Menú principal

martes, 30 de junio de 2015

Condenas en el cibercrimen: Los delitos no salen baratos

El cibercrimen sigue en aumento con el crecimiento de las nuevas tecnologías y en pocos años nos hemos ido encontrando con un gran número de ejemplos. Además, la justicia se pone al día y vamos viendo como van cayendo condenas a los autores de los delitos, desde creadores de malware, exploits, botnets, ejecutores de campañas o creadores de servicios para el cibercrimen. Condenas que van desde pocos años hasta... la cadena perpetua.

Quizá la condena más histórica y mediática es la de la condena perpetua al creador de Silk RoadRoss Ulbricht se enfrentaba a una pena de 20 años mínimo, pero al final ha obtenido la peor condena posible en este tipo de casos, la cadena perpetua. Se cree que Ross consiguió alrededor de 100 millones de dólares con su política de quedarse con el 15% de la venta a modo de comisión. Se cree que consiguió juntar 174.000 bitcoins.  Silk Road marcó un hito en el cibercrimen y en cómo hacer mercados ilegales en la Deep Web. Esta es una de las razones que también pesaron en la condena, ya que según la jueza del caso Ross ha motivado a otros a realizar este tipo de acciones delictivas. Por ejemplo, el caso de The Real Deal, el cual es un supermercado para el cibercrimen en la Deep Web. En este tipo de tienda se vende de todo, desde exploits, tutoriales, cuentas y bases de datos robadas hasta una botnet de miles de máquinas.

Figura 1: Silk Road cae

Otra de las condenas más impactantes de los últimos años fue la de los 2 jóvenes rusos que llevaron a cabo la estafa de Oleg Pliss. En esta estafa se secuestraban dispositivos iOS y se pedía un rescate por ellos entre 50 y 100 dólares. Los usuarios más afectados se encontraban en las zonas de Rusia, Australia y Nueva Zelanda. Estos dos jóvenes fueron condenados a 4 años de cárcel.

Figura 2: Oleg Pliss Ransomware

Otra de las condenas impactantes es la del grupo de personas sospechosas de robar decenas de millones de dólares de cuentas bancarias privadas y corporativas. El grupo de personas también ruso, utilizar un malware que introducían en los equipos de las víctimas y hackeaban las cuentas bancarias. Una vez se obtenía esta información se hacían transferencias de dinero a cuentas ficticias. La condena ha sido de 10 años de cárcel. Se puede ver como las condenas por cibercrimen se están endureciendo, por lo que los usuarios que quieran delinquir tendrán que pensarse mucho lo que hacen, ya que pueden acabar con una condena muy voluminosa como en los casos que hemos repasado. En muchas ocasiones ganar dinero fácil es un gancho difícil de rechazar para muchos usuarios, pero ¿Merece la pena el riesgo?

lunes, 29 de junio de 2015

Un Mac OS 7.5.5 del año 96 corriendo en un Apple Watch

A comienzos de mes Apple realizó la conferencia de desarrolladores a nivel mundial, la conocida WWDC. En este evento Apple presenta a los desarrolladores todo lo que viene, y que podrán utilizar para sus desarrollos. El evento de este año era especial, ya que iOS y OS X siempre han sido los protagonistas, pero este año aparece el Apple Watch. Además, el reloj de Apple recibirá una importante actualización con muchas novedades, de las cuales destaca la posibilidad de utilizar Activation Lock en el reloj.

Otra de las cosas que destaca en las novedades que tendremos en el reloj de Apple es que los desarrolladores podrán instalar apps en el reloj para que éstas funcionen de forma nativa. Con WatchOS 2.0 los desarrolladores parece que se empiezan a divertir, ya que sus apps no se ejecutan a través del iPhone.

Figura 1: Mac OS 7.5.5 corriendo en un Apple Watch

Hoy os traemos una noticia curiosa y geek como es la historia de Nick Lee y su instalación de Mac OS 7.5.5 en el Apple Watch. En el video puede verse como el sistema operativo del año 1996 corre en el reloj. En realidad no es un caso práctico, ya que no interfaz para el ratón y teclado, y la pantalla del reloj no es óptima para poder trabajar, pero lo que si deja claro es que la tecnología avanza a pasos agigantados, ya que hace 19 años se necesita un equipo completo y grande para que Mac OS 7.5.5 funcionase, y hoy podemos tener en nuestra mano todo lo necesario para ejecutar el sistema sin problemas.

domingo, 28 de junio de 2015

Apple compra 29 patentes de biometría a la startup Privaris

Esa ha sido la noticia esta semana relativa al mundo de la biometría y a Apple. La compañía ha recibido la transferencia de 29 patentes de las 31 que tiene la startup Privaris, lo que ha levantado todos los rumores de un posible adquisición. Tal vez solo se hayan comprado las patentes, pero está claro que Apple busca ampliar sus servicios de biometría y quiere protegerlos contra los Patent Trolls que buscan hacer su negocio comprando patentes y demandando a grandes compañías sin realmente pensar en la innovación para nada.

Hay que tener en cuenta que Apple ya compró la compañía Authentec y todas sus patentes de biometría para lanzar el famoso Touch ID y que ha demostrado ser un servicio que los usuarios aprueban masivamente. A la compra inicial de Authentec y la adquisición de estas 29 patentes de Privaris, hay que sumar todas las patentes que la compañía ha desarrollado alrededor de la biometría, y que como vimos en este artículo "Las patentes de biometría de Apple", describen servicios avanzados del uso de la biometría.


Figura 1: Vídeo conceptual de iPhone7 con Touch ID integrado en pantalla por Computer BILD

Esta misma semana, el rumor que corría era que Apple ya estaba trabajando en un iPhone con el servicio de Touch ID incluido en la pantalla, para poder tener terminales con más pantalla aún, y con un dispositivo biométrico integrado y transparente, algo para lo que la compañía ya tiene patente.

sábado, 27 de junio de 2015

Apple incrementa las versiones bloqueadas de Adobe Flash Player en OS X

Esta semana hemos hablado ya de los bugs descubiertos en Adobe Flash Player hechos públicos y solucionados por Adobe en el último expediente de seguridad ASP15-14. Esta actualización de seguridad, debido a la severidad de los bugs ha sido catalogada como crítica ya que permitirían la ejecución de código arbitrario en la máquina de la víctima remotamente sin interacción con el usuario con solo visitar una página web.

Apple, después de que se hayan hecho públicos detalles de exploits aprovechando algunos de estos bugs ha decidido utilizar la herramienta de Bloqueo de Plugins en los navegadores de OS X para impedir que las versiones explotadas se ejecuten.
La nueva política impedirá que versiones de Adobe Flash Player anteriores a 18.0.0.194 (en la rama 18.x) y 13.0.0.296 (en la rama 13.x) sean ejecutadas, tal y como se puede ver en el aviso. Nuestra recomendación es que actualicéis cuanto antes este componente.

viernes, 26 de junio de 2015

Jailbreak iOS 8.3: TaiG 2.1.0 viene con Cydia Substrate

El equipo TaiG ha publicado la actualización de su herramienta para hacer Jailbreak de iOS 8.3, la cual trae la versión actualizada de Cydia Substrate. Sin embargo, la versión legítima TaiG 2.1.0 se había filtrado en Internet y estaba disponible para su descarga en la red. Esta nueva versión de la herramienta fue descubierta a través de Reddit por un usuario que publicó los enlaces a la versión de la herramienta. Un gran número de usuarios han intentado llevar a cabo el Jailbreak en sus dispositivos utilizando esta nueva versión y se han reportado resultados positivos, aunque con la versión filtrada también se reportaron fallos.

Cydia Substrate es un componente especial de Cydia, el cual es requerido por la mayoría de los ajustos del Jailbreak. Cuando la herramienta TaiG 2.0 fue liberada se hizo evidente que Cydia Substrate no se incluía en ella. Desde ese momento todo el mundo ha estado esperando a que el equipo de TaiG para liberar una actualización con este componente.

Figura 1: Publicación en Reddit del leak

Si se quiere instalar Cydia Substrate en un dispositivo iOS se puede descargar la versión filtrada de TaiG y utilizar para realizar el Jailbreak. Además, como alternativa se puede descargar el archivo .deb en un dispositivo con Jailbreak para actualizarlo con Cydia Substrate sobre el mismo, siguiendo estos pasos:
  1. Instalar iFile. Cerrar Cydia.
  2. Ahora descargar el fichero .deb desde el dispositivo.
  3. Con iFile y ejecutar el paquete descargado.
  4. Después de la instalación reiniciar el dispositivo.
Con estos sencillos pasos valdría para instalar Cydia Substrate en el dispositivo con Jailbreak previo. Seguiremos atentos a los últimos movimientos en el mundo Jailbreak de iOS, ya que últimamente está trayando muchas noticias interesantes y nuevos retos, como el Jailbreak al mecanismo Rootless.

jueves, 25 de junio de 2015

Apple mejora la privacidad en iOS evitando que las apps puedan espiar qué otras apps tienes instaladas

Apple ha ampliado la privacidad del usuario evitando que otras apps instaladas en el dispositivo puedan ver u obtener un listado de las que hay instaladas. Esto forma parte de un enfoque continuo que la empresa de Cupertino está teniendo en la protección de la privacidad del usuario. Apple podría estar planeando cambiar una política en materia de aplicaciones de terceros y con ello evitar que éstas puedan conocer qué hay instalado en el iPhone o iPad.

Una vez que los cambios estén aplicados, los desarrolladores no serán capaces de acceder a los datos de aplicaciones instaladas con el fin de utilizarlos para temas publicitarios. Actualmente, las aplicaciones como Facebook o Twitter acceden a esta información y pueden utilizarla para mejorar los anuncios que muestran hacia sus usuarios.

Figura 1: Detalle como gestionar tu privacidad

El cambio llegará junto a la nuevo versión del sistema operativo iOS, es decir en iOS 9, la cual saldrá en Otoño. El cambio ha sido documentado por Apple durante una sesión de sobre privacidad aplicada celebrada en la Conferencia Mundial de Desarrolladores, WDC,  a principios de este mes. En los últimos años, Apple ha hecho un esfuerzo por transmitir a los consumidores que su privacidad es de sumpa importancia para la empresa. 

En una carta publicada el pasado Otoño, el presidente ejecutivo Tim Cook, dejó claro que su compañía está en el negocio de venta de productos, no en cosechar datos de los consumidores. Además, añadió que la seguridad y la privacidad son fundamentales para el diseño de todos los productos de la empresa, incluyendo iCloud y los nuevos servicios de pago de Apple.

Figura 2: Valoración de esfuerzo por la EFF

La semana pasada la Electronic Frontier Foundation otorgó a Apple la máxima puntuación en un informe anual que valora los esfuerzos de las empresas tecnológicas en conseguir que los datos de los consumidores no caigan en el espionaje gubernamental. Apple superó con 5 estrellas al resto de empresas, entre las que destaca Facebook con 4 estrellas, Google con 3 estrellas y Amazon con otras 3.

miércoles, 24 de junio de 2015

Adobe libera un Security Update de urgencia para OS X

Adobe ha liberado una actualización de seguridad para Adobe Flash Player para sistemas operativos Windows, OS X y Linux. Esta actualización de seguridad parchea la vulnerabilidad CVE-2015-3113, la cual podría permitir a un atacante potencial tomar el control de los sistemas afectados y ejecutar código arbitrario. Adobe está siendo explotado de forma activa, y los atacantes están buscando fallos a través de su software para llegar a los sistemas. La recomendación de Adobe es actualizar sus productos a la última versión cuanto antes, así que no te demores.

A continuación se muestra la enumeración de las recomendaciones que ha publicado el propio Adobe:
  • Usuarios con Adobe Flash Player Desktop Runtime para Windows y OS X deberían actualizar a la versión 18.0.0.194.
  • Usuarios de Adobe Flash Player Extended Support Release deberian actualizar a la versión 13.0.0.296.
  • Usuarios de Adobe Flash Player for Linux deberían actualizar a la versión 11.2.202.468.
  • Mientras que las instalaciones de Adobe Flash Player instaladas con Google Chrome o Intenet Explorer 8.X automáticamente se actualizarán a la versión 18.0.0.194.
Las versiones de software afectadas según indica Adobe en su boletín de seguridad son las siguientes:
  • Adobe Flash Player 18.0.0.161 y versiones anteriores para OS X.
  • Adobe Flash Player Extended Support Release 13.0.0.292 y versiones anteriores.
  • Adobe Flash Player 11.2.202.466 y versiones anteriores. 
Se recomeinda que se actualicen las versiones de Adobe Flash Player lo antes posible, y si no se utiliza en la navegación deshabilitar los módulos del navegador con el fin de no caer en sitios maliciosos que nos envíen el exploit a través del navegador.

martes, 23 de junio de 2015

El bug de MacKeeper se usa para infectar sistemas OS X

MackKeeper el día de su aniversario
Hace un mes hablábamos en Seguridad Apple sobre un 0day que afectaba al producto MacKeeper. Hoy día hay parche para ello, y se puede evitar la grave vulnerabilidad teniendo el software actualizado. Hace unos días se dio más detalles sobre este bug el cual proporciona un vector de ataque dónde usuarios maliciosos pueden conseguir la propagación de malware. Hoy podemos dar más detalles sobre cómo se lleva a cabo esta propagación de malware. Partiendo de la base de que el malware en OS X existe, hay una nueva corriente de criminales que empiezan a conseguir mucho dinero de equipos OS X infectados.

El modus operandi es similar a los ataques que sufren los sistemas Windows, solo que atacar un sistema OS X puede ser a día de hoy más fácil por varios factores. Quien usa estos sistemas tiene una falsa sensación de seguridad debido a mensajes como el que Apple promovía hace años en el que se decía que el malware no existía para sus sistemas, o porque las herramientas de seguridad y protección escasean en estos sistemas. Para reflejar el modus operandi de actuación vamos a ver algunos ejemplos que se han visto en los últimos años y que ha sido extremadamente eficaz en sistemas OS X:
  1. En el año 2012, un malware denominado Flashback se inyectó en los sistemas Mac a través de un error de Java que no estaba parcheado. Flashback fue un bot con el que los ladrones podían enviarle instrucciones remotas y ayudarles a cometer acciones. Se estima que más de 600.000 ordenadores Mac fueron infectados, incluyendo 274 del propio Cupertino.
  2. En el año 2013, SophosLab informa sobre un fallo explotable en Microsoft Word for Mac con el que un grupo de ciberdelincuentes se aprovechó. Abriendo un documento preparado se podría llevar a cabo la explotación y ejecución de código. Los ciberdelincuentes conseguían el control del Mac a través de un zombie llamado OSX / Agent-AADL.
  3. En el año 2014, OS X / Laoshu-A era un troyano que se ejecutaba a través de un documento PDF falso.
¿Ahora qué? El bug de MacKeeper ha dado para mucho y al parecer el malware OSX / Agent-ANTU ha sido distribuido de forma novedosa. Los ciberdelincuentes utilizan un agujero de seguridad en la aplicación MacKeeper y un atacante podría redirigirle a un sitio web envenenado con una sola línea de Javascript para enviar una secuencia de comandos que MacKeeper ejecutaría. Al parecer los ciberdelincuentes no perdieron el tiempo, y se aprovecharon mientras la vulnerabilidad era un 0day. Si eres usuario de MacKeeper, y sigues con intención de utilizarlo, asegúrate de que está actualizado. No asumas que el malware de Mac necesita siempre elevar privilegios para hacer algo perjudicial en su equipo o a través de su equipo.

lunes, 22 de junio de 2015

Yodel: una red social anónima bajo lupa por Ciberbullying

Yodel es una red social la cual permite enviar mensajes a través de una especie de muro con mensajes geolocalizados con lo que los usuarios que se encuentren en un radio concreto podrá leer los mensajes enviados dentro de dicho radio. En ningún momento hay ningún nombre ni nick. Es más, los desarrolladores de Yodel piden que no se pongan nombres, números de teléfono, ni por supuesto se realicen acciones de acoso o bullying a través de la red. La app se encuentra disponible en la AppStore y se puede descargar de forma gratuita. 

Uno de los problemas que ha presentado la app es precisamente el pseudo-anonimato que proporciona y que ha invitado a muchos acosadores a realizar ciberacoso. Al parecer se han dado casos de acoso en institutos y la Guardia Civil se encuentra detrás de estos hechos. Uno de los casos es el del instituto Vegas Bajas de Montijo. La Guardia Civil cuenta con diversas denuncias en el término municipal de Montijo sobre como se han lanzado insultos y amenazas a adolescentes. Un mal uso total de la herramienta y la red social, propiciada, como se menciona anteriormente, por el pseudo-anonimato que ésta proporciona. El instituto ha contactado con el Defensor del Pueblo y Defensor del Menor para comunicar estos hechos.

Figura 1: Yodel

Yodel no es una red social maliciosa, ni invita a realizar estas acciones, aunque sus condiciones y características pueden hacer que un usuario la utilice para otros fines como ha ocurrido. La Guardia Civil trabaja para solucionar estos casos y que los insultos y amenazas no pasen a mayores.  Ya veremos si acaba sucediendo igual que pasó con Secret, y acaban por tumbar el servicio.

domingo, 21 de junio de 2015

Fue Noticia en Seguridad Apple: Del 8 al 21 de Junio

Llega el verano, los días se hacen más largos y calurosos, y con él llega un nuevo Fue Noticia, donde como siempre os presentaremos de forma escueta las novedades más relevantes que han tenido lugar en el mundo de la seguridad informática. También os ofreceremos algunos de los mejores contenidos publicados en otros sitios web, siempre con la seguridad de los productos de Apple en mente.

El lunes 8 os hablamos de una peligrosa campaña de fraude en Japón, que con la excusa de ver un vídeo pornográfico intenta la instalación de apps maliciosas en dispositivos iPhone sin jailbreak, poniendo en riesgo la privacidad de los usuarios.

El martes os presentamos un gran resumen de las novedades más interesantes de iOS9 y WatchOS 2 a nivel de seguridad, entre otras cosas la longitud del passcode, y la integración de Lock Activation en los relojes.

Al día siguiente os detallamos paso a paso cómo hacer un análisis forense en dispositivos OS X para recuperar datos internos. El post se basa en el fantástico artículo de Joaquín Moreno Garijo publicado a través de la Royal Holloway University of London.

A mitad de semana os contamos la nueva vulnerabilidad descubierta en iOS 8.3, concretamente un HTML injection que afecta a la aplicación Mail, permitiendo a un potencial atacante realizar campañas de phishing.

Apenas se presenta iOS 9 ya comienzan a circular noticias sobre un posible jailbreak. Como os contamos el día 12, el equipo de hackers chinos K33n Team ha anunciado su voluntad de liberar un jailbreak para la nueva versión del sistema operativo.

El sábado os ofrecimos una noticia bastante sorprendente. En su última campaña de marketing, la empresa HTC publicó una foto de la edición limitada del HTC M9, tomada con...un iPhone.

Cerramos la semana con otro anuncio de jailbreak, en este caso por parte de I0n1c, que también ha anunciado que próximamente publicará un jailbreak para la versión iOS 8.4.

El lunes 15 nos hicimos eco de las controvertidas palabras del siempre polémico Edward Snowden, esta vez refiriéndose a la seguridad de iOS 8, alabando las nuevas medidas de seguridad implementadas en esa versión, con especial mención al cifrado.

Un día después os contamos cómo un 0day en MacKeeper relacionado con una mala gestión de direcciones URL ha desencadenado la propagación de un troyano, poniendo en riesgo la integridad de los equipos de los usuarios.

El miércoles una noticia gravísima centró nuestra atención: LastPass, el popular gestor de contraseñas, ha sufrido un ataque y potencialmente las contraseñas de millones de usuarios han quedado expuestas.

Al día siguiente seguimos con el tema de las contraseñas, ya que un nuevo 0day, al que se ha bautizado como XARA, de Unauthorized Cross-App Resource Access aparecido en OS X y iOS permite el robo de credenciales,

Al día siguiente, publicamos la confirmación de Apple de que esta semana va a introducir un workaround en App Store y Mac App Store para detectar todas las apps que puedan explotar la vulnerabilidad de XARA.

Hasta aquí todo lo publicado, pero como cada dos semanas, os traemos una selección de algunos artículos y noticias de estas dos semanas que no debes dejar de leer. Estos son los que hemos puesto en la lista de hoy:
- Keynote del Apple WWDC 2015 completa en Youtube: Apple ha subido la keynote completa con el anuncio de iOS9, de OS X El Capitán y las novedades principales en dispositivos que ha lanzado la compañía. No te la pierdas.  
- Alarmware en Google Play: Nuevas apps malicosas en Google Play descubiertas desde el laboratorio de Eleven Paths utilizando Tacyt. En este caso un tipo de apps especialmente molestas.  
- OpenSesame: Un dispositivo que permite abrir las puertas de una gran cantidad de garajes. Se ha hecho popular este dispositivo y si tienes uno de los sistemas afectados deberías preocuparte. 
- Gmail y Hotmail, cómo saber si ahora mismo te están espiando el correo electrónico: Son muchos los casos de personas que están sufriendo robos de identidad y robos económicos, y una de las formas que utilizan los cibercriminales es mediante el control del correo electrónico de las víctimas. Aquí se explica cómo comprobar si ahora mismo te están espiando Gmail o Hotmail. 
- Publicadas todas las conferencias de RootedCON 2015: Se han puesto en Youtube todos los vídeos de todas las charlas. Entre todas ellas están las de nuestros compañeros Chema Alonso, David Barroso, Alfonso Muñoz, Félix Brezo y Yaiza Rubio. Además, hay que destacar que en el mundo de Apple el investigador español Sebastián Guerrero dio una centrada en Apple Pay, que aquí os dejamos:
- Actualización de seguridad para Adobe Flash: Se corrigen 13 bugs críticos, así que es más que recomendable actualizar a la nueva versión de Adobe Flash 18 en tu sistema OS X cuanto antes. 
- Colección de libros retro de programación de juegos: Son 11 libros que puedes descargar gratuitamente en PDF para programar juegos en BASIC. Entre ellos, uno que explica cómo funcionan los gráficos de los primeros equipos Apple y cómo programar juegos para ellos.  
- Flappy Bird en Apple Watch: Como era de esperar, los hacks con Apple Watch comienzan a aparecer. En este caso alguien ha sido capaz de meter el famoso Flappy Bird. 
- Vulnerabilidad en teclado Swiftkey deja millones de Android expuestos a botnet: Un bug de explotación remota en este teclado, permite a un atacante remoto tomar control del dispositivo. Está de serie en los dispositivos Samsung Galaxy y la compañía ha tenido que parchearlo de emergencia. 
- Apple confirma que las furgonetas son para hacer mapas: Ya no es un secreto y la compañía ha publicado incluso cuáles son las próximas ubicaciones donde se podrá ver a la famosa furgoneta haciendo su trabajo de mapeo.
Y hasta aquí esta sección de Fue Noticia en Seguridad Apple. Nos vemos dentro de dos semanas otra vez por aquí y esperamos que todos los días sigáis estando en los artículos que publicamos día a día. Feliz domingo de Junio para todos.

sábado, 20 de junio de 2015

Apple bloqueará apps que usen XARA en Mac App Store

Esta semana la noticia sin duda ha sido la publicación del fallo de XARA que permite a apps salirse de us Sandbox y acceder en sistemas operativos iOS y OS X al keychain de la máquina para robar contraseñas.

Figura 1: Explotación de XARA

Este es un serio fallo de seguridad que los sistemas operativos de Apple siguen sufriendo, pero mientras que eso se soluciona la compañía va a poner un workaround en Mac App Store. A partir de la semana que viene, como han confirmado a iMore, la compañía va a poner unos filtros de seguridad en App Store para detectar todas las apps que tengan configurada la Sandbox mal configurada.

Figura 2: Apple va aplicar filtros de seguridad para detectar apps usando XARA

No es una solución definitiva, pero es algo que quizá Apple debería haber aplicado meses atrás cuando tuvo conocimiento de las vulnerabilidades. De cualquier forma, durante este periodo hay que ser solo un poco cuidadosos con la instalación de nuevas apps en nuestros sistemas, aunque no se ha detectado todavía ninguna app maliciosa haciendo uso de estas técnicas.

viernes, 19 de junio de 2015

Criptext para enviar mensajes y adjuntos cifrados en Gmail

Criptext es una extensión con la que se puede enviar mensajes y ficheros adjuntos de manera cifrada a través de la extensión. La extensión puede instalar para Google Chrome y Apple Safari. El correo saliente se envía cifrado y el usuario dispone de un panel dónde puede ver cuando se abrió el correo, la ubicación del receptor, e incluso puede modificarlo a posteriori, es decir, se puede recuperar un mensaje en cualquier momento. Además, se puede indicar un tiempo, un rango de minutos, horas o días para que el mensaje se autodestruya. Con esta extensión se pueden enviar adjuntos de forma segura hasta un tamaño de 100 MB

Criptext aporta un visor de archivos adjuntos a medida, y da la opción de bloquearlo con una contraseña, aunque por defecto no es así. Como puede verse en la imagen se inyecta en el formulario de correo de Gmail la posibilidad de adjuntar un fichero de forma segura, indicar el rango temporal de vida del correo y adjunto, etcétera.

Figura 1: Criptext presente en Gmail

Cuando el documento es enviado a través de la extensión hay una zona denominada e-mail Activiy dónde se puede seguir el estado del correo, es decir, cuando ha sido abierto por el receptor, si ha podido ser geolocalizado, e incluso se da la posibilidad de hacer un recall del email.

Figura 2: Email Activiy

Criptext se encuentra en fase beta y seguirá así durante, al menos, 6 meses más, ya que busca la retroalimentación de los usuarios para mejorar las características existentes y ofrecer algunas nuevas. Es un servicio interesante con el que controlar y gestionar los correos que salen desde nuestras cuentas.

jueves, 18 de junio de 2015

0day en OS X (e iOS) de "Unauthorized Cross-App Resource Access" permite que te roben las passwords

Se ha liberado un 0day, el cual ha sido encontrado por investigadores de varias universidades, que permite a un atacante acceder al keychain de OS X 10.10.3 y saltar las medidas de seguridad que implementa el sistema. El acceso al llavero es crítico, ya que aquí se almacenan los datos sensibles y contraseñas de todas las aplicaciones y sitios web que un usuario utiliza en el día a día. Los investigadores consiguieron publicar aplicaciones en la Mac App Store bypasseando los sistemas de seguridad de la Mac App Store, ya que Apple no se dio cuenta de este hecho.

Por lo que se han conseguido dos hitos por partes de los investigadores, bypassear la App Store subiendo apps maliciosas y, posteriormente, acceder al keychain del sistema y llevarse las claves. Los investigadores avisaron a Apple del fallo y publicaron este paper.

Figura 1: Paper de publicación del bug

Apple pidió a los investigadores que esperasen 6 meses cuando se pusieron en contacto para reportar el fallo, y después podrían publicar los detalles de la vulnerabilidad, aunque según indican no han recibido ningún mensaje desde Apple.  La compañía aún no ha reconocido el problema, aunque seguramente lo haga pronto, y lanzará una actualización de seguridad de OS X aplicando un parche que solucione la vulnerabilidad. El detalle de la vulnerabilidad puede encontrarse en el paper publicado por los investigadores.

Figura 2: Detección de XARA

El documento tiene cuatro puntos importantes para su lectura. El primero de ellos habla sobre el robo de contraseñas. El segundo explica las grietas que pueden encontrarse en los contenedores entre las aplicaciones, dónde una aplicación puede recuperar el contenido del almacén de datos aparentemente privado. El tercero habla de la intercepción que se lleva a cabo, lo que permite a una aplicación maliciosa secuestrar el flujo de tráfico. El cuarto habla de cómo lanzar una aplicación, OS X, para capturar los tokens de acceso u otra información. Los investigadores descubrieron que podían determinar los parámetros utilizados por cualquier aplicación en el llavero. Existe un video en el que se puede ver la prueba de concepto del robo de contraseñas.


Figura 3: Robo de contraseñas con apps maliciosas

La actualización de seguridad se espera que aparezca en un corto período de tiempo, pero tras visto lo sucedido con LastPass, y tras ver estos casos os volvemos a insistir en la necesidad de poner un Segundo Factor de Autenticación en todas vuestras cuentas. Como sabéis podéis configura Latch en OS X y en muchas otras identidades puedes poner Latch.

miércoles, 17 de junio de 2015

LastPass: BBDD de contraseñas robadas. Pon un 2FA a tus identidades digitales.

La noticia fue publicada por la misma empresa norteamericana, LastPass ha sufrido un ataque y ha sido hackeada hace pocos días. Si eres un usuario que utiliza este gestor de contraseñas para almacenar sus passwords en la nube, debes cambiar la palabra maestra por otra. La compañía anunció que había sido descubierta y bloqueada cierta actividad sospechosa. Insistieron en que no tienen evidencias de que datos cifrados de usuarios fueran robados y que se accediese a cuentas de usuarios de LastPass.

¿Exactamente que se han llevado? 

Aparentemente, y según anuncia la propia compañía, solo se robó direcciones de correo electrónico y pistas para recordar contraseñas. LastPass comenta que si se ha utilizado como contraseña maestra, o lo que llaman palabra maestra, términos como robert1, mustang, 123456789, passwrod1 o similares se recomienda el cambio de contraseña a la mayor brevedad posible.

Figura 1: Actualización de estado sobre el incidente

No hace mucho que los usuarios de OS X disponen de esta herramienta en sus sistemas permitiendo almacenar todas las contraseñas bajo una sola clave maestra. LastPass tiene la posibilidad de almacenar de manera local, por lo que si has optado por esta opción tu nivel de exposición en el ataque sufrido no existe, pero si por el contrario optaste por tener tus contraseñas en la nube, deberás tomar decisiones importantes como el cambio de contraseña. Otra alternativa que hemos visto en el blog es utilizar KeePass for OS X, el cual es un gestor de contraseña potente y seguro. Nosotros os recomendamos utilizar un doble factor de autenticación.

Hoy en día, y según indica gente del propio LastPass, la autenticación multifactor es necesaria para la seguridad, así que en todas las identidades digitales que tuvieras almacenadas en LastPass deberías poner un 2FA sí o sí. Herramientas como Latch pueden ayudar a mejorar la experiencia de usuario en lo que a seguridad se refiere, pero puedes utilizar cualquier otro sistema para proteger la identidad digital.

martes, 16 de junio de 2015

Bug en MacKeeper permite la propagación de un troyano

Hace un mes hablamos en Seguridad Apple hablamos de una vulnerabilidad que afectaba a MacKeeper. La existencia de un 0day a través de una mala gestión de las direcciones URL provocaba que un usuario remoto pudiera ejecutar código arbitrario, pudiendo secuestrar máquinas. El investigador Sergei Shevchenko dice que los criminales están utilizando ingeniería social para engañar a los usuarios para que instalen software malicioso.

Shevchenko dice que solo unos días después de que la vulnerabilidad viera la luz y se divulgara la prueba de concepto, el malware empezó a aparecer en los usuarios que habían instalado MacKeeper.
"Desde que se publicó la prueba de concepto, se tardó solo un día en ver los primeros casos con los correos electrónicos de phishing, con la esperanza por parte del atacante de que algún receptor tuviera instalado MacKeeper"
Shevchenko ha explicado que los usuarios que hagan clic en un vínculo de phishing se le pedirá que introduzca credenciales de acceso a la aplcación de MacKeeper, la cual permitirá que el malware se ejecute con derechos de root.

Figura 1: Petición de derechos administrativos

El malware puede permitir la ejecución remota de comandos de la termina de OS X, subir y descargar archivos a través de un servidor C&C, y recopilación de información del sistema, como puede ser procesos y los detalles de conexiones VPN en ejecución. Durante la etapa de infección el malware se descarga en el directorio /users/shared/dufh y posteriormente utiliza un plist con LaunchAgents para permitir la ejecución y la persistencia. Los usuarios de los sistemas de Apple deben tener esto en cuenta, y actualizar a la versión 3.4.1 de MacKeeper - o desinstalarlo -. De este modo estarán a salvo de esta vulnerabilidad y no estarán expuestos a los riesgos que hoy en día hay con esta propagación de malware.

lunes, 15 de junio de 2015

Edward Snowden opina sobre iOS 8 y su seguridad

El ex-empleado de la CIA y la NSA, Edward Snowden, ha aplaudido la seguridad que Apple implementa en iOS 8. Esto es una noticia que choca con las declaraciones que él mismo protagonizó hace un tiempo, dónde indicaba que no usaría un iPhone por miedo a ser espiado. Snowden, el cual desveló documentos de alto secreto en los que se mostraban planes de vigilancia masiva con PRISM, ha declarado que los mecanismos de seguridad con los que la gente de Cupertino ha dotado a iOS 8 han mejorado en lo que accesibilidad a datos de usuario se refiere. 

Según el propio Snowden, Apple fue el primer fabricante de terminales que se tomó más en serio la seguridad de los datos de sus usuarios. Gracias a ellos, los cifrados completos de terminales es algo que se ha convertido en normal gracias a la gente de la manzana. El gobierno de los Estados Unidos ha sido muy crítico con el sistema operativo, alegando que no es algo bueno para la sociedad disponer de un dispositivo que no puede ser roto por el gobierno, lo cual es perjudicial para la seguridad nacional.

Apple no solo cifra sus dispositivos de forma predeterminada, si no que tampoco tienen acceso a las mismas claves de cifrado, por lo que incluso si el gobierno quisiera entrar en un iPhone de un usuario a través de una backdoor proporcionada por Apple, la compañía tiene una excusa por la cual no podrían cumplir la solicitud del gobierno. Por supuesto, esto es algo que ha sido tomado negativamente por el gobierno norteamericano y para lo que existen workarounds si el dispositivo está encendido y al menos una vez desbloqueado por el passcode.

Figura 1: Edward Snowden en Wired

Snowden, el cual es un enemigo público para el gobierno norteamericano, parece dar un voto positivo a los mecanismos de seguridad que Apple utiliza en su sistema operativo iOS, con el fin de que el acceso a datos sea imposible por parte del gobierno. Las empresas como Apple, Google, Microsoft, etcétera, saben que se juegan mucho en términos de imagen con las publicaciones de Snowden, por lo que está claro que los movimientos van a favor de distanciarse de ayudas al gobierno en temas de privacidad.

domingo, 14 de junio de 2015

I0n1c también liberará un Jailbreak para iOS 8.4

En los últimos días os hemos informado de que el grupo Pangu ha anunciado que sacará un Jailbreak para iOS 8.4 (que también funcionará para iOS 8.3) en cuanto Apple saque la versión final de esta versión ya que de momento las versiones de iOS 8.4 están en Beta. También os hemos contado que el grupo K33n planea sacar un Jailbreak para iOS 9 - del que ya tiene exploit funcional en la versión iOS 9 beta -. Hoy toca hablar de que I0n1c también ha anunciado que habrá jailbreak para iOS 8.4.

Figura 1: I0n1c.com ha anunciado Jailbreak para iOS 8.4

Parece ser que todos los grupos hackers que se dedican al mundo del jailbreak han hecho los deberes y en cuanto que Apple saque iOS 8.4 o iOS 9, será posible hacer un jailbreak en todas las versiones de iPhone, iPad o iPod Touch.

sábado, 13 de junio de 2015

HTC usa foto hecha con iPhone en su campaña de marketing

Curiosa la noticia de la gente de HTC que utiliza un dispositivo iPhone para hacer las fotografías de promoción de una nueva versión del M9. En esta ocasión, el fabricante de dispositivo HTC presentaba la edición limitada del M9 en oro de 24 quilates, mostrando el dispositivo apagado en twitter. Lo curioso es que en el reflejo del dispositivo se puede ver a un fotógrafo utilizando un iPhone para llevar a cabo la fotografía.  La imagen fue retirada por parte de HTC en cuanto los primeros mensajes de broma llegaron por twitter. Apple ha ganado mucha publicidad de manera gratuita, gracias al descuido en los pequeños detalles que ha tenido la marca HTC.

Pero eso no es nuevo, Apple ha ganado mucha publicidad gratuita de otras campañas de marketing de otras empresas en los últimos años, como por ejemplo de celebridades. Por ejemplo, el año pasado Oscar Ellen utilizó un dispositivo del evento de Samsung para hacerse un selfie, aunque posteriormente subiera la fotografía con un iPhone. De nuevo, publicidad gratuita para Apple.

Figura 1: Fotografía del M9 dónde puede verse el reflejo del iPhone

Otros fails como el David Ferrer. El tenista español tuiteó su apoyó a Samsung Galaxy S4, con un mensaje promocional, pero lo hizo a través de su iPhone. En definitiva, los pequeños detalles marcan la diferencia, y promocionar a otra marca de la competencia, por descuidos, es algo que puede afectar a la imagen de la compañía.

viernes, 12 de junio de 2015

El K33n Team chino planea liberar un Jailbreak para iOS 9

Apple ha anunciado que la nueva actualización de su sistema operativo iOS será la versión 9 para iPhone y iPad, la cual se lanzará a finales de este año. El nuevo sistema tendrá muchas características similares a sus predecesores iOS 7 y iOS 8, inspirados en jailbreak tweaks. A pesar de que a la empresa de Cupertino no le gusta reconocer las contribuciones de la comunidad, la cual se compone en su mayoría de investigadores y fans que quieren mejorar la plataforma de iOS. A pesar de su popularidad, el mundo jailbreak ha estado en silencio durante varios meses, no proporcionando un jailbreak para iOS 8.2 o iOS 8.3, siendo el último para la versión iOS 8.1.2 lanzado hace meses.

Cuando se trata de iOS 9, se habla de palabras mayores. Al parecer no tendremos que esperar demasiado tiempo, ya que un grupo de hackers de China, llamado K33n, ha mostrado su voluntad de liberar un jailbreak para el sistema operativo, tan pronto como éste se libere. Esto es realmente curioso, porque uno de los puntos fuertes de Apple para iOS 9 es el conocido Rootless, el cual promete dificultar mucho la creación de un jailbreak.

Figura 1: Equipo K33n Team

El anuncio fue realizado por un miembro del equipo llamado Liang Chen, el cual también hizo alusión a la posibilidad de colaborar con otro famoso equipo de Jailbreak como Pangu. El equipo K33n tiene una historia curiosa, y aunque no son los más conocidos, fueron ganadores del concurso Pwn2Own por hackear el navegador Safari. Seguramente hay más equipos investigando sobre iOS 9, y seguramente tengamos noticias pronto sobre actuaciones de Pangu, Taig o Evad3rs.

jueves, 11 de junio de 2015

Descubierto un Bug de HTML Injection en Mail en iOS 8.3

Este bug es bastante crítico y es que tener la posibilidad de inyectar código funcional utilizando HTML puede hacer que caigamos en un ataque de phishing. El investigador que descubrió este bug se llama jansoucek y ha preparado una prueba de concepto en la que explica el fallo y el cómo explotarlo. Además, en su cuenta de github ha publicado el código necesario para llevar a cabo la prueba de concepto.  El fallo radica en que las etiquetas meta http-equiv = refresh no son ignoradas por el cliente de correo electrónico. Este error permite que el contenido HTML remoto pueda ser cargado, reemplazando el contenido del mensaje del correo electrónico original.

Es cierto que Javascript está desactivado en esta UIWebView, pero se puede construir un mensaje que pida la contraseña, por ejemplo de iCloud como sale en el video, a través de HTML y CSS.

Figura 1: Prueba de Concepto de HTML Injection en Mail para iOS 8.3.

El funcionamiento es bastante sencillo, y como puede verse en la cuenta de github de jansoucek:
  1. Editar la dirección de correo electrónico que se quiere utilizar para recolectar la contraseña en el archivo framework.php.
  2. Subir los ficheros index.php, framework.php y mydata.txt a un servidor.
  3. Enviar un email que contenga el código HTML que se encuentra en email.html a la víctima.
  4. Cambiar el valor del parámetro que se envía por GET de la dirección de correo electrónico del destinatario.
Desde putsmail se pueden hacer pruebas para comprobar esta vulnerabilidad importante. Estaremos atentos desde Seguridad Apple para ver cual es el movimiento de Apple respecto al parche de esta vulnerabilidad.

miércoles, 10 de junio de 2015

OS X Forensics: Cómo llevar a cabo un análisis forense

El investigador español Joaquín Moreno Garijo ha publicado un documento de investigación académica, a través de la Royal Holloway University of London, en el que se puede encontrar el procedimeinto para llevar a cabo un análisis forense en OS X. En el documento se detalla la recuperación de datos internos en OS X utilizando técnicas de análisis forense.  ¿Qué datos recupera? Cómo puede verse en el documento publicado por Joaquín, el estudio se basa en la recuperación de datos persistentes que han sido generados por el sistema operativo.

En otras palabras, los datos que el sistema operativo OS X genera y almacena en el sistema de ficheros, y que no se encuentra a día de hoy públicamente documentado. En el documento académico se pueden encontrar los detalles sobre dónde OS X almacena los datos, qué tipos de datos guarda y, por supuesto, cómo extraerlos. 

Figura 1: Categorías de datos con marca de tiempo y no

Joaquín ha utilizado Plaso como framework orientado al análisis forense y lo ha extendido para llevar a cabo la interacción con las evidencias no documentadas del sistema operativo de Apple. El autor ha clasificado las evidencias en dos categorías, las que almacena el momento de un evento, con su fecha y hora o marca de tiempo, y las que no.

En la primera se explica el formado del sistema de logs de Apple, el módulo de seguridad, la lista de propiedades más relevantes o los ficheros de control. En la segunda la que agrupa los datos que no contienen marcas de tiempo, por ejemplo cuentas de sistema, atributo de marcador de ficheros recientes, etcétera. Para obtener más información sobre los scripts utilizados podemos visitar el github dónde se han colgado.

martes, 9 de junio de 2015

iOS 9 y WatchOS 2: Novedades de seguridad

La nueva versión de iOS, que será la versión 9, trae mejoras en lo que a seguridad se refiere para los datos de los usuarios. Una de las mejoras que desde hace tiempo se venía pidiendo es la longitud del passcode. iOS 9 añade un código de 6 dígitos para los modelos de iPhone y iPad que ofrecen Touch ID. Por lo que si eres un usuario que tiene un dispositivo con Touch ID, ahora podrás utilizar una clave de acceso de 6 digitos en lugar de la clásica de 4. Con esto, se logra aumentar exponencialmente el tiempo necesario para romper el passcode. Este aumento provocará que el número de posibles combinaciones pase de sólo 10.000 en los passcodes de 4 digitos a 1.000.000 en los passcodes de 6 digitos.

Apple ha activado explícitamente los dispositivos con Touch ID para poder contar con esta nueva política, no queda del todo claro si al final todos los dispositivos podrán optar de esta nueva mejora de seguridad. Tendremos que esperar a la versión final que se libera el próximo otoño. Por otro lado, y para que la cuenta de iCloud sea más segura y no se repitan casos como el de las celebrities, se ha añadido la verificación en dos pasos y se requerirá de un código cada vez que se conecte a su cuenta desde un navegador o el dispositivo. El código se mostrará en los dispositivos de Apple o se enviará al teléfono.

Figura 1: Passcode de 6 digitos

Además, la próxima versión del sistema operativo del reloj de Apple, el WatchOS 2, traerá Lock Activation. Esta funcionalidad evitará que alguien vuelva a activar el reloj tras una pérdida o robo de éste, sin el Apple ID vinculado. A diferencia del uso normal del Activation Lock, para poder activarlo se deberá utilizar el iPhone vinculado al reloj. Como vimos en Seguridad Apple no existe una protección anti-robo efectiva para el Apple Watch. Se espera la salida del WatchOS 2 para el próximo otoño.

lunes, 8 de junio de 2015

Campaña de fraude para lograr instalar aplicaciones en dispositivos iPhone sin Jailbreak

Sabemos que últimamente los países asiáticos están moviendo gran cantidad de campañas de malware y fraude, por ejemplo Wirelurker y la nueva generación de malware con origen en los países asiáticos. Hoy nos hacemos eco de una noticia que proviene de Japón, y es que los criminales cibernéticos han creado una campaña contra los usuarios de iPhone mediante una estafa que les permite instalar aplicaciones maliciosas cuando intentan ver un video pornográfico.

Este tipo de ataque es conocido como el fraude de un solo clic, y aunque no es nuevo y ha sido utilizado en otras plataformas, es efectivo. Lo interesante de este caso es que funciona incluso contra dispositivos iPhone sin jailbreakear. ¿Cómo consiguen instalar las aplicaciones sin pasar por Apple? Hay excepciones puestas por Apple para que un desarrollador pueda probar su app sin necesidad de subirla a la AppStore, gracias a los provisioning profile. Pueden distribuir aplicaciones de esta manera a 100 dispositivos máximo por año, y los UDID deben estar registrados con antelación. Existe otro programa más flexible, aunque a la vez más caro, que se llama Programa Empresa iOS Developer. Al parecer este es el programa que los criminales están utilizando en la campaña de fraude, según informa investigadores de Symantec.

Figura 1: Instalación de aplicación maliciosa en la campaña

El coste empleado de 299 dólares para poder utilizar este programa para distribuir de forma masiva aplicaciones no es un coste elevado, ya que les permite abusar de la instalación masiva de apps. En otras palabras, les vale la pena. La aplicación maliciosa utilizada en esta campaña de fraude requiere la confirmación del usuario antes de que sea instalada. La aplicación te reclama que para ver videos de adultos se tiene que pagar unos 99.000 yenes, alrededor de 800 dólares, durante 3 días, o el precio subirá hasta los 2.400 dólares. Si una sola víctima paga los 800 dólares, los atacantes ya han recuperado la inversión hecha en el Programa de Empresa de iOS Developer.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares