Menú principal

miércoles, 31 de julio de 2013

Evidencia del lector biométrico de Apple en iOS 7 beta

Descripción del sensor biométrico Apple
El lunes de esta misma semana recogíamos en un artículo el camino que Apple está recorriendo en el proceso de integrar la tecnología biométrica en sus dispositivos. Entre los pasos del camino hablamos de una patente de Octubre de 2012 en la que Apple describía un sistema por el que se reconocía la huella digital y el ojo o la cara del usuario del sistema.

Ayer mismo, The Next Web, recogía que un desarrollador había descubierto en el código la última versión beta de iOS 7 unos mensajes que dejaban entrever que el sistema ya estaba preparado para la introducción de esta tecnología en la nueva revisión de su hardware.

Figura 1: El texto dice "Foto de una persona sujetando el home buttón con su pulgar derecho"

Al final, parece bastante claro que Apple está decidida a apostar por los sistemas biométricos, donde parece que van a residir los sistemas de autenticación post-contraseñas. Veremos cuándo están disponibles estas soluciones de forma definitiva en el mercado.

martes, 30 de julio de 2013

NSA crackeó el criptograma Kryptos de la CIA hace años

El criptograma Kryptos de la CIA es una escultura con un mensaje cifrado que puede encontrarse enfrente del cuartel general de la organización. Dicha escultura ha levantado durante años pasión entre los amantes de la criptografía para poder conocer su mensaje oculto. De hecho, hay hasta grupos de aficionados en Internet que colaboran para su resolución.

Figura 1: Escultura Kryptos de la CIA

Pero gracias a un artículo de la revista Wired, hemos podido conocer más detalles del mensaje, pues según un memorandum de la NSA que puedes descargarte de la web, el mensaje oculto está dividido en cuatro partes, de las que 3 de ellas han sido descifradas por investigadores de la NSA.

Figura 2: Sección del estudio del criptograma 1 de Kryptos

El contenido de las partes descifradas del mensaje puede leerse en el artículo, y hablan de una ubicación oculta y una puerta que se abre, pero aún falta la cuarta parte por ser descifrada, así que si tienes tiempo este verano, dale un empujón a la criptografía y anímate a resolver la cuarta parte.

lunes, 29 de julio de 2013

Más patentes sobre el dispositivo biométrico en iPhone

El pasado 18 de Julio se hizo pública una nueva patente de Apple basada en el sensor adquirido junto con la compra de Authentec, que despeja más incógnitas sobre cómo piensa integrar la compañía el dispositivo biométrico de reconocimiento de huellas dactilares en sus terminales. Para entender mejor los planes de la compañía, hay que retroceder al año 2009, donde ya planeaba introducir un sensor biométrico en el terminal iPhone y los equipos Mac para poder autenticar a los usuarios por sus huellas dactilares.

Figura 1: Patente del año 2009 para integrar un sensor biométrico en iPhone y MacBook

En el año 2010, la compañía volvió a patentar tecnología para hacer un scanner biométrico de huellas dactilares que pudiera integrar en los terminales iPhone o Mac, detallando cómo se construiría el dispositivo descrito en la patente del año anterior.

En el año 2012 Apple ya dio el salto definitivo y compró la empresa Authentec, especializada en dispositivos biométricos, y por supuesto estaba claro que Apple pensaba en aprovechar su tecnología en estos productos. De hecho, la parte de Authentec que no estaba centrada en biometría fue vendida rápidamente a terceros.

Figura 2: Patente del año 2012 para usar el sensor biométrico en iPhone

El el mes de Octubre Apple volvió a patentar más usos para el lector de huellas dactilares, en esta ocasión en conjunción con un reconocedor de ojos o caras, desde el terminal iPhone, lo que se usaría como segundo factor de autenticación a la hora de desbloquear el terminal o como elemento de autorización.

Figura 3: Patente para integrar el lector en la carcasa

Ya en este año apareció publicada la patente de Apple para ocultar en el lector de huellas biométricas dentro de la carcasa de los terminales iPhone o iPad, además de los equipos MacBook.

La última de ellas, la hemos tenido este 18 de Julio de 2013, donde se ha descrito la circuitería de los sensores a nivel de pixel para hacer el reconocimiento de las huellas dactilares. Esta patente describe en detalle cómo es la implementación que se piensa hacer del dispositivo, para ponerlo en algún producto en algún momento pronto.

Figura 4: Patente que describe la circuitería del sensor

Como se puede ver, Apple lleva trabajando mucho tiempo en las tecnologías biométricas, tanto para los terminales iPhone, iPad como para los portátiles MacBook de la compañía. Veremos cuándo.

domingo, 28 de julio de 2013

iTools para Mac OS X: Gestionar iOS sin Apple iTunes

El otro día leímos la referencia de esta herramienta en MacProgramadores, así que nos decidimos a echar un vistazo a iTools - de origen chino, concretamente de Hong-Kong -, como "alternativa a Apple iTunes" para gestionar dispositivos iOS. Para ello descargamos desde la web oficial de iTools la versión para Mac OS X, aunque también existe versión para Microsoft Windows que pueden ser descargadas gratuitamente.

La herramienta en sí se parece a otras como iFunBox, permitiendo gestionar las apps del sistema, convertir ficheros IPA, gestionar ficheros para subir y bajar archivos desde el terminal, acceder a fotografías, vídeos, etcétera.

Figura 1: iTools conectado a un iPhone 5

Entre otras cosas también se puede acceder al Apple System Log del termianl, hacer backups y para los terminales con jailbreak, se pueden realizar conexiones directas con SSH al terminal, como opción de usabilidad.

Figura 2: Apple System Log accedido con iTools

De todas las opciones, lo que más nos gustó sin embargo, fue la posibilidad de hacer vídeos de la pantalla del terminal. Es decir, se conecta el terminal, se accede a la parte de grabación del desktop y todo lo que hagas en el terminal se grabará en un archivo de vídeo.

Figura 3: Grabación del desktop del terminal iPhone

Al final no creemos que pueda ser una alternativa definitiva a Apple iTunes, y es más parecida a iFunBox y similares que a la herramienta oficial, pero lo mejor es que la probéis vosotros a ver qué os parece.

sábado, 27 de julio de 2013

Regresó Apple Developer Center. Cuidado con Phishing.

Por fin, después de 8 días de duro trabajo, el Apple Developer Center ha vuelto a la normalidad para ofrecer sus servicios. Desde el último hackeo a cargo del investigador Ibrahim Baliç los servicios habían estado totalmente detenidos, lo que ha generado problemas en los planes de muchos desarrolladores que se han quedado sin el servicio.

Figura 1: En la columna central se puede ver que los servicios del Dev Center han vuelto

Por el medio, los atacantes han aprovechado este incidente para enviar campañas de spam con un supuesto correo de Apple en el que se informaba del estado del Apple Developer Center. El correo enviado, como se puede ver, contenía hasta mensajes jamás utilizados por Apple, como poner el nombre de la compañía en minúsculas.

Figura 2: El correo de spam con los enlaces a los sitios de phishing

Por supuesto, los enlaces, tal y como muestra esta captura aportada por CNET llevan a sitios de phishing cuyo objetivo es robar las credenciales del Apple ID de las víctimas.

Figura 3: La URL de phishing en un iPhone

Si necesitabas de los servicios de Apple Developer Center, ya está disponible en su dirección web habitual: http://developer.apple.com, así que adelante.

viernes, 26 de julio de 2013

Activar y arrancar Mac OS X en modo "Verbose"

Mac OS X tiene muchas opciones adicionales que podemos activar para depurar mejor un determinado problema en el sistema. Una de ellas es el llamado modo “Verbose”, que puede ser activado durante el proceso de inicio y permite ver toda la información de lo que ocurre en el sistema operativo cuando está arrancando. Este modo esta pensando para usuarios avanzados y para desarrolladores que quieran ver los pasos por los que va iterando el sistema cuando se esta iniciando, para poder ver detectar problemas tanto en el hardware o como en el software del sistema.

El modo “Verbose” sustituye la pantalla de inicio por defecto de Apple, por una pantalla que muestra en modo texto toda la información de lo que esta pasando en nuestro sistema, pudiendo verse mejor el proceso de arranque del sistema.

Figura 1: Equipo Mac OS X arrancando en modo Verbose

La forma de activar este modo es muy sencillo. Podemos hacerlo de dos formas, o bien a través del comando “command + V” mientras se esta iniciando el sistema, lo que nos permitirá acceder al modo "Verbose", o bien activarlo mediante una orden de terminal para que cada vez que iniciemos nuestro sistema operativo iniciemos en este modo. El comando debe ejecutarse como administrador y es el siguiente: sudo nvram boot-argvs=”-v”

Una vez hecho los cambios se reinicia el equipo y podremos ver el modo verbose de nuestra nueva splash screen mostrando toda la información del proceso de arranque de Mac OS X.  Y si quieres volver a desactivarlo, puedes usar el siguiente comando: sudo nvram boot-argvs= . Reiniciar el sistema, y todo volverá a la forma normal de arrancar.

jueves, 25 de julio de 2013

DocWallet: Cifrado de datos en Mac OS X, iPhone & iPad

La herramienta de cifrado DocWallet es una tool que permite almacenar documentos de forma segura en sistemas Mac OS X, iPad, iPhone y PC. Los datos son cifrados y almacenados a modo de caja fuerte. En el presente artículo estudiaremos cómo almacena realmente DocWallet los ficheros.

En la web de presentación de DocWallet en la App Store, se indica que el modo seguro de la aplicación ha sido verificado por el instituto Fraunhofer Aisec, un prestigioso instituto de innovación y seguridad alemán.

Antes de entrar en el detalle sobre la utilización de la herramienta, vamos a comentar las posibilidades que ésta ofrece al usuario:
  • Cifrado de documentos en el dispositivo.
  • Sincronización segura de carpetas y documentos.
  • Lectura, almacenamiento y gestión de documentos ofimáticos directamente desde el contenedor.
Para poder utilizar DocWallet en el iPad o en un PC se deberá disponer de la aplicación de escritorio para Mac OS X. El cifrado utilizado por la aplicación es extremo a extremo. En otras palabras, el archivo permanece cifrado en un extremo, el cual podría ser por ejemplo el iPad, y mediante el proceso de sincronización se envía a su DocWallet de escritorio en su Mac OS X. En dicho proceso de sincronización el archivo se encuentra cifrado con AES 256, y solamente será posible descifrarlo en el otro extremo, es decir en el Mac OS X. Para la sincronización de los datos utilizan un servidor central de Deutsche Post AG en Alemania. La sincronización se llevarán a cabo con los equipos que el usuario autorice. 

Empezando de cero

Tras obtener la aplicación gratis desde la Mac App Store,  se debe crear una contraseña maestra, la cual permitirá al usuario cifrar el contenido de su contenedor. Si el usuario pierde la contraseña no podrá recuperar la información, por lo que debe ser algo complejo, pero a la vez que algo que sea fácil de recordar para el usuario.

Figura 1: Creación de contraseña maestra

Tras crear la cuenta con la master key se crea el contenedor, y se proporciona un esquema de carpetas para que el usuario organice de manera sencilla la información que quiere asegurar. Este esquema puede ser manipulado y gestionado por el usuario, para configurarlo a su gusto. Para proteger un archivo el usuario debe arrastrar, drag & drop, el archivo dentro del contenedor y quedará cifrado  automáticamente. 

Figura 2: DocWallet y los archivos cifrados

¿Dónde se almacenan los datos?

Existe un archivo denominado Container.plist el cual almacena la información relacionada con el la aplicación. Este archivo es accesible desde el interior de la app, ya que las apps de Mac OS X pueden ser visualizadas en su interior con el Finder, y poder ver la jerarquía interna de carpetas. Este archivo tiene la siguiente información, referente al lugar dónde se almacenan los archivos en el equipo local.

Figura 3: Archivo plist de información de DocWallet

Se pueden visualizar las rutas /private/var/folders/sg/.../ con las carpetas finales 0, C y T. De estas carpetas se puede obtener que son utilizadas para almacenar los archivos permanentemente, en una caché y temporalmente, utilizándolo en el proceso de sincronización. La ruta /Users//Library/Containers/de.deutschepost.docwallet.mac/Data almacenará la información tal y como se indica en el plist.

Figura 4: Contenedores de DocWallet en Mac OS X

Se recomienda el uso de este tipo de aplicaciones para mantener la confidencialidad de su información y los documentos importantes. Además, permiten una fácil sincronización entre dispositivos, un hecho que hace casi imprescindible utilizar, hoy en día, este tipo de aplicaciones. La información se mantiene cifrada extremo a extremo, así que cualquier riesgo de seguridad recaería en los endpoints. Protege tus equipos, usa una master key robusta y tus datos estarán a salvo en la sincronización

miércoles, 24 de julio de 2013

"Apps Fantasmas" aparecen en cuentas chinas de iTunes

Nos hemos hecho eco de una noticia cuanto menos curiosa y atractiva, la aparición de aplicaciones, denominadas phantom, en cuentas de usuarios chinos de iTunes. Los usuarios han informado que existen aplicaciones que no han comprado y que han empezado a aparecer en sus cuentas de Apple iTunes. Este hecho lleva a los expertos a pensar en una especulación de una empresa, la cual mediante una promoción agresiva esté accediendo a las cuentas de los usuarios de manera ilegal. 

La magnitud del problema no es clara, ya que podemos estar ante un atentado de gran magnitud contra la privacidad de los usuarios. Lo que si es verdad es que este incidente fue suficiente para convencer al personal de iApps para investigar sobre este hecho, según ha comentado TechInAsia

¿Qué descubrieron tras la investigación?

El equipo descubrió que muchas de las aplicaciones que han encontrado los usuarios, las cuales no habían sido adquiridas por ellos, eran juegos móviles locales los cuales ahora disponían de una posición alta en el ranking de la App Store. iApps especuló que esto podría ser el trabajo de una empresa de promoción, la cual hubiera tenido acceso de alguna manera a las cuentas y las descargase. 

Figura 1: Phantom Apps posicionadas en la App Store

En la investigación se afirma que pueden haber sido capaces de llevar a cabo este acto si los dispositivos se encuentran con el jailbreak realizado - como es el caso de muchos de los usuarios que han reportado estas incidencias - , o tal vez gracias a las herramientas de sincronización de terceros, los cuales recogen información del Apple ID. Ambas opciones son muy populares entre los usuarios chinos. Una tercera explicación posible sobre el incidente es que estos usuarios hayan compartido su Apple ID con amigos y familia, práctica relativamente común en China y en más lugares del mundo, pero debido al número de reportes es la menos plausible. Hasta el momento Apple no tiene ningún comentario oficial sobre este incidente. 

martes, 23 de julio de 2013

Investidador de seguridad hackea Apple Developer Center

Desde el jueves de la semana pasada, la web de desarrolladores de Apple está caída. Esto ha supuesto un bloqueo para las acciones de muchos programadores de aplicaciones que utilizan diariamente en su trabajo este sitio, pero aún no se sabe cuando va a volver. Al principio el mensaje que se ofrecía no daba muchos detalles, pero desde que se conoce qué ha pasado, la carta de Apple en la web lo deja claro. Hemos sido hackeados.

Figura 1: Mensaje de Apple Developer Center

El hackeo ha venido de la mano de Ibrahin Baliç, un investigador de seguridad, que llegó a publicar un vídeo con la explotación de las vulnerabilidades que había descubierto, además de explicar todo en una entrevista en TechCrunch. El vídeo, ahora no está público ya que ha sido retirado porque en él se podían ver los datos de cuentas de Apple ID y los correos electrónicos asociados.

Figura 2: El vídeo - ahora en privado - donde se publicaban las vulnerabilidades

Esta información obtenida podría ser muy sensible. Recordemos que hace no mucho tiempo vimos como Apple sufría el hackeo de su servicio de recuperación de contraseñas de Apple ID olvidadas iForgot por culpa de un CSRF que, con muy poca información, permitía robar las contraseñas de los Apple ID. El mismo investigador retiró el vídeo, como ya hemos dicho, y publicó en su cuenta Twitter unas disculpas por haber dejado datos de personas en él.

Figura 3: Disculpas por Twitter de Ibrahim Baliç

El número total de vulnerabilidades que este investigador encontró fue de 13, y entre ellas la que más impacto tuvo fue la que encontró en el servicio de iAD Workbench que le permitía extraer los datos anteriormente citados, y que terminó con la caída del Apple Developer Center. Estas vulnerabilidades están descritas en la siguiente tabla que él mismo hizo públicas.

Figura 4: Reporte de vulnerabilidades encontradas (varios XSS)

Ahora mismo la cosa está bastante liada. El Apple Developer Center no ha vuelto a funcionar, causando un serio perjuicio a los que se ocupan del desarrollado de apps para iOS y a la compañía. El daño de imagen ha sido grande, y las criticas hacia el investigador de seguridad han venido por querer un exceso de protagonismo al mostrar datos de clientes en la explotación de las vulnerabilidades en un vídeo en el que aparece él mismo posando.

Figura 5: Web de reconocimiento de investigadores que han reportado bugs en webs de Apple

Apple tiene una web de reconocimiento de vulnerabilidades donde se da crédito a los investigadores que reportan bugs a la compañía, agradeciendo el trabajo normalmente. En esta ocasión, sin embargo, parece que el método escogido por este investigador no ha sido del gusto de la compañía.

lunes, 22 de julio de 2013

Electrocutados por usar iPhone 4 con cargadores "piratas"

La semana pasada hubo mucho revuelo alrededor de las dos personas en China que acabaron electrocutadas al utilizar sus teléfonos iPhone 4, que llevaron a una de las personas a fallecer y la otra acabó varios días en coma. El revuelo mundial fue grande pensando en que el terminal iPhone, especialmente el terminal iPhone 4 debido a su alto contenido de acero, pudiera convertirse en algo peligroso para los usuarios si se utilizaba cuando se estaba cargando, algo que todos hemos hecho alguna vez.

Las noticias iniciales hablaban de la persona fallecida, diciendo que podía ser un iPhone 5 con un cargador oficial, pero al final se ha podido confirmar que era un iPhone 4 con un cargador no oficial, y que tras el incidente el terminal seguía funcionando. La segunda de las personas, en coma, confirmó que era un iPhone 4 también y de nuevo con un cargador no oficial de Apple, algo que la propia compañía se encargó de investigar en primera persona.

Figura 1: Cargador de iPhone 4 en las noticias de China

Lo cierto es que los cargadores no oficiales tiene costes mucho más económicos que los oficiales de Apple, lo que lleva a muchos usuarios a comprar este tipo de accesorios, que muchas veces no han pasado todos los controles de seguridad necesarios.

Figura 2: Comprobación en iOS 7 de accesorios no oficiales

Apple, en iOS 7 quiere acabar con estos accesorios no certificados, y por eso se quiere poner un sistema que autentique a los fabricantes, algo que ya anunciamos aquí que un fabricante Chino se había encargado de crackear. Nosotros te recomendamos que uses siempre que puedas accesorios originales, y como ya hemos dicho muchas veces, no compres terminales Apple fuera de los canales oficiales.

domingo, 21 de julio de 2013

Fue noticia en Seguridad Apple: 8 de Julio a 20 de Julio

Como cada dos semanas volvemos con el repaso a lo publicado en Seguridad Apple. Estas dos semanas han estado cargadas de noticias relacionadas con el mundo de Apple y podemos decir que el verano y su parón no ha llegado al mundo de la manzana. Este es el resumen para los que estéis de vacaciones recordéis todo lo que ha pasado en estos quince días.

El lunes 8 de Julio comenzamos la semana hablando de PiOS, Privacy iOS, y PSiOS, Privacy Security iOS. Los investigadores de seguridad Manuel Egele, Christopher Kruegel, Engin Kirda y Giovanni Vigna han propuesto modelos reducir lso problemas de privacidad en iOS.

El martes se trató el tema de los iPhone 5 falsos que se pueden obtener en la Deep Web. Este artículo habla de las cosas que se pueden encontrar en la Deep Web y como existe un mercado negro con los terminales falsos de Apple al alcance de cualquiera.

GPGTools Logo
El miércoles hablamos de Privacy Eye, el cual es un monitor de conexiones para OS X. Esta herramienta muestra información como haría Wireshark, pero de manera más sencilla e intuitiva. Si no eres un gran experto en analizar el tráfico esta es tu herramienta para el sistema de Apple.

El jueves 11 de Julio finalizamos la serie de artículos sobre las GPG Tools para Mac OS X. En este último artículo de la serie se trató el tema de las GPG Tools Mobile, el cual puede ser instalado en los iDevices.

El viernes nos pusimos el traje de developers y os dejamos una referencia para probar Firefox OS en tu Mac OS X con Firefox. Es realmente fácil obtener el entorno de desarrollo para empezar a desarrollar tus propios prototipos de aplicaciones para Firefox OS en vuestro OS X.

Apple últimamente no para de actualizar productos y software, y esta vez le tocó al Airport Utility el cual fue revisado a la versión 6.3.1. Esta versión está disponible para las versiones OS X Lion 10.7.5 y OS X Mountain Lion 10.8.3.

El domingo 14 de Julio hablamos sobre todos los iPhone del presidente. En este artículo se trató uno de los temas del mes en el ámbito político nacional, y es que salieron a la luz los presuntos mensajes del presidente con Luis Bárcenas, a través de su iPhone. Hicimos nuestro propio estudio y análisis de la situación, un tema jugoso y a la vez de gran complejidad.

El lunes 15 de Julio se trató el tema de las patentes en  el mundo iPhone, haciendo hincapié en algunas patentes curiosas hechas al rededor de esta tecnología. Alguna curiosas como la patente del iPhone Data Storage, otras sin mucho sentido y las menos deseadas creadas por los Patent Trolls.

El martes 16 de Julio hablamos sobre el virus del FBI el cual ha llegado a OS X realizando secuestros de Apple Safari. Cuando el usuario intenta abandonar el sitio web, el navegador lo evita enviando continuos mensajes de control de la navegación.

El miércoles 17 de Julio seguimos hablando de malware para OS X. Esta vez el turno fue para OSX/Janicab, el cual se encuentra firmado digitalmente con un Apple ID para evitar a GateKeeper, usa codificación Right-To-Left para engañar a los usuarios en el Finder y vídeos en Youtube como forma de encontrar al panel de control.

El jueves 18 de Julio hablamos de Protect My Privacy para iOS. Con esta herramienta el usuario de iOS podrá aumentar el nivel de privacidad de su terminal al controlar mejor el uso de permisos de las apps. El sistema describe una arquitectura por la que una app en los terminales móviles que va a reescribir las llamadas al sistema para poder interceptar los accesos a partes sensibles del terminal, como por ejemplo el UDID.y permitir controlar esos accesos con perfiles de privacidad recomendados de forma colaborativa.

El viernes fue día de actualizaciones y os informamos de la salida de Office para Mac 2011 Update 14.3.6 y de la aparición de MacBook Air (Mid 213) Software Update 1.0, para que dejes tu sistema actualizado a la última.

Por último, ayer tocó hablar de una vulnerabilidad criptográfica en la popular herramienta de mensajería Crypto.cat. Actualiza a la última versión si no quieres que tus conversaciones sean interceptadas.

Hasta aquí es todo lo publicado en nuestro blog, pero hay otras noticias interesantes sobre el mundo Apple que no hemos tocado, pero que merecen la pena su lectura. Os dejamos aquí una selección de ellas para que estés bien informado:
- Espiar las comunicaciones móviles por 300 USD: Los terminales iPhone o iPad no permiten elegir el uso sólo de redes seguras. En este artículo se ve como puedes sufrir una intrusión en tu vida por menos de 300 USD. 
- Google pillado copiando a Apple en una patente: La historia tiene tintes humorísticos, pues es en la presentación de una patente donde Google ha copiado el mismo gráfico que utilizó en una patente de tecnología similar Apple. 
- Estafador multado con 60.000 USD: Ha sido condenado por enviar más de 2 millones de mensajes de SMS con un supuesto premio de iPhone o un iPad y ahora tendrá que pagar su multa. 
- Los operadores móviles rusos se pasan a Samsung: Han dejado de ofertar iPhone y han llegado a acuerdos con Samsung para distribuir sus terminales, lo que es un duro revés para Apple. 
- Apple quiere hacer frente común para pedir transparencia con la NSA: Todo el escándalo de filtraciones de Edward Snowden está haciendo mucho daño a Apple - y al resto de tecnológicas americanas - fuera de USA. Ahora quieren que la NSA sea más transparente.
- Tumblr sufre incidente de seguridad serio: Publica un advisory de seguridad, una actualización de su app para iOS y pide cambiar las contraseñas de sus cuentas a todos los usuarios.
Y esto ha sido todo, que como podéis ver ha estado lleno de noticias alrededor del mundo de la seguridad y las tecnologías Apple. Esperamos veros cada dos semanas en esta sección y todos los días en Seguridad Apple.

sábado, 20 de julio de 2013

Vulnerabilidad en Cryptocat deja descifrar conversaciones

Crytocat logo
Hace relativamente poco se ha encontrado una vulnerabilidad en el programa Cryptocat, una aplicación web de código abierto destinada a permitir chatear en línea de forma cifrada y segura. Cryptocat cifra las conversaciones (chats) en el lado del cliente, confiando sólo en el servidor para enviar los datos ya cifrados.  Cryptocat se ofrece como una aplicación para Mac OS X y como una extensión de explorador para Google Chrome, Mozilla Firefox y Apple Safari

Este tipo de herramientas que proporcionan más privacidad en la red, se ha puesto aún más de moda por escándalos como el por ejemplo a programas como el reciente PRISM).

Pero, ¿realmente nos proporciona esa privacidad? Recientemente se ha encontrado un grave fallo en la seguridad de Criptocat, que ha ocasionado que se planteen serias dudas en cuanto a lo que promete esta herramienta. La vulnerabilidad fue encontrada por Steve Thomas quien señalo un fallo en la forma en la que se generaban los pares de contraseñas para el grupo de chats. Este bug afectaba a las versiones comprendidas entre la 2.0 y la 2.0.42 (esta última no incluida), lo que hacia que el sistema fuera más fácil de romper mediante fuerza bruta.

Figura 1: Anuncio de la vulnerabilidad crítica de Cryptocat

Algo que hay que mencionar fue la rápida actuación por parte de los creadores de Crypotcat para arreglar este fallo seguridad, que se encontraba en las librerías de cifrado. Debido al nuevo parche introducido en esta nueva versión, los usuarios no podrán hablar con los usuarios de versiones anteriores (debido a cambios en la contraseña genera) por lo que todos deberán actualizar a la nueva versión lo antes posible, por seguridad y por funcionalidad.

Si solo lo usas para chatear con una persona que tiene la misma versión vulnerable que tú, debes ponerte en contacto con ella para actualizar ambos la herramienta.

Finalmente recordar que aunque hay muchos servicios que no proporcionan sistemas para navegar de forma segura y con mucha más privacidad, no quiere decir que estemos totalmente a salvo para siempre y por tanto hay que tomar más medidas para mantener la seguridad global del sistema. Actualizar es una de ellas. Si quieres saber más sobre el cifrado aplicado, te recomendamos la lectura del libro de Jorge Ramió y Alfonso Muñoz "Criptografía: de la cifra clásica a RSA".

viernes, 19 de julio de 2013

MacBook Air (Mid 2013) Software Update 1.0 soluciona los problemas de parpadeo de pantalla y perdida conexión WiFi

Desde que se presentará el mes pasado el nuevo MacBook Air las quejas con problemas relativos a la conectividad WiFi y al parpadeo de la pantalla cuando se trabajaba con Photoshop aparecieron por todos los rincones de Internet. Para solucionar esto, Apple ha puesto en circulación MacBook Air (Mid 2013) Software Update 1.0, que ya puede descargarse desde la nueva web de soporte.

Figura 1: Actualización para MacBook Air de mediados de 2013

Además de estos problemas, también se soluciona un problema con la fluctuación del volumen de audio en reproducciones de vídeo. Como se puede ver, la actualización pesa 3.35 MB y os recomendamos que la apliquéis cuanto antes para solucionar estos problemas.

Microsoft publica Office for Mac 2011 a la versión 14.3.6

Microsoft ha lanzado nuevas actualizaciones de software para Microsoft Office for Mac 2011. Esta nueva revisión del software se corresponde con la versión 14.3.6 lanzada esta semana. La actualización proporciona mejoras a problemas encontrados en Office for Mac 2011.

Figura 1: Office 2011 for Mac 14.3.6 Update

La actualización tiene un tamaño de 113 MB y está disponible para todos los usuarios que tengan Mac OS X Leopard, Mac OS X Snow Leopard, OS X Lion u OS X Mountain Lion. En el sitio web de Microsoft se proporciona soporte y se detalla qué cosas se han actualizado:
Esta actualización corrige un problema por el que en repetidas ocasiones Outlook trataba de enviar mensajes que superan ciertos límites de tamaño en la bandeja de salida constantemente. Ahora, los mensajes que superen estas dimensiones limitadas se ponen en la carpeta borrador después de tres intentos fallidos. 
La sincronización de una carpeta en la que existen gran cantidad de mensajens que fueron eliminados en Outlook provoca la congelación del cliente. Esta actualización corrige este problema. 
Se corrige un problema que hace que Microsoft Word no pueda guardar archivos en un recurso compartido mediante SMB.
Los usuarios que ejecuten Microsoft Office 2011 for Mac pueden acceder a las actualizaciones para corregir dichos problemas. Otra opción es utilizar la aplicación Microsoft AutoUpdate para solicitar las actualizaciones. 

jueves, 18 de julio de 2013

Protect My Privacy para iOS: Monitor de nivel de privacidad

Hoy queremos traeros un trabajo publicado sobre cómo auditar los accesos de las apps de un terminal iOS que pueden afectar a la privacidad de los usuarios. El sistema descrito en el artículo "ProtectMyPrivacy: Detecting and Mitigating Privacy Leaks on iOS Devices Using Crowdsourcing" describe una arquitectura por la que una app en los terminales móviles va a re-escribir - al estilo de cómo se proponía en PiOS y PSiOS - las llamadas al sistema para poder interceptar los accesos a partes sensibles del terminal, como el UDID, los contactos o los servicios de localización.

Figura 1: Paper sobre ProtectMyPrivacy

Cuando se produce uno de esos accesos el usuario tendrá la opción de permitirlo o denegarlo, al mismo tiempo que se reporta a un servidor centralizado la app, el acceso que se requería y lo que el usuario ha decidido aplicar. Con toda esta información el servidor de PmP genera un perfil de privacidad recomendado por los usuarios para cada aplicación.

Figura 2: Monitorización en tiempo real por parte de Protect My Privacy

En el documento publicado se muestran algunos datos curiosos, como los porcentajes de aplicaciones que acceden a determinada información del sistema, tras realizar un muestreo con más de 225.000 apps. Como se puede ver son muchas las que requieren - o al menos solicitan - acceso a datos privados para su funcionamiento.

Figura 3: Estadísticas de acceso a datos sensibles en iOS par parte de apps

El trabajo es de este año 2013 y viene a proponer una solución basada en crowdsourcing para gestionar los permisos que deben ser concedidos a las apps, aunque la masa no siempre tiene por qué estar acertada en sus decisiones.

miércoles, 17 de julio de 2013

Malware para OS X firmado digitalmente usa codificación Right-to-Left y Youtube como redirect al panel de control

La empresa F-Secure ha descubierto en Virus Total un curioso malware para OS X, bautizado como Janicab que utiliza una combinación de características muy curiosas para su distribución y control de las víctimas. En primer lugar hay que citar que según se informa el malware viene firmado digitalmente con un Apple ID de desarrollador, para conseguir ejecución en sistemas OS X Mountain Lion con GateKeeper activado con la opción de ejecutar sólo programas firmados.

Figura 1: Protección de GateKeeper en OS X Mountain Lion para ejecución sólo de apps firmadas

En segundo lugar utiliza codificación Right-to-Left, una sistema que permite en el nombre de un archivo cambiar el sentido de algunas letras del nombre de un archivo para que se visualicen en Finder al contrario. El nombre original en hexadecimal se puede ver en la imagen siguiente.

Figura 2: Nombre de archivo con codificación Right-to-Left

Sin embargo, esto haría que cuando se vieran en Finder apareciera sin extensión - si no se ha activado la visualización de extensiones - mientras que si no se hubiera hecho la codificación Right-to-Left aparecería con la extensión .app, ya que OS X considera que es importante dejar claro que es un ejecutable.

Figura 3: Codificación Right-to-Left (medio) y normal (derecha) en Finder

Al hacer un listado de ficheros en el interfaz de comandos sí que se podría ver que la extensión es distinta a la que se visualiza en Finder, ya que no interpreta la codificación Right-To-Left en la consola de comandos.

Figura 4: Visualización den Bash del archivo con codificación Right-to-Left

Al revisar el fichero, se puede ver que el programa está escrito en Python, y utiliza el framework py2app para su distribución en sistemas OS X.

Figura 5: El Developer ID es Gladys Brady

Al ejecutar la aplicación maliciosa, XProtect aplicará la protección de cuarentena que se aplica a todos los programas descargados de Internet. La curiosidad es que al haberse creado con codificación Right-to-Left, todo el mensaje aparece invertido, haciendo que sea difícil de leerse.

Figura 6: El mensaje se muestra al revés

Una vez ejecutado el malware en el sistema se descarga un fichero PDF desde Internet y es mostrado, para simular realmente que es un fichero de este tipo.

Figura 7: Fichero PDF usado para la ingeniería social

Por debajo mientras crea una carpeta oculta donde mete todos los componentes del malware para capturar pantallas, ficheros de audio y vídeo, entre otras cosas e instala tareas en cron para conseguir la persistencia en el sistema.

Figura 8: Tareas en CRON creadas por el malware

Para saber en qué dirección está su panel de control, utiliza un sistema muy curioso. Se conecta a varios vídeos de Youtube - y a una dirección actualmente desconectada - desde donde parsea la dirección del panel de control. Esta dirección está en la información pública del vídeo.

Figura 9: En la descripción del vídeo se publica la dirección del panel de control del malware

Actualmente ese panel de control está apagado, por lo que la botnet que se hubiera creado parece descabezada.

Figura 10: Panel de control desconectado

Este truco de poner la dirección del panel de control en el mensaje descriptivo del vídeo de Youtube aparece en muchos otros vídeos de Internet.

Figura 11: Más vídeos en otras redes publicando el mismo panel de control

Analizando las estadísticas de estos vídeos se puede saber más o menos cuántos equipos hay infectados con este malware, que como puede verse no parece muy alto.

Figura 12: Estadísticas acumuladas de visitas al vídeo (buscando el panel de control)
Figura 13: Estadísticas diarias de acceso a este vídeo por día

Sea como fuera, ten cuidado con la descarga de aplicaciones desde Internet y ten un antimalware activado con protección en tiempo real. Este malware ya es detectado por los antimalware como Python/Janicab.A. Si quieres conocer más sobre cómo funciona el mundo del e-crime, te recomendamos el libro sobre el Fraude Online.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares