Menú principal

jueves, 31 de marzo de 2016

Google Zero Project libera exploits que afectan a OS X

No es la primera vez que Google libera exploits contra OS X. La gente de Project Zero da un tiempo de cortesía antes de liberar información sobre la vulnerabilidad, incluyendo exploit si lo tuvieran. La noticia de hoy es que se han liberado 4 exploits en el que alguno permite ejecutar código arbitrario, pudiendo controlar el sistema. Las vulnerabilidades han sido parcheadas por Apple y no afectan ya en la versión 10.11.4 de El Capitan

A continuación se enumeran las distintas vulnerabilidades y se enlaza a su CVE. Los códigos que implementan los exploits están escritos en lenguaje C. En el sitio web de Exploit-DB se muestran junto a una descripción breve de la vulnerabilidad:
Figura 1: Vulnerabilidades en OS X

Se recomienda actualizar el sistema operativo a la última versión, la cual fue liberada la semana pasada. Se vuelve a demostrar que Apple está en el punto de mira tanto de los buenos como de los malos, por lo que hay que estar alerta y actualizar el software.

miércoles, 30 de marzo de 2016

Enlaces que "crashean" Safari, Mail y Chrome en iOS 9.3

En los últimos dias hay un número significativo de usuarios de iPhone e iPad que hablan de un problema con links que provocan la caída de las aplicaciones que los abren. El debate está en diversos foros, incluyendo el de soporte de Apple, y en Twitter, dónde varios usuarios hablan de ello. Aplicaciones como mail, iMessage, Chrome o notes, se quedan "congeladas" al abrir un enlace web. El tema ha crecido bastante, ya que iOS 9.3 salió la semana pasada, pero algunos usuarios también se ven afectados en iOS 9.2.1.

Los dispositivos afectados son todos los que soportan el sistema operativo. La causa subyacente del problema está sin confirmar, pero se especula que la aplicación de Booking puede ser un factor contribuyente. El pasado fin de semana se publicó un video en el que se podía ver cómo los enlaces de Safari en un iPhone dejaban la aplicación "tostada".


Figura 1: Demostración del crash de las herramientas en iOS 9.3

Un especialista en tecnologías móviles cree que puede haber un error relacionado con el tamaño de los archivos que están detrás de los enlaces universales. El desarrollador de iOS Steven Troughton-Smith confirmó que la aplicación de Booking tenía enlaces que albergaban tamaños grandes, por ejemplo más de 2,3 MB. iOS 9 presentó los enlaces universales, los cuales permiten a los desarrolladores de aplicaciones asociar su sitio web y aplicación por los enlaces. De este modo se puede abrir la aplicación automáticamente si está instalada. El error radica ahí. Los enlaces están crasheando.

Figura 2: Twitter y el debate de los enlaces universales de iOS

Apple es consciente del problema y sus ingenieros están trabajando en la solución, la cual seguramente veamos en iOS 9.3.1. Muchos usuarios han decidido utilizar otros navegadores, e incluo Booking ha reducido el archivo a 4 KB, con lo que el problmea por su parte quedaría zanjado. Estaremos atentos a los próximos movimientos.

martes, 29 de marzo de 2016

La guerra entre Apple y el FBI ha terminado

Podemos decir que será una de las últimas noticias en el caso entre el FBI y Apple. Parece que la disputa legal ha llegado al final en el caso del terrorista de San Bernardino. El FBI ha logrado evadir las medidas de seguridad del iPhone sin la ayuda de la empresa de Cupertino. Por esta razón, el Departamento de Justicia ha solicitado al juez retirar la demanda en la que se solicitaba que Apple ayudara al FBI a desbloquear el dispositivo. Parece ser que el FBI ha utilizado ayuda de otro lado para conseguir llegar hasta los datos del dispositivo.

Apple por su lado se muestra satisfecho con la defensa que ha hecho de su tecnología, pero ahora surge una nueva pregunta y es que si el FBI ha logrado saltar las medidas de protección, ¿Podría hacerlo alguien más? Lógicamente, el FBI no ha hecho público cómo han llegado hasta la información, no se encuentra entre los documentos públicos.

Figura 1: Apple responde al FBI

Apple ha emitido un comunicado oficial respondiendo a todo el revuelo generado. En este comunicado Apple indica que desde el principio se opusieron a la demanda del FBI para que la empresa implementase una puerta trasera en el iPhone, ya que creían que era un error y sería un precedente peligroso. Apple seguirá ayudando a los cuerpos de seguridad con investigaciones, como lo han hecho siempre, y se seguirá aumentando la seguridad de los productos teniendo en cuenta que las amenazas y ataques a los datos se hacen cada vez más frecuentes y sofisticados. Por último, Apple vuelve a hacer hincapié en que las personas merecen que sus datos, seguridad y privacidad sean protegidos. El debate seguirá en la sociedad, pero en el caso del terrorista de San Bernardino, ¿la privacidad de un terrorista y asesino valía tanto? o, sencillamente, ¿fue marketing de Apple para limpiar su imagen?

lunes, 28 de marzo de 2016

Bypass a la última protección de Apple en OS X e iOS

Investigadores de seguridad han descubierto una vulnerabilidad que afecta a SIP, System Integrity Protection, el nuevo sistema de protección de integridad desarrollado por Apple con el que se pretende evitar que el software malicioso modifique archivos y carpetas protegidas. La tecnología SIP está presente en OS X El Capitan y está diseñado para proteger el sistema de cualquier usuario que tenga acceso a la raíz, autorizada o no. SIP es una característica clave en la seguridad del sistema OS X. El CVE-2016-1757 detalla la vulnerabilidad.

El ataque consiste en elevar los privilegios eludiendo SIP y evitando la integridad del sistema. De este modo se abre una puerta a que un atacante pueda dar persistencia a un malware en los dispositivos comprometidos. Para aprovechar esta vulnerabilidad, un atacante debe comprometer en primer lugar el sistema. Esto podría lograrse, por ejemplo, mediante un ataque de phishing o explotando alguna vulnerabilidad en el navegador del usuario.

Figura 1: Detalles CVSS de la vulnerabilidad

El investigador Pedro Vilaça indica que la vulnerabilidad es un tipo de elevación de privilegios locales, lo cual signfinca que se necesita un vector inicial para ejecutar el exploit. El vector podría ser, como se indicó anteriormente, un ataque de phishing o una actualización falsa de Flash, el cual permite ejecución de código remoto. Una vez se tenga control o posibilidad de ejecución de código se puede llevar a cabo el bypass de SIP. El bug está presente en todas las versiones del sistema operativo hasta la versión 10.11.4 recientemente publicada, dónde ha sido parcheado. En iOS también se encontraba presente y fue parcheada en la nueva versión 9.3.

domingo, 27 de marzo de 2016

Siri en iOS 9.3 sigue siendo un problema de privacidad

Mucho se ha hablado ya de los riesgos de privacidad que podía suponer para una persona tener activado Siri con la pantalla bloqueada. Desde acceder a información sensible en el calendario, poner alarmas, acceder a los datos de las notas o revisar los contactos que una persona tiene en su agenda. Estas características se han ido limitando poco a poco, e incluso Apple ha parcheado éstas opciones como si fuera un bug, ya que cumplía todos los requisitos. Aquí se puede ver el CVE-2015-5892, de Septiembre de 2015, referido a estas características.

Aún así, como muestra en este vídeo José Rodríguez, en iOS 9.3 aún se puede acceder a los recordatorios, a las entradas del calendario e incluso modificarlos, con lo que el riesgo de tener Siri activado con la pantalla bloqueada todavía es alto.


Figura 2: Accediendo a información sensible con Siri en iOS 9.3

Si quieres tener un terminal protegido contra las personas cercanas de tu entorno, lo mejor es que desactives Siri y que tomes precauciones con lo que se puede hacer o no con la pantalla bloqueada, que incluso los mensajes de recuperación de contraseñas pueden verse por defecto. Recuerda además, que Siri puede escuchar incluso mensajes enviados por hackers vía Radio Frecuencia que te controlan el terminal remotamente.

sábado, 26 de marzo de 2016

InstaAgent volvió a la AppStore con otro nombre

El pasado mes de Noviembre hablamos en Seguridad Apple de la aplicación IstaAgent, el cual era un cliente bastante popular de Instagram que estaba robando credenciales de los usuarios. La aplicación enviaba dicha información a un servidor externo. Apple eliminó la aplicación de la AppStore y la amenaza parecía erradicada. Ahora parece que el desarrollador que estaba detrás de dicha aplicación ha conseguido dos nuevas aplicaciones aprobadas por Apple y Google, ambas aplicaciones están robando credenciales de Instagram.

El investigador que descubrió la función maliciosa en la primera aplicación, es decir, en InstaAgent, publicó la semana pasada una entrada en la que las nuevas aplicaciones podían robar credenciales de la misma forma. Este investigador escribió un artículo dónde se detalla cómo capturar las credenciales que se envían al servidor remoto. La aplicación InstaAgent atajo a los usuarios de Instagram con la promesa de realizar un seguimiento de las personas que visitaban su perfil. Las dos nuevas aplicaciones hacen promesas similares.

Figura 1: InstaCare app que roba credenciales de Instagram

Ambas aplicaciones dicen que pueden mostrar un listado de usuarios que interactuan a menudo con una cuenta o perfil de Instagram, pidiendo permiso a los usuarios para iniciar sesión. En ese instante es dónde las credenciales son robadas y enviadas al servidor externo. El envío de los usuarios y contraseñas no se realizaba por HTTP, y sí por HTTPs, de esta forma se intentaba ocultar la evidencia. Varias revisiones en la AppStore afirman que después de utilizar aplicaciones maliciosas de este tipo, sus cuentas se vieron comprometidas con fotos a modo de spam. Tanto Apple como Google llevarán a cabo la eliminación de ambas apps.

viernes, 25 de marzo de 2016

Ingenieros de Apple dicen que se irían ir si se les obliga a backdoorizar iOS

El caso más mediático de lo que llevamos de año sigue coleando. Apple y su guerra contra el FBI y el gobierno norteamericano es un caso que cada semana trae más y más noticias y titulares a la prensa mundial. Cada día salen nuevos actores en el caso, ahora los ingenieros de Apple, parte fundamental de lo que hoy es iOS, hablan y estudian que harán en el caso de que se les ordene "backdoorizar" o debilitar el cifrado de iOS. Parece que los problemas se le multiplican a la empresa de Cupertino, ya que a día de hoy el Departamento de Justicia ha advertido a la empresa que podría obligarla a entregar el código fuente. 

Además, les podrían obligar a etregar la firma electrónica necesaria para ejecutar una versión de iOS modificado en un iPhone. Pronto tendremos noticias sobre todo esto, ya que el Departamento de Justicia no quiere esperar mucho más. Cómo decíamos anteriormente, a Apple se le junta otro problema y es el mensaje de algunos de sus ingenieros que se encuentran desarrollando el cifrado de iOS. Los ingenieros dicen que pueden negarse a ayudar, y por lo tanto dejarían sus puestos de trabajo.

Figura 1: Data Protection

Más de media docena de ingenieros de Apple afirmaron para el New York Times que podrían rechazar el trabajo y renunciar a sus puestos si la orden judicial les obliga a crear una puerta trasera para el software. En la empresa ya saben que los empleados están discutiendo lo que harán si se les pide realizar el trabajo. Por otro lado, están dispuestos a colaborar en otras cuestiones con las fuerzas de seguridad. Apple comentó que la construcción de una nueva versión de iOS con una puerta trasera costaría un mes de trabajo y un equipo de ingenieros, entre 6 y 10. ¿Cederán los trabajadores de Apple? En los próximos días tendremos nuevas noticias sobre el caso más mediático de 2016.

jueves, 24 de marzo de 2016

iOS 9.3 provoca que los iPad viejos queden inservibles

Parece que el lanzamiento de iOS 9.3, el cual viene repleto de nuevas características, no va del todo bien con algunos usuarios que tienen dispositivos iPad. Estos usuarios se han quejado de que el dispositivo queda en modo brick, después de haber instalado las actualizaciones en el dispositivo. No se sabe cuantos usuarios pueden estar afectados y cuantos son potencialmente afectables. Especialmente hablamos de aquellos modelos de segunda generación que intentan instalar y activar la versión más reciente del sistema operativo iOS

En el sitio web de soporte de Apple ya hay usuarios pidiendo una solución a este problema. El problema parece radicar en que los iPad más antiguos permiten la instalación, pero no la activación. Varios usuarios se han encontrado con varios mensajes de error de autenticación, por lo que el síntoma sugiere que los servidores de autenticación no están validando la activación. Los usuarios alegan que han estado esperando más de 24 horas, sin suerte. En algunas ocasiones, los servidores de activación se colapsan cuando hay una nueva versión del sistema operativo.

Figura 1: Usuario en el foro de soporte de Apple

Algunos usuarios en el foro indican que fueron capaces de evitar el problema mediante la descarga de iOS 9.3 a través de iTunes en un Mac e instalando vía USB por cable. Otros usuarios dicen que han intentado lo mismo, pero sin éxito. Otro método que ha demostrado su eficacia para algunos es una restauración completa. Se recomienda que los usuarios realicen una copia de seguridad local o en iCloud antes de restaurar el dispositivo. Apple no ha emitido ningún comunicado al respecto.

miércoles, 23 de marzo de 2016

Base de datos de Kinoptic abandonada online con más de 198.000 identidades

Kinoptic era una app de iOS, la cual tuvo un éxito relativo. El investigador Crhis Vickery ha descubierto la base de datos de dicha aplicaciones y se encuentra online. La aplicación fue abandonada por los desarrolladores con más de 198.000 usuarios. El investigador de seguridad descubrió datos personales entre esos usuarios, lo cual hace que el problema sea profundo. ¿Qué hacía Kinoptic? Permitía a los usuarios crear presentaciones de diapositivas cinematográficas de sus fotografías, animaciones y compartirlas a través de redes sociales.

La aplicación Kinoptic estuvo presente en la AppStore desde 2012 al 2015. El sitio web cerró a principios de 2016. Chris Vickery que ya descubrió más de 13 millones de identidades digitales expuestas en Internet con el caso de MacKeeper, explicó que la base de datos detrás de Kinoptic se mantuvo online, a pesar de que la aplicación fue eliminada. A través de servicios como Shodan se podía descubrir dicho activo expuesto en Internet. Él lo denomino como un regalo para los ladrones.

Figura 1: Kinoptic App

Los datos están disponibles sin necesidad de autenticación en la base de datos, un fallo que se ha dado en más ocasiones. Los datos exponen nombres de usuario, direcciones de correo electrónico, contraseñas hasheadas, junto con otro tipo de datos almacenados en los perfiles gestionados por la aplicación. Vickery trató de informar de ello a los desarrolladores de Kinoptic y Apple. El equipo de Kinoptic nunca respondió, mientras que Apple comentó que si eso afectaba a la seguridad de un dispositivo iOS o a la tienda de iTunes podía escribir a product-security@apple.com. Si el problema afecta solo a la aplicación, se tendría que poner en contacto con los desarrolladores. Lo cual parecía complejo. Los datos seguirán en línea hasta que el servidor o la base de datos se apague. Te recomendamos que si utilizaste Kinoptic cambies la contraseña inmediatamente.

martes, 22 de marzo de 2016

Patching Day: iOS 9.3, WatchOS 2.2, OS X 10.11.4, tvOS 9.2, Safari 9.1 y OS X Server 5.1

Ayer era día de Keynote y Apple no defraudó ni en temas de software ni de hardware. A la esperada llegada del iPhone SE, sumamos la llegado del iPad Pro y todos los paquetes de actualización que fueron liberados por la compañía durante el día de ayer. Tenemos novedades para todos los dispositivos de Apple. Por fin llegó el iOS 9.3, quizá uno de los sistemas operativos más esperados de los últimos tiempos, y con más betas publicadas. 

iOS 9.3 presenta nuevas funcionalidades como el modo nocturno y presenta la posibilidad de cifrar tus notas con el Touch ID, una funcionalidad que ya comentamos en Seguridad Apple. Se ha resuelto el bug del 1 de Enero de 1970 que dejaba el dispositivo "tostado" y sin poder ser utilizado, además de solventar el problema de cifrado en iMessage que ha dado la vuelta al mundo esta semana. Y casi 40 vulnerabilidades más han sido parcheadas con la salida de la nueva versión del sistema operativo. Alrededor de 10 bugs permitían la ejecución de código, quizá uno de los escenarios más peligrosos.

Figura 1: Publicación del listado de CVE referentes a iOS 9.3

La otra gran actualización esperada era la de OS X 10.11.4 y la publicación del Security Update 2016-002. Casi 60 bugs han sido parcheados en este paquete de actualizaciones para el sistema operativo OS X. Algunos de los CVE son de 2015, por lo que no todas las vulnerabilidades son de este año. Más de 25 vulnerabilidades permiten la ejecución de código y son catalogadas como críticas, ya que podría permitir a un atacante tomar el control del equipo.

Figura 2: Publicacón del listado de CVE referentes a OS X El Capitan 10.11.4

En el mundo de los wearables nos encontramos con el Apple Watch, cuyo sistema operativo ha sido actualizado al WatchOS 2.2. Esta nueva actualización solventa 34 bugs, de las cuales varias permitían la ejecución de código arbitrario. Si realizáramos una comparativa entre vulnerabilidades de iOS y de WatchOS veríamos que hay varias similares, por lo que existiendo vulnerabilidad en iOS, en algunos casos, hay vulnerabilidad en WatchOS.

Figura 3: Security Advisory de Apple Safari 9.1

Por otro lado el tvOS también ha sido actualizado. La nueva versión es tvOS 9.2 y parchea 23 bugs, de las cuales una gran cantidad permitían ejecución de código arbitrario. Además, la versión OS X Server ha sido actualizada a la versión OS X Server 5.1, parcheando 4 bugs en esta nueva versión. Por último, añadir que el navegador Safari también ha sido actualizado. Las vulnerabilidades parcheadas en el navegador son 12.

Recomendamos actualizar todos los dispositivos de Apple que tengáis y que estéis al día en el tema software para evitar que alguien pueda aprovecharse de vulnerabilidades conocidas. Apple se ha puesto las pilas entre la keynote y las actualizaciones de seguridad.

lunes, 21 de marzo de 2016

iOS 9.3 solventará el bug en el cifrado de iMessage

La vulnerabilidad del cifrado de iMessage será solventada en la próxima, y ya muy cercana, versión del sistema operativo de iOS, la 9.3. Esto sirve para demostrar una cosa y es que incluso un fuerte cifrado puede tener sus puntos débiles. Siempre se ha dicho eso de que no existe un sistema 100% seguro, y esto es, de nuevo, un ejemplo. Hay que recordar el caso del FBI y Apple dónde ellos dicen que el cifrado de iOS es tan seguro que no se puede romper. Quizá a día de hoy sea así, pero según indican unos investigadores de la Universidad Jhon Hopkins, puede que en un futuro también el cifrado de iOS sea vulnerable. 

Según indican los investigadores de la universidad han encontrado un error que les permite romper el cifrado de los mensajes de iMessage, incluyendo la obtención de fotos y vídeos que puedan ser enviados a través de la aplicación. El método requiere que los datos se encuentren en tránsito, por lo que no se podría utilizar en el caso del iPhone bloqueado del tirador de San Bernardino

Figura 1: Funcionamiento de iMessage

Los investigadores escribieron un programa que imitaba un servidor de Apple, y éstos fueron capaces de interceptar una transmisión cifrada que contenía un enlace a una foto en un servidor de iCloud, así como una clave de 64 dígitos que lo descifra. La clave no era visible, pero los investigadores fueron capaces de realizar fuerza bruta a cada dígito. Los investigadores notificaron a Apple, que ha comentado que se arreglará parcialmente el fallo en iOS 9.3

Los investigadores de la universidad se han pronunciado a favor de Apple en el caso de moda, en el caso del FBI y el cifrado. Ellos afirman que el gobierno no debería forzar a Apple a debilitar intencionadamente su seguridad de su propio software, cuando la realidad es que el cifrado perfecto es muy difícil, si no imposible de lograr. Los investigadores han prometido un documento completo, cuando la nueva versión de iOS 9.3 se libere. 

domingo, 20 de marzo de 2016

Fue Noticia en Seguridad Apple: del 7 al 20 de Marzo

Han pasado dos semanas desde el último Fue Noticia, y como hacemos siempre en Seguridad Apple, volvemos a detenernos por un momento para recapitular y ofreceros el mejor resumen de la actualidad de la seguridad informática, aderezado con contenidos de otros sitios de referencia.

El lunes 7 os hablamos de KeRanger, el primer ransomware funcional para OS X que está comenzando a infectar a usuarios vía Torrent Transmission, un cliente del propio servicio Torrent de código abierto que había sido troyanizado.

Un curioso experimento llamó nuestra atención el martes, ya que investigadores israelíes han conseguido reconocer qué tipo de operaciones aritméticas está realizando un iPhone a partir de sus emisiones electromagnéticas.

El miércoles nos hicimos eco de las declaraciones de Steve Wozniak, que expresó su opinión sobre el caso del FBI y Apple en el night show de Conan O'Brien, resaltando la importancia de la seguridad y la privacidad.

Un día después os contamos cómo Apple es capaz de descifrar los datos de cualquier backup de iCloud, pero no así de iTunes, en cuyo caso tendría que ser el usuario quien voluntariamente los descifre con su clave de cifrado o por fuerza bruta.

El viernes 11 os explicamos cómo KeRanger, el ransomware para OS X, es defectuoso y tiene un bug que permite la recuperación de archivos a los usuarios afectados.

Comenzamos el fin de semana con la noticia de que Pangu liberó una nueva versión de su herramienta de Jailbreak, que permite hacer jailbreak unthetered en dispositivos iOS 9.1, disponible para Windows y OS X.

El lunes os explicamos las principales novedades de la beta 6 de iOS 9.3, solo disponible para desarrolladores, así como de las nuevas versiones OS X El Capitan 10.11.4 y WatchOS 2.2.

Al día siguiente volvimos a centrarnos en KeRanger, solo para descubrir que este ransomware que ha comenzado a afectar dispositivos OS X no es más que una mera reescritura de su versión original para Linux, Linux.Encoder.

A mitad de semana os hablamos de la decisión de los gigantes tecnológicos Apple, Facebook, Google y WhatsApp de dar mayor importancia a la seguridad de los datos de los usuarios, mejorando la protección de sus servicios.

El jueves os presentamos las Eleven Paths Talks, una nueva iniciativa por la cual los CSA de Eleven Paths impartirán webcasts donde se revisarán temas importantes de seguridad. Además, os presentamos la primera, centrada en la firma biométrica,

El día 18 os explicamos en qué consiste AceDeceiver, un nuevo tipo de malware que afecta a dispositivos iOS y basa su funcionamiento en una mala gestión de derechos digitales por parte de Apple.

Por último, el día de ayer os dejamos la información relativa al juicio del Celebgate, donde el principal acusado se ha declarado culpable de ataque de phishing a las víctimas para robarles las cuentas de Apple ID.

Y esto ha sido todo lo publicado, pero como siempre, os traemos una lista con otros artículos publicados en otros blogs durante este periodo que tal vez te pueden resultar interesantes. Estos son las seleccionados hoy.
- Ataques Sappo: Como saltarse el 2FA de una identidad que utiliza Tokens OAuth por medio de Ataques de Spear Apps. Cuatro partes con la charla que dieron nuestros compañeros Chema Alonso y Pablo González en la RootedCON. 
- Malware que instala certificados raíz en Windows: Una investigación de nuestros compañeros del laboratorio de Eleven Paths han publicado una investigación en la que se ve cómo cierto malware instala certificados raíz en el sistema operativo para interceptar todas las comunicaciones cifradas. 
- Vídeos de la BlackHat Europe 2015: Ya se han publicado todos los vídeos de las conferencias que se han dado en la BlackHat Europe 2015. Están recopilados por nuestros compañeros de Cyberhades. 
-Pwn2Own 2016: Apple Safari, Microsoft Edge, Google Chrome y Flash Player caen en la competición Pwn2Own que ha tenido lugar esta semana pasada. Como ya es habitual, pocos se salvan en esta competición. 
- ¿Jailbreak iOS 9.3 disponible?: Un hacker dice tenerlo y que lo publicará después de que se liberé el iPhone SE. Habrá que esperar. 
- Ingenieros de Apple abandonarían la compañía antes de dejar un sistema inseguro: No estarían dispuestos a debilitar la seguridad del sistema operativo por orden judicial y dejarían la compañía. 
- Microsoft libera un Security Update para MS for mac 2011: Es la versión 14.6.2 Security Update, así que si no la tienes instalada, actualiza cuando antes. 
- Equipo de Respuesta ante Incidentes: El próximo 24 de Abril nueva sesión de Eleven Paths Talks, dedicada a la gestión de los equipos de respuesta ante incidentes. Apúntate, es gratuita. 
- Nuevo bug de IIS Short Name en Apple.com: Un nuevo servidor Windows con un bug de IIS Short name ha sido descubierto en uno de los dominios de Apple.com. Es un bug difícil de erradicar definitivamente si no se hace con un plan organizado.
Hasta aquí dio de sí esta sección. Esperamos veros dentro de dos semanas otra vez por aquí y todos los días en las publicaciones de Seguridad Apple que traemos para vosotros.

sábado, 19 de marzo de 2016

El culpable del Celebgate admite el phishing e irá a prisión

Un hombre en Pensilvania fue acusado del hackeo a las famosas, el famoso caso Celebgate que destapó información privadas, como fotografías, de las famosas de Hollywood. El hombre admitió que robó a más de 100 celebrities, extrayendo de sus cuentas de iCloud fotografías comprometedoras y otro tipo de información privada. El Fiscal Federal para el Distrito Central de California comentó que Ryan Collins de 36 años llevó a cabo ataques con un esquema de phishing entre los meses Noviembre de 2012 y Septiembre de 2014

El fiscal también comentó que el culpable robó nombres usuarios y contraseñas de al menos 50 cuentas de iCloud y 72 cuentas de Gmail, según fuentes de NBC News. Una vez se hacía con las contraseñas de estos servicios entraba y extraía el contenido, por ejemplo, de iCloud ya que las celebrities tenían el backup del dispositivo subido a la nube, y por supuesto no tenían un 2FA.  Esto, a día de hoy se puede hacer con muchas herramientas, como por ejemplo iLoot.

Figura 1: Listado (parcial) de famosas afectadas en el Celebgate

El fiscal comentó que el hecho de acceder ilegalmente a detalles íntimos de la vida de las personas hizo que el culpable se enfrente a un delito grande. A día de hoy se siguen viendo a las celebrities y puede encontrarse algún tipo de material, aún, en Internet. El daño a la imagen que provocó el delincuente es grande y ahora le tocará paga, añadió David Bowdich, director a cargo de la oficina de Los Ángeles del FBI.

En su explicación también volvió a resaltar la importancia de que los usuarios de dispositivos conectados a Internet refuercen sus contraseñas y utilicen un Verificación en dos pasos en Apple o Segundos Factores de Autenticación para evitar la mayoría de estos casos, aunque no son los únicos mecanismos de protección a tener en cuenta, tal y como se ha visto en el caso de los robos de tokens OAuth. En el siguiente vídeo nuestro compañero Chema Alonso hace un ejemplo de cómo se hacían estos ataques.


Figura 2: Ejemplo de ataque al backup de Apple iCloud

Hay documentos presentados que muestran cómo Collins enviaba mensajes de correo electrónico a sus víctimas, con e-mails similares a los de Apple y Google. De esta forma hacia que las víctimas le entregasen las contraseñas. Esta historia se hizo totalmente mediática cuando las fotografías de las famosas aparecieron en Internet. Al principio, se pensó en que iCloud pudo ser hackeado, pero posteriormente, y como se puede comprobar ahora, no fue así. Ryan Collins se ha declarado culpable de un cargo de acceso no autorizado a un equipo protegido con el objetivo de conseguir información. La pena de prisión será de 5 años. Los fiscales recomendaron una sentencia de 18 meses, según el informe.

viernes, 18 de marzo de 2016

AceDeceiver: Un nuevo tipo de malware en iOS

Un nuevo tipo de malware de iOS ha sido descubierto. El malware explota defectos en el diseño de la gestión de derechos digitales por parte de Apple. A diferencia de la mayoría de cepas de malware en iOS, el llamado AceDeceiver funciona en los sistemas iOS sin Jailbreak. Ha sido descubierto por el investigador Claud Xiao de Palo Alto Networks. El malware se encontró en el interior de 3 aplicaciones de la AppStore y se encontraba robando Apple ID y contraseñas. Apple ha eliminado las apps de la AppStore esta semana.

La técnica utilizada por el malware se ha denominado como FairPlay Man in the Middle y permite instalar aplicaciones pirateadas en iPhone desde 2013. Los usuarios que querían software pirata tienen un código de autorización para una aplicación legítima, como exige el protocolo FairPlay. Estos códigos son solicitados por los dispositivos iPhone desde iTunes para probar que la aplicación que fue comprada. Los piratas utilizaron software para PC, el cual se hizo pasar por un cliente de iTunes para que se pudiera almacenar y enviar códigos de autorización para aplicaciones. Estos códigos podrían ser utilizados para engañar con eficacia a un dispositivo iOS. Entonces ellos podrían instalar aplicaciones en tantos dispositivos quisieran.

Figura 1: Esquema del ataque

Un atacante o grupo de atacantes adoptaron esta técnica con AceDeceiver. Para el cliente fake de iTunes utilizaron una herramienta popular llama Aisi Helper Windows, que se ejecuta en el sistema operativo de Microsoft, pero no había sido utilizada previamente para este tipo de propósitos. Cuando los usuarios descargan Aisi, el sistema intentará automáticamente descargar el malware de la AppStore y la instalará automáticamente en los dispositivos iOS adjuntos. No se requiere confirmación por parte del usuario.

Una vez que se conseguía instalar apps los atacantes comenzaron con el desvío de información de los usuarios infectados. La información robada eran Apple ID y contraseñas. Apple ha eliminado las aplicaciones de la tienda después de que Palo Alto Networks enviara un informe en Febrero con la noticia. La firma de seguridad recomienda que cualquier persona que instaló Aisi y aplicaciones iOS a partir de Marzo del año 2015 las quite. Además, se debe cambiar las credenciales, ya que pueden haber sido robadas. Si no se tiene un 2FA para la cuenta de Apple, también se recomienda ponerlo.

No está claro cuantos infectados puede haber con AceDeceiver, a pesar de que todas las víctimas están en China, según comentó Palo Alto. El investigador Xiao afirmó que las técnicas utilizadas por el programa malicioso podrían ser reutilizadas fácilmente. No está claro si Apple puede detener los ataques utilizando el bypass FairPlay. Seguramente en los próximos días se publicarán más detalles o, incluso, algún nuevo malware que se aproveche de este tipo de técnicas.

jueves, 17 de marzo de 2016

Hoy comienzan las Eleven Paths Talks: Firma biométrica

Hoy, 17 de Marzo, da comienzo la serie de webcast con temática de seguridad que los CSA de ElevenPaths impartirán. La duración de los webcast será de, aproximadamente, unos 30 minutos. Estos 30 minutos se dividirán en 25 minutos de exposición por parte del ponente y unos 5 minutos de preguntas y respuestas. El horario de impartición de los webcast son las 15.30 (GMT+1). La mayoría de las sesiones que se ofrecen a través de Hangout, y a las que podéis registraros a través del siguiente enlace, se llevarán a cabo en español, aunque habrá algunas sesiones en inglés y otras en portugues. 

Cómo se mencionaba anteriormente, las sesiones serán grabadas a través de Hangout, para que la gente que no pudo asistir en directo puedan disfrutar de ellas a través del canal de ElevenPaths en Youtube. No pierdas la ocasión de saber que es lo que está ocurriendo en el mundo de la seguridad informática y de todo lo que llegará en breve de la mano de nuestros CSA

Figura 1: Todo preparado para ElevenPaths Talks

A continuación os dejamos un listado de ponencias o webcast que serán los que se realicen, y que cómo se puede ver comienzan hoy con la participación de Rames Sarwat:
  • 17 de Marzo de 2016. Firma biométrica en el ámbito sanitario por Rames Sarwat.
  • 24 de Marzo de 2016. Equipo de Respuesta ante Emergencias Informáticas (CERT, del inglés Computer Emergency Response Team) por Leonardo Huertas.
  • 31 de Marzo de 2016. Comprendiendo la seguridad en redes industriales por Claudio Caracciolo.
  • 7 de Abril de 2016. Metodologías de testing de seguridad por Gabriel Bergel.
  • 14 de Abril de 2016. Latch en IoT por Jorge Rivera.
  • 21 de Abril de 2016. Gestión de seguridad en las organizaciones por Leonardo Huertas.
  • 28 de Abril de 2016. Big Data en portugues por Leandro Bennaton.
  • 5 de Mayo de 2016. Big Data en español por Leandro Bennaton.
  • 12 de Mayo de 2016. The ISF Standard of Good Practice for Information Security por Sebastian.
  • 19 de Mayo de 2016. Defensa en profundidad por Claudio Caracciolo.
  • 26 de Mayo de 2016. DeepWeb por Leonardo Huertas.
  • 2 de Junio de 2016. Introducción a OWASP por Sebastian.
  • 9 de Junio de 2016. Análisis de riesgos por Gabriel Bergel.
  • 16 de Junio de 2016. SealSign en IoT por Jorge Rivera.
  • 23 de Junio de 2016. ¿Las contraseñas desaparecerán? por Claudio Caracciolo
Os esperamos a todos, recuerda a las 15.30 (GMT+1) comenzamos el 17 de Marzo y puedes registrarte en el siguiente formulario. Recuerda que a posteriori podrás visualizar los webcast en nuestro canal de Youtube.

miércoles, 16 de marzo de 2016

Apple, Facebook, Google y WhatsApp deciden fortalecer más la seguridad de los datos de usuario

El caso de Apple y el FBI da para mucho y por supuesto que hay consecuencias. Tras ver el apoyo que las grandes empresas tecnológicas daban a Apple, ahora éstas deciden fortalecer la seguridad de los datos de usuario, incluida la propia Apple. WhatsApp por su lado, está configurado y preparado para desplegar el cifrado en sus llamadas de voz, mientras que Google está investigando usos adicionales para el cifrado de correo electrónico. Mientras que Apple sigue con su batalla con el gobierno de los Estados Unidos sobre el cifrado y el desbloqueo del iPhone del tirador de San Bernardino, las principales compañías expanden el cifrado de los datos del usuario en sus servicios.

Facebook por su lado, se encuentra inmerso en un proceso para mejorar la protección de su servicio Messenger. El popular servicio Snapchat también se encuentra viendo fórmulas con las que mejorar la confidencialidad y privacidad de sus usuarios. Apple, que está a la espera de lo que diga el Tribunal, ha acusado al Departamento de Justicia de tratar de ensuciar a la compañía con sus reclamaciones. Parece que Apple teme la resolución del Tribunal dónde, incluso, se habla de que podrían tener que entregar el código de iOS

Figura 1: Departamento de Justicia de los Estados Unidos

Por otro lado, el consejero general de Apple Bruce Sewell indica que el tono de acusación del Departamento de Justicia es claro. Bruce también añadió que todo el mundo debe tener cuidado, ya que parece que no estar de acuerdo con el Departamento de Justicia significa ser anti-estadounidense y que nada podría es más lejos de la realidad. Los fiscales alegan que los propios datos de Apple muestran que China exigió información a Apple con respecto a más de 4000 dispositivos iPhone en el primer semestre de 2015. Respecto a esto Bruce indicó que estas afirmaciones eran erróneas. De nuevo todo hace indicar que este es un capítulo más de la guerra entre el gobierno americano y Apple. En los próximos días seguro que tenemos nuevas noticias.

martes, 15 de marzo de 2016

KeRanger es una reescritura de la versión para Linux

El ransomware de OS X que comentamos la semana pasada sigue de actualidad. Las noticias siguen publicándose rápidamente. La semana pasada hablábamos que KeRanger podría tener un bug que podría permitir a los usuarios recuperar sus archivos, según informaban investigadores de la empresa BitDefender. Las últimas noticias sobre el ransomware de OS X indican que es una re-escritura de Linux.Encoder, un malware de Linux

De acuerdo con especialistas de BitDefender, la actualización infectada llevaba una versión idéntica a la 4 de Linux.Encoder. Los investigadores indicaron que una vez se ejecutaba el instalador infectado, el troyano se conectaba al C&C a través de la red TOR y recuperaba una clave de cifrado. Una vez que se finalizaba el cifrado, el ransomware creaba un archivo llamado README_FOR_DECRYPT.txt, el cual contenía la información sobre cómo la víctima debía pagar el rescate. Las funciones de cifrado son idénticas a las desplegadas por el malware Linux.Encoder, teniendo incluso los mismos nombres.

Figura 1: Readme_for_decrypt de KeRanger

La versión de Linux no es antigua, ya que fue vista por primera vez hace 6 meses. Antes de esto, los ransomware era una preocupación para usuarios de Windows y Android. Como se puede ver, y debido a la cuota de mercado que va ganando Apple, los ransomware pueden empezar a ser una preocupación para los usuarios de este sistema. Apple ya tiene la firma del ransomware, por lo que no se podrá ejecutar dicho malware, pero durante unos días el malware pudo ser ejecutado y afectar a diversos usuarios de la empresa de Cupertino.

lunes, 14 de marzo de 2016

iOS 9.3 beta 6 y nuevas versiones de OSX & WatchOS

Apple ha aprovechado esta semana para lanzar nuevas betas de sus productos. En el caso de iOS 9.3 es la sexta que se lanza, sin dejar en el olvido a los usuarios de WatchOS y su versión 2.2. Por último, también se liberó la versión beta de OS X El Capitan 10.11.4. Estas versiones son exclusivas para desarrolladores, y se sospecha que pronto tendremos estas versiones para todos los usuarios. La sospecha se sustenta en el alto número de betas y el tiempo que llevamos esperando la versión 9.3 de iOS.

Apple lanzó estas versiones durante el desarrollo de la semana pasada. Apple había liberado una nueva versión de AppleTV recientemente, y queda claro que pronto tendremos novedades importantes en lo que se refiere a iOS y a OS X.

Figura 1: Menú ajustes en la versión beta 6 de iOS 9.3

iOS 9.3 añade una serie de características tales como el modo de turno de noche, las notas seguras y el acceso directo a través de Touch 3D. También llevará a cabo capacidades dirigidas a las escuelas y las empresas, como una aplicación para los profesores y un mayor control sobre las aplicaciones y pantallas de inicio. La versión de OS X 10.11.4 incluye una serie de nuevas características, como son las notas cifradas y soporte para mostrar el iPhone 6S. También se parchea un error relacionado con la apertura de enlaces en Twitter.

sábado, 12 de marzo de 2016

Pangu libera Jailbreak para iOS 9.1 para Windows y OS X

Pangu acaba de lanzar la versión actualizada de su herramienta de Jailbreak, la cual ahora es capaz de hacer jailbreak untethered de iOS 9.1. La herramienta actualizada ha sido liberada para sistemas Windows y Mac. En este momento Pangu 1.3.0 puede hacer Jailbreak a las versiones 9.1 de iOS que tienen procesadores de 64 bits. Obviamente, esto incluye a los modelos de iPhone como iPhone 6S, iPad Pro, iPad Air 2, etcétera.

Muchos usuarios de iOS estaban esperando que la herramienta fuera liberada para hacer jailbreak  a la versión de iOS 9.2.1, pero esto de momento no será así. En este momento en el que nos encontramos, la mayoría de los usuarios han actualizado a la última versión de iOS y están esperando un jailbreak que pueda ser utilizado con dicha versión. 

Figura 1: Anuncio de la nueva versión de Pangu para Windows y OS X

A pesar de que es un acto positivo realizado por el equipo de Pangu, muchos usuarios esperan más, aunque los que tienen la versión 9.1 de iOS están contentos, ya que pueden hacer jailbreak en cualquier momento. La nueva versión de Pangu se puede descargar para Windows y para Mac.

viernes, 11 de marzo de 2016

KeRanger tiene un bug que podría permitir a los usuarios recuperar sus archivos

Comenzamos la semana hablando de KeRanger, el primer ransomware para los sistemas OS X, y que la semana pasada afectó a los usuarios de Transmission y la versión 2.90. Según los investigadores KeRanger se encuentra basado en Linux.Encoder un ransomware defectuoso que está dirigido a los servidores web que ejecutan Linux. KeRanger contiene defectos de cifrado que podría permitir a los usuarios recuperar sus archivos sin tener que hacer el pago que los delincuentes quieren que las víctimas hagan.

De acuerdo con los investigadores de la firma Bitdefender, el malware KeRanger se basa en otro llamado Linux.Encoder que apareció por primera vez en noviembre dirigido a sistemas Linux. Las tres primeras versiones de este ransomware tenía fallos criptográficos que permitían a investigadores crear herramientas que podían ser utilizadas para descifrar los archivos afectados. KeRanger fue encontrar el 4 de Marzo en el sitio web oficial del popular cliente de BitTorrent. Los atacantes habían comprometido el servidor y sustituido el instalador para la versión 2.90.

Figura 1: Notificación de Transmission sobre los riegos de la versión 2.90

El instalador fue firmado con un certificado de desarrollador legítimo de Apple, el cual había sido otorgado a una sociedad turca. El certificado fue revocado por Apple a los pocos días. La actualización de Transmission infectada se ve prácticamente igual a la versión 4 del malware Linux.Encoder, el cual infectó miles de equipos desde el comienzo del 2016. Lógicamente hay diferencias, ya que KeRanger está orientado a OS X. Según los investigadores la versión 4 de Linux.Encoder tiene los mismos defectos criptográficos que las versiones anteriores, lo que significa que la aplicación de cifrado de KeRanger también se puede romper. Aún no se ha publicado una herramienta de descifrado de los archivos afectados, pero se realizará si hay demanda de ello, según afirma Bitdefender.

jueves, 10 de marzo de 2016

Apple puede descifrar datos de tu backup de iCloud pero no en iTunes. Eso lo tienes que hacer tú (o el FBI)

Viendo las últimas noticias sobre el tema del cifrado en Apple y el FBI, esta noticia será del interés de muchos usuarios de iPhone o iPad. Se sabe que Apple puede descifrar algunos datos de una copia de seguridad de iCloud, y sabiendo esto los usuarios que más se preocupan por su privacidad pueden optar por copias de seguridad cifradas y almacenadas localmente. Hay dos formas de hacer copias de seguridad de iPhone e iPad, una a través de iCloud y la otra es localmente a través de iTunes.

Apple ha admitido que puede descifrar las copias de seguridad de iPhone e iPad almacenadas en sus servidores. Esta es una distinción importante, ya que Apple no puede descifrar un passcode para un iPhone 5S o posterior, gracias al cifrado hardware que tienen estos dispositivos. La única manera que Apple, o las autoridades, tienen para potencialmente acceder a los datos de un usuario es si optan por la copia de seguridad de forma remota, a través de su iCloud

Figura 1: Resumen del dispositivo

Si un usuario quiere enfocar la máxima seguridad y a la vez la máxima privacidad en sus backup debe optar por copias de seguridad locales a través de iTunes, mediante la opción de seguridad cifrada de Apple. Este proceso es sencillo:
  1. Conectamos el dispositivo iOS al ordenador y abrimos iTunes.
  2. Abrimos el menú de Resumen.
  3. En el apartado copias de seguridad marcamos la casilla que indica cifrar copia de seguridad del iPhone, y por supuesto indicamos una contraseña robusta. 
Figura 2: Preferencias del dispositivo
Atacar un backup de iTunes es un proceso lento y costoso en tiempo que puede llevar años si la contraseña es compleja. En el libro de hacking iOS se explican algunos mecanismos para romper estas claves como por ejemplo IGPRS o la popular herramienta comercial ElcomSoft Phone Password Breaker.

Figura 3: ElcomSoft Phone Password Breaker

Además, las copias de seguridad cifradas en iTunes también almacenan los datos que las copias de seguridad tradicionales no hacen, es decir, se incluyen contraseñas guardadas, ajustes WiFi, historial web o datos de salud. El principal problema de las copias de seguridad de iTunes es la comodidad, mientras que las copias de seguridad de iCloud se pueden automatizar todas las noches durante la carga del dispositivo, por ejemplo, las copias locales cifradas requieren que el dispositivo se encuentre físicamente conectado al ordenador.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares