OSX/CoinThief: Angry Birds piratas que roban Bitcoins

Desde el We Live Security nos traen una noticia inquietante a la vez que curiosa. En la noticia se habla de la existencia de malware que utiliza aplicaciones de OS X modificadas para ser infectadas con un troyano que roba Bitcoins. Ese mlaware se ha denominado OS X/CoinThief y permite a los atacantes el robo de credenciales de varios sitios de intercambio de Bitcoins por medio de estas aplicaciones maliciosas que son distribuidas vía Torrent.

Como ya hemos dicho, el malware se propaga a través de los torrents que son ofrecidos en diversas páginas de Internet para descargar aplicaciones del sistema operativo de Apple. Como ejemplo de lo comentado tenemos las siguientes: BBEdit, Pixelmator, Angry Birds o Delicious Library, entre otros. Este tipo de malware se ha disfrazo de muchas apps, incluidas algunas de las wallets de Bitcoins, como ya vimos con el caso de StealthBit y BitVanity, To The Moon o LiteCoin Ticker, con lo que parece que creado el motor, se buscan todas las formas de rentabilizarlo.

Figura 1: BitVanity también llevaba incluido OSX/CoinThief

Aunque no tratemos directamente con Bitcoins podemos infectarnos con este malware, y esto siempre es algo desagradable. Por ello desde SecureMac nos proporcionan instrucciones sobre como llevar a cabo una eliminación manual del código malicioso. Además, se detalla de manera avanzada para los más técnicos.

Configurar de forma segura y privada aMule en Mac OS X

El otro día se publicó en El lado del mal cómo era posible acceder a información sensible de equipos Mac OS X a través de la red P2P usando eMule (aMule en versión Mac OS X). Entre la información sensible a la que se puede acceder de un equipo con Mac OS X aparecen desde ficheros keychain o .DS_Store, hasta backups de terminales iOS (iPhone o iPad) sin cifrar, algo que es de alto riesgo para la privacidad de los usuarios.

Todas esas fugas de información se producen por una mala configuración del cliente aMule a la hora de compartir ficheros en la red P2P. Por defecto, el cliente aMule solo comparte lo que está siendo descargado en ese momento, quedando el resto del sistema operativo fuera de los archivos que se comparten en la red. Sin embargo, si por error se comparte la carpeta raíz del sistema, todo quedará expuesto.

Figura 1: Opción Preferences en Menú de aMule

En aMule, esto se gestiona dentro del menú de Preferences. En concreto, en la opción de Directories, donde se deben seleccionar aquellas carpetas a compartir con el resto de usuarios de la red en el árbol de carpetas inferior del panel de esta opción.

Figura 2: Directorios compartidos vía aMule. Ninguno compartido.

Si una carpeta ha sido compartida, aparecerá con un icono de color rojizo, lo que será indicativo de que está disponible para el resto de los usuarios de la red P2P.

Figura 3: Carpeta / compartida vía aMule

Por último, la mejor de las comprobaciones es irse a la opción de Shared Files y comprobar qué es lo que está disponible. Con el botón de Reload se puede revisar en tiempo real todo lo que está disponible en la red P2P de nuestro equipo Mac OS X.

Figura 4: Lista de ficheros compartidos en una sesión de aMule

Por último, os recordamos que es una buena medida de seguridad cifrar el backup de iOS y utilizar contenedores cifrados para aquellos ficheros que tengan una importancia especial dentro del sistema, lo que haría que fuera más difícil acceder a ellos en cualquier situación.

Tecnología NFC (Near Field Communication) [3 de 3]

Para esta última parte del artículo hemos querido dejar los temas relativos a la seguridad de las tecnologías NFC, revisando las principales características intrínsecas a ella, y algunos de los trabajos de seguridad publicados ya por investigadores sobre los riesgos y los peligros de los sistemas NFC.

Seguridad en tecnologías NFC

A pesar de que NFC es una tecnología novedosa, ya se conocen vulnerabilidades de seguridad que afectan a las aplicaciones que hacen uso de estas tecnologías, así como a diferentes implementaciones por parte de distintos fabricantes. Si bien estos fallos no han sido explotados  aún en un entorno real sino encontrados por investigadores de seguridad, podrían suponer una amenza en el futuro, por lo que es necesario tomar medidas contra fallos similares en el futuro.

Para afrontar el análisis de la seguridad es necesario hacer una distinción entre las comunicaciones NFC y los dispositivos, ya sean terminales móviles, smartposters o tarjetas.

Seguridad en las comunicaciones

Las amenazas de seguridad en las comunicaciones coinciden con la mayoría de las tecnologías inalámbricas de comunicaciones. Se destacan las siguientes:

Sniffing o eavesdropping: como sucede en la mayoría de tecnologías inalámbricas el atacante puede utilizar una antena que amplifique la banda de 13.56MHz y de esta manera recibir la señal NFC. Este ataque es muy poco factible en la tecnología NFC debido a su bajo alcance, no obstante si se produjera, sería mucho más difícil en modo pasivo que activo. 

Lectura de datos: este ataque es semejante al anterior pero en este caso el atacante utiliza la antena para interaccionar con el dispositivo de la víctima. Esta interacción se puede producir con dispositivos activos y pasivos. En el caso de los primeros, la interacción en el lado de la víctima, será controlada vía software, por lo tanto el ataque deberá estar mucho más elaborado. Además cuando el teléfono móvil esta bloqueado NFC esta deshabilitado. 

Mucho más factible es el ataque a un dispositivo pasivo, en el caso de etiquetas o tarjetas RFID éstas responderán al estímulo enviado por la antena. Si el dispositivo pasivo es un móvil de nuevo el estímulo será controlado vía software. 

Figura 8: Equipo de lectura de tags NFC usado por Charlie Miller  

Man in the Middle: este es el ataque por excelencia en las comunicaciones. Pero es casi imposible de realizar en NFC. El principal motivo es la escasa distancia entre dispositivos y además cuando éstos se comunican entre sí, comprueban si la señal recibida no coincide con la señal transmitida, detectando colisiones o incoherencias.

Seguridad en los dispositivos

Desde el punto de vista de los dispositivos las amenazas de seguridad se multiplican. En función del tipo de dispositivo y la implementación que se haya realizado de la capa NFC o las aplicaciones disponibles en él, las amenazas pueden variar.

Etiquetas: el ataque más conocido es el URL Spoofing en smartposters. Este ataque fue expuesto por el investigador de seguridad alemán Collin Mulliner. Consiste en modificar el campo URL, manteniendo un campo title amigable para el usuario. Así, el usuario al abrir la URL es redireccionado a la web del atacante. 

Como consecuencia de este ataque el NFC Forum modificó el estándar creando un nuevo registro para firmar tags y proteger los smartposters contra este tipo de prácticas. A raíz de esta nueva especificación, varios especialistas de seguridad, entre ellos Michael Roland de la Universidad de Austria, publicaron que esta nueva modificación, aunque mejoraba la seguridad, dejaba sin cubrir ciertos aspectos. Las modificaciones introducidas permitían firmar mediante un registro Signature otros registros. En concreto un registro Signature firma todos los registros entre un registro de firma anterior y el propio registro.

Figura 9: Ejemplo de etiquetas NFC

El investigador español José Miguel Esparza publicó al respecto un interesante artículo que ayuda a comprobar si leer una etiqueta NFC es seguro: Checking if reading a NFC tag is secure. 

Tarjetas RFID: se ha visto que las tarjetas RFID son vulnerables ante posibles ataques externos. Desde el punto de vista del almacenamiento de la información ocurre algo similar. Existen múltiples casos de tarjetas que almacenan información, relacionada con el servicio que soportan, en texto plano. Esto ocurre en el servicio de transporte de algunas ciudades estadounidenses, donde se puede utilizar una sencilla aplicación para leer esos datos. 

Por su parte, las tarjetas Mifare Classic, ampliamente utilizadas en universidades, transportes, gimnasios, etcétera, utilizan un algoritmo de cifrado denominado CRYPTO1 para almacenar la información. La escasa aleatoriedad de la semilla y el uso de llaves por defecto ha hecho que se rompiese el cifrado, pudiendo leer, y además, modificar todos los sectores de la tarjeta. 

Malware en Teléfonos móviles: la principal amenaza de seguridad para la tecnología NFC son los dispositivos móviles. Cada día aumentan los casos de terminales infectados debido a aplicaciones maliciosas, que en muchos casos roban información del usuario. En particular esta amenaza se hace más pronunciada en Android, debido al escaso control de las aplicaciones del Google Play.

Para evitar el robo de información los fabricantes incorporan el elemento seguro, que será usado únicamente en el Modo Card Emulation. Éste es un entorno dinámico donde se almacena y se ejecutan aquellas aplicaciones críticas para el usuario. Este elemento reside en chips altamente asegurados, similares a los que existen actualmente en las tarjetas de crédito o en el DNI electrónico. Actualmente existen tres variantes para almacenar datos y aplicaciones en un elemento seguro: 

- Tarjetas Universal SIM (Universal Subscriber Identity Module)

- Elemento seguro integrado en la placa base del móvil conocido como UICC (Universal Integrated Circuit Card). 

- Tarjeta de memoria segura SD (Secure Digital)

Los fabricantes de dispositivos aún están evaluando los pros y los contras de estas soluciones. Las alternativas mejor colocadas son las tarjetas SIM y la solución UICC. 

El problema de las tarjetas SIM es que el acceso debe llevarse a cabo mediante el protocolo SWP, que sólo han desarrollado dos compañías, NXP e Inside Secure. Además sería necesario utilizar una tarjeta SIM que soportará dicho protocolo y, de momento, sólo tres compañías la fabrican, Gemalto, G&D y Oberthru. 

La alternativa que se esta utilizando actualmente es el chip integrado. En el caso del Galaxy Nexus o el Nexus S de Google incorporan el elemento seguro en el chip PN65N de NXP (uno de los partners del NFC Forum). Aunque actualmente ni Google ni NXP han publicado la API para acceder a este chip y por tanto no se pueden desarrollar aplicaciones que hagan uso de este elemento. 

Muchos fabricantes y empresas del sector servicios han decidido soportar ambas soluciones, en vista de que la industria no se arriesga. Por ejemplo Visa y Mastercard, con sus plataformas PayWave y PayPass, respectivamente, implementan ambos elementos seguros. Si bien, parece que la industria y el NFC Forum pretenden integrarlo directamente en la tarjeta SIM, debido a la universalidad de la misma.

Figura 10: Crash de NFC en Android por medio de fuzzing 

Aplicaciones NFC vulnerables: Uno de los problemas que se presenta es la posibilidad de encontrar bugs de seguridad en aplicaciones con acceso al API NFC, que puedan ser explotadas en remoto. El investigador Charlie Miller, en la pasada BlackHat USA 2012, mostró vulnerabilidades de seguridad en aplicaciones NFC en terminales Android, N9, etcétera, que podrían ser explotadas con solo estar cerca de una aplicación maliciosa. En su trabajo "Exploring the NFC Attack Surface", el investigador hablaba del problema de que una aplicación, con posibilidad de acceder al elemento seguro del terminal pueda ser explotada y ejecutar código malicioso.

Para terminar

Las tecnologías NFC están aquí y están recibiendo el apoyo generalizado de la industria. Tras intentos anteriores de comunicaciones inalámbricas de corto alcance como IR, BlueTooth o las mismas comunicaciones WiFi, parece que NFC se está abriendo un hueco en las comunicaciones inalámbricas de proximidad. Esperamos que con este artículo hoy en día puedas estar un poco más informado de lo que son y pueden ser en el futuro. Si quieres empezar a trabajar con estas tecnologías, te recomendamos que te leas el trabajo de Charlie Miller, y el artículo de José Miguel Esparza de How to setup your NFC lab.

Autor: Jesús González Tejería

========================================================================

- Tecnología NFC (Near Field Communication) [1 de 3]

- Tecnología NFC (Near Field Communication) [2 de 3]
- Tecnología NFC (Near Field Communication) [3 de 3]

========================================================================

Tecnología NFC (Near Field Communication) [2 de 3]

Con los diferentes modos de funcionamiento de las tecnologías NFC se han construido diferentes tipos de proyectos para el uso diario. En esta parte del artículo vamos a recorrer las principales aplicaciones desarrolladas para sistemas en Modo Card Emulation, en Modo Lectura/Escritura y en Modo Peer-to-Peer (P2P). Como se puede ver en ellos, sus aplicaciones en el día a día mediante el uso de tecnologías NFC, son de gran popularidad, y en todos los sectores, grandes empresas están apostando por ellas.

Aplicaciones de pago con Card Emulation

Si por algo es conocido NFC es precisamente por las aplicaciones de pago con esta tecnología. El corto alcance hace que el usuario deba acercar el móvil de manera explícita y por tanto dando su consentimiento. Además en la mayoría de soluciones es necesario introducir un PIN - o un reconocimiento biométrico -. Por lo tanto se produce una autenticación de doble factor.

En este ámbito existe toda una plataforma de pago en la que están involucrados multitud de actores de diversos sectores: instituciones financieras, comercios, terceras partes de confianza, operadoras y fabricantes.

Actualmente ningún teléfono tiene habilitado el modo card emulation, ya que este modo es el único que necesita acceso al elemento seguro, cuya API aún no es pública. Pero ciertas empresas como Google o Visa - con acceso a esa API - han lanzado ya aplicaciones que hacen uso de NFC como medio de pago.

Figura 4: Pago con tarjetas de crédito en modo Card Emulation

Coincidiendo con la celebración de los JJOO de Londres, O2  - filial de Telefónica en UK - junto con Lloyds y Visa han desarrollado una plataforma de pago para dispositivos Samsung Galaxy SIII. Como elemento seguro se utilizará la SIM.

Aplicaciones de  Lectura/escritura

Este tipo de aplicaciones se basan en la interacción entre un dispositivo activo y otro pasivo. Esta interacción se puede producir en multitud de ambientes permitiendo al usuario interaccionar con su entorno de manera mucho más dinámica. Algunos ejemplos son:

Smartposter: posiblemente esta sea sea el uso más extendido, además del pago por NFC. Consiste en colocar una etiqueta en un poster de tal manera que el usuario al pasar el móvil pueda acceder a tickets electrónicos, tonos de móvil, fondos de pantalla, determinadas ofertas, etcétera.

Figura 5: Smartposter de X-Men First Class 

Estos smartposter pueden ponerse en cualquier sitio donde ya existe publicidad, desde teatros a cines, pasando por paradas de autobus que informen mediante la etiqueta del horario de autobuses. 

Marketing: Nuevas campañas de marketing asociadas a la geolocalización del usuario. 

Información de los productos de una tienda: se pueden colocar etiquetas en cada uno de los modelos expuestos en una tienda de calzado, así el usuario podrá tener acceso a más información, como puede ser el número de pares disponibles, los colores, información de otros clientes, etcétera. 

Educación: se puede desarrollar una plataforma que permita integrar NFC en el día a día de la escuela. Algunos proyectos los integran para la lectura de notas, publicación de información, etcétera.

Aplicaciones en modo P2P

P2P Este tipo de aplicaciones se producen entre dos dispositivos activos. En este caso el abanico de posibilidades aumenta aún más, gracias al intercambio de información entre dispositivos:

Intercambio de información entre dispositivos móviles de cualquier fabricante: vídeos, contactos, mapas, páginas web, recomendaciones para aplicaciones del market, etcétera. Actualmente los teléfonos Android disponen de la plataforma Beam para el intercambio de información.

Registro en hoteles: mediante una plataforma común el empleado del hotel puede añadir la habitación asignada a su aplicación. 

Figura 6: Apertura de hoteles con llaves NFC

Historial médico y farmacéutico: el medico, utilizando una plataforma común, almacena la información en el teléfono móvil del paciente y éste puede acudir a la farmacia a comprar lo que le ha recetado. De la misma manera el médico puede revisar el historial de medicamentos recetados de ese paciente. 

Apertura de inmuebles: adecuando el entorno del hogar o la oficina, se pueden abrir las puertas con el móvil. 

Control de accesos: la tecnología NFC permite identificar al usuario en el acceso a una empresa. Además es compatible con el modelo actual de control de accesos mediante tarjetas de contacto. Esta fue la base del proyecto SmartBouncer, para apertura de puertas en una empresa mediante el uso de BlueTooth, RFID y NFC.

Figura 7: Estructura del proyecto SmartBouncer

Este proyecto fue desarrollado como Proyecto de Fin de Master del Master de Seguridad de la UEM y el código fuente de la aplicación Android que gestiona los accesos al módulo NFC del terminal está disponible en la web del proyecto.

Autor: Jesús González Tejería

========================================================================

- Tecnología NFC (Near Field Communication) [1 de 3]

- Tecnología NFC (Near Field Communication) [2 de 3]
- Tecnología NFC (Near Field Communication) [3 de 3]

========================================================================

Tecnología NFC (Near Field Communication) [1 de 3]

En los últimos años la sociedad ha experimentado un gran cambio en su vida diaria gracias al avance de las comunicaciones móviles. La mayoría de la población dispone de un dispositivo móvil que ofrece altas prestaciones y una gran versatilidad en diferentes campos de la comunicación y el entretenimiento. Una de estas funcionalidades que empiezan a ofrecer todos los terminales móviles y que se encuentra en pleno auge es la tecnología NFC (Near Field Communication).

Debido a su popularidad, ya son muchos los trabajos realizados por investigadores sobre la seguridad de estas tecnologías, como los que ha publicado Charlie Miller  "Don´t stand close to me" en la última BlackHat USA 2012 o los artículos de José Miguel Esparza (@eternaltodo) en su blog. Como el próximo iPhone 5 de Apple más que probablemente tendrá soporte para esta tecnología - de hecho Apple está patentando soluciones basadas en NFC ya -, queremos hacer un repaso a los conceptos fundamentales de ella.

Near Field Communication

Se trata de una comunicación inalámbrica que permite el intercambio de información entre dos dispositivos. Aparentemente esta tecnología puede parecer muy similar al Bluetooth o WiFi, pero la principal ventaja que ofrece es la seguridad, ya que las comunicaciones NFC solo se pueden realizar en un rango de distancia muy limitado, intentando evitar así, a diferencia de otras tecnologías como WiFi o Bluetooth, un uso mal intencionado por parte de terceros.

La tecnología NFC puede estar integrada en multitud de dispositivos, entre los que se encuentran los teléfonos móviles con soporte NFC, los cuales, gracias a esta tecnología, pueden interactuar con el entorno de una manera rápida e intuitiva.

Los campos de aplicación de esta tecnología son muy variados: recoger información de nuestro entorno mediante la lectura de etiquetas RFID, emitir billetes de transporte, pagar en las tiendas, identificación, etcétera. En la actualidad grandes empresas han centrado sus esfuerzos en el desarrollo de una plataforma de pago seguro mediante NFC, como veremos un poco mas adelante, y se rumorea que la propia Apple tendrá este soporte, motivo por el que podría haber comprado la compañía especializada en biometría Authentec.

Principales características

NFC es una tecnología de corto alcance que permite la comunicación entre dispositivos situados a menos de 10cm. Esto hace que la comunicación sea intrínsecamente segura frente a atacantes localizados a más distancia, uno de los motivos por los que se creo este protocolo. Se recogen a continuación algunas de las principales características técnicas.

Trabaja en la banda de los 13.56MHz, por lo tanto no se aplica ninguna restricción al ser una banda ISM. El radio de alcance de la tecnología no supera los 10cm. Es capaz de transmitir a distintas velocidades: 106kbit/s, 212Kbit/s o 424kbit/s.

La comunicación NFC se establece entre dos dispositivos, que pueden ser de dos tipos, según éstos tengan alimentación independiente - por ejemplo un teléfono móvil - o hagan uso de la inducción magnética generada por un lector NFC - por ejemplo etiquetas RFID -. Esto da lugar a dos modos de comunicación:

Modo activo: requiere de dos dispositivos que generen su propio campo electromagnético. Para trabajar en este modo ambos dispositivos necesitan energía. Este modo funcionamiento es característico de las comunicaciones Peer to Peer (P2P) entre dispositivos NFC. 

Modo pasivo: sólo un dispositivo genera el campo electromagnético y el otro se aprovecha de la modulación de la señal generada para transmitir los datos. La lectura de etiquetas RFID pertenecen a este tipo de funcionamiento.

Atendiendo a la naturaleza de los dispositivos se pueden establecer varios tipos de comunicación.

Modo Lectura/Escritura

En este modo el dispositivo NFC actúa como lector de tarjetas o etiquetas RFID. Si dos o más tarjetas se encuentran en el radio de alcance del lector se utiliza un algoritmo de anti-colisión.

Figura 1: Modo lectura y Escritura de smart tags

Si se trabaja en este modo, el dispositivo activo puede leer o escribir, siempre que sea soportado, en la etiqueta. Estas etiquetas pueden estar situadas en multitud de sitios, un ejemplo son los Smart Posters. Al pasar el móvil por estas etiquetas se lee la información y de forma transparente al usuario se toma la acción apropiada, por ejemplo, abrir el navegador y cargar una página.

Modo card emulation

Este caso es el contrario al anterior, es decir, el dispositivo, que puede ser activo, actuará como pasivo emulando una o varias tarjetas sin contacto. Estas tarjetas son emuladas vía software de una manera segura. El lector externo, activo, no distingue entre una tarjeta sin contacto real o emulada por un teléfono móvil.

En la actualidad este modo de comunicación se encuentra estancado por dos motivos: Los fabricantes no consiguen ponerse de acuerdo en el tipo de tarjeta a emular. Cada tarjeta emulada necesitará una serie de recursos - del orden de 2 Kilobytes -, pero el problema se encuentra en qué aplicación manejará esos recursos. Varias aplicaciones manejando el mismo recurso sería, cuanto menos, poco seguro; en cambio, una única aplicación limitaría las posibilidades de mercado para los fabricantes.

A pesar de estos contratiempos las grandes compañías se encuentran trabajando en esta solución al ofrecer numerosas ventajas. A finales de 2011, Telefónica y RIM presentaron su servicio Wallet para terminales Blackberry. Otro ejemplo es la plataforma Google Wallet ya en funcionamiento desde el año 2011.

Si bien es necesario indicar que las APIs para acceder al elemento seguro - ya sea implementado en la SIM o en chip -  no son públicas, y a julio de 2012 no parece que vayan a serlo. Por lo tanto este modo de comunicación se restringe a las grandes compañías.

Modo Peer to Peer (P2P)

Aunque los dos modos anteriores están recogidos en el estándar NFC, únicamente son una extensión del estándar ISO 14443 para mantener la compatibilidad. La novedad con estas tecnologías reside en este modo de comunicación.

Cuando dos dispositivos están en contacto, uno actúa como Initiator y el otro como Target. El Initiator deberá estar en modo activo; por el contrario, el Target puede pasar a modo pasivo en el caso de que el consumo de energía sea un factor crítico. La comunicación se produce automáticamente mediante el intercambio de paquetes con una MTU de 256 bytes, denominados mensajes NDEF.

Figura 2: Comunicación P2P entre dos smartphones para compartir contenido

Una comunicación P2P permite intercambiar contactos, fotos, llevar a cabo el pariring de Bluetooth, etcétera.

Aplicaciones

Las grandes empresas, conocedoras de las importantes ventajas de esta tecnología, han comenzando a lanzar sus productos al mercado a finales de 2011. Principalmente las aplicaciones que se están lanzando al mercado siguen tres líneas, que coinciden precisamente con los modos de comunicación de lectura/escritura, peer to peer y card emulation.

Figura 3: Distribución mundial de proyectos que hacen uso de NFC

En la siguiente parte de este artículo veremos algunas de las aplicamos más significativas de cada modo de funcionamiento, la seguridad de la tecnología y algunos trabajos de hacking publicados sobre ella.

Autor: Jesús González Tejería

========================================================================
- Tecnología NFC (Near Field Communication) [1 de 3]
- Tecnología NFC (Near Field Communication) [2 de 3]
- Tecnología NFC (Near Field Communication) [3 de 3]
========================================================================