Las características de seguridad que ofrece el chip T2 de Apple ¿el fin de los Hackintosh?

Apple ha sorprendido recientemente con la aparición de nuevos modelos de su gama Macbook Pro, tanto el modelo de 13 pulgadas así como el de 15. Una de las características, aparte de las anunciadas por Apple es la inclusión del chip T2. Hasta ahora, este dispositivo sólo estaba disponible en los modelos iMac Pro. Esto es una buena noticia ya que este chip tiene grandes prestaciones orientadas a la seguridad como ahora veremos.

El T2 es la evolución tecnológica del chip T1, el cual ya venía incorporado en los modelos MacBook Pro de la generación anterior y que entre otras funciones, se encargaba de autenticar y asegurar el Touch ID y el Apple Pay. Esta nueva generación T2 además gestiona las señales de imagen, el audio, la controladora de los discos SSD, etc. 

Figura 1. Detalle del chip T2 de Apple. Fuente.

Pero además permite entre otras funciona cifrar el contenido del disco SSD con AES, lo que significa tener el disco totalmente cifrado sin que esto supongo una bajada de rendimiento del mismo al realizarse todo el proceso de cifrado por hardware. Por otro lado, la función Secure Boot gestiona que no se pueda arrancar de otra forma que no sea a través de un sistema operativo de Apple conocido y válido usando claves únicas de 256 bits.

El T2 APL1027 es un chip ARMv7 fabricado específicamente por Apple, algo que ya llevaba haciendo en otros dispositivos como por ejemplo el iPad. De hecho, el T2 es una modificación de los chips serie A que ya vienen incluidos con los dispositivos iOS. Aún no existe información detallada de las características internas del funcionamiento interno de este chip.

Figura 2. Detalle del chip T2 en la placa del nuevo MacBook Pro, recuadro naranja. Fuente.

Al utilizar por hardware funciones internas del sistema y estar totalmente integrado con el sistema operativo, sería capaz de identificar si este se está ejecutando realmente en un MacBook Pro. Es decir, podrá detectar ordenadores Hackintosh los cuales no utilizan hardware nativo de Apple. Si el sistema operativo requiere validación del T2, se podría diseñar de forma que fuera capaz de no ejecutarse en ordenadores que no fueran los fabricados por la marca de la manzana. 

Backdoor.OSX.Morcut: El retorno de HackingTeam a OSX

La semana pasada el investigador Patrick Wardle  publicó un análisis de una backdoor utilizada por el Hacking Team y que al parecer sigue viva. Recordando que la gente de Hacking Team fabricó malware bajo demanda puede que haya muchos componentes aún por explorar que tengan una doble cara. La investigación llevada a cabo por Wardle demuestra que un software específico utilizaba el método de cifrado, que él mismo indicó en BlackHat el año pasado para mejorar el malware en OS X. 

La puerta trasera recibía las instrucciones a través de un payload o archivo de configuración que se encontraba cifrado. Al final el archivo no era más que un JSON. Con el objetivo de descifrar el archivo de configuración, Wardle hizo diferentes pruebas, pero tuvo que recurrir al reversing para identficar la función utilizada para cifrar y descifrar. El cifrado era AES 128. Wardle localizó la inicialización de la rutina de cifrado, dónde la clave se pasa como argumento. Una vez se consiguió la clave se tuvo más información.

Figura 1: Función de descifrado

La clave es de 32 bytes de longitud, siendo los primeros 16 los que se utilizan como clave. Mediante el uso de esta clave se descifra el archivo, que cómo se comentó anteriormente es un JSON. Este fichero lleva las instrucciones sobre las que se apoya la backdoor para operar en la máquina OS X.

¿Qué hace la backdoor? Se puede realizar capturas de la pantalla del equipo, además, de sincronizarse con un servdor situado en Reino Unido para enviar información de la máquina infectada. La información que es enviada va desde aplicaciones instaladas localmente, entradas en la libreta de direcciones, calendario, eventos y llamadas. OS X permite a los usuarios de iPhone hacer las llamadas desde el equipo cuando ambos están conectados a la misma red WiFi. Además, la grabación de video y audio.

Figura 2: Análisis del instalador en VirusTotal

Hay un detalle curioso en el fichero JSON que indica que el inicio de la fecha de operación es el 16 de Octubre de 2015. Esto indica que se trata de una backdoor fresca. Por alguna razón, el atacante no estaba interesado en cualquier correo electrónico enviado desde o hacia el objetivo antes de esa fecha. Solo se buscaban correos a partir de dicha fecha. El nombre que ha recibido por las casas de antivirus esta muestra es Backdoor.OSX.Morcut y Trojan-Dropper.OSX.Morcut.d.

PhotoCrypt e Image Crypt: Cifrado AES de fotos en OS X

De vez en cuando, cuando el tiempo nos lo permite, revisamos el contenido de la Mac App Store en busca de herramientas de seguridad  que sean curiosas o nuevas y que puedan estimularnos mentalmente o ayudarnos en nuestro día a día. En una de esas últimas revisiones de la tienda encontramos las utilidades PhotoCrypt e ImageCrypt, un par de herramientas para OS X que son básicamente la misma solución pero en version Lite o gratuita y completa o de pago y que permiten proteger archivos de formatos de imagen usando un algoritmo de cifrado AES con una clave, que puede ser de longitud variable de 1 a 16 caracteres.

Tras descargar PhotoCrypt, la versión gratuita, probamos con un archivo PNG, en concreto la foto que contaba la noticia del uso de Windows para hacer MacBook. La usabilidad es extremadamente sencilla y puede verse que más o menos el archivo queda irreconocible al ojo.

Figura 1: Uso de PhotoCrypt en OS X. Foto sin cifrar y foto cifrada.

Sin embargo, al probar con diferentes contraseñas de diferentes tamaños se puede ver como en algunas fotografías se pueden ver los contornos o formas de los objetos que están en la fotografía. Esto es porque el cifrado del archivo se hace con la contraseña pero con fragmentos de la fotografía, así que si hay zonas que son más o menos iguales, acabarán dando resultados gráficos más o menos iguales.

Figura 2: La misma imagen cifrada con dos contraseñas distintas

Desde luego, no es lo mejor cuando se quiere proteger un contenido, ya que un atacante podría reconocer un color en un pixel y hacer un ataque de fuerza bruta al sector de la fotografía cifrado con esa clave y probar todas las combinaciones de passwords de 1 a 16 caracteres - o al menos una gran parte de ellos - para sacar la original. Dicho esto, para una protección del día a día puede que sea más que suficiente.

Figura 3: ImageCrypt en la Mac App Store

La versión completa de la app, llamada ImageCrypt, viene acompañada con el soporte de un número mayor de formatos, solo por si fuera una solución útil para ti.

AESCrypt for OS X: Cifrar volúmenes con AES en OS X

El tema de la criptografía está de moda en el mundo de la seguridad debido a la inquietante noticia de TrueCrypt. Uno de los misterios del mes, que continua con el anuncio desde el grupo de Suiza que se va a hacer cargo de él. La herramienta que tratamos hoy es una de las que comentamos ayer como alternativas a TrueCrypt para OS X, llamada AESCrypt para OS X la cual proporciona para OS X una interfaz gráfica y una tool de línea de comandos.

Figura 1: Opciones de aescrypt

La línea de comandos proporciona opciones para cifrar y descifrar archivos o volúmenes, por ejemplo DMG, mediante el uso de una contraseña o un archivo de clave. Su sintaxis como se puede visualizar es bastante sencilla.

La herramienta dispone de otro componente software que es la GUI. Esta interfaz se debe instalar por separado y se puede obtener desde el sitio web de AESCrypt. La interfaz propone un contenedor dónde se puede fácilmente cifrar archivos mediante el uso de una contraseña o mediante el uso de un keyfile.

Figura 2: Interfaz de aescrypt

Nosotros hemos tenido algún problema para ejecutar la GUI en la última versión de OS X Mavericks, por lo que se recomienda que si se tiene que utilizar la herramienta se haga a través de la línea de comandos.

Como curiosidad indicar que existe compatibilidad con plataformas PowerPC, por lo que la aplicación puede ser utilizada en versiones antiguas de equipos Mac. Además, tal y como se puede ver en la imagen existe una versión para el sistema operativo iOS, lo cual es interesante para proteger los documentos importantes, o por ejemplo los adjuntos del correo electrónico.

Figura 3: AES Crypt para descarga

Para cifrar archivos con la herramienta a través de la línea de comandos se recomienda copiar el binario en la ruta /usr/local/bin, la cual pertenece a la variable de entorno $PATH. Ahora podemos utilizar el binario desde el terminal sin necesidad de invocarle desde la ruta dónde se encuentre descargado. La sintaxis es sencilla aescrypt -e -p XXX , dónde el significado de los parámetros se indica a continuación:

• -e representa la acción de cifrar, encrypt. 
• -p indica la contraseña que se quiere utilizar para cifrar el archivo con AES. 
• -k en vez de utilizar una contraseña se puede utilizar un keyfile.

Figura 4: Cifrar archivos

Ahora, y para comprobar que podemos recuperar la imagen que acabamos de cifrar, eliminamos mediante el uso del comando rm la imagen sin cifrar. Mediante el uso de la sintaxis aescrypt -d, se solicita la clave con la que se generó la key con la que se cifró el fichero. Una vez descifrado el archivo, se vuelve a tener un archivo idéntico al original.

Figura 5: Descifrar archivos

Antes de cerrar el artículo de hoy queríamos mostrar el contenido del fichero de la imagen cifrada. Como se puede visualizar la cabecera muestra que es un archivo de tipo AES. Es más, se puede ver que no es una imagen cuando se ejecuta la aplicación file sobre el nombre del fichero.

Esta imagen nos permite visualizar que el cifrado se realiza sobre toda la imagen, y que si olvidamos la clave con la que se cifró, no podríamos recuperar la imagen original, por lo que se recomienda que utilicemos contraseñas que podamos recordar.

Figura 6: Archivo cifrado con AES

Se recomienda el uso de este tipo de aplicaciones para proteger nuestros documentos más privados, y de este modo conseguir que en caso de que nuestro sea comprometido la información siga siendo inaccesible. En muchas ocasiones, protegemos el sistema con cifrado de disco, pero éste no nos valdrá si vulneran el equipo estando esté encendido. Por otro lado, si nos protege si nos robasen el equipo, ya que al estar apagado no se podría acceder a archivos de disco.

El tipo de cifrado que presentamos aquí aplican una capa de seguridad, o de paranoia según como se mire, a la información que albergamos en nuestro disco. Es totalmente recomendable utilizar un cifrado de disco, y después para archivos más importantes o muy críticos un cifrado a nivel de archivo.