack muy habitual en la gente que dispone de estos modelos, que consiste en cambiar el lector de DVDinterno que viene con el portátil, por un SSD.

Para ello se utiliza un adaptador que se puede comprar online en diferentes sitios de la red, para así poder operar con los dos discos, de cara a tener el sistema operativo en el disco SSD (ya que ofrece mejores resultados en cuanto a rendimiento y velocidad), a la par que utilizar el HDD que venía de serie para almacenar la información.

Pero como seguramente les sucede a todos los que trabajan en este sector, mi equipo es casi una prolongación de mí mismo, que me acompaña allá donde voy, tanto si es para trabajar en la oficina, como para ir de viaje en tren o en avión, así como para dar una de las miles de charlas que heimpartido durante mi etapa en estos dos últimos años en INCIBE. Así que no me he puesto a ello hasta verme obligado por fuerza mayor, cuando el rendimiento del Macbook ha comenzado por degradarse paulatinamente hasta quedar prácticamente inutilizable, debido a un problema físico del disco HDD interno, además como suele suceder en estos casos en los que se cumple la dichosa ley de Murphy, días antes de un viaje a Colombia en el que necesitaba el equipo para impartir una charla y un taller práctico en un congreso al que fui invitado como ponente.

Figura 1: Dando charla con el MacBook después del arreglo

Es entonces cuando me dispuse a acometer la modificación descrita anteriormente, adquiriendo para ello este kit de OWC, que además del propio disco duro SSD a instalar (un Samsung 850 Evo en este caso), viene con un adaptador que permite incluir el disco en la bahía donde normalmente está la unidad de DVD interna, así como una carcasa externa que permite conectar dicha unidad cuando se requiera, y los destornilladores necesarios para efectuar la instalación.

Figura 2: Instalación de una segunda unidad de disco

Como he relatado anteriormente, estuve postergando el momento de realizar el cambio hasta que la situación llegó a ser crítica, pues cuando intentar trabajar con el Macbook se convirtió en algo totalmente impracticable, el primer paso fue arrancar la “Utilidad de Discos” de cara a buscar errores en el disco HDD original que venía de serie. El diagnóstico como imaginaba no era nada alentador. El disco tenía errores, y la única posibilidad de intentar repararlo era ejecutando la propia Utilidad de Discos pero desde el menú de recuperación de OS X, al que se accede iniciando el ordenador mientras se pulsan simultáneamente las teclas comando y R, hasta que aparece el logotipo de Apple.

Figura 3: Menu de recuperación de OS X

Al intentar reparar el disco desde la partición de recuperación, cumpliéndose una vez más la ley de Murphy, el proceso se interrumpía antes de llegar a su conclusión, por muchas veces que lo ejecutara, y la Utilidad de Discos sentenciaba. El disco no se podía reparar, y lo que es peor, el equipo no volvería a arrancar.

Llegados a este punto, la solución era clara. Montar cuanto antes el nuevo disco SSD en el equipo, realizar una instalación limpia del S.O, restablecer la información a partir de una copia de seguridad de Time Machine, y posteriormente montar el disco HDD para ver si era posible acceder a la información que en él se encontraba almacenada. La primera pregunta que a uno se le viene a la cabeza es: ¿Cómo instalo el S.O. en un disco totalmente virgen sin disco de instalación? (no había descargado Yosemite ni creado un disco de instalación). Estaba claro que la respuesta pasaba por utilizar la partición de recuperación de OS X, o la opción de recuperación por Internet.

Figura 4: Menú de recuperación por Internet de OS X

El esquema final iba a ser el descrito inicialmente: el disco SSD con el S.O instalado, montado en la bahía de la unidad de DVD sobre el adaptador OWC que permitiera encajar el disco en el espacio sobrante, y el disco HDD para almacenar la información en la bahía donde originalmente venía. Pero como ahora disponía de un disco HDD inutilizable, era más rápido sustituir dicho disco por el SSD en un primer paso para ir instalando el S.O. Aquí es cuando me surgió una duda que ni tras indagar un poco en la red, ni incluso consultando con técnicos especializados de diferentes servicios técnicos oficiales de Apple, pude resolver de manera clara: ¿dónde está la partición de recuperación del sistema? ¿En el propio disco donde está el sistema, o en algún módulo de memoria que pueda traer el equipo?

Figura 5: Extrayendo la unidad interna del DVD del MacBook Pro para montar disco SSD

Al final, sólo la experimentación lleva al conocimiento, así que tras sustituir en primera instancia el disco HDD por el SSD (para no tener que así extraer la unidad de DVD ni montar el SSD en el adaptador), me di cuenta que lamentablemente la partición de recuperación donde se encuentran tanto el menú de recuperación OS X como el menú de recuperación por Internet se encuentran en el propio disco HDD junto con el sistema operativo y el resto de información, por lo que no me quedo otra que volver a ir a por todas, volver a colocar el HDD en su sitio, extraer la unidad de DVD y montar allí el disco SSD. He aquí el resultado final:

Figura 6: Disco SSD instalado sobre OWX Doubler en la bahía original de la unidad interna de DVD

Otro aspecto interesante de la recuperación de OS X, es que dependiendo de la opción elegida se instala una versión el sistema operativo u otra. Si se utiliza la recuperación normal, como se indica desde la propia página de soporte de Apple se instala la versión más reciente del sistema que hubiese instalada en el ordenador, en este caso OS Mavericks. Sin embargo, si se utiliza la recuperación por Internet, se instala la versión con la que venía de serie el equipo, es decir, Lion. Como recordamos, el disco original HDD se encontraba dañado, así que no fue posible instalar Mavericks desde el menú de recuperación normal. Por lo que no me quedó otra que arrancar la recuperación por Internet, para descargar e instalar Lion. Una vez que el equipo arrancaba ya desde el SSD con el S.O Lion instalado ya era posible descargar e instalar Yosemite desde la Apple Store.

Figura 7: Descargando OS X Yosemite en el SSD con
OS X Lion recién instalado con la recuperación por Internet

Lo curioso es que en este caso no se realiza una instalación limpia de Yosemite, sino que se instala sobre la instalación de Lion, por lo que para poder disponer de una instalación limpia de la última versión del sistema en el nuevo disco SSD tocaría instalarlo sobre Lion, volver a arrancar el menú de recuperación, para ahora sí por fin instalar Yosemite desde cero, ya que como bien explicamos al comienzo del párrafo, desde el menú de recuperación normal se puede volver a instalar la versión más reciente del sistema que hay instalada en el equipo.

Figura 8: OS X Yosemite en el nuevo SSD

Una vez que tenemos ya instalado el sistema operativo en el nuevo disco SSD montado en la bahía donde originalmente iba el DVD, la odisea no ha terminado aún. Toca investigar acerca de cómo habilitar la famosa orden TRIM. Pero antes de nada, conviene aclarar qué es eso de la instrucción TRIM, ya que es muy probable que los que no hayan experimentado aún con discos SSD no conozcan tan siquiera la existencia del término.

Cada vez que se elimina un fichero en nuestro sistema, los datos continúan en el disco en segmentos llamados bloques. Estos bloques no son eliminados hasta que no es necesario volver a utilizarlos para escribir nuevos datos. Debido a limitaciones técnicas en el diseño de las memorias flash NAND, sólo se pueden eliminar bloques completos. Esto quiere decir que cuando se necesitan escribir nuevos datos, el SSD debe realizar previamente operaciones de limpieza y mantenimiento de bloques, que consumen tiempo y ralentizan el proceso de escritura, ya que a priori la unidad de estado sólido no dispone de la información acerca de qué bloques se pueden eliminar.

TRIM es una orden que nace con el objeto de solventar este problema, y permite al sistema operativo comunicarle al SSD qué bloques de datos ya no están en uso, en aras de que puedan ser eliminados directamente, evitando así un elevado número de operaciones durante el proceso de escritura. El propósito de la orden es mantener la velocidad del SSD durante toda su vida útil

Figura 9: Borrado y escritura de bloques con y sin TRIM en discos SSD

Habilitar la orden TRIM es por tanto un must a la hora de trabajar con discos SSD, ya que en caso contrario el rendimiento del disco se ve claramente degradado a lo largo del tiempo a medida que todos los bloques hayan sido escritos al menos una vez. Activarlo es un tema que no tendría mayor trascendencia, si no fuese por lo que suele suceder en muchas ocasiones en el mundo Apple. Hasta hace unas semanas, Apple no permitía habilitar el soporte para la instrucción TRIM en discos SSD de terceros, que no fuesen los instalados por la propia compañía de la manzana. Esta limitación se podía salvar en anteriores versiones de OS X, utilizando herramientas como Trim Enabler, de Cindori (una compañía especializada en desarrollo de software para OS X), que permitía habilitar TRIM en unidades de estado sólido de otros fabricantes.

Sin embargo, a la hora de lanzar Yosemite, Apple introdujo una nueva medida de seguridad conocida como kext signing, que comprueba mediante validación de firma a la hora de arrancar el sistema que todos los drivers cargados no hayan sido alterados por terceras partes, sino que hayan sido verificados por Apple. Si alguno de los drivers ha sido modificado, Yosemite no lo cargará, de cara a prevenir así la posible ejecución de software malicioso. El kext signing es una medida que refuerza la seguridad de los dispositivos Apple, pero la contrapartida es que añade una clara restricción a la hora de habilitar el soporte para TRIM en discos de terceros. De hecho, hasta hace poco la única alternativa posible para realizar esto en Yosemite pasaba por deshabilitar el kext signing, con el consecuente riesgo de seguridad que ello conllevaba, así como los problemas que introducía a la hora de actualizar el sistema a medida que se liberasen nuevas versiones. Es por esto que, en aquel momento tras investigar y documentarme un poco, en mi caso decidí no deshabilitar el kext signing para poder activar TRIM, y esperar por contra en aras de ver si el escenario cambiaba con el paso del tiempo.

Figura 10: Comando trimforce incluido en OS X Yosemite 10.10.4

La verdad que la espera fue muy corta y mereció la pena, porque tan sólo unos días después, Apple liberó la versión 10.10.4 de Yosemite, en la que como novedad destacada incluía el soporte para habilitar TRIM en discos SSD no originales de Apple, a través del comando “trimforce”. Gracias a esta nueva funcionalidad, y a que la compañía ha facilitado un certificado válido kext a la gente de Cindori, también es posible habilitar TRIM a través de las herramientas Trim Enabler 3.4 o Disk Sensei 1.2. Como podéis imaginar, a día de hoy mi disco SSD, con Yosemite actualizado a su última versión, ya tiene habilitado felizmente el soporte para TRIM, y mi equipo está listo para volver a la carga después de las vacaciones

Figura 11: Disk sensei 1.2 mostrando el informe de estado del SSD

Es curioso cómo de inmenso y apasionante es este mundo de la tecnología, en el cual cada pequeña cosa que vayamos a hacer o investigar, puede ser tan grande o extensa como nosotros queramos, pues el conocimiento está ahí, a golpe de clic, y nos toca a nosotros decidir hasta qué nivel queremos profundizar. Digo esto porque en mi caso concreto, es muy probable que no me hubiese preocupado de leer o documentarme detalladamente sobre el kext signing y las implicaciones que podría tener deshabilitarlo, si nunca me hubiese tenido que enfrentar al problema de habilitar TRIM en un SSD no original de Apple.

Son muchísimas las áreas de conocimiento que existen tanto en el mundo de la informática como en el de la seguridad (que yo siempre digo que es casi más grande que el de la propia informática en sí), así como infinitas la cantidad de horas que necesitaríamos para asimilar tan sólo una pequeña parte de ese conocimiento. De ahí que que me considere un privilegiado por poder dedicarme a algo que realmente me apasiona, pues requiere de tanto esfuerzo y sacrificio poder estar mínimamente al día en este mundo, que en caso contrario sería un verdadero suplicio. Ya dijo el Maligno hace unos días, que la seguridad informática es una amante caprichosa, así que la única manera de que nuestra relación con ella sea idílica, es que la amemos con verdadera pasión

viernes, 25 de septiembre de 2015

Primer ataque cibernético en el AppStore apunta a la CIA

malware & CIA
La semana pasada se dio a conocer unas decenas de aplicaciones de iOS en la AppStore infectadas con el malware XCodeGhost. La noticia se ha ido desarrollando y se ha visto como se ha utilizado para ataques de phishing y se han ido descubriendo más aplicaciones, llegando el número a 4000 aplicaciones infectadas conocidas. El malware XCodeGhost se distribuye a través de apps legítimas falseadas cuando son subidas y firmadas por el desarrollador debido a un XCode modificado. 

La técnica utilizada por XCodeGhost es similar a la desarrollada por la Agencia Central de Inteligencia o CIA, la cual fue destapada en Marzo de este año, filtrando documentos de Edward Snowden. Los documentos filtrados afirmaban que la CIA disponía de una forma de manipular el XCode en un esfuerzo de agregar puertas traseras o backdoors en aplicaciones de iOS, sin el conocimiento de los desarrolladores.
Las aplicaciones de iOS compiladas utilizando la versión modificada de XCode podría permitir a usuarios maliciosos robar contraseñas y apoderarse de los mensajes de los dispositivos infectados, así como enviar esos datos a un centro de mando a su elección. Los documentos no dejan claro cómo la CIA y otras agencias de inteligencia serían capaces de envenenar los XCode de los desarrolladores. Ahora con la noticia de XCodeGhost parece que sabemos como podían lograrlo. Apple ha asegurado a los usuarios y desarrolladores que la compañía está trabajando en eliminar este tipo de aplicaciones infectadas en la AppStore, pero aún no ha respondido a las preguntas sobre si Apple estaba al tanto de las técnicas de la CIA para comprometer XCode.

jueves, 24 de septiembre de 2015

iOS 9.0.1 publicado para corregir primeros bugs de iOS 9.0

No hace más de 1 semana que iOS 9 está disponible y ya tenemos aquí su primera actualización, la versión 9.0.1. La actualización es de 3 digitos por lo que no se agregan muchas cosas, y apenas pesa unos 35 MB. Si miramos la información de la actualización podemos ver como Apple indica 4 cambios destacables que se corrigen con la actualización. El primer bug solventado, y que además era bastante incómodo, es el que impedía a los usuarios terminar la configuración una vez actualizado el sistema. El asistente de configuración se quedaba bloqueado y se debía reiniciar el dispositivo, ya que el usuario no podía continuar configurando la nueva versión del sistema operativo.

Este bug ha sido sufrido por algunos de nosotros en la actualización a la nueva versión del sistema operativo de Apple.

Figura 1: Actualización a iOS 9.0.1

Otro de los bugs importantes que se solucionan es un error que hacía que las alarmas y temporizadores no funcionasen correctamente. Además, se ha arreglado un bug en Fotos y Safari que hacía que se distorsionara el video que se estaba viendo. Por último, se arregla un bug en la configuración de los nombres de los puntos de acceso. Más del 50% de los dispositivos que pueden instalar iOS 9 han sido actualizados según ha informado el propio Apple, y todo esto en menos de una semana.

miércoles, 23 de septiembre de 2015

Actualizaciones de seguridad de XCode 7, iTunes 12.3, OS X Server 5.0.3 y Adobe Flash Player

Hoy traemos un resumen con todas las novedades que tenemos respecto a las actualizaciones en el mundo Apple. Es cierto que hay bastante movimiento en Apple debido a numerosos bugs que han ido apareciendo. Además, aplicaciones de terceros como es ya el clásico Adobe Flash Player también trae su actualización crítica. En primer lugar hablaremos de XCode 7 que ha sido liberado por Apple que arregla 10 vulnerabilidades. Los CVE detallados reflejan que no hay ejecución de código arbitrario en estas vulnerabilidades, pero son importantes ya que la mayoría tratan de temas de cifrado que pueden afectar a la confidencialidad de los usuarios.

Algunas de las vulnerabilidades permiten obtener acceso a los repositorios de código. La versión 7 de XCode está disponible para versiones de OS X Yosemite.

Figura 1: Security Advisory de XCode 7

Además, Apple ha publicado como verificar que tu XCode es legítimo. Para ello hay que abrir un terminal con Gatekeeper habilitado y escribir los siguiente spctl -asess -verbose /Applications/Xcode.app. Esta instrucción devolverá algo similar a source=Mac App Store si el XCode fue descargado desde la Mac App Store. Si fue descargado desde el sitio web de Apple se obtendrá source=Apple

Para iTunes la empresa ha lanzado la versión 12.3 que arregla más de 60 vulnerabilidades. En el Security Advisory se detallan los CVE asociados, entre los que todos, excepto 2, permiten la ejecución de código arbitrario. Esto quiere decir que a través de las vulnerabilidades un potencial atacante podría conseguir el control total de la máquina ejecutando su propio código. La actualización se ha lanzado para sistemas Windows 7 y posteriores.

Figura 2: Security Advisory de iTunes 12.3

En lo que a la propia Apple se refiere el último producto actualizado es el OS X Server 5.0.3. En este Security Update se solventan 20 vulnerabilidades, de las cuales la mitad permitían ejecutar código arbitrario. Dentro del sistema operativo servidor de Apple, las aplicaciones afectadas eran Apache, BIND, PostreSQL y Wiki Server

Figura 3: Security Advisory de OS X Server 5.0.3

Por último, hablamos de las 23 vulnerabilidades que se han parcheado en Adobe Flash Player. Adobe ha liberado la versión 19.0.0.185, tanto para sistemas OSX como Windows. Las vulnerabilidades parcheadas podrían permitir a un potencial atacante ejecutara código remoto en la máquina, por lo que se ha calificado de una actualización crítica. Hay un gran número de productos de Adobe que hacen uso de de Flash, por lo que todos estos han sido afectados. Además, los plugins de los navegadores son un punto crítico, los cuales pueden caer en un ataque de Client-Side.

Figura 4: Listado de CVE que se solventan con la actualización de Adobe Flash Player

Recomendamos estar al día con las actualizaciones, ya que estamos en una temporada, en la que como se puede ver, existe gran cantidad de vulnerabilidades asociadas a software del propio sistema operativo o software utilizado por millones de usuarios en el mundo, como es el caso de Adobe Flash Player.

martes, 22 de septiembre de 2015

XCodeGhost se usó para robar cuentas iCloud con Phishing

XCodeGhost es sin duda una de las noticias de los últimos tiempos, la forma en la que se han infectado aplicaciones legítimas de desarrolladores iOS es una vuelta más a la generación de malware. El conseguir que los desarrolladores se instalen un XCode modificado que en el  momento en el que se publicaba la aplicación infectaba ésta, siendo totalmente legítima, es a priori una obra casi perfecta en temas de evasión de los mecanismos de seguridad de Apple en la AppStore.  Millones de usuarios de Apple están hoy día en riesgo por las aplicaciones maliciosas legítimas

Aquí tienes la lista completa de las apps que fueron subidas con este malware a la AppStore oficial. Hay que recordar que aplicaciones como WeChat Messenger, el cual es uno de los clientes de mensajería instantánea más populares del mundo, fueron compiladas utilizando la versión maliciosa de XCode. El malware se extendió a los desarrolladores a través de mensajes en los foros chinos. Los enlaces llevaban al sitio de archivos Balidu dónde se anunciaban como una fuente más rápida para descargar el archivo de 3GB que desde los servidores oficiales de Apple.

Figura 1: La password de iCloud permite desbloquear todos los servicios de Apple ID

El ataque significa que los usuarios de aplicaciones populares, como por ejemplo banca y telecomunicaciones construido con este XCode están abiertos a que se les robe las credenciales de iCloud, junto a otros datos del teléfono. Otras aplicaciones infectadas son la aplicación oficial de China para la compra de billetes de ferrocarril, el operador de telefonía móvil Unicom y una de las apliaciones de comercio de acciones más populares del país.

Figura 2: Código que inyecta XCode

Según el informe de un desarrollador, XCodeGhost ya ha lanzado los ataques de phishing dónde se puede ver como se solicita a las víctimas introducir su contraseña de iCloud. El ataque de phishing de iCloud descrito fue revelado por primera vez en foros de desarrolladores chinos después de que un programador desarrollase una aplicación benigna con el XCode y se diera cuenta de que la aplicación le incitó a introducir credenciales de iCloud. Usuarios fuera del territorio de China también se vieron afectados por el ataque de phishing. Por ejemplo, WinZip, la aplicación para descomprimir, el navegador Mercury o Musical.ly también están siendo objetivo.

lunes, 21 de septiembre de 2015

Apple retrasó la salida de Watch OS 2 por un bug

La gente de Cupertino ha comunicado que su actualización del sistema operativo del reloj de la compañía ha tenido que ser aplazada. Esto ha sido debido a números bugs que han hecho que Apple no se encuentre confiado en sacar su nuevo sistema operativo a la luz. El despliegue de la actualización estaba pensando para el día 16 de Septiembre, pero se ha tenido que postponer para arreglar algunas vulnerabilidades. 

Apple ha querido dejar claro que la actualización llegará en un período de tiempo breve. El error descubierto debe ser bastante crítico para parar el despliegue y pasar del día 16 de Septiembre a un día indeterminado. A día de hoy seguimos sin tener la actualización lanzada, aunque Apple sigue diciendo que pronto la tendremos.  No se conocen datos sobre el error que ha generado esto en el reloj de la compañía, ni cuando va a salir a la luz la actualización. Apple ha indicado que la liberación del Watch OS 2 es una revisión a fondo del firmware del reloj inteligente. La actualización traerá el primer soporte de aplicaciones nativas del sistema operativo, en lugar de las construidas a través de iOS. La adición de aplicaciones nativas promete proporcionar a los desarrolladores un mayor acceso a los componentes del hardware del reloj y puede interactuar con el HealthKit y el HomeKit de Apple.

Figura 1: Apple Watch OS 2 a la espera

Además, se han añadido una serie de características nuevas, como por ejemplo la opción de tiempo de viaje para ver las próximas citas y la adición de opciones de personalización para configurar la pantalla del reloj. Seguiremos a la espera de la liberación del nuevo sistema operativo, y esperaremos más detalles sobre los errores que han provocado este retraso.

domingo, 20 de septiembre de 2015

XCodeGhost: Un malware que infecta las apps en XCode

Los creadores de malware han dado un paso más allá en la infección de las apps para iOS y OSX, infectando directamente los archivos del instalador de XCode que estaba alojado en los servidores de Baidu, en China. A este malware se le ha llamado XCodeGhost. El objetivo es bastante sencillo, conseguir que cuando una nueva aplicación sea creada para iOS o para OSX con uno de estos compiladores infectados, la app irá infectada desde su creación, subiendo después a la App Store o a la Mac App Store. Y no han sido pocas las apps afectadas ni los usuarios.

En total son 76 apps las que se han detectado infectadas con este malware, y entre ellas se encuentra alguna tan popular como WeChat Messenger, por lo que se estima que hay millones de usuarios afectados por este malware, y que podría haberse utilizado en muchas operaciones.

Figura 1: Código malicioso de XCodeGhost

Por supuesto, tal y como se ha explicado, al manipularse la app directamente desde su creación, no es necesario que el dispositivo que se va a infectar tenga realizado el jailbreak, ya que el creador de la app firmará el código malicioso y lo subirá firmado a AppStore. Una nueva vuelta de tuerca en el mundo del malware.

sábado, 19 de septiembre de 2015

Laplock para OS X: Entérate si te van a robar tu Mac

La empresa Vyte ha sacado una aplicación denominada Laplock, la cual proporciona un mencanismo ingenioso para enterarte de cuando te están robando tu Mac. Mediante la aplicación y su previa configuración cuando el usuario tiene conectado el Mac a la corriente. Si un usuario intenta quitar el equipo con la aplicación habilitada de la corriente saltará una alarma, e incluso podrá llegarnos un mensaje vía dispositivo móvil informándonos de que se está robando nuestro equipo. 

En el siguiente video se puede visualizar una pequeña prueba de concepto de cómo trabaja la aplicación, y como ésta avisa al propietario del equipo de que su equipo se ha desconectado de la red eléctrica, o lo que puede significar lo mismo está siendo robando.

Figura 1: Demostración de uso de Laplock

Ya hemos visto otras soluciones que ayudan al usuario a preservar su privacidad y no dejar la sesión al alcance de otros. Es cierto que Laplock solo avisa de que se está robando, pero no bloquea el equipo, quizá una mejora sería justamente ésta. La aplicación Sesame bloqueaba y desbloqueaba el Mac cuando el usuario se alejaba o acercaba. Nosotros en Eleven Paths contamos con Latch y su integración con OS X con el que el usuario puede bloquear el uso de equipo aunque se conozca su usuario y contraseña.

viernes, 18 de septiembre de 2015

AirDrop permite meter malware en los dispositivos iOS

La noticia es importante y es que aplicaciones maliciosas pueden ser instaladas de forma silenciosa en los dispositivos de Apple. El investigador Mark Dowd ha anunciado que es realmente sencillo instalar una aplicación maliciosa aparentemente legítima sobre en un dispositivo iOS, aunque aún faltan más detalles. 

Según un video publicado por Mark, el atacante envía mediante AirDrop un fichero, el cual es el payload. Cuando se recibe el fichero esto puede provocar el reinicio del dispositivo. El payload instala un nuevo certificado de empresa para firmar apps.

Además, el provisioning profile es instalado en el dispositivo, bypasseando la AppStore. La aplicación es marcada como segura, evitando un pop up en su primer arranque. Una vez reiniciado el dispositivo la aplicación ha sido instalada. Como puede verse en el video la aplicación Phone ha sido sustituida por otra maliciosa, con el mensaje Hello World. El mecanismo de infección parece tan sencillo que asusta y no se conocen todos los detalles. La vulnerabilidad se ha mitigado en iOS 9 aunque no hay una confirmación severa sobre que se mitigue completamente.

Figura 1: Demostración de la PoC

Al parecer el fallo radica en la función de intercambio de archivos a través de AirDrop y permite  instalar aplicaciones en dispositivos con iOS 7 o superiores. Mark Dowd reportó el fallo a Cupertino añadiendo que las aplicaciones maliciosas se instalarán independientemente de si el usuario acepta o no una solicitud de intercambio con AirDrop. El vector de ataque de Dowd no requiere nada más allá de la activación y conexión de los dispositivos con AirDrop. Esto es importante porque se ha comparado con el vector de ataque de Masque, el cual sí requería un mayor nivel de interacción por parte del usuario.

jueves, 17 de septiembre de 2015

iOS 9 soluciona 101 bugs de seguridad (Ahí es nada)

El sistema operativo de iOS ha sido liberado con un gran número de agujeros de seguridad parcheados. A Apple ya le ha pasado varias veces que cuando comienza un nuevo número de versión, en este caso de la 8 a la 9, la descarga es más grande de lo normal. Por ejemplo, la versión 8.4.1 estaba en 50 MB o en OTA a través de 1,2 GB. La nueva versión está alrededor de los 2 GB en lo que a fichero IPSW se refiere realizando la descarga completa del firmware

Los cambios y nuevas características de seguridad que forman parte de la seguridad de iOS 9 son las siguientes:
  • Passcode de 4 dígitos a 6: De esta forma el tiempo y las combinaciones de fuerza bruta aumentan exponencialmente.
  • Doble factor de autenticación (2FA) en iOS 9: Necesita el uso de El Capitan OS X 10.11, la cual se encuentra aún en beta.
  • Bloqueo de extensiones en el navegador Safari.
En realidad las partes más importantes que se han solventado o mejorado en términos de seguridad son las actualizaciones que se han tenido que liberar en esta versión. Otros de los bugs que se solventan en iOS 9 hacen indicar que el software saldría sin ellos parcheados, siendo parcheado el día 16 de Septiembre. 

Figura 1: Cambio del nuevo Passcode de 6 digitos

En estas actualizaciones hay todo tipo de vulnerabilidades que han sido parcheadas, como por ejemplo: 
  • Ejecución de código remota potencialmente explotables a través del WebKit y el núcleo de Javascript.
  • Leaks. El acceso a la memoria del kernel puede provocar estas fugas de información.
  • Denegar el servicio o crashear el dispositivo.
  • Suplantaciones de identidad enviando un correo electrónico falso que parece provenir de un contacto de la libreta de direcciones. 
  • Visualización de tráfico que circula a través de conexiones TLS debido a un error en el manejo de un certificado. 
  • Spoofing. Falsear un sitio web que parece que se encuentra con la dirección URL legítima.
En la lista podemos encontrar 101 entradas de vulnerabilidades, aunque quizá haya una que se lleve el premio, y es una vulnerabilidad que permite determinar una clave privada a un atacante. Se puede deducir tras la observación de muchos intentos de firma o de descifrado qué clave privada RSA se tiene.

Figura 2: 101 bugs solucionados en iOS 9

Como se puede ver la salida de iOS 9 trae muchas novedades y muchos agujeros de seguridad tapados, más de 67 importantes. Por esta razón, os recomendamos actualizar vuestro sistema y poder estar un poco más seguros con el nuevo sistema operativo.

miércoles, 16 de septiembre de 2015

Guía de Seguridad y Privacidad para OS X Yosemite

Día a día podemos ver muchas noticias de intrusiones y brechas de seguridad en empresas, o como van apareciendo vulnerabilidades que permiten tomar el control de máquinas o permiten realizar escaladas de privilegio. Esto último en el ámbito OS X ha ocurrido bastante en los últimos meses, por ejemplo el caso del exploit que cabía en un tweet, o el exploit de Rootpipe y su módulo en Metasploit, o por último, el caso de Tpwn.  Hoy traemos una guía de seguridad y privacidad para sistemas OS X Yosemite. Esta guía pretende ayudar al usuario, tanto medio como avanzado a fortificar sus entornos con equipos OS X.

La colección de recomendaciones proporciona una moderna securización del entorno y ayuda a mejorar la privacidad. En la parte basics podemos encontrar unos mínimos relacionados con la seguridad, que cualquier máquina OS X debe enfocar. Los puntos básicos son la creación de un modelo de amenazas, mantener el sistrma actualizado, cifrar datos sensibles o la realización de backups de forma frecuente. Después la guía profundiza en todas estas temáticas.

Figura 1:Parte del índice de la guía en Github

¿Qué podemos ver en la guía? Se tocan diferentes puntos como la configuración de cifrado en disco, configuración de servicios de manera segura, contraseña en el firmware, cifrado en las conexiones, anonimato, configuraciones Wireless, acceso físico, y un largo etcétera. Guía recomendada para echarla un ojo a fondo para los usuarios de OS X Yosemite.

martes, 15 de septiembre de 2015

Pumpic: Monitorización en dispositivos iOS con Jailbreak

En el mundo actual el smartphone no es solo un dispositivo utilizado por adultos. Es importante que los controles parentales se configuren correctamente para que los usuarios más pequeños puedan estar lo más seguros posibles.

Los niños utilizan los dispositivos móviles para jugar, comunicarse con amigos y navegar por Internet. Es importante tener un control sobre las actividades que los niños realizan en Internet, protegiéndoles de los peligros.

Hoy hablamos de Pumpic una herramienta que permite monitorizar sistemas iOS con Jailbreak con más de 24 funciones de supervisión. Además, presenta un panel en cloud con el que se puede visualizar todo lo que ocurre en el dispositivo. La aplicación es compatible con los sistemas iOS 6.0 al 8.4. El proceso de instalación se realiza a través de la aplicación de Cydia. A continuación se enumeran diferentes opciones y funcionalidades que Pumpic implementa en su solución de monitorización:
  • Consulta de llamadas y SMS entrantes y salientes. Esta funcionalidad permite realizar un seguimiento de las personas que llaman y mensajes que maneja el usuario. Se puede impedir el acceso a los usuarios no conocidos, a modo de control parental.
  • Geoposicionamiento del dispositivo con histórico. Esta función permite saber dónde se encuentran los menores actualmente, y por dónde han estado yendo. Incluso se puede configurar zonas peligrosas, y si el menor se acerca a la zona se enviaría una notificación.
  • Seguimiento en las redes sociales y en los chats. La seguridad en con quién se relacionan los menores es fundamental y con esta aplicación se puede llevar a cabo. Se monitorizan Facebook, Instagram, Skype, Snapchat, WhatsApp, Kik, Viber, entre otros.
  • Historial de navegación y favoritos monitorizados. Esta opción permite comprobar los sitios que el menor visita. 
  • Aplicaciones instaladas para poder bloquear el uso de algunas no deseadas por el adulto.
Figura 1: Pumpic y las localizaciones

Pumpic ofrece también la funcionalidad de keylogger para realizar un seguimiento de cada botón pulsado, una función de bloqueo remoto del dispositivo, control de actividad a distancia y otras opciones. La barrera de la privacidad se rompe con estas herramientas, pero surge otro debate moral, espiar a los niños o protegerles mediante este tipo de herramientas, que es lo pretendido es algo complejo de definir.

lunes, 14 de septiembre de 2015

Ingeniería Inversa de aplicaciones iOS en un libro gratuito

La ingeniería inversa es un proceso importante para encontrar vulnerabilidad y conocer como funcionan ciertas apps internamente. Este proceso ayuda a los investigador a poder destripar el funcionamiento de las apps y poder encontrar errores de programación o de procedimiento. Los compañeros de Cyberhades nos hablan de este libro el cual nos llevará por un camino de 5 años en el que en el autor habla de sus experiencias en la comunidad Jailbreak.

El libro se organiza en 4 apartados, aunque su enfoque es eminentemente prático, ya que su temática así lo es. Los apartados que pueden encontrarse son los siguientes:
  • Conceptos e introducción a la temática de la ingeniería inversa.
  • Herramientas que se necesitan durante el desarrollo del libro y en el proceso de ingeniería inversa.
  • Teoría. Aunque el libro es práctico se necesita de la teoría para llevar a cabo los ejercicios y ejemplos.
  • Práctica. La mayoría del libro muestra ejemplos y formas prácticas de realizar las cosas.
Figura 1: Uso de IDA en el libro

Las herramientas utilizadas en el libro son las más comunes como Cycript, Reveal o IDA. Objective-C y ARM también disponen de una gran parte del libro, ya que sin este conocimiento no se podrían llevar a cabo diversas acciones. Si prefieres tener el libro en papel se puede conseguir por casi 10 dólares.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares