Estamos a una semana de que Eleven Paths junto con Telefónica de España anuncie y presente las novedades en las que todos los miembros de la empresa hemos estado trabajando durante este año. Todo esto será en el evento Security Innovation Day al que te puedes apuntar ya - y deprisa que quedan muy pocas plazas -.
Figura 1: Security Innovation Day 2015. 8 de Octubre de 2015. Madrid & Streaming.
La fecha elegida para la celebración del evento es el Jueves 8 de Octubre de 2015. En la agenda se puede ver que a partir de las 15.00 hora local de España se podrá disfrutar de la siguiente agenda.
Figura 2: Agenda del Security Innovation Day 2015
Contaremos con Nir Zuk fundador y CTO de Palo Alto Networks y con Ben Matzkel fundador y CTO de Vaultive. Además, Chema Alonso, CEO de Eleven Paths, Pedro Pablo Pérez, Business Development Director y Francisco Ginel, Vice President of Strategic Alliances and Vice President Eleven Paths Brasil, nos anunciarán las novedades para 2016 en la oferta de seguridad de todas las empresas del Grupo Telefónica.
Si un usuario de Applepierde o le roban su dispositivo y sólo tiene un dispositivo Androidpara poder rastrearlo y localizarlo, el usuario no podrá recuperar su dispositivo. iCloudno soporta los navegadores que se ejecutan en Android, incluyendo el navegador por defeto, así como Opera, Firefox, APUS Browser o CM Browser. Google Chrome puede cargar la página en modo escritorio, pero no se puede desplazar alrededor del sitio o llegar a la imagen de Find My iPhone. El cambio de vista a modo apaisado no ayuda en exceso. Si intentas abrir otras aplicaciones de iCloudcomo es Drivecon la intención y esperanza de que se podría encontrar el menú desplegable en la parte superior izquierda de la pantalla, no se consigue.
Es posible que Appletiene el soporte deshabilitado para navegadores Android, ya que no quiera que los usuarios accedan a sus mapas en plataformas móviles rivales, pero este hecho hace que sea realmente dificil localizar un dispositivo iOSperdido si no hay otro medio.
Figura 1: No se puede consultar desde navegadores Android
No está claro que Applehaya paralizado la función de seguimiento del dispositivo para plataformas rivales, pero es una mala decisión si esto es así, ya que muchos usuarios pueden necesitar utilizar plataformas rivales para encontrar su dispositivo. Disponer de un equipo de escritorio para llevar a cabo el proceso es una de las soluciones, aunque no es la solución más cómoda, ya que en ocasiones deberíamos estar en movimiento para localizar a nuestro dispositivo.
En Seguridad Apple ya hemos hablado del malware del momento XCodeGhost, el cual ha afectado a cientos de aplicaciones legítimas en la AppStorede China, entre las que destacan WeChat, China Mobile o Citic Bank. Antes de que Appleaporte su solución a los desarrolladores de aplicaciones, el equipo de Jailbreak de Pangu ha colaborado lanzando una herrramienta que permite comprobar si el dispositivo se ve afectado por el malware. En el sitio web de Pangu se puede encontrar esta herramienta, accediendo a ella desde el navegador móvil, por ejemplo con Safari.
Desde este sitio web se puede instalar la aplicación pinchando sobre las palabras XCodeque están en blanco. Saldrá un pop-up indicando que ssl.pangu.io quiere instalar XCode. El proceso no es normal, por lo que muchos usuarios pueden desconfiar de ello. Hay que tener en cuenta que cuando se hace un Jailbreak al dispositivo con las herramientas de Pangutambién pueden meter cualquier cosa.
Figura 1: Instalación de la herramienta de Pangu
Tras instalar la aplicación, se indicará que esta aplicación de empresa no es de confianza para el iPhone. Se debe abrir la parte de Configuración del dispositivo y en el apartado de General se puede ver los Perfiles. Existirá un perfil llamado Shenzhen Avaintel Technology y hay que cambiarle a seguro.
Figura 2: Poner a trust el perfil de empresa
Ahora ya se puede ejecutar la aplicación de Pangu. Dentro de la aplicación hay un botón que permite ejecutar el chequeo dentro del dispositivo para comprobar si el dispositivo tiene alguna aplicación infectada con XCodeGhost. Si el dispositivo no está infectado saldrá una gran marca verde indicando que el dispositivo no está infectado por este malware. Como último dato, según el equipo de Pangu, más de 3400 aplicaciones se han encontrado infectadas por XCodeGhost, seguramente seguiremos descubriendo nuevas appsinfectadas con el paso de las horas.
Otra vez llegamos al punto de control de contenidos que hacemos cada dos semanas en Seguridad Apple. Durante este periodo hemos vivido la salida de iOS 9, el descubrimiento de la mayor brecha de seguridad en la AppStore y un montón de polémicas y bugs alrededor de las tecnologías Apple. Este es el resumen que con, todo nuestro aprecio haci ti, hemos preparado para ti.
Comenzamos el 14 de Septiembre con el libro gratuito de Reversing de Apps iOS, un manual que puedes descargarte gratuitamente y utilizar como referencia en tu camino de aprender a hacer auditorías de seguridad a apps de iOS.
El martes de esa semana hablamos de Pumpic para iOS, una app de control parental para dispositivos iOS con Jailbreak, para controlar la utilización que de los sistemas iOS hacen tus tutorados. Ojo que esta herramienta solo se puede utilizar para controlar los dispositivos de aquellas personas que están a tu cargo legalmente.
El día siguiente trajimos más documentación, en concreto una Guía Práctica de Seguridad y Privacidad para OS X Yosemite que no puedes dejar de tener en tu arsenal. Está disponible gratuitamente en la web a través del enlace que te hemos dejado en el artículo.
Para el jueves 18 hablamos de iOS 9 y sus más de 100 bugs de seguridad corregidos. Sí, es cierto que veríamos después como aparecieron fallos inducidos por iOS 9 que tuvieron que ser arreglados en iOS 9.0.1, pero con que hayan cerrado 101 con iOS 9 era motivo más que suficiente para instalarlo pronto.
El viernes hablamos del trabajo de Mark Dowd en el que explicaba como meter un troyano en un terminal iOS a través de un sistema OS X pareado al que se le inyectaba el malware a través de AirDrop. Una vez en el sistema OS X, usando un provisioning profile, el malware acaba en el iPhone o iPad.
El sábado 20 de Septiembre la entrada se la dedicamos a LapLock para OS X, un programa que permite controlar cuándo tu MacBook es desconectado de la batería, para que sepas si alguien está intentando robarte tu computadora.
El domingo 21 llego la bomba informativa de XCodeGhost, el malware que había infectado copias de de XCode para conseguir que se publicaran apps de iOS y de OS X infectadas en el AppStore. Entre la lista de apps, algunas muy populares como WeChat Messenger con millones de usuarios.
El lunes publicamos que el troyano inyectado con XCodeGhost en las apps infectadas había sido utilizado, entre otras cosas, para robar cuentas de iCloud, haciendo phishing directamente en el dispositivo.
El martes Apple sacó por fin Apple Watch OS 2.0 después de haberlo tenido que retrasar por un bug de seguridad no corregido en él. Salió tarde, pero al final salió y con un buen número de nuevas funcionalidades. Aquí el Security Advisory con todos los bugs corregidos.
El miércoles, repaso a todas las actualizaciones de seguridad. XCode 7, además de cómo verificar la integridad de tu copia para evitar un nuevo problema de XCodeGhost, actualizaciones de OSXServer, de iTunes 12.3 y de Adobe Flash Player.
El 24 de Septiembre llegó la actualización de iOS 9.0.1, con solución de bugs inyectados en iOS 9. Otra vez a actualizar el sistema para intentar tenerlo lo más protegido posible.
El viernes de esta semana se especuló que el ataque utilizado podría apuntar al gobierno de EEUU, y en concreto a la CIA, ya que seguía el esquema descrito en uno de los documentos filtrados por Edward Snowden, así que ya tenemos de nuevo la guerra USA-China vía Apple de por medio.
Hasta aquí todo lo publicado en este periodo de tiempo en nuestro blog, pero como es habitual os traemos una selección de otros artículos que no debéis dejar de leer este domingo de repaso. Esta es la lista de hoy.
- Eleven Paths libera Evil FOCA como Open Source: La herramienta está escrita en .NET y sirve para hacer auditorías de seguridad con ataques de red en protocolos IPv4 & IPv6. No funciona en OS X, pero con la liberación de .NET para OS X probablemente se pueda adaptar con pocos cambios.
- No puedes usar Find My iPhone desde Android: Una queja con toda la razón del mundo. Apple no da compatibilidad a los dispositivos Android para entrar en Find My iPhone, cuando muchos usuarios en situación de pérdida del dispositivo pueden querer entrar desde Android.
- Ejecutar FOCA en OS X: Utilizando las herramientas de Wine, WineBottler y WineTricks, es posible correr FOCA en OS X. Aquí tenéis la explicación y en el siguiente vídeo todo el proceso descrito.
- Apple explica la privacidad en Hey, Siri: Mucha es la controversia generada debido a que Siri esté escuchando todo a ver si alguien dice "Hey, Siri". Además preocupa el nuevo Live Photos, así que Apple se ha explicado.
- Hands On con las extensiones para bloqueo de contenido en Safari para iOS: Una de las novedades en iOS es que Apple ha permitido utilizar los ad-blockers. Estos se basan en el uso de las extensiones de Apple Safari para el bloqueo de contenido. Aquí tienes cómo sacarle partido en tu dispositivo.
Y hasta aquí dio de sí esta sección. Esperamos que tengáis un buen domingo y veros dentro de dos semanas en esta sección y cada día en los artículos que publicamos en Seguridad Apple.
Desde que me hice con mi Macbook Pro de 13”, allá por 2012, siempre he lamentado no
haberlo adquirido con un disco SSD de serie, pero en aquel entonces el coste se disparaba bastante,
a la par que las capacidades de almacenamiento eran bastante limitadas. No escatimé en elegir el
modelo con procesador i7 y 8Gb de RAM, pero con un disco HDD convencional de 500 Gb. Desde entonces, siempre he pensado en cambiar mi disco por un SSD, o realizar un hack muy
habitual en la gente que dispone de estos modelos, que consiste en cambiar el lector de DVDinterno que viene con el portátil, por un SSD.
Para ello se utiliza un adaptador que se puede comprar online
en diferentes sitios de la red, para así poder operar con los dos discos, de cara a tener el sistema
operativo en el disco SSD (ya que ofrece mejores resultados en cuanto a rendimiento y velocidad), a
la par que utilizar el HDD que venía de serie para almacenar la información.
Pero como seguramente les sucede a todos los que trabajan en este sector, mi equipo es casi
una prolongación de mí mismo, que me acompaña allá donde voy, tanto si es para trabajar en la
oficina, como para ir de viaje en tren o en avión, así como para dar una de las miles de charlas que heimpartido durante mi etapa en estos dos últimos años en INCIBE. Así que no me he puesto a ello
hasta verme obligado por fuerza mayor, cuando el rendimiento del Macbook ha comenzado por
degradarse paulatinamente hasta quedar prácticamente inutilizable, debido a un problema físico
del disco HDD interno, además como suele suceder en estos casos en los que se cumple la dichosa
ley de Murphy, días antes de un viaje a Colombia en el que necesitaba el equipo para impartir una
charla y un taller práctico en un congreso al que fui invitado como ponente.
Figura 1: Dando charla con el MacBook después del arreglo
Es entonces cuando me dispuse a acometer la modificación descrita anteriormente,
adquiriendo para ello este kit de OWC, que además del propio disco duro SSD a instalar (un
Samsung 850 Evo en este caso), viene con un adaptador que permite incluir el disco en la bahía
donde normalmente está la unidad de DVD interna, así como una carcasa externa que permite
conectar dicha unidad cuando se requiera, y los destornilladores necesarios para efectuar la
instalación.
Figura 2: Instalación de una segunda unidad de disco
Como he relatado anteriormente, estuve postergando el momento de realizar el cambio
hasta que la situación llegó a ser crítica, pues cuando intentar trabajar con el Macbook se convirtió
en algo totalmente impracticable, el primer paso fue arrancar la “Utilidad de Discos” de cara a
buscar errores en el disco HDD original que venía de serie. El diagnóstico como imaginaba no era
nada alentador. El disco tenía errores, y la única posibilidad de intentar repararlo era ejecutando la
propia Utilidad de Discos pero desde el menú de recuperación de OS X, al que se accede iniciando el
ordenador mientras se pulsan simultáneamente las teclas comando y R, hasta que aparece el
logotipo de Apple.
Figura 3: Menu de recuperación de OS X
Al intentar reparar el disco desde la partición de recuperación, cumpliéndose una vez más la
ley de Murphy, el proceso se interrumpía antes de llegar a su conclusión, por muchas veces que lo
ejecutara, y la Utilidad de Discos sentenciaba. El disco no se podía reparar, y lo que es peor, el
equipo no volvería a arrancar.
Llegados a este punto, la solución era clara. Montar cuanto antes el nuevo disco SSD en el
equipo, realizar una instalación limpia del S.O, restablecer la información a partir de una copia de
seguridad de Time Machine, y posteriormente montar el disco HDD para ver si era posible acceder a la información que en él se encontraba almacenada. La primera pregunta que a uno se le viene a la
cabeza es: ¿Cómo instalo el S.O. en un disco totalmente virgen sin disco de instalación? (no había
descargado Yosemite ni creado un disco de instalación). Estaba claro que la respuesta pasaba por
utilizar la partición de recuperación de OS X, o la opción de recuperación por Internet.
Figura 4: Menú de recuperación por Internet de OS X
El esquema final iba a ser el descrito inicialmente: el disco SSD con el S.O instalado, montado
en la bahía de la unidad de DVD sobre el adaptador OWC que permitiera encajar el disco en el
espacio sobrante, y el disco HDD para almacenar la información en la bahía donde originalmente
venía. Pero como ahora disponía de un disco HDD inutilizable, era más rápido sustituir dicho disco
por el SSD en un primer paso para ir instalando el S.O. Aquí es cuando me surgió una duda que ni
tras indagar un poco en la red, ni incluso consultando con técnicos especializados de diferentes
servicios técnicos oficiales de Apple, pude resolver de manera clara: ¿dónde está la partición de
recuperación del sistema? ¿En el propio disco donde está el sistema, o en algún módulo de memoria
que pueda traer el equipo?
Figura 5: Extrayendo la unidad interna del DVD del MacBook Pro para montar disco SSD
Al final, sólo la experimentación lleva al conocimiento, así que tras sustituir en primera
instancia el disco HDD por el SSD (para no tener que así extraer la unidad de DVD ni montar el SSD
en el adaptador), me di cuenta que lamentablemente la partición de recuperación donde se
encuentran tanto el menú de recuperación OS X como el menú de recuperación por Internet se
encuentran en el propio disco HDD junto con el sistema operativo y el resto de información, por lo
que no me quedo otra que volver a ir a por todas, volver a colocar el HDD en su sitio, extraer la
unidad de DVD y montar allí el disco SSD. He aquí el resultado final:
Figura 6: Disco SSD instalado sobre OWX Doubler en la bahía original de la unidad interna de DVD
Otro aspecto interesante de la recuperación de OS X, es que dependiendo de la opción
elegida se instala una versión el sistema operativo u otra. Si se utiliza la recuperación normal, como
se indica desde la propia página de soporte de Apple se instala la versión más reciente del sistema
que hubiese instalada en el ordenador, en este caso OS Mavericks. Sin embargo, si se utiliza la
recuperación por Internet, se instala la versión con la que venía de serie el equipo, es decir, Lion.
Como recordamos, el disco original HDD se encontraba dañado, así que no fue posible instalar
Mavericks desde el menú de recuperación normal. Por lo que no me quedó otra que arrancar la
recuperación por Internet, para descargar e instalar Lion. Una vez que el equipo arrancaba ya desde
el SSD con el S.O Lion instalado ya era posible descargar e instalar Yosemite desde la Apple Store.
Figura 7: Descargando OS X Yosemite en el SSD con OS X Lion recién instalado con la recuperación por Internet
Lo curioso es que en este caso no se realiza una instalación limpia de Yosemite, sino que se instala
sobre la instalación de Lion, por lo que para poder disponer de una instalación limpia de la última
versión del sistema en el nuevo disco SSD tocaría instalarlo sobre Lion, volver a arrancar el menú de
recuperación, para ahora sí por fin instalar Yosemite desde cero, ya que como bien explicamos al comienzo del párrafo, desde el menú de recuperación normal se puede volver a instalar la versión
más reciente del sistema que hay instalada en el equipo.
Figura 8: OS X Yosemite en el nuevo SSD
Una vez que tenemos ya instalado el sistema operativo en el nuevo disco SSD montado en la
bahía donde originalmente iba el DVD, la odisea no ha terminado aún. Toca investigar acerca de cómo habilitar la famosa orden TRIM. Pero antes de nada, conviene aclarar qué es eso de la
instrucción TRIM, ya que es muy probable que los que no hayan experimentado aún con discos SSD
no conozcan tan siquiera la existencia del término.
Cada vez que se elimina un fichero en nuestro sistema, los datos continúan en el disco en
segmentos llamados bloques. Estos bloques no son eliminados hasta que no es necesario volver a
utilizarlos para escribir nuevos datos. Debido a limitaciones técnicas en el diseño de las memorias
flash NAND, sólo se pueden eliminar bloques completos. Esto quiere decir que cuando se necesitan
escribir nuevos datos, el SSD debe realizar previamente operaciones de limpieza y mantenimiento
de bloques, que consumen tiempo y ralentizan el proceso de escritura, ya que a priori la unidad de
estado sólido no dispone de la información acerca de qué bloques se pueden eliminar.
TRIM es una orden que nace con el objeto de solventar este problema, y permite al sistema
operativo comunicarle al SSD qué bloques de datos ya no están en uso, en aras de que puedan ser
eliminados directamente, evitando así un elevado número de operaciones durante el proceso de
escritura. El propósito de la orden es mantener la velocidad del SSD durante toda su vida útil
Figura 9: Borrado y escritura de bloques con y sin TRIM en discos SSD
Habilitar la orden TRIM es por tanto un must a la hora de trabajar con discos SSD, ya que en
caso contrario el rendimiento del disco se ve claramente degradado a lo largo del tiempo a medida
que todos los bloques hayan sido escritos al menos una vez. Activarlo es un tema que no tendría mayor trascendencia, si no fuese por lo que suele suceder en muchas ocasiones en el mundo Apple.
Hasta hace unas semanas, Apple no permitía habilitar el soporte para la instrucción TRIM en discos
SSD de terceros, que no fuesen los instalados por la propia compañía de la manzana. Esta limitación
se podía salvar en anteriores versiones de OS X, utilizando herramientas como Trim Enabler, de
Cindori (una compañía especializada en desarrollo de software para OS X), que permitía habilitar
TRIM en unidades de estado sólido de otros fabricantes.
Sin embargo, a la hora de lanzar Yosemite, Apple introdujo una nueva medida de seguridad
conocida como kext signing, que comprueba mediante validación de firma a la hora de arrancar el
sistema que todos los drivers cargados no hayan sido alterados por terceras partes, sino que hayan
sido verificados por Apple. Si alguno de los drivers ha sido modificado, Yosemite no lo cargará, de
cara a prevenir así la posible ejecución de software malicioso. El kext signing es una medida que
refuerza la seguridad de los dispositivos Apple, pero la contrapartida es que añade una clara
restricción a la hora de habilitar el soporte para TRIM en discos de terceros. De hecho, hasta hace
poco la única alternativa posible para realizar esto en Yosemite pasaba por deshabilitar el kext
signing, con el consecuente riesgo de seguridad que ello conllevaba, así como los problemas que
introducía a la hora de actualizar el sistema a medida que se liberasen nuevas versiones. Es por esto
que, en aquel momento tras investigar y documentarme un poco, en mi caso decidí no deshabilitar
el kext signing para poder activar TRIM, y esperar por contra en aras de ver si el escenario cambiaba
con el paso del tiempo.
Figura 10: Comando trimforce incluido en OS X Yosemite 10.10.4
La verdad que la espera fue muy corta y mereció la pena, porque tan sólo unos días después,
Apple liberó la versión 10.10.4 de Yosemite, en la que como novedad destacada incluía el soporte
para habilitar TRIM en discos SSD no originales de Apple, a través del comando “trimforce”. Gracias a
esta nueva funcionalidad, y a que la compañía ha facilitado un certificado válido kext a la gente de
Cindori, también es posible habilitar TRIM a través de las herramientas Trim Enabler 3.4 o Disk
Sensei 1.2. Como podéis imaginar, a día de hoy mi disco SSD, con Yosemite actualizado a su última
versión, ya tiene habilitado felizmente el soporte para TRIM, y mi equipo está listo para volver a la carga después de las vacaciones
Figura 11: Disk sensei 1.2 mostrando el informe de estado del SSD
Es curioso cómo de inmenso y apasionante es este mundo de la tecnología, en el cual cada
pequeña cosa que vayamos a hacer o investigar, puede ser tan grande o extensa como nosotros
queramos, pues el conocimiento está ahí, a golpe de clic, y nos toca a nosotros decidir hasta qué
nivel queremos profundizar. Digo esto porque en mi caso concreto, es muy probable que no me
hubiese preocupado de leer o documentarme detalladamente sobre el kext signing y las
implicaciones que podría tener deshabilitarlo, si nunca me hubiese tenido que enfrentar al problema
de habilitar TRIM en un SSD no original de Apple.
Son muchísimas las áreas de conocimiento que existen tanto en el mundo de la informática
como en el de la seguridad (que yo siempre digo que es casi más grande que el de la propia
informática en sí), así como infinitas la cantidad de horas que necesitaríamos para asimilar tan sólo
una pequeña parte de ese conocimiento. De ahí que que me considere un privilegiado por poder
dedicarme a algo que realmente me apasiona, pues requiere de tanto esfuerzo y sacrificio poder
estar mínimamente al día en este mundo, que en caso contrario sería un verdadero suplicio. Ya dijo
el Maligno hace unos días, que la seguridad informática es una amante caprichosa, así que la única
manera de que nuestra relación con ella sea idílica, es que la amemos con verdadera pasión
La semana pasada se dio a conocer unas decenas de aplicaciones de iOSen la AppStoreinfectadas con el malware XCodeGhost. La noticia se ha ido desarrollando y se ha visto como se ha utilizado para ataques de phishing y se han ido descubriendo más aplicaciones, llegando el número a 4000 aplicaciones infectadas conocidas. El malwareXCodeGhost se distribuye a través de apps legítimas falseadas cuando son subidas y firmadas por el desarrollador debido a un XCodemodificado.
La técnica utilizada por XCodeGhost es similar a la desarrollada por la Agencia Central de Inteligencia o CIA, la cual fue destapada en Marzo de este año, filtrando documentos de EdwardSnowden. Los documentos filtrados afirmaban que la CIA disponía de una forma de manipular el XCodeen un esfuerzo de agregar puertas traseras o backdoors en aplicaciones de iOS, sin el conocimiento de los desarrolladores.
Las aplicaciones de iOScompiladas utilizando la versión modificada de XCodepodría permitir a usuarios maliciosos robar contraseñas y apoderarse de los mensajes de los dispositivos infectados, así como enviar esos datos a un centro de mando a su elección. Los documentos no dejan claro cómo la CIA y otras agencias de inteligencia serían capaces de envenenar los XCodede los desarrolladores. Ahora con la noticia de XCodeGhost parece que sabemos como podían lograrlo. Appleha asegurado a los usuarios y desarrolladores que la compañía está trabajando en eliminar este tipo de aplicaciones infectadas en la AppStore, pero aún no ha respondido a las preguntas sobre si Appleestaba al tanto de las técnicas de la CIA para comprometer XCode.
No hace más de 1 semana que iOS 9 está disponible y ya tenemos aquí su primera actualización, la versión 9.0.1. La actualización es de 3 digitos por lo que no se agregan muchas cosas, y apenas pesa unos 35 MB. Si miramos la información de la actualización podemos ver como Appleindica 4 cambios destacables que se corrigen con la actualización. El primer bugsolventado, y que además era bastante incómodo, es el que impedía a los usuarios terminar la configuración una vez actualizado el sistema. El asistente de configuración se quedaba bloqueado y se debía reiniciar el dispositivo, ya que el usuario no podía continuar configurando la nueva versión del sistema operativo.
Este bugha sido sufrido por algunos de nosotros en la actualización a la nueva versión del sistema operativo de Apple.
Figura 1: Actualización a iOS 9.0.1
Otro de los bugsimportantes que se solucionan es un error que hacía que las alarmas y temporizadores no funcionasen correctamente. Además, se ha arreglado un bugen Fotosy Safarique hacía que se distorsionara el video que se estaba viendo. Por último, se arregla un bug en la configuración de los nombres de los puntos de acceso. Más del 50% de los dispositivos que pueden instalariOS 9 han sido actualizados según ha informado el propio Apple, y todo esto en menos de una semana.
Hoy traemos un resumen con todas las novedades que tenemos respecto a las actualizaciones en el mundo Apple. Es cierto que hay bastante movimiento en Appledebido a numerosos bugsque han ido apareciendo. Además, aplicaciones de terceros como es ya el clásico Adobe Flash Playertambién trae su actualización crítica. En primer lugar hablaremos de XCode 7 que ha sido liberado por Apple que arregla 10 vulnerabilidades. Los CVEdetallados reflejan que no hay ejecución de código arbitrario en estas vulnerabilidades, pero son importantes ya que la mayoría tratan de temas de cifrado que pueden afectar a la confidencialidad de los usuarios.
Algunas de las vulnerabilidades permiten obtener acceso a los repositorios de código. La versión 7 de XCodeestá disponible para versiones de OS X Yosemite.
Figura 1: Security Advisory de XCode 7
Además, Appleha publicado como verificar que tu XCodees legítimo. Para ello hay que abrir un terminal con Gatekeeperhabilitado y escribir los siguiente spctl -asess -verbose /Applications/Xcode.app. Esta instrucción devolverá algo similar a source=Mac App Store si el XCodefue descargado desde la Mac App Store. Si fue descargado desde el sitio web de Applese obtendrá source=Apple.
Para iTunesla empresa ha lanzado la versión 12.3 que arregla más de 60 vulnerabilidades. En el Security Advisory se detallan los CVE asociados, entre los que todos, excepto 2, permiten la ejecución de código arbitrario. Esto quiere decir que a través de las vulnerabilidades un potencial atacante podría conseguir el control total de la máquina ejecutando su propio código. La actualización se ha lanzado para sistemas Windows 7 y posteriores.
Figura 2: Security Advisory de iTunes 12.3
En lo que a la propia Apple se refiere el último producto actualizado es el OS X Server 5.0.3. En este Security Update se solventan 20 vulnerabilidades, de las cuales la mitad permitían ejecutar código arbitrario. Dentro del sistema operativo servidor de Apple, las aplicaciones afectadas eran Apache, BIND, PostreSQL yWiki Server.
Figura 3: Security Advisory de OS X Server 5.0.3
Por último, hablamos de las 23 vulnerabilidades que se han parcheado en Adobe Flash Player. Adobe ha liberado la versión 19.0.0.185, tanto para sistemas OSXcomo Windows. Las vulnerabilidades parcheadas podrían permitir a un potencial atacante ejecutara código remoto en la máquina, por lo que se ha calificado de una actualización crítica. Hay un gran número de productos de Adobeque hacen uso de de Flash, por lo que todos estos han sido afectados. Además, los pluginsde los navegadores son un punto crítico, los cuales pueden caer en un ataque de Client-Side.
Figura 4: Listado de CVE que se solventan con la actualización de Adobe Flash Player
Recomendamos estar al día con las actualizaciones, ya que estamos en una temporada, en la que como se puede ver, existe gran cantidad de vulnerabilidades asociadas a software del propio sistema operativo o software utilizado por millones de usuarios en el mundo, como es el caso de Adobe Flash Player.
XCodeGhost es sin duda una de las noticias de los últimos tiempos, la forma en la que se han infectado aplicaciones legítimas de desarrolladores iOSes una vuelta más a la generación de malware. El conseguir que los desarrolladores se instalen un XCodemodificado que en el momento en el que se publicaba la aplicación infectaba ésta, siendo totalmente legítima, es a priori una obra casi perfecta en temas de evasión de los mecanismos de seguridad de Appleen la AppStore. Millones de usuarios de Appleestán hoy día en riesgo por las aplicaciones maliciosas legítimas
Aquí tienes la lista completa de las apps que fueron subidas con este malware a la AppStore oficial. Hay que recordar que aplicaciones como WeChat Messenger, el cual es uno de los clientes de mensajería instantánea más populares del mundo, fueron compiladas utilizando la versión maliciosa de XCode. El malware se extendió a los desarrolladores a través de mensajes en los foros chinos. Los enlaces llevaban al sitio de archivos Balidu dónde se anunciaban como una fuente más rápida para descargar el archivo de 3GB que desde los servidores oficiales de Apple.
Figura 1: La password de iCloud permite desbloquear todos los servicios de Apple ID
El ataque significa que los usuarios de aplicaciones populares, como por ejemplo banca y telecomunicaciones construido con este XCodeestán abiertos a que se les robe las credenciales de iCloud, junto a otros datos del teléfono. Otras aplicaciones infectadas son la aplicación oficial de China para la compra de billetes de ferrocarril, el operador de telefonía móvil Unicomy una de las apliaciones de comercio de acciones más populares del país.
Figura 2: Código que inyecta XCode
Según el informe de un desarrollador, XCodeGhostya ha lanzado los ataques de phishingdónde se puede ver como se solicita a las víctimas introducir su contraseña de iCloud. El ataque de phishing de iCloud descrito fue revelado por primera vez en foros de desarrolladores chinos después de que un programador desarrollase una aplicación benigna con el XCodey se diera cuenta de que la aplicación le incitó a introducir credenciales de iCloud. Usuarios fuera del territorio de China también se vieron afectados por el ataque de phishing. Por ejemplo, WinZip, la aplicación para descomprimir, el navegador Mercuryo Musical.ly también están siendo objetivo.
Appleha querido dejar claro que la actualización llegará en un período de tiempo breve. El error descubierto debe ser bastante crítico para parar el despliegue y pasar del día 16 de Septiembre a un día indeterminado. A día de hoy seguimos sin tener la actualización lanzada, aunque Applesigue diciendo que pronto la tendremos. No se conocen datos sobre el error que ha generado esto en el reloj de la compañía, ni cuando va a salir a la luz la actualización. Appleha indicado que la liberación del Watch OS 2es una revisión a fondo del firmwaredel reloj inteligente. La actualización traerá el primer soporte de aplicaciones nativas del sistema operativo, en lugar de las construidas a través de iOS. La adición de aplicaciones nativas promete proporcionar a los desarrolladores un mayor acceso a los componentes del hardware del reloj y puede interactuar con el HealthKity el HomeKitde Apple.
Figura 1: Apple Watch OS 2 a la espera
Además, se han añadido una serie de características nuevas, como por ejemplo la opción de tiempo de viaje para ver las próximas citas y la adición de opciones de personalización para configurar la pantalla del reloj. Seguiremos a la espera de la liberación del nuevo sistema operativo, y esperaremos más detalles sobre los errores que han provocado este retraso.
Los creadores de malware han dado un paso más allá en la infección de las apps para iOS y OSX, infectando directamente los archivos del instalador de XCode que estaba alojado en los servidores de Baidu, en China. A este malware se le ha llamado XCodeGhost. El objetivo es bastante sencillo, conseguir que cuando una nueva aplicación sea creada para iOS o para OSX con uno de estos compiladores infectados, la app irá infectada desde su creación, subiendo después a la App Store o a la Mac App Store. Y no han sido pocas las apps afectadas ni los usuarios.
En total son 76 apps las que se han detectado infectadas con este malware, y entre ellas se encuentra alguna tan popular como WeChat Messenger, por lo que se estima que hay millones de usuarios afectados por este malware, y que podría haberse utilizado en muchas operaciones.
Figura 1: Código malicioso de XCodeGhost
Por supuesto, tal y como se ha explicado, al manipularse la app directamente desde su creación, no es necesario que el dispositivo que se va a infectar tenga realizado el jailbreak, ya que el creador de la app firmará el código malicioso y lo subirá firmado a AppStore. Una nueva vuelta de tuerca en el mundo del malware.
La empresa Vyteha sacado una aplicación denominada Laplock, la cual proporciona un mencanismo ingenioso para enterarte de cuando te están robando tu Mac. Mediante la aplicación y su previa configuración cuando el usuario tiene conectado el Mac a la corriente. Si un usuario intenta quitar el equipo con la aplicación habilitada de la corriente saltará una alarma, e incluso podrá llegarnos un mensaje vía dispositivo móvil informándonos de que se está robando nuestro equipo.
En el siguiente video se puede visualizar una pequeña prueba de concepto de cómo trabaja la aplicación, y como ésta avisa al propietario del equipo de que su equipo se ha desconectado de la red eléctrica, o lo que puede significar lo mismo está siendo robando.
Figura 1: Demostración de uso de Laplock
Ya hemos visto otras soluciones que ayudan al usuario a preservar su privacidad y no dejar la sesión al alcance de otros. Es cierto que Laplocksolo avisa de que se está robando, pero no bloquea el equipo, quizá una mejora sería justamente ésta. La aplicación Sesame bloqueaba y desbloqueaba el Mac cuando el usuario se alejaba o acercaba. Nosotros en Eleven Paths contamos con Latch y su integración con OS X con el que el usuario puede bloquear el uso de equipo aunque se conozca su usuario y contraseña.
Según un video publicado por Mark, el atacante envía mediante AirDropun fichero, el cual es el payload. Cuando se recibe el fichero esto puede provocar el reinicio del dispositivo. El payload instala un nuevo certificado de empresa para firmar apps.
Además, el provisioning profile es instalado en el dispositivo, bypasseandola AppStore. La aplicación es marcada como segura, evitando un pop up en su primer arranque. Una vez reiniciado el dispositivo la aplicación ha sido instalada. Como puede verse en el video la aplicación Phoneha sido sustituida por otra maliciosa, con el mensaje Hello World. El mecanismo de infección parece tan sencillo que asusta y no se conocen todos los detalles. La vulnerabilidad se ha mitigado eniOS 9 aunque no hay una confirmación severa sobre que se mitigue completamente.
Figura 1: Demostración de la PoC
Al parecer el fallo radica en la función de intercambio de archivos a través de AirDropy permite instalar aplicaciones en dispositivos con iOS 7 o superiores. Mark Dowd reportó el fallo a Cupertino añadiendo que las aplicaciones maliciosas se instalarán independientemente de si el usuario acepta o no una solicitud de intercambio con AirDrop. El vector de ataque de Dowdno requiere nada más allá de la activación y conexión de los dispositivos con AirDrop. Esto es importante porque se ha comparado con el vector de ataque de Masque, el cual sí requería un mayor nivel de interacción por parte del usuario.
El sistema operativo de iOSha sido liberado con un gran número de agujeros de seguridad parcheados. A Appleya le ha pasado varias veces que cuando comienza un nuevo número de versión, en este caso de la 8 a la 9, la descarga es más grande de lo normal. Por ejemplo, la versión 8.4.1 estaba en 50 MB o en OTA a través de 1,2 GB. La nueva versión está alrededor de los 2 GB en lo que a fichero IPSW se refiere realizando la descarga completa del firmware.
Los cambios y nuevas características de seguridad que forman parte de la seguridad de iOS 9son las siguientes:
Passcode de 4 dígitos a 6: De esta forma el tiempo y las combinaciones de fuerza bruta aumentan exponencialmente.
Doble factor de autenticación (2FA) en iOS 9: Necesita el uso de El Capitan OS X 10.11, la cual se encuentra aún en beta.
En estas actualizaciones hay todo tipo de vulnerabilidades que han sido parcheadas, como por ejemplo:
Ejecución de código remota potencialmente explotables a través del WebKit y el núcleo de Javascript.
Leaks. El acceso a la memoria del kernel puede provocar estas fugas de información.
Denegar el servicio o crashear el dispositivo.
Suplantaciones de identidad enviando un correo electrónico falso que parece provenir de un contacto de la libreta de direcciones.
Visualización de tráfico que circula a través de conexiones TLS debido a un error en el manejo de un certificado.
Spoofing. Falsear un sitio web que parece que se encuentra con la dirección URL legítima.
En la lista podemos encontrar 101 entradas de vulnerabilidades, aunque quizá haya una que se lleve el premio, y es una vulnerabilidad que permite determinar una clave privada a un atacante. Se puede deducir tras la observación de muchos intentos de firma o de descifrado qué clave privada RSA se tiene.
Como se puede ver la salida de iOS 9 trae muchas novedades y muchos agujeros de seguridad tapados, más de 67 importantes. Por esta razón, os recomendamos actualizar vuestro sistema y poder estar un poco más seguros con el nuevo sistema operativo.
Día a día podemos ver muchas noticias de intrusiones y brechas de seguridad en empresas, o como van apareciendo vulnerabilidades que permiten tomar el control de máquinas o permiten realizar escaladas de privilegio. Esto último en el ámbito OS X ha ocurrido bastante en los últimos meses, por ejemplo el caso del exploit que cabía en un tweet, o el exploit de Rootpipe y su módulo en Metasploit, o por último, el caso de Tpwn. Hoy traemos una guía de seguridad y privacidad para sistemas OS X Yosemite. Esta guía pretende ayudar al usuario, tanto medio como avanzado a fortificar sus entornos con equipos OS X.
La colección de recomendaciones proporciona una moderna securización del entorno y ayuda a mejorar la privacidad. En la parte basicspodemos encontrar unos mínimos relacionados con la seguridad, que cualquier máquina OS X debe enfocar. Los puntos básicos son la creación de un modelo de amenazas, mantener el sistrma actualizado, cifrar datos sensibles o la realización de backupsde forma frecuente. Después la guía profundiza en todas estas temáticas.
Figura 1:Parte del índice de la guía en Github
¿Qué podemos ver en la guía? Se tocan diferentes puntos como la configuración de cifrado en disco, configuración de servicios de manera segura, contraseña en el firmware, cifrado en las conexiones, anonimato, configuraciones Wireless, acceso físico, y un largo etcétera. Guía recomendada para echarla un ojo a fondo para los usuarios de OS X Yosemite.
En el mundo actual el smartphoneno es solo un dispositivo utilizado por adultos. Es importante que los controles parentales se configuren correctamente para que los usuarios más pequeños puedan estar lo más seguros posibles.
Los niños utilizan los dispositivos móviles para jugar, comunicarse con amigos y navegar por Internet. Es importante tener un control sobre las actividades que los niños realizan en Internet, protegiéndoles de los peligros.
Hoy hablamos de Pumpic una herramienta que permite monitorizar sistemas iOS con Jailbreak con más de 24 funciones de supervisión. Además, presenta un panel en cloudcon el que se puede visualizar todo lo que ocurre en el dispositivo. La aplicación es compatible con los sistemas iOS6.0 al 8.4. El proceso de instalación se realiza a través de la aplicación de Cydia. A continuación se enumeran diferentes opciones y funcionalidades que Pumpicimplementa en su solución de monitorización:
Consulta de llamadas y SMS entrantes y salientes. Esta funcionalidad permite realizar un seguimiento de las personas que llaman y mensajes que maneja el usuario. Se puede impedir el acceso a los usuarios no conocidos, a modo de control parental.
Geoposicionamiento del dispositivo con histórico. Esta función permite saber dónde se encuentran los menores actualmente, y por dónde han estado yendo. Incluso se puede configurar zonas peligrosas, y si el menor se acerca a la zona se enviaría una notificación.
Seguimiento en las redes sociales y en los chats. La seguridad en con quién se relacionan los menores es fundamental y con esta aplicación se puede llevar a cabo. Se monitorizan Facebook, Instagram, Skype, Snapchat, WhatsApp, Kik, Viber, entre otros.
Historial de navegación y favoritos monitorizados. Esta opción permite comprobar los sitios que el menor visita.
Aplicaciones instaladas para poder bloquear el uso de algunas no deseadas por el adulto.
Figura 1: Pumpic y las localizaciones
Pumpicofrece también la funcionalidad de keyloggerpara realizar un seguimiento de cada botón pulsado, una función de bloqueo remoto del dispositivo, control de actividad a distancia y otras opciones. La barrera de la privacidad se rompe con estas herramientas, pero surge otro debate moral, espiar a los niños o protegerles mediante este tipo de herramientas, que es lo pretendido es algo complejo de definir.