Zombieload: Una nueva vulnerabilidad que afecta a los chips de Intel posteriores a 2011

Los investigadores han descubierto un nuevo set de vulnerabilidades que afectarían a los chips fabricados por Intel a partir del año 2011, incluyendo algunos de los chips que ha utilizado Apple durante los últimos años en sus dispositivos. Este conjunto de vulnerabilidades ha recibido el nombre de ZombieLoad y se basa en cuatro bugs que permitirían a los ciberdelincuentes extraer información sensible directamente desde el procesador. Tras analizar estas vulnerabilidades a fondo se ha podido comprobar que son tan serias como Meltdown o Spectre, de las cuales ya os hablamos hace unos meses en el blog.

En este caso las vulnerabilidades también se aprovechan del mismo proceso que las dos anteriormente mencionadas, un proceso diseñado para acelerar el funcionamiento y el procesamiento de datos en los dispositivos. En un whitepapper publicado por varios investigadores entre los que se encuentran algunos de los que trabajaron en su día para frenar Spectre y Meltdown se explica con detalle cómo funciona ZombieLoad, también se ha añadido una demo en YouTube que muestra su capacidad de espiar lo que estás haciendo en tu ordenador además de su facilidad a la hora de robar contraseñas. Por suerte para todos, Daniel Gruss, uno de los descubridores de ZombieLoad ha asegurado que aunque esta vulnerabilidad sea más fácil de explotar que Spectre se necesitan una serie de conocimientos avanzados para ello lo que reduce bastante el riesgo de un ataque.

Figura 1: Intel afectado por ZombieLoad

Zombieload afecta a todos los chips Intel a partir de 2011, sin embargo los chips AMD y ARM no se encuentran afectados. Por el momento no se han conocido casos en los que se haya usado ZombieLoad para realizar ataques e Intel ya ha lanzado un micro-código para proteger los procesadores afectados. Apple también ha lanzado un parche para esta vulnerabilidad en su actualización para macOS Mojave 10.14.5 y versiones anteriores, además ha añadido un documento en su página de soporte en el que se explica cómo pueden proteger sus equipos aquellos usuarios que utilicen software que no sea de confianza en su Mac. Según Intel la actualización de micro-código lanzada puede afectar en el rendimiento de sus procesadores, pero no será notable para aquellos equipos que estén corriendo macOS Mojave 10.14.5.

Nuevas patentes de Apple orientadas a las cerraduras de vehículos nos ofrecen pistas del proyecto Titán (Apple Car)

Apple es una máquina de crear patentes. Y no es la única, de hecho es la empresa número 9 (según un listado de 2018 para EEUU) dentro del ranking el cual lidera IBM. Google está la número 11 y entre las diez más activas podemos encontrar a Intel (número 4) y Samsung (número 2). Las patentes, además de ser una herramienta para reconocer la autoría de una tecnología y evitar que otros usen la idea sin obtener beneficio, también nos ofrecen pistas sobre los futuros proyectos que están desarrollando algunas de estas empresas. 

De hecho, la U.S. Patent and Trademark Office ha publicado oficialmente hace unos días, 59 nuevas patentes para Apple Inc. Entre ellas encontramos algunas orientadas a la seguridad de las cerraduras en las puertas en vehículos de transporte, es decir, parece que están centradas en su proyecto Titán el cual tiene como objetivo poner en el mercado un vehículo autónomo para 2025. Otras patentes nos ha ofrecido algunos detalles en el pasado como por ejemplo parabrisas con realidad aumentada o un sistema inteligente para las luces del vehículo. 

Figura 1. Captura de la patente. Fuente. 

Las publicadas ahora nos muestran que Apple se está centrando en cómo desbloquear, arrancar y abrir el maletero utilizando un iPhone o el Apple Watch, a través de un llavero virtual con las claves cifradas, en vez de llevar las típicas llaves de coche. La idea principal es reemplazarlas por los dispositivos mencionados, los cuales llevamos en la muñeca o el bolsillo del pantalón. Esto no es realmente algo nuevo, Tesla permite a sus clientes mover sus vehículos con la espectacular orden "summon" utilizando el smartphone y otros como GM parece que también están trabajando en este campo.

Figura 2. Captura de la patente donde se indican la posición de los sensores para iPhone y Apple Watch. Fuente.

De todas formas, lo que Apple a patentado es un paso más allá, ya que tanto GM como Tesla siguen dependiendo de la llave de coche y Apple pretende eliminarla completamente. Además, ofrece más seguridad, ya que las llaves tradicionales utilizan señales magnéticas para la comunicación con el coche y estas señales pueden ser interceptadas. Apple parece que tiene una solución para esto, ya que el dispositivo, ya sea un Apple Watch o un iPhone, podrá almacenar una clave cifrada (simétrica o asimétrica) la cual puede ser cifrada o descifrada por el dispositivo y de esa forma autenticar el vehículo.

Una buena estrategia para incorporar sus dispositivos dentro del ecosistema del futuro Apple Car y de paso eliminar las típicas llaves de arranque. De momento esto son sólo patentes, aún tenemos que esperar un poco para ver las primeras imágenes del esperado coche autónomo de Apple.

El proyecto olvidado Star Trek: cuando Apple y Novell se unieron para portar las aplicaciones Mac a Intel ... en 1985

Es habitual pensar que el salto de Apple de PowerPC a Intel ocurrió con el Mac OS X en 2005. Pero la realidad es que ya en 1985, poco después de que Steve Jobs "dejara" la empresa, ya comenzaron algunos movimientos internos para conseguir exportar aplicaciones Mac OS a la arquitectura x86. Pero aún pesaba la sombra de Jobs que era totalmente contrario a esta operación, así que no fue hasta varios años después, en 1992, cuando su sucesor y némesis, John Scully, resucitó el proyecto.

Microsoft Windows 3.1 apareció ese mismo año, en 1992 y se convirtió rápidamente en un producto estrella en el mercado informático. Además de ser una amenaza para Apple, ofreciendo un sistema operativo basado en una interfaz gráfica (igual que el Mac OS, lo que enfadó y mucho a Jobs tal y como ya contamos en su día aquí), también lo era para la empresa Novell. Windows y sobre todo el futuro Windows NT eran una auténtica amenaza para el producto NetWare, el cual tenía el monopolio de las redes de ordenadores.

Figura 1. Consola de administrador para Novell Netware 3 (1998). Fuente. 

El presidente de Novell, Darrell Miller, hizo una propuesta al CEO de Apple de la época, John Scully, para portar las aplicaciones Mac OS a la arquitectura x86 de Intel. Al principio, Scully no estaba mucho por la labor, él pensaba que el futuro del negocio de Apple no pasaba por el hardware (fabricar ordenadores) y quería centrarse sólo en software. Pero finalmente también llegó a la conclusión que sería una buena forma de llevar ese software fuera de la arquitectura Apple y expandir fronteras. Además también tenían el apoyo del CEO de Intel, Andy Grove, el cual también veía una amenaza en Microsoft y sus productos.

Figura 2. Steve Jobs, John Scully y Steve Wozniak presentando el Apple IIc en 1984 en San Francisco. Fuente.

Así que un día de San Valentín de 1992 nació el proyecto llamado Star Trek con su eslogan "Star Trek: para ir audazmente hacia donde ningún Mac OS ha llegado antes", formado por ingenieros de Apple y Novell. El objetivo era portar aplicaciones (y el Mac OS) al 486 de Intel con una fecha de entrega el día de Halloween de ese mismo año, en octubre. La tarea no fue fácil, prácticamente todo el Mac OS estaba programado directamente en ensamblador 680x0 entre otras cosas para que fuera lo más rápido posible y ocupar el mínimo de espacio. Por lo tanto, todo ese código no se podía exportar directamente a 486 así que habría que reescribirlo desde cero (otras partes fueron mas sencillas de exportar al estar programadas mayoritariamente en Pascal). En el siguiente video, uno de los integrantes del equipo Star Trek, Tom Rolander (de Novell) , nos explica detalles de la demo que estaban creando:

Finalmente cumplieron los plazos de entrega y el 1 de diciembre de 1992 tuvieron la primera demo totalmente funcional del producto. Para los directivos de Apple era realmente alucinante ver como programas como el clásico Finder o incluso programas comerciales como QuickDraw o QuickTime se podían ejecutar perfectamente en un PC con un microprocesador Intel. Lamentablemente, John Scully terminó su carrera en Apple justo en mitad del proyecto y el nuevo CEO, Michael Spindler, no tenía muchas ganas de continuar con él (estaban centrados más en el System 7 para los PowerPC). Así el proyecto fue cancelado y ya no se vería algo como ejecutar aplicaciones Mac en un Intel hasta que Apple compró NeXT en 1996, justo en la llegada de nuevo de Steve Jobs a Apple. Finalmente en junio de 2005, Jobs anunció el cambio de plataforma PowerPC a Intel.

Más de 30 vulnerabilidades parcheadas con macOS 10.13.5 y el Security Update 2018-003

Con la llegada de macOS High Sierra 10.13.5 la semana pasada Apple ha proporcionado, principalmente, soporte para Messages en iCloud, pero, también, se ha incluido algunas actualizaciones de seguridad. Recomendamos la actualización lo antes posible de los sistemas, si aún no lo has actualizado, lo tienes disponible en la Mac App Store. Messages en iCloud ha sido trabajado por Apple durante bastante tiempo, y han aparecido en versiones beta de software. Se ha agregado en iOS 11.4 a principios de la semana anterior y también es compatible con Mac. Las posibilidades que esto ofrece son enormes y la sincronización cobra un nuevo nivel entre tus dispositivos.

La actualización del sistema operativo a la versión 10.13.5 de Apple, trae otras actualizaciones y mejoras de rendimiento, pero no hay que dejar de lado la seguridad, la cual también ha sido corregida, parcheando diferentes vulnerabilidades que afectaban a la confidencialidad e integridad de los datos. Para poder habilitar Messages en iCloud, se puede hacer desde el panel de preferencias en Messages, en el panel de cuentas. 

Figura 1: Actualizaciones de macOS 10.13.5 y el Security Update 2018-003

Como actualizaciones de seguridad se han parcheado más de 30 vulnerabilidades, de las cuales alrededor de 10 permitían la ejecución de código arbitrario. Apple ha publicado los detalles en su sitio web. Destaca la actualización de controladores gráficos para los chip de Intel y AMD, cuyas vulnerabilidades permitían leer la memoria restringida. Además, también destaca una vulnerabilidad en la aplicación Mail, la cual permitía a los atacantes acceder al contenido de los mensajes de correo electrónico cifrados. Sin duda, no dejes para mañana lo que aún no has hecho y actualiza los sistemas de Apple.

Ahora sabemos por qué el Security Update 2018-001 ocupaba tanto espacio

Hace unos días Apple liberó el Security Update 2018-001 y no se publicó toda la realidad o, al menos, se omitieron algunos datos. La actualización tenía un gran peso, y no parecía algo normal que ese peso fuera solo para solventar algunos de los problemas especifiicados. El artículo en el que se hacían referencias a los fallos de seguridad ha sido actualizado para añadir la vulnerabilidad CVE-2018-8897. Esta vulnerabilidad ha sido descubierta por los investigadores Andy Lutomiski y Nik Peterson. Además, la vulnerabilidad afecta a otros sistemas operativos. 

¿En qué consiste la vulnerabilidad? El problema radica en que bajo ciertas situaciones, los sistemas operativos no manejan correctamente una excepción provocada por la arquitectura de Intel. Este puede deberse a la interpretación por parte del equipo de desarrollo de la documentación para las instrucciones de la arquitectura Intel. En esta situación un atacante podría llegar a obtener datos sensibles de la memoria. En otras palabras, la vulnerabilidad afecta al kernel del sistema. Por esta razón, la actualización eran tan grande, no menos de 1GB. En este paper se encuentra el detalle sobre la vulnerabilidad y la investigación.

Figura 1: Paper sobre la vulnerabilidad

Ahora se tiene una explicación de porqué la actualización, el Security Update 2018-001, ocupaba tanto espacio. Además, Apple añadió la información a posteriori sobre la actualización. Sin duda, una actualización muy necesaria, por lo que si aún no la has aplicado es el momento de hacerlo. Una actualización que ha llamado la atención de los especialistas en seguridad informáica alrededor del mundo.

Meltdown y Spectre también afectan a Apple

Apple ha dicho que todos los dispositivos iOS y Mac están afectados por las vulnerabilidades que afectan a los procesadores, Spectre y Meltdown. La compañía también indica que no hay exploits conocidos que impacten en los dispositivos de los clientes en este momento y que las soluciones ya están disponibles. Apple ha indicado que los usuarios deben descargarse sus últimas actualizaciones de software que corrigen una de las vulnerabilidades. Como curiosidad, Apple, en un primer instante, comentó que el Apple Watch no se veía afectado por Meltdown, y después que tampoco se veía afectado por Spectre. 

La compañía no ha proporcionado información adicional sobre los modelos de Apple TV que están afectados. Apple sí que dio detalle sobre las versiones iOS 11.2, macOS 10.13.2 y tvOS 11.2, los cuales ya están protegidos contra Meltdown. Apple planea lanzar correcciones para Safari en los próximos días para protegerlo contra Spectre. Un portavoz de la empresa comentó que la empresa sigue desarrollando y probando mitigaciones para estos problemas de seguridad y que serán lanzados en próximas actualizaciones de iOS, macOS, tvOS y watchOS. Este último comentario, hace pensar que Apple puede no tener del todo controlado, cómo es lógico con todo el revuelo y posibilidades que existen, estos dos fallos de seguridad.

Figura 1: Meltdown y Spectre

Intel también ha hecho un comunicado oficial en el que indica que para finales de la semana, espera haber emitido actualizaciones para más del 90 por ciento de sus procesadores introducidos en los últimos cinco años. Las actualizaciones hacen que las computadoras sean inmunes a ambos exploits. Estaremos atentos desde Seguridad Apple a todas las novedades que ocurran con las dos vulnerabilidades más mediáticas con las que comienza 2018.

Los ordenadores Mac clónicos "Hackintosh", cada vez más populares

Los ordenadores clónicos de Apple también existen y aunque montarlos no es una práctica demasiado extendida, cada vez tiene más seguidores. Pero esto no siempre ha sido así. Hasta 2005, ejecutar cualquier tipo de software Mac en un PC era prácticamente tarea imposible hasta que ese mismo año Apple tomó una de las decisiones más importantes de su historia más reciente: abandonar definitivamente la arquitectura PowerPC. En 2006 adoptaron la arquitectura Intel , la misma que llevaban (y llevan) los PC. Esta decisión abrió la oportunidad para poder ejecutar software de Apple en un ordenador PC. 

El primer hardware diseñado para desarrolladores de la nueva plataforma Intel en aquella época no era más que un Pentium 4 dentro de una carcasa de un Power Mac, lo que prometía una gran compatibilidad entre las dos plataformas. Pero incluso utilizando prácticamente los mismos componentes de un PC, ejecutar software de Mac en un hardware de Intel no era tarea sencilla. Esto ha cambiado a día de hoy. La tecnología utilizada por Apple y los PC modernos son cada vez más parecidas y compatibles. Además existe una gran comunidad de entusiastas que se dedican montar los llamados Hackintosh, básicamente ordenadores clónicos Apple utilizando componentes comunes de un PC. Pero no sólo se dedican al hardware, también hay comunidades de desarrolladores de aplicaciones y herramientas que crean sobre todo drivers para los diferentes componentes de hardware (esto ha favorecido al crecimiento de esta comunidad al facilitar tareas complejas como la instalación de drivers o actualizaciones del sistema operativo).

Figura 1: gesto simbólico entre Steve Jobs y el CEO de Intel Paul Otellini inmortalizando el cambio de plataforma

Pero ¿está de acuerdo Apple con estas prácticas?. Hasta ahora, la única acción legal que Apple ha tomado contra una empresa, ocurrió en 2008 y la empresa se llamaba Psystar, la cual se dedicaba oficialmente a crear clónicos de Mac llamados “OpenMac” a un precio de 399$. Apple no tuvo piedad de ellos y forzó su cierre alegando principalmente violaciones en sus licencias, marcas registradas y copyright. A pesar de la contundencia en cerrar la empresa Psystar (una cosa es tener una comunidad de algunos usuarios montando Hackintosh de manera altruista y otra ser una empresa sacando beneficio de ello), Apple no muestra demasiado interés en comprobar si el hardware es genuino o no. En cambio, vemos que en el caso de iOS, si que se dan prisa en sacar actualizaciones para neutralizar los famosos Jailbreaks. Esta falta de interés posiblemente se deba a que el impacto en las ventas de estos Hackintosh es apenas imperceptible en la economía de Apple, ya que prácticamente el 80% de sus ventas se centra en los portátiles, y estos no son precisamente fáciles de convertir en un Hackintosh (la gestión de la energía y los drivers son los principales problemas). 

Figura 2: ordenador clónico Mac de la empresa Psystar. fuente MacWorld.

Los clónicos Mac se suelen utilizar como laboratorios de pruebas para optimizar y obtener un mejor rendimiento que los sistemas clásicos Mac OS X. Gracias a ello, todo tipo de perfiles de usuarios como músicos, fotógrafos o diseñadores y hasta incluso desarrolladores de tecnología de VR, se están acercando cada vez a esta moda de los Hackintosh para poder utilizar sus programas favoritos con la posibilidad añadida de ahorrar algo de dinero. El factor precio es un punto importante que contribuye al crecimiento de esta comunidad, ya que los componentes de PC son más baratos y permiten añadir más prestaciones y actualizaciones de hardware sin tener que esperar a que Apple se decida a sacar otro modelo más potente.

De todas formas mantener un “Hackintosh” a día de hoy no es tarea precisamente fácil. Los principales problemas que impiden el crecimiento de esta comunidad son básicamente las actualizaciones de software (sobre todo del sistema operativo) y la falta de drivers. Una de estas actualizaciones es muy posible que eche a perder toda nuestra información y el trabajo invertido en dejar a punto nuestro flamante clon de Mac. Algunas llegan incluso a afectar al hardware inutilizando accesos tan comunes como por ejemplo los puertos USB. 

Apple no ha sacado ningún modelo nuevo de escritorio desde los iMacs en 2015 y las nuevas tecnologías como la VR están dejando atrás el hardware de estos equipos. Y aunque Apple está trabajando en nuevos productos de Mac de escritorio, como un nuevo Mac Pro, aún no sabemos cuando saldrán al mercado ni las características técnicas que tendrán. La comunidad Hackintosh podría ser una buena fuente de ideas para Apple a la hora de diseñar y pensar en las características de sus nuevos productos de escritorio. De hecho, que exista esta comunidad implica a su vez que hay una demanda cada vez mayor de este tipo de ordenadores.  Entonces ¿veremos algún día ordenadores Apple con componentes de PC que podamos comprar y actualizar fácilmente?, tendremos que esperar a la siguiente generación.

¿Es el hardware de Apple de calidad o es un falso mito?

HW Apple a debate

Hoy traemos un artículo escrito por José Antonio Rodriguez García en el cual se intenta hacer ver a la opinión pública que existen ciertos mitos acerca del hardware con el que Apple monta sus dispositivos. El artículo presenta diversos mitos que, el propio autor, se ha encargado de explicar, y mostrar como no es tan real como se suele creer. El primer apartado del que se habla es el mito de que las placas base clónicas son malas, y posteriormente se ve un análisis sobre los criterios para decidir la calidad de la placa base, por ejemplo el tipo de chipset, rendimiento de CPU, calidad de los materiales, etcétera.

Otro mito curioso es que Apple diseña su propio hardware, y como se puede ver en el artículo las placas están basadas en chipsets de Intel. Generalmente, Apple no indica qué tipo de chipset utiliza, excepto en algunas ocasiones que les ha interesado por marketing el decirlo. Quizá, si se adaptan a la forma de sus equipos y los tipos de controladoras externas que Apple quiere, por ejemplo Thunderbolt, aunque no es una tecnología diseñada o refinada por Apple.

Figura 1:  ¿Son clónicos también los equipos de Apple

Otro mito que podemos leer, por ejemplo, es el de que el hardware de Apple de las mismas características que un hardware no Apple da mejores puntuaciones en benchmarks. Generalmente, existen intereses en algunos benchmarks, o no se realizaron los tests correctamente, o se hizo un test comparando distinto hardware, es decir, de distinto tipo.

Figura 2: Artículo sobre el Hardware y Apple

Supongo que para muchos esto es algo totalmente falso, y generará mucha polémica. Por ello os dejamos el documento de Jose Antonio Rodríguez García, en el que se detallan más falsos mitos y se explican los detalles. Lectura totalmente recomendada y si vas a comentar, primero asegúrate de haberlo leído.

Hackear Mac OS X a través de Thunderbolt usando FPGA

Como viene siendo costumbre, nuestros amigos de Cyberhades han recogido el material de una nueva conferencia de Seguridad y Hacking, en este caso de la SyScan 2014 donde una charla nos llamó poderosamente la atención, titulada "Thunderbolts and Lightning: Very Very Frightening", que se centra en cómo atacar la memoria de sistemas operativos Mac OS X a través de las conexiones FireWire y ThunderBolt. Durante la sesión hacen un recorrido sobre los fallos conocidos de todas las técnicas de explotación de la memoria abusando de los servicios de DMA (Direct Memory Access) que ofrecen las arquitecturas de los equipos hoy en día.

En el caso concreto de FireWire ya había demostraciones que explicaban cómo robar passwords del sistema operativo OS X Lion, pidiendo la lectura de determinadas zonas de memoria para obtener los hashes de las credenciales, tal y como se describe en esta diapositiva de la presentación.

Figura 1: Ataques por el puerto FireWire para acceder a la memoria

En la demostración que describen rzn y snare durante su presentación, lo que hacen es saltarse el proceso de validación de un usuario local en la máquina mediante un parcheo de la memoria que obligue al sistema a dar como buen cualquier contraseña.  Tiempo atrás ya hicieron una demostración de cómo usar estos ataques para meter un rootkit en memoria por Thunderbolt en un OS X.

Figura 2: Esquema del acceso a memoria vía Thunderbolt y conexión PCIe

Para conseguir este objetivo implementan mediante una FPGA con un conector Thunderbolt un esquema que conecta al equipo atacante vía cable serie a la FPGA, que controla la conexión Thunderbolt con la que se conecta al equipo víctima. Desde la FPGA, simulando ser un dispositivo Thunderbolt envía los comandos necesarios para leer y escribir la memoria del sistema y hacer que siempre se de por buena una contraseña.

Figura 3: El atacante controla la FPGA por un puerto serie, que a su vez lanza conecta 

Esta demostración, como explican ellos no afecta a todas las versiones del sistema operativo ni a todos los equipos, ya que estos riesgos de seguridad en Thunderbolt se conocen bien en la arquitectura Sandy Bridge, pero en los nuevos Mac de 2012 en adelante se implementa la arquitectura Ivy Bridge de Intel que soluciona esos problemas. 

Figura 4: Equipos y versiones vulnerables a este ataque

Como se puede ver en el gráfico de sistemas afectados por este ataque, las versiones más modernas de OS X Mountain Lion 10.8.2 o las versiones de OS X Mavericks han puesto medidas de mitigación para este fallo, pero si tienes un Mac OS X Leopard o Snow Leopard, estás expuesto.

OSX/Macarena: El primer virus para binarios Mach-O i386

Los objetos de código Mach-O son utilizados como un formato de fichero para ejecución de programas. Este formato se utilizaba en los equipos NeXT y con la aparición de Mac OS X se empezaron a utilizar también en este sistema operativo, tanto en plataformas PowerPC como i386. A día de hoy, al ser también el sistema operativo de los iPhone, iPad, iPod Touch y Apple TV, es decir,  iOS una evolución - o spin-off - de Mac OS X también son utilizados en él, donde por ejemplo se puede ver su uso en detalle en JailOwnMe.

El virus OSX/Macarena fue descubierto en Noviembre de 2006 y había sido creado especialmente para equipos Mac OS X 10.4 Tiger, ya que fueron los primeros que soportaron la arquitectura i386 en su hardware. Es por eso que OSX/Macarena se hizo tan popular, por ser el primer virus para un Mach-O sobre arquitecturas Intel x86.

Figura 1: Análisis de información de OSX/Macarena con otool

Sin embargo, su impacto en el mundo de la seguridad fue más bien poco. El programa solo se dedicaba a copiarse a sí mismo al final de todos los ficheros Mach-O en arquitectura X86 del mismo directorio, ocultándose mediante un cambio en el Entry Point del binario haciéndolo que apuntase a __PAGEZERO.

Figura 2: Código de OSX/Macarena desensamblado con IDA Pro

En posteriores versiones también infectaría los ficheros con arquitectura PowerPC, pero de nuevo solo lo haría para copiarse allí, sin ningún payload conocido con alguna acción maliciosa, lo que lo hace parecer más un ejercicio que un virus real y que su criticidad fuera muy baja. 

Malware multi-OS usa Applets Java en webs infectadas

Desde F-Secure han alertado del descubrimiento de webs infectadas que están distribuyendo malware para todos los sistemas operativos utilizando un Applet Java auto-firmado y técnicas de ingeniería social.

Figura 1: Petición de ejecución del Applet

El descubrimiento se hizo en una web Colombiana, y cualquier visitante que accediera a ella era preguntado si quería ejecutar el siguiente Applet Java.

Figura 2: Applet auto firmado

Una vez el Applet era ejecutado, en el código se comprueba la versión exacta del sistema operativo, para saber si se está ejecutando en un Windows, un Linux o un Mac OS X.

Figura 3: Código de comprobación de SO

Una vez determinado el sistema operativo, se procede a descargar el malware adecuado para ellos, en todos los casos para conseguir una shell reversa en la máquina de la víctima para conectarlo a un panel de control C&C, catalogados como:

- Trojan-Downloader:Java/GetShell.A (sha1: 4a52bb43ff4ae19816e1b97453835da3565387b7)
- Backdoor:OSX/GetShell.A (sha1: b05b11bc8520e73a9d62a3dc1d5854d3b4a52cef)
- Backdoor:Linux/GetShell.A (sha1: 359a996b841bc02d339279d29112fe980637bf88)
- Backdoor:W32/GetShell.A (sha1: 26fcc7d3106ab231ba0ed2cba34b7611dcf5fc0a)

Este tipo de ataques es cada vez más común, y para los distribuidores de malware, o grupos especializados en ataques dirigidos, el que se cuente con un sistema Mac OS X o Linux no suele ser ninguna dificultad extra a la hora de contar con un troyano adecuado para esa plataforma, aunque en esta ocasión, el troyano para Mac OS X es un binario en PowerPC, y si el equipo no tiene instalada Rosetta, se generará una excepción.

Figura 4: Error al ejecutar en un Mac OS X sobre Intel

"Steve, No me importa una mi**da Apple"... y todo cambió

Hoy os traemos otro pedazito de la historia de Apple y Steve Jobs, en formato de una micro-historia, aunque en esta ocasión la hemos traducido y adaptado porque la publicó en inglés Matthew Panzarino en The Next Web. En este episodio se cuenta cómo se decidió Steve Jobs a volver a ser el CEO de Apple.

La historia de su regreso se ha contado muchas veces. Primero había sido forzado a irse cuando la dirección había perdido la confianza tanto en él como en John Sculley, el CEO que él mismo había seleccionado para el puesto. Después NexT fue comprada por Apple en Abril de 1997 y Steve Jobs se situó en una posición en la que se le ofreció volver a ser el CEO de la compañía pero, extrañamente, Steve Jobs no aceptó inmediatamente.

Figura 1: Steve Jobs y John Sculley en 1984

Cuando Ed Woolard, el Chairman de Apple en aquel tiempo, llamó a Steve Jobs y le dijo que Gil Amelio, CEO hasta ese momento de Apple, estaba fuera y que querían que él tomara el cargo, Steve Jobs se lo pensó dos veces. Este hecho fue revelado por primera vez por Jonathan Berger, un becario en prácticas en aquel entoces en Apple.

Figura 2: Steve Jobs y Next

Según cuenta Jonathan Berger, hubo un reunion en el hall del campus de Apple en la que los becarios de la compañía disfrutaron de un invitado sorpresa, que no era otro que Steve Jobs poco después de regresar como iCEO por segunda vez. Allí Jonathan Berger cuenta que tuvo, quitándole el turno de preguntas a otro becario, la oportunidad de hacerle una pregunta sobre algo que sacase algo privado e intimo y no conocido del interior de Steve Jobs.

"Steve, hace años dejaste Apple para comenzar Next. Pero recientemente has regresado a Apple. ¿Por qué volviste?"

Figura 3: Regreso de Steve Jobs a Apple en 1997

Según Jonathan Berger, tras reflexinar unos instantes, Steve Jobs empezó a contestar primero con una respuesta bastante pre-cocinada que debía tener preparada para los medios de comunicación, hablando del reto, lo excitante del trabajo, etc... pero después tuvo una segunda parte que, según cuenta Jonathan Berger haciendo memoria fue:

"Cuado estaba intentando decidirme sobre volver o no estaba confuso. Hablé con un montó de gente y recibí un montón de opiniones. Y entonces allí estaba, una noche tarde, confundido con este asunto y llamé a un amigo mío a las 2 de la mañna. Yo dije "¿debería regresar o no debería?" y mi amigo contestó, "Steve, me importa una mi**da Apple. Aclara tu mente." y colgó. Y ese fue el momento en el que me di cuenta de que a yo realmente me preocupaba por Apple."

Cuando se publicó la historia, esto generó mucha especulación sobre quién exactametne originó esa frase y munchos, asumieron que fue Larry Ellison, que fue largo tiempo confidente y amigo de Steve Jobs. Sin embargo, en la biografía de Walter Isaacson sobre Steve Jobs, el destinatario de aquella llamada resultó ser Andy Grove, uno de los co-fundadores de Intel, junto con Robert Noyce y Gordon Moore. Andy Grove es la figura central en la imagen con gafas al lado de Steve Jobs.

Figura 4: Andy Grove y Steve Jobs

Siendo el CEO de Intel, Andy Grove había sido desde hacía tiempo uno de los ídolos de Steve Jobs, de hecho, Jean-Louis Gassée recuerda al padre de Steve Jobs estando extremadamente orgulloso de ver a su hijo en el escenario con Andy Grove en el anuncio de que NeXTSTEP estaba siendo portada a Intel.

De acerto con lo que Steve Jobs dijo a Walter Isaacson, la llamada a Andy Grove fue a las 8 de la mañana de un domingo, pero el contenido de la conversación es muy similar. Andy Grove detuvo la larga lista de pros y contras de Apple y le dijo: "Steve, no me importa una mi***da Apple"

Al final, entre lo que recuerda Jonathan Berger y lo que Walter Isaacson ha plastamo en la biografía autorizada, la diferencia es la hora de la llamada, y el termino exacto utilizado por Andy Grove, ya que Jonathan Berger dice que utilizó "f*ck" y Walter Isaacson ha utilizado "sh*t", pero la historia es la misma en lo esencial. En cualquier caso, Steve Jobs dijo que en ese momento:

"Me di cuenta de que a mí sí que me importaba una mi**da Apple. Yo la creé y es bueno que esté en el mundo".

De esta manera es como Steve Jobs finalmente tomó la decisión en 1997, como CEO de manera temporal, pero que duraría hasta un mes antes de su muerte en Octubre de 2011, y una de las muchas decisiones que tomaría durante ese periodo sería la de pasar sus computadores a Intel en el año 2005, y estamos seguros de que día de hoy a Intel, Apple sí que le importa una mi**da.

Fallos y rarezas en MacBook Pro con Turbo Boost

Hace unos días nos enteramos que Apple, con el afán de no perder el ritmo tecnológico al que evolucionan los procesadores de Intel, ha estado probando la nueva arquitectura Sandy bridge con la idea en mente de implantarlos en un futuro a corto plazo en sus ordenadores portátiles.

La arquitectura Sandy Bridge proporciona integración AES (Advanced Encryption Standard), HT (Hyper-Threading), VMX (Virtualization Machine Extensións), AVE (Advanced Vector Extensions) pero principalmente una de las características que la identifican es un procesador gráfico integrado en la unidad de control de proceso (IGP + CPU), esto es, que integra las funciones gráficas en la misma pieza de silicio que el procesador principal con tecnología Turbo Boost 2.0 de forma independiente para cada unidad.

Figura 1: Arquitectura Sandy Bridge

La idea de la tecnología Intel Turbo Boost 2.0 es la de incrementar de forma automática la velocidad de procesamiento de los núcleos por encima de la frecuencia operativa básica si no se alcanzan los límites especificados de energía, corriente y temperatura. Turbo Boost 2.0 se activa mediante mandato del sistema operativo para activar el máximo desempeño del procesador. La frecuencia máxima alcanzada dependerá de la cantidad de núcleos activos.

La tecnología Intel Turbo Boost 2.0 se activa cuando el sistema operativo (SO) solicita el estado de máximo desempeño del procesador (P0). La frecuencia máxima de la tecnología Intel Turbo Boost 2.0 depende de la cantidad de núcleos activos. El tiempo durante el cual el procesador se mantiene en el estado de la tecnología Intel Turbo Boost 2.0 depende de la carga de trabajo y del entorno operativo.

El techo para Turbo Boost 2.0 (el tiempo máximo que se encuentra activa dicha tecnología) para una determinada carga de trabajo puede venir establecido por cualquiera de los siguientes factores:

• Cantidad de núcleos activos

• Consumo estimado de corriente

• Consumo estimado de energía

• Temperatura del procesador

Cuando el procesador funciona por debajo de estos límites y la carga de trabajo del usuario exige mayor desempeño, la frecuencia del procesador aumenta de forma dinámica hasta alcanzar su límite superior.

Figura 2: Turbo Boost en el mítico Kit

Bien, aquí es donde la cosa se pone interesante. Según algunas pruebas realizadas por la revista PCPro, algunos de los resultados devueltos en el testeo de dicho entorno (combinación de portátiles Apple con arquitectura Sand Bridge) demuestran que el Turbo Boost brilla por su ausencia.

Y es que resulta que los análisis realizados para mostrar la tecnología Turbo Boost 2.0 de Sandy Bridge, la cual gestiona de forma dinámica uno, dos o cuatro núcleos en función de la carga de la CPU, parece que demuestran que dicha tecnología no funciona en caso de que las térmicas detecten que su uso pueda afectar negativamente al entorno provocando una subida de temperatura. Es decir, que los factores térmicos de dicha tecnología impiden el uso dinámico de varios núcleos.

Las pruebas, han sido realizadas con procesadores i5 e i7 (ambos con doble núcleo) sobre 13in MacBook Pros ejecutando Windows 7 a través de sistema multi-OS Boot Camp, el cual permite ejecutar versiones compatibles de Microsoft Windows en Mac equipados con Intel, y se ha demostrado que Turbo Boost funciona con el primer núcleo pero no en el segundo.

Esta nefasta noticia ha sido corroborada por Anandtech, que ha confirmado que el procesador i5 planeta dicha problemática tanto en Windows 7 como en Mac OS X, mientras que, como rareza, con el procesador i7 sólo se encuentra mal funcionamiento en sistema operativo Windows.

Ahora sólo queda preguntarnos si Apple ha tenido algo que ver a la hora de establecer el mal funcionamiento de esta tecnología sobre sus Mac Books con sistemas Windows, aunque de seguro (como ya han comentado algunos) desde luego que ayudará a algunos usuarios a que migren de sus sistemas PC a entornos MAC para no perder el uso de dicha tecnología. Mientras tanto, ya sabemos todos cual es el único Turbo Boost que nunca falló cuando se le necesitaba.