Menú principal

miércoles, 31 de octubre de 2012

7 Scanners de Red gratuitos en la Mac App Store

Una de las ventajas de la Mac App Store es que las actualizaciones de los programas que tienes instalados en tu equipo están centralizadas, lo que simplifica mucho la tarea de tener actualizado tu sistema operativo Mac OS X. Como nos gustan mucho las herramientas de seguridad y redes, hemos querido ver qué Network Scanners Gratuitos había por allí, y en la búsqueda nos han salido estas 7 herramientas que hemos querido probar. Esto es lo que hemos visto:

Figura 1: Los Network Scanners gratuitos de la Mac App Store probados

LanScan: Es una sencilla herramienta que trata de descubrir los equipos en la red. En el escaneo realizado en la red donde teníamos varios equipos con ICMP bloqueado, no fue capaz de descubrirlos. Solo encontró los equipos que respondían al ping - y eso que hace escaneo de ARP -. La utilidad en la versión gratuita solo permite ver direcciones IP y direcciones MAC - reconociendo el fabricante -. Lo mejor, sin duda, el precio y el logo del patito. Hay una versión Pro, pero promete bastante poco.

Figura 2: LanScan free

IP Scanner: De todas las que probamos esta es quizá la que más nos gustó para curiosear. Detectó todos los equipos de la red - incluidos un iPhone y un iPad - y tenía cosas curiosas, como enviar las novedades por el sistema de alertas, hacer un escaneo progresivo indicando cuándo fue la primera y la última vez que apareció un equipo en la red. Si quieres tener un scanner para curiosear y descubrir equipos en la red puede ser una opción. No realiza escanning de puertos.

Figura 3: IP Scanner

NetWork Inspector: Esta utilidad no es una escáner de red, sino una inspector de tráfico de red. La captura de la herramienta es suficientemente explícita por si misma. Te dice cuanto estás consumiendo en subida y bajada y las estadísticas. Tiene una vista reducida que permite ve sólo dos flechitas con los ratios de transferencia. Por comandos en la consola de Mac OS X es posible sacar más partido a las conexiones de red, pero la estética visual y en sobrepantalla son curiosas.

Figura 4: Network Inspector

NetSpot: Es una scanner de conexiones WiFi, y como cosa curiosa tiene un sistema para pintar el mapa de tu zona - nosotros no es que seamos muy artistas dibujando - y mediante la indicación de unos puntos de referencia y tu posición actual intenta dibujar dónde se encuentran los puntos de acceso. La idea es sencilla: Marcas un punto y el sistema escanea las redes analizando su potencia de señal. Te mueves y marcas tu nueva posición para que el sistema vuelva a escanear las redes WiFi y sus señales. Por último le indicas dónde estás tú en una tercera posición en el mapa y te pinta las redes WiFi. Una idea curiosa para una herramienta que puede llegar a ser útil para administradores de sistemas.

Figura 5: NetSpot para Mac OS X

Pingo HD: Esta aplicación es muy bonita en cuanto a estética, pero bastante poco útil. Escanea los equipos y los pinta en un escritorio - eso sí, de madera de la buena - para que quede bonito cuando lo observes. Ahórrate el tiempo y el espacio en disco.

Figura 6: Pingo HD

SuperScan: Esta es la única herramienta que hace escaneo de puertos en los equipos encontrados. Aunque no encontró todos los de la red. La utilidad además busca los banners de los servicios y puede ser cómoda de usar en algún momento o para alguna presentación, pero existiendo nmap y sus GUI no tiene mucho que hacer.

Figura 7: SuperScan para Mac OS X

IP Brodcaster: Esta herramienta es una pequeña utilizada que te analiza las direcciones IP que tienes en tus conexiones. Te muestra la dirección IP de la LAN y de las conexiones remotas en la WAN. Puede ser útil para cuando quieras saber tu dirección IP de la WAN y si está siendo modificada por una VPN, TOR o Servidor Proxy. No hace nada más y no funciona con IPv6 en las tarjetas. Poca cosa.

Figura 8: IP Broadcaster para Mac OS X

Después de probar las siete aplicaciones, vemos que aportan poco, tal vez NetSpot si te viene bien documentar las WiFi, pero el resto de ellas, con nmap, comandos del sistema y herramientas de monitorización obtendrás mejores resultados.

martes, 30 de octubre de 2012

Nuevo Curso de Análisis Forense de Dispositivos Móviles

La semana del 12 de Noviembre, de Lunes a Jueves y en horario de 16:00 a 18:30, tendrá lugar una nueva edición del Curso de Análisis Forense de Dispositivos Móviles en las oficinas de Informática64 en Móstoles. El instructor será Juan Miguel Aguayo, escritor del libro de "Desarrollo de Aplicaciones iOS para iPhone & iPad: Essentials", y puedes registrarte enviando el formulario de registro que tienes en la la web. El contenido del curso es el siguiente:


AFDM02 Análisis Forense de Dispositivos Móviles

Descripción: Cada vez los dispositivos móviles son más importantes en nuestro día a día, llamadas, agendas, notas y fotografías, pueden ser utilizados para cometer un delito o fraude. La presente acción formativa proporciona los conocimientos y las habilidades necesarias para llevar a cabo una investigación sobre teléfonos móviles mediante diversas herramientas. Los alumnos adquirirán experiencia práctica con las imágenes del teléfono y el análisis de tarjetas SIM y tarjetas de memoria.

Objetivos: Al finalizar la acción formativa, los asistentes dispondrán de los conocimientos, procedimientos y herramientas disponibles, para analizar, de forma efectiva, auditorías de análisis forense específicas. Todo ello adaptado para cada uno de los sistemas operativos disponibles en los dispositivos móviles más utilizados hoy en día, tales como Android, Windows Mobile o iPhone.

Audiencia: Analistas forenses, técnicos de seguridad y cualquier persona con interés en la seguridad informática.

Requisitos: Para el correcto desarrollo de la formación es recomendable que los asistentes dispongan de conocimientos a nivel de usuario en el uso de smartphones.

Duración: 10 horas

Contenidos:

1. Introducción
- Telefonía móvil
- Análisis forense de dispositivos móviles
- Consideraciones legales

2. Tarjetas SIM
- Introducción a las tarjetas SIM
- Creación de un entorno de laboratorio
- Análisis de tarjetas SIM

3. Análisis de dispositivos
- Forense de Dispositivos móviles
Evaluación.
Adquisición.
Análisis.
Generación de informes.
- Análisis forense de Android.
- Análisis forense iOS.
- Versiones de iOS: 1x - 3.x, 4.x, 5 y 6
- Modelos de dispositivos:
iPhone: 3G, 3GS, 4 GSM y CDMA, 4S
iPad: 1, 2, 3a generación
iPod Touch: 1a a 4a generación
4. Herramientas software
- Forense con Oxygen Forensics:
Captura de datos
Análisis de mensajes
Análisis de contactos
Análisis del log de eventos
Análisis de backups
Crackeo de cifrado de backups
Análisis de datos borrados
Información de geolocalización
Generación de informes
- Otras herramientas:
Device Seizure
Zdiarski Technique
Cellebrite
BitPim
Mobiledit

5. Consideraciones legales
- Normativas de Seguridad
- Cumplimiento LOPD
- Esquema Nacional de Seguridad.

Tienes toda la información del curso y el proceso de registro en la web de Informática64.

lunes, 29 de octubre de 2012

La DMCA en USA recoge otra vez que hacer jailbreak a un smartphone es legal y no a tablets ni a consolas de juegos

La USA Copyright Office recoge en la última actualización de Digital Millennium Copyright Act (DMCA) las excepciones legales en las que un usuario puede hacer jailbreak a un dispositivo. En esta lista de excepciones estaba, y así ha continuado siendo aceptado por el Congreso de los EEUU, los smartphones, dejando claro que no es ilegal hacer jailbreak a un smartphone.

Figura 1: Campaña de la EFF Jailbreaking is not a crime

Sin embargo, fuera de esa lista de excepciones se han quedado otros populares dispositivos como Tablets o consolas de juegos, lo que se ha tomado como una victoria a media por parte de la Electronic Freedom Foundation (EFF) que estaba llevando la campaña de "Jailbreaking is not a crime". En dicha web se puede leer la carta de Bunnie Huang, autor del libro Hacking XBOX, en el que se quería incluir a otros dispositivos como tablets o consolas de juegos, pero no va a poder ser así. Hemos seleccionado algunos párrafos de ella que nos parecen los más interesantes:
Three years ago, the Copyright Office agreed to create an exemption to the Digital Millennium Copyright Act so that folks could jailbreak their smartphones. But that exemption is about to expire. We need you to renew that exemption and expand it to cover jailbreaking gadgets with similar computation potential. [...] 
We need these exemptions to conduct security research on devices to help safeguard everyday users from security threats. Furthermore, users of these products benefit from the flexibility to choose their own operating systems and run independently developed software. We need the law to catch up with how people are using technology. [...] 
Jailbreaking is helping to make technology better, more secure, and more flexible.  [...] 
Hace tres años, la Agencia del Copyright estuvo de acuerdo en crear una excepción en el Acta del Copyright en el Milenio Digital para que las personas pudieran hacer jailbreak a sus smartphones. Pero esa excepción esta a punto de expirar. Necesitamos renovar esa excepción y ampliarla para cubrir el jailbreak de otros dispositivos con similar potencia de computo. [...] 
Necesitamos esas excepciones para realizar investigaciones de seguridad en los dispositivos y ayudar a proteger a los usuarios de amenazas de seguridad. Más aún, los usuarios de esos productos se benefician de la flexibilidad de poder elegir su propio sistema operativo y ejecutar software desarrollado de manera independiente. [...] 
Hacer jailbreak está ayudando a hacer mejor tecnología, más segura y más flexible. [...]
Ahora, hay que esperar tres años más hasta que se pueda modificar la DMCA otra vez, porque todo sigue igual que estaba, al menos en USA, que aunque la ley de allí al final nos acaba afectando por aplicarse a las empresas de USA - como Apple - en cada país hay normas diferentes a este respecto.

domingo, 28 de octubre de 2012

Los virus de HyperCard en Mac OS: Malware en HyperTalk

En breves palabras se puede decir que HyperCard - lanzada en 1987 y retirada del mercado en 2004 - era un un producto de Apple que permitía desarrollar todo tipo de aplicaciones - incluso multimedias - a través de un lenguaje de programación sencillo y sumamente intuitivo, el HyperTalk. Para hacernos una idea de dicha sencillez, si por ejemplo queríamos cambiar el estilo de una cadena de texto, podíamos hacerlo así: set the textStyle of Character 1 to 10 of card field “some field” to bold. Vemos que casi bastaba indicar lo que se quería hacer mediante un inglés natural.

Figura 1: HyperCard

Además HyperCard presentaba un sistema basado en pilas – es decir, conjuntos de tarjetas o vistas - a las que el usuario podía añadir imágenes, campos de textos, botones, etcétera con facilidad. Hasta ahora todo en HyperCard parecen ventajas: sencillez, un lenguaje intuitivo o facilidad en el manejo de interfaces, pero desde el punto de vista de seguridad traería dolores de cabeza ya que HyperCard ejecutaba scripts encontrados en las pilas nada más abrirlas, lo que destapó una puerta para la creación de malware y aplicaciones peligrosas.

En 1988 aparecieron los primeros virus que aprovechaban la mencionada vulnerabilidad, como el ya comentado en otro artículo Virus de la Paz, o el virus HyperAvenger, cuya única acción era la de mostrar por pantalla el siguiente mensaje, por lo que se le conoció también como el Virus Dukakis.
“ Greetings from the HyperAvenger! I am the first HyperCard virus ever. I was created by a mischievous 14 year old, and am completely harmless. Dukakis for president in ‘88. Peace on earth and have a nice day”
Que venía a decir algo como:
” ¡Saludos desde el HyperInfierno! Yo soy el primer virus que se haya escrito para HyperCard. Fui creado por un chico travieso de 14 años, y soy completamente inofensivo. Dukakis para presidente en el ‘88. Paz en la tierra y que tengan un buen día”
Dada la facilidad para hacer scripts en HyperTalk, cada vez fueron surgieron más virus y malware que se servían de HyperCard para funcionar. El patrón seguido por la mayoría de ellos para extenderse era el de infectar la pila Home, desde la que se cargaban las demás, de modo que las pilas que se abrían después quedaban infectadas. De entre todos los que hubo, además de los citados Virus de la Paz o HyperAvenger/Virus Dukakis hay que destacar los siguientes:
MerryXmas Virus: Este virus surgido en 1991 afectaba a equipos Macintosh cuya ROM fuese de 128 Kbytes. La única intención de este virus era la de propagarse pero a pesar de no tener un fin dañino, debido a un fallo de código, a veces se producían mezclas del código del virus con el de la pila a la que infectaba, dando lugar a comportamientos inesperados que normalmente desembocaban en errores y fallos al abrir una pila infectada. Las pilas no abiertas quedaban a salvo de contagiarse. 
Merry2Xmas y otros clones de MerryXmas: Estos clones normalmente fueron programados cambiando algunas palabras de los scritps del virus original con la finalidad de no ser detectados por los antivirus de la época. Surgieron una inmensa cantidad de clones, como Merry2Xmas o Lopez, cuya filosofía era la misma que la del original, no obstante, surgieron otras variantes más peligrosas, como el CrudShot que era capaz de eliminar las pilas que infectaba. 
HC 9507 Pickle - pepinillo -: Este virus, reportado en 1995 por HyperActive Software, presentaba tres características principales que lo hacían diferente a los anteriores: A la hora de escribir texto, el virus introducía automáticamente la palabra Pickle. Leía la hora y la fecha del sistema, y en función de estas, decidía si actuaba o no. Cuando se ejecutaba causaba comportamientos anómalos en el sistema, como bloqueos o apagados del equipo. Era capaz de infectar pilas sin la necesidad de que fuesen abiertas. 
Antibody: Este virus fue reportado en 1997, y al igual que el anterior, por HyperActive Software. Su finalidad era únicamente la de destruir el virus MerryXmas. A pesar de su “buena intención” fue considerado un virus ya que se autopropagaba y actuaba sin que el usuario fuese consciente. Aparte, como en la mayoría de virus de HyperCard, podía generar comportamientos anómalos al interferir con el código propio de la pila a la que infectaba. 
Blink: Descubierto por miembros de la HyperCard Mailing List  en 1998. Este virus presentaba dos etapas distintas: Antes del 1 de Enero de 1999 se dedicaba únicamente a extenderse, como es habitual, infectando la pila Home. A partir de la anterior fecha, hacía que las tarjetas de las pilas infectadas apareciesen y desapareciesen cada segundo de forma continua, por lo que la función de este virus era meramente molestar al usuario. El virus introducía en la pila a infectar un handler o manejador para obtener la fecha así como para controlar la frecuencia de refresco de la aparición/desaparición de tarjetas. Si ya había otro handler en la pila, el del virus no se ejecutaba. Por último, evitar este virus era relativamente sencillo, ya que tomaba la decisión de si debía propagarse en base a un solo carácter del script de la pila Home, de forma que se podía introducir dicho carácter para “engañar” al virus y así evitar la infección.

Independance Day: Este virus de 1997 -notar la falta de ortografía en Independance-, de forma parecida al anterior, tenía dos formas de actuar en función de la fecha: Antes del 4 de Julio de 1997 se limitaba a extenderse. Al llegar a la citada fecha, su intención era la de borrar líneas de código de los scripts de las pilas que infectaba. Pero presentaba un código deficiente con fallos, de forma que generalmente se producían errores de script cada vez que intentaba ejecutarse - esto servía como un aviso de la presencia del virus -. Incluso si no se producía el error, fallaba a la hora de intentar borrar líneas de código.

WormCode: Este malware no dañino –ya que su única función era la de extenderse- buscaba su firma particular en la última línea del script de la pila home para tomar la decisión de si debía infectarla o no. Dicha firma era la siguiente:
end openstack --home script 2
De forma que si el usuario escribía más líneas de código después de la firma, WormCode se reinstalaba -aunque los duplicados nunca se ejecutaban-. Para evitar este virus, bastaba con escribir y mantener su firma en la última línea del script de la pila Home.

2 Tunes o 3 Tunes: Su curioso patrón de acción era el siguiente: En la mayoría de versiones internacionales de Mac OS se limitaba a extenderse. En la versión germana hacía que en las pilas infectadas se reprodujesen 2 o 3 melodías folclóricas alemanas distintas, además mostraba mensajes al usuario de forma repentina, como "Hey, what are you doing?" o "Don't panic", abría la paleta de herramientas -volviéndola a abrir si el usuario la cerraba- y por último, y de forma ocasional, apagaba el equipo sin previo aviso.
Para combatir estos virus surgieron utilidades como Vaccine o Desinfect que erá capaz de eliminar la gran mayoría de los virus de HyperCard y a las que les dedicaremos algún artículo de historia. Aparte, como hemos visto, muchos virus basaban su método de infección en base a introducir flags o firmas en el script de la pila home para decidir si debía infectarla o no, de forma que el usuario podía incluir estas -manualmente o mediante scripts- para evitar el contagio.

sábado, 27 de octubre de 2012

Mundo Hacker TV: Demos de hijacking de iOS apps

A principios de Septiembre se emitió el Episodio número 8 de Mundo Hacker TV, dentro de lo que es la segunda temporada, dedicado esta vez a la seguridad de los dispositivos móviles. El título del programa fue "Bring Your Own Device". y en el se tocaron muchos de los temas que tratan aquí en Seguridad Apple. Nuestro compañero Chema Alonso estuvo hablando de iOS. En la parte de Welcome to the real world, hizo las demos de Hijacking  de Facebook para iOS y Hijacking Linkedin para iOS


Esta es la tercera vez que Chema Alonso participa en un programa, ya que estuvo en el Mundo Hacker de TV de los metadatos, del que luego se grabó una versión más reducida para Televisión que nunca se llegó a emitir.

viernes, 26 de octubre de 2012

Actualizaciones para OS X Mountain Lion y Mac OS X Lion

Como muchos ya sabéis esta semana se ha anunciado el iPad Mini - y la gente no sabe si además se ha presentado iPad 4 o el new new iPad o no, aún no hay consenso - pero ya hablaremos de ellos más adelante, cuando haya más temas de seguridad que tocar al respecto. De momento hay que centrarse en las nuevas actualizaciones que Apple ha puesto a disposición pública para OS X Mountain Lion 10.8.2  y Mac OS X Lion 10.7.5.

La primera de ellas es OS X Mountain Lion 10.8.2 Update para equipos Macbook Pro de 13" con pantalla Retina, para iMac de 21.5" de finales del 2012 y Mac mini también de finales de 2012. Esta actualización, disponible ya vía MacApp Update y en la página de la Knowledge Base DL1603 no soluciona ningún CVE de seguridad, pero sí que añade una buena cantidad de nuevas funciones como Power NAP, mejoras en iMessage o Passbook, entre otras, que pueden mejorar las políticas de seguridad personales o empresariales.

La segunda de las actualizaciones es para Mac OS X Lion 10.7.5, y tiene que ver con la estabilidad de aplicaciones X11. No hay mucha información la knowledge base sobre ella, ya que solo disponemos de una frase que dice: "This update is recommended for all X11 users and resolves an issue that may cause X11 applications to unexpectedly quit." Sea como fuere, a actualizar tocan.

jueves, 25 de octubre de 2012

Liberado JailOwnMe para hackear iOS sin actualizar

El investigador español José Selvi hizo una demostración tiempo atrás de cómo modificar los exploits utilizados por Comex para hacer JailBreakMe 3.0 y convertirlos, por ejemplo, en un exploit que devuelva la shell en un terminal iOS vulnerable con JailOwnMe. Ahora, tras la entrevista que le han hecho en El lado del mal, ha publicado toda la información para que se pueda utilizar JailOwnMe. Para ello ha puesto a disposición pública los scripts que utilizó para convertir los ficheros PDF de JailBreakMe a JailOwnMe, sino también los payloads que usó en la demostración.

Para usar JailOwnMe, primero hay que conseguir el PDF de JailBreakMe para el dispositivo y versión que se quiera explotar. Parar ello únicamente hay que visitar la web de JailBreakMe 3.0 y descargarlo modificando el User-Agent del navegador para la versión adecuada vulnerable, por ejemplo usando la extensión de Firefox User Agent Switcher.

Figura 1: Seleccionando el User-Agent de un iPhone 3.0

Una vez descargado el PDF se puede ver en él, al analizarlo con un editor, que hay un stream codificado que si es extraído y decodificado es algo así:
$ file pfb.raw
pfb.raw: PostScript Type 1 font program data
No se debe hacer un "cat" del fichero porque Comex - el autor del exploit original - ha puesto una secuencia de caracteres que en un Mac OS X hace que la ventana del terminal se minimice y se maximice, por eso lo llama "Terminal Fun".

Figura 2: Terminal Fun en JailBreakMe 3.0

Como es conocido, la vulnerabilidades está en el parseo de las fuentes por lo que si miramos dentro de la fuente se vera que hay texto y trozos que, al igual que estaba la fuente antes, están comprimidos. Entre ellos hay uno que - es buscado por los scripts -, al descomprimirlo, es algo así:
$ file binary.raw
binary.raw: Mach-O executable arm
Ese es un binario que se ejecuta en nuestro dispositivo iOS - preparado en ARM - y que se trae de la web de JailBreakMe todo lo necesario para realizar el JailBreak. Los scripts de JailOwnMe cambian ese binario por un payload a elegir. Para ello hace:
1.- Coge el binario que le hayáis pasado.
2.- Lo comprime y lo rellena de basura para que ocupe el mismo espacio que el original.
3.- Lo coloca substituyendo al original y vuelve a construir el PFB.
4.- Lo comprime y lo vuelve a colocar substituyendo al PFB original dentro del PDF.
5.- Crea un PDF nuevo con estas modificaciones.
Junto con este material también hay ejemplos de payloads y un par de shell scripts con los comandos GCC que fueron utilizados para en un Mac OS X JailOwnMe. El resultado es la demo que podéis ver en vídeo.


miércoles, 24 de octubre de 2012

Configuración de iMessage para forzar uso de SMS en iOS

Una de las novedades principales que se introdujo en iOS 5 fue iMessage, el servicio de mensajería que utilizaba el Apple ID para comunicarse entre terminales con iOS. El servicio viene a ser algo similar a un WhatsApp, pero para conseguir una aceptación rápida de clientes está mezclado con la aplicación de envío de SMS que tradicionalmente había tenido iOS. La aplicación desde la que se envían mensajes SMS es también la aplicación desde la que se envían iMessages.

De hecho, esta aplicación relega por defecto el envío de SMS solo a momentos en los que el destinatario del mensaje no tenga iMessage. Esto se puede ver en las opciones de configuración de Mensajes en el menú de Ajustes del termina.

Figura 1: Configuración de iMessage en iOS

Sin embargo, en muchas situaciones puede ser útil enviar SMS y no iMessages, como por ejemplo cuando se sepa de antemano que el destinatario tiene una SIM duplicada y usa distintos terminales siendo alguno de ellos distinto a un iOS. También puede ser útil cuando el terminal no disponga de datos de Internet, por ejemplo en servicios roaming, o cuando no se quiera utilizar el servicio de Apple por motivos personales.

Por desgracia, la aplicación no deja seleccionar a la hora de enviar un mensaje si se quiere utilizar SMS o iMessage, y la única forma de poder forzar el envío de SMS es desactivar iMessage en los Ajustes de Mensajes, tal y como se ve en la imagen siguiente. Por desgracia, esto motivará que se dejen de recibir iMessages en este terminal.

Figura 2: Asociación de múltiples correos y deshabilitar iMessage

Entendemos que el funcionamiento de iMessage es útil, sobre todo al poder centralizar la recepción de SMS y de iMessage - incluso de varias cuentas - lo que hace que si te roban un terminal pueda seguir recibiendo tus mensajes - tal y como se puede ver en la imagen superior izquierda -. Aún así, creemos que Apple debería hacer mucho más sencilla la elección del usuario, y que en cada mensaje se pueda decidir.

Por último, os recordamos que existe un servicio que permite recuperar mensajes SMS o WhatsApp borrados.

martes, 23 de octubre de 2012

Siri permite usar tu iPhone o iPad aún con el passcode

Con la llegada de iOS 6 había dos grandes novedades que todos queríamos probar: la primera eran los nuevos mapas de Apple - que tantos dolores de cabeza, problemas de seguridad nacional y conflictos internacionales han causado a la postre - y la segunda la posibilidad de utilizar Siri - tu asistente personal - en Español. Con él, Apple pretende substituir a l@s antigu@s secretari@s y ayudarnos en nuestra vida cotidiana, ya que con Siri se puede consultar el correo electrónico, el calendario, la cartelera de cine, qué tiempo hace, los resultados deportivos, mandar mensajes, publicar en Twitter y Facebook, hacer llamadas de Facetime o buscar en Internet alguna cosa, todo ello pulsando un simple botón para activar Siri.

Quien haya tenido la oportunidad de probarlo sabrá que funciona realmente bien y entiende perfectamente lo que se le pide. Pero también tiene sus problemillas de seguridad si no se desactiva con la pantalla bloqueada. Por defecto, dicha aplicación viene activada para su uso tanto con el iDevice bloqueado o desbloqueado, permitiendo a los usuarios interactuar con ella sin la necesidad de deslizar el dedo por la pantalla previamente.

Figura 1: Enviando un mensaje con Siri

Hasta aquí muy bien, pero... ¿se acordará Siri de pedir el código de desbloqueo o contraseña cada vez que lo usemos? La respuesta es No, y se pueden hacer mil cosas con tu iPad o iPhone con Siri activado sin necesitar de desbloquear el dispositivo. Aunque no están habilitadas todas las funciones, se pueden mandar mails, mensajes de texto (iMessages o SMS), consultar el tiempo, crear eventos en el calendario, hacer llamadas de FaceTime, publicar en Twitter y Facebook, etcétera. Todo sin ningún tipo de restricción, lo que puede que no sea lo que tu quieres que pase cuando tienes tu iPad o iPhone bloqueado - algo similar a lo que ocurría con el control por voz en las llamadas de emergencia-.

Figura 2: Gestionando el calendario con Siri sin desbloquear el passcode

En algunas situaciones podremos llegar a la misma información por varias vías diferentes y según cual usemos deberemos desbloquear o no el dispositivo. Por ejemplo, si le preguntamos a Siri “¿Cual es el e-mail de Jordi?” nos pedirá código, pero no lo hará si le decimos “Muéstrame el contacto Jordi”. También hay casos en los que forzosamente deberemos desbloquear el dispositivo como por ejemplo para abrir aplicaciones, consultar el correo electrónico, usar Maps y hacer búsquedas en Google. Curioso, ¿verdad? Parece que a Apple le preocupa más la privacidad de Safari que la de los contactos.

Figura 3: Contactos y publicación en Twitter con Siri teniendo el passcode bloqueado

Como medida de protección, desde Ajustes podemos desactivar Siri en la pantalla de desbloqueo, pero aun así es un asunto algo turbio... la gran mayoría de usuarios por desgracia no lee blogs como este, ni se preocupa por la seguridad de sus dispositivos, simplemente se fían de las configuraciones por defecto y en iOS 6 sigue viniendo la opción de Siri y del Marco de Fotos por de defecto, algo que debería estar bloqueado cuando un usuario voluntariamente pone un passcode.

Figura 4: Deshabilitar Siri en pantalla de bloqueo

Los líos de Apple con Siri

Esta configuración por defecto de Siri se suma a las controversias previas que muchas empresas tenían con este asistente que puede convertirse en un espía de la organización, o un sistema para grabar las voces de todos los clientes y saltarse los sistemas biométricos de reconocimiento de voz. Debido a esto en muchas empresas los administradores de red banearon los protocolos de Siri y recientemente en China hay una buena polémica al poder acceder a través de Siri a listas de "escorts" en China, algo que está prohibido por la ley. Mira que le trae quebraderos de cabeza Siria a Apple, que buena la montó cuando dijo que el mejor teléfono era un Windows Phone....y hubo que reprogramarle la "inteligencia".

Jordi Vázquez

lunes, 22 de octubre de 2012

OS X Mountain Lion: Opciones de herencia en ACLs

Hace unos días echamos un vistazo a cómo funcionan las Listas de Control de Acceso (ACLs) en OS X Mountain Lion pero para no extendernos demasiado dejamos las opciones de herencia para un artículo posterior, y éste es el tema que vamos a tratar hoy aquí: Cuáles son los permisos que se pueden utilizar para gestionar la herencia tanto en modo consola com utilizando Finder.

Extensión de la herencia

Los objetos directorio en el sistema de ficheros pueden dejar en herencia sus listas de control de acceso a ficheros o directorios hijos suyos. Esto es algo que se controla mediante cuatro permisos que se otorgan a los directorios que son:
- file_inherit: Las ACE (Access Control Entries) del directorio serán heredadas en los ficheros que se creen en dicho directorio. Con este permiso, los nuevos ficheros heredarán las ACE de los usuarios a los que se aplique.
Figura 1: Herencia de ACLs a ficheros con file_inherit  
- directory_inherit: Las ACE del directorio serán heredadas en los nuevos directorios que se creen en él.
Figura 2: Herencia de ACLs a directorios hijos con directory_inherit 

Limitación de la herencia

La herencia de entradas ACE en las ACLs se extenderá de padres a hijos hasta que esta se pueda limitar. Limitar la herencia requiere del uso de un comando y un permiso para aplicarlo. El permiso necesario para limitar la herencia es:
- limit_inherit: Con este privilegio, un usuario podrá detener la herencia de ACEs en las ACLs de los nuevos objetos mediante el uso del comando chmod siguiente.
Figura 3: Limit_inherit en un directorio para parar la herencia
- chmod -I: Elimina todas las entradas heredadas de un objeto.
No hay que confundir  el anterior con el comando:
- chmod -i: Elimina de todas las ACEs que son entradas heredadas en uno o varios ficheros el bit que indica que son heredadas y se convierten en una ACE normal.
Figura 4: La entrada deja de indicar que es inherited

El último permiso de herencia en las ACLs de directorios es:
- only_inherit: Con este permiso las ACEs de las ACLs son heredadas pero no son tenidas en cuenta cuando se procesa la ACL
Herencia en Finder

Todas estas opciones de gestión de la herencia de ACLs en Finder no se pueden tocar. Por defecto la creación de una carpeta en Finder hereda las ACLs de ficheros y directorios, pero si se comprueba manualmente no se podrá ver ninguna opción de herencia. 

Figura 5: ACL creada automáticamente a partir de su padre cuando se crea en Finder

Sin embargo, los permisos se heredan en todas las carpetas, tal y como se puede comprobar en la imagen superior donde nada más crear la carpeta en Finder se han añadido todas las ACE de la carpeta padre.

domingo, 21 de octubre de 2012

Fue Noticia en Seguridad Apple: Del 8 al 21 de Octubre

Con el paso de los días llegamos otra vez al domingo de repaso, así que toca hacer un recorrido por todo lo publicado en Seguridad Apple durante estos catorce días. Vamos a proceder con ello, para que no se te quede nada en el tintero. Vamos al lío.

El lunes 8 de Octubre empezamos con el problema de consumo de datos, aún cuando el terminal esta conectado a una red WiFi, en los dispositivos con iOS 6, lo que ha llevado a muchas quejas de usuarios. Ese mismo día también os avisamos de la publicación de nuevos drivers para OS X de impresoras y scanners Epson, Lexmark y Cannon.

El martes publicamos las mejoras de seguridad en el cliente Mail de iOS 6 respecto a la carga de imágenes embebidas o incrustadas en mensajes de e-mail en formato HTML, algo que ayuda a mejorar las herramientas de privacidad de los usuarios.

El miércoles publicamos la existencia de la nueva versión de Apple Configurator 1.2, una nueva versión de la herramienta de aprovisionamiento de dispositivos móviles iOS en la empresa. También ese día tuvimos el primer enfado público de un gobierno, en este caso el de Taiwan, por el asunto de las fotos de instalaciones de seguridad en los mapas de Apple en iOS 6.

El 11 de Octubre le dedicamos la noticia a las actualizaciones de seguridad para Mac OS X de las populares herramientas Google Chrome, Mozilla Firefox 16 y Adobe Flash Player. Algo que obliga a pararse un poco y actualizar el sistema.

El viernes de la semana pasada le dedicamos el artículo a la presentación que hicieron Mark Dowd y Tarjei Mandt orientada a estudiar las estrategias de explotación en iOS 6, titulada iOS 6 Kernel Security: A Hacker's Guide.

El sábado la noticia fue para Java/Jacksbot.A, un nuevo malware multiplataforma escrito en Java que, además de todas las cosas que hacen los troyanos y backdoors, busca las contraseñas de cuentas de Minecraft.

El domingo pasado hablamos del programa de reemplazo de discos Seagate de 1TB en equipos iMac que Apple ha abierto, y al que debes entrar si tienes un iMac en tu poder para ver si hay que sustituir tu disco duro.

Este lunes le dedicamos la entrada a ver cómo funcionan un poco más las Listas de Control de Acceso ACLs en OS X Mountain Lion, para poder crear permisos más granulados en el sistema de ficheros de nuestro equipo.

El martes nos hicimos eco de FinSpy para iOS, el troyano que se descubrió para terminales iOS sin jailbreak, que se vende a gobiernos y organizaciones de inteligencia y que puede comprometer la seguridad de los usuarios que sean engañados para instalar un provisioning profile.

Este miércoles la noticia fue para el sistema de iAd que Apple ha introducido en iOS 6 y que permite a los desarrolladores de apps y a la propia Apple enviar anuncios más relevantes basados en nuestros hábitos de consumo, algo que puede afectar a tu privacidad. En el artículo publicamos cómo deshabilitar este tipo de anuncios en tu dispositivo.

El juevestuvimos actualizaciones de Java desde Apple y Oracle, para arreglar una buena cantidad de bugs y con la nueva política de Apple de deshabilitar los Applets Java de la web en los navegadores en Mac OS X.

También el jueves os dejamos un código descuento para el Asegúr@IT Camp 4 que podéis utilizar para pasar un fin de semana divertido con los participantes y ponentes del evento y para que podáis ver la charla dedicada a la gestión de iDevices en la empresa que dará nuestro compañero, amigo y gran profesional Juan Miguel Aguayo, escritor del libro de "Desarrollo de aplicaciones en iOS para iPhone & iPad".

El viernes echamos un poco la vista atrás para hablar del Virus AutoStart 9805 a.k.a. Virus Hong Kong para MacOS, uno de los primeros malware que se distribuyeron con bastante éxito y popularidad durante años en sistemas MacOS.

Por último, ayer sábado le dedicamos la entrada a SiteSucker, una herramienta con más de un década en sistemas Mac OS X para descargar sitios web y hacer uso de navegación offline y que también puede utilizarse para analizar mejor los ficheros de una web en una auditoría de seguridad. Desde hace algún tiempo esta herramienta también está disponible para iOS, por lo que puedes usarla en tu iPhone.

Esto ha sido todo lo que nosotros hemos tratado en estas dos semanas, pero también ha habido algunos temas que nos han llamado mucho la atención y que os dejamos aquí para que estéis enterados de ellos.
- El cerebro de Albert Einstein en tu iPad: Un museo médico de Chicago ha escaneado y digitalizado muestras del cerebro de Einstein, a partir de los segmentos en los que se dividió después de su muerte en 1955. Las fotografías reflejan las partes del órgano como si las estuviésemos viendo a través de un microscopio. Se trata de una aplicación exclusiva para iPad que permite que investigadores, profesores, alumnos o simplemente curiosos tengan la posibilidad de echar un vistazo a la cabeza del genio.

- Cada vez más cerca el Jailbreak para iOS 6: En una entrevista reciente el famoso hacker pod2g decía que está muy cerca de tener el untethered jailbreak, pero que ahora estaba un poco atascado. Con mucha humildad decía que era "cuestión de suerte". Se nota que empieza a crecer la ansiedad en el mercado por una solución de jailbreak para iOS 6.

- El FBI publica guías de protección contra el malware en dispositivos móviles: La existencia de malware en terminales móviles es una realidad en Android, Windows Mobile, Windows Phone, Symbian, BlackBerry y visto lo visto con FinSpy en iOS (con y sin jailbreak) así que el FBI ha publicado una guía para alertar de esto.
Y hasta aquí da esta sección, que esperemos que os haya permitido estar mucho más al día de lo que pasa alrededor de la seguridad en las tecnologías de Apple. Nos vemos en dos semanas por aquí y todos los días en Seguridad Apple.

sábado, 20 de octubre de 2012

SiteSucker: Descarga webs completas en tu OS X o iPhone

Una de las cosas que se suelen hacer en las auditorías de seguridad web es la descarga de todos los ficheros del sitio. El tener el código fuente de los ficheros HTML, los ficheros Javascript y las imágenes en local permite al auditor poder realizar búsquedas de cadenas de texto en los códigos descargados, metadatos en los documentos o síntomas de infecciones mediante herramientas o scripts automatizados. Para hacer estas funciones en sistemas Mac OS X se puede utilizar una herramienta llamada SiteSucker. Esta aplicación tiene ya más de 10 años y está disponible de forma gratuita para sistemas operativos Mac OS X, así que solo debes ir a la Mac App Store y buscarla.

Sus opciones de configuración son las normales en este tipo de aplicativos, donde se debe seleccionar cosas como el tipo de ficheros que se deben descargar, la profundidad de descubrimiento del sitio o si se deben seguir o no los links otros hosts del mismo dominio o a otros dominios, entre otras.

Figura 1: SiteSucker para Mac OS X

Lo curioso de SiteSucker es que también tiene una versión para iPhone, en este caso de pago, pero que puede utilizarse para muchas tareas, como la navegación offline - por supuesto -, pero también para conseguir recolectar desde tu terminal las webs de una Intranet en una visita a un cliente al que se le esté haciendo una auditoría web "stealth". Con las posibilidad es que tienen hoy los terminales iOS para ejecutar herramientas de auditoría WiFi, herramientas de pentesting como metasploit, etcétera, las auditorías in company en modo stealth desde smartphones son cada día más una realidad.

viernes, 19 de octubre de 2012

Virus AutoStart 9805 a.k.a. Virus Hong Kong para MacOS

Como ya hemos nombrado en varios artículos, los entornos Macintosh no están libres de virus o malware, a pesar de la creencia - cada vez menos extendida - popular. Ya hemos visto varios casos históricos como el ELK Cloner o el Peace Virus. Hoy vamos a echar también la vista atrás y en este artículo vamos a hablar del AutoStart 9805, un gusano para Macintosh surgido hace más de una década, cuya principal “función” era la de insertar basura en archivos, dejándolos inservibles.

Historia

El Virus AutoStart 9805, también conocido como el Virus Hong Kong - lugar donde por primera vez fue reportado en 1998 - es un gusano informático que no cambia ningún programa o archivo existente para extenderse, sino que se duplicaba él mismo en otros sistemas de almacenamiento, como particiones, discos duros locales o montados en red, discos magnéticos, etcétera. En general, casi cualquier disco HFS o HFS+ - formatos de archivos desarrollos por Apple - podía ser infectado.

Además, este gusano necesitaba para funcionar de un equipo con procesador PowerPC - familia de procesadores producidos por IBM y usados por Apple en equipos Macintosh hasta el 2006 - con el sistema operativo MacOS y que tuviese instalado QuickTime 2.0 o posterior con la opción “Reproducción automática de CD” activada. Esta opción no se pudo deshabilitar hasta la versión 2.5 del programa.

Método de infección y síntomas

Los discos infectados contenían una aplicación denominada DB - aunque se han encontrado otros nombres como BD o DELBD - con el atributo de invisibilidad activo. De esta forma el archivo pasaba desapercibido para el usuario que no mostrara archivos ocultos y por su nombre, que se confunde con los nombres usados por el propio sistema operativo MacOS. El archivo infeccioso se encontraba en el directorio raíz del disco, designado como archivo de arranque.

Una vez que el disco infectado se conectaba al Macintosh con QuickTime operativo, la aplicación DB se ejecutaba si la opción de reproducción automática estaba funcionando. El gusano comprobaba en ese momento si el equipo ya había sido previamente infectado. En caso de que no, se copiaba a si mismo en la carpeta de extensiones cambiando su nombre por Desktop Print Spooler - nombre que se confunde con Desktop Printer Spooler, archivo legítimo del sistema operativo - manteniendo el atributo de invisibilidad. Tras eso, el gusano reiniciaba el equipo para poder cargarse como una extensión más.

Figura 1: Enable Audio CD AutoPlay en QuickTime

AutoStart 9805 comprobaba cada 30 minutos la existencia de sistemas de almacenamiento montados y verificaba si estaban ya infectados. Si la respuesta era negativa, se copiaba a si mismo en el disco como archivo de arranque y se renombraba el mismo a DB de nuevo, con el atributo de invisibilidad activo.

Por lo tanto, el reinicio del equipo al insertar una unidad de almacenamiento, la presencia de la aplicación DB dentro de la propia unidad, la existencia de la extensión Desktop Print Spooler  -observables a pesar de ser invisibles mediante utilidades destinadas a tratar con ficheros como ResEdit o Find File - y una actividad inexplicada de los discos de almacenamientos, eran síntomas de infección. A parte, existían otros como la aparición del nombre de la aplicación BD en la barra de estado y la existencia de un proceso activo llamado Desktop Print Spooler (observable con utilidades como Process Watcher o Macsbug).

Daños

Una vez infectado el sistema, el gusano alteraba ciertos archivos específicos, siguiendo los siguientes patrones:
• Buscaba los archivos cuya extensión fuesen data, cod y csa, cuyo data fork (contenido del fichero propio, por ejemplo, el texto de un documento) fuese mayor de 100 bytes.
• Archivos con extensión dat que su data fork y su resource fork (información acerca del archivo) juntos fuesen superior a 2 megabytes.
Una vez encontrados los archivos con dichas extensiones - la búsqueda era insensible a mayúsculas - el gusano dañaba el archivo sobrescribiendo con datos inútiles el data fork del archivo - aproximadamente el primer megabyte -. El primer byte era siempre es puesto a 0 a modo de flag, de forma que el gusano omitía estos archivos ya infectados en posteriores comprobaciones del disco.

Mutaciones y variaciones de AutoStart 9805

Concluimos este artículo nombrando las variaciones del gusano encontradas hasta la fecha. La filosofía de la mayoría es la misma que la del original, es decir, destruir archivos, aunque hay excepciones:

AutoStart 9805-B: Esta mutación era más difícil de detectar que el original, haciéndolo potencialmente más peligroso. Las diferencias con el original son las siguientes:
o No reiniciaba el equipo de forma inmediata tras la infección.
o No infectaba discos montados en red.
o Actuaba cada 3 minutos.
o Eliminaba al original si este se hallaba en el equipo infectado por la variación.
o Dañaba archivos del tipo JPEG, TIFF y EPSF.
o Solo se dañaban archivos si el directorio Extensions: Printer Descriptions no contenía archivos que comenzaran por ACR, GEN, COL, LAS, o DIS.
o Insertaba basura en el archivo a partir del segundo megabyte del archivo. Normalmente introducía un megabyte de basura.
o Infectaba un máximo de 20 archivos en cada acción.
o A partir del 24 de Diciembre de 1998 dejaba de dañar archivos y de duplicarse.
AutoStart 9805-C: A diferencia de los demás no daña archivos de forma intencionada, sino que estaba diseñado para eliminar otras versiones del gusano. Sus principales características son:
o Actuaba cada 10 minutos.
o Se eliminaba el mismo a partir del 8 de junio de 1998.
o Sustituía otras versiones el virus.
AutoStart-D: Es idéntico al C, salvo la fecha en que se eliminaba, que en este caso era el 24 de Diciembre de 1998.

AutoStart 9805-E: Es un híbrido entre el original y el B. El modo de infección era idéntico al B, mientras que dañaba los mismos archivos que el original, salvo que además actuaba sobre los ficheros que tenían al menos 100 bytes entre el fork y el resource data. Paraba de extenderse y de dañar ficheros el 6 de Junio de 1999.

AutoStart 9805-F: Es prácticamente igual al original y al E, salvo que actuaba en ficheros de extensiones data, cod y csa, cuyo resource fork fuese aproximadamente de 100 bytes.

jueves, 18 de octubre de 2012

Mobile Device Management (MDM): Despliegue y gestión de iPhone & iPad en la empresa en el Asegúr@IT Camp 4

El último fin de semana de este mes de Octubre tendrá lugar el Asegúr@IT Camp 4 con un conjunto de charlas el sábado dedicadas a infraestructura y seguridad, además de alguna de arte y animación, pero hay una de ellas que irá destinada a todos los IT Pro que tengan que lidiar con la tarea de desplegar dispositivos iPhones & iPads en una empresa. En esta sesión, Juan Miguel Aguayo, escritor del libro de "Desarrollo de aplicaciones iOS para iPhone & iPad" explicará las opciones de despliegue de los terminales Apple dentro de la empresa.

Entre otros aspectos, en esta sesión analizará cómo funcionan iPhone Configuration Utility, Apple Configurator, el MDM de Apple para la gestión empresarial y algunas otras alternativas para poder ser utilizadas en la gestión diaria de estos dispositivos.


El evento ha pasado ya a la segunda fase de registro, pero si quieres puedes acceder a un registro super-reducido al Asegúr@IT Camp 4 usando el código SegApple durante el proceso de reserva de plaza. Nos vemos allí.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares