Archive

Posts Tagged ‘mac’

Malware afecta a Macs que ejecutan “viejas” versiones de OS X

agosto 28, 2012 Deja un comentario

El programa malicioso conocido como GetShell.A, requiere que se apruebe la instalación de un applet de Java. OS X, pero el sistema operativo advierte que se trata de un certificado raíz que “no es de confianza”.

Si aún así el usuario decide seguir adelante e instalar este applet, el dispositivo se infectará.

Según los analistas, lo “fascinante” del malware es que es multiplataforma, ya que una vez que se permite la instalación del applet, descarga un código específico de plataforma para Mac OS X, Linux y Windows y así intentar abrir una puerta trasera en el equipo.

Aquí está lo interesante – el código de OS X no se ejecutará sin Rosetta en una plataforma basada en Intel, ya que es un binario PowerPC.

Esto significa que cualquier Mac sin Rosetta, básicamente cualquier máquina que tenga Lion o Mountain Lion, es inmune al malware.

Más detalles en: Inteldig

Apple Remote Desktop no cifraba el tráfico aunque así estuviese marcado

agosto 26, 2012 Deja un comentario
Se ha confirmado la existencia de una vulnerabilidad en Apple Remote Desktop. Podría permitir a usuarios maliciosos acceder a información sensible.

Apple Remote Desktop es una herramienta para la gestión remota de equipos Mac, diseñada para la gestión de equipos en red. Es compatible con VNC y permite usarse como “visor” para otros servidores que funcionen como servidor VNC.

El problema (con CVE-2012-0681) se da porque, aun conectando a un servidor VNC de un tercero con la opción “Encrypt all network data” (cifrar todos los datos de red) activada, la información se envía sin cifrar. El programa tampoco alerta sobre el hecho de que los datos no serán cifrados.

Para evitar esto, se debe crear un túnel SSH para la conexión VNC. El problema fue introducido en la versión 3.5.2, de junio de este año, y se ha mantenido hasta la 3.6. Se recomienda la actualización a la versión 3.6.1.

Más información:
About the security content of Apple Remote Desktop 3.6.1
Antonio Ropero
Twitter: @aropero

Falla la seguridad de Apple y Amazon: hora de un cambio

agosto 24, 2012 Deja un comentario

Se le puede llamar “la experiencia de la falla de seguridad” para Amazon y Apple. El 3 de agosto pasado, un hackeo épico comprometió la cuenta de Twitter del periodista de tecnología Mat Honan. Al mismo tiempo, el atacante (conocido como Phobia) también se las ingenió para borrar de manera remota el contenido de la laptop, iPhone y iPad Apple de Honan.

Además, Phobia lo hizo por medio de métodos de ingeniería social, engañando a representantes de servicio a clientes de Amazon y Apple, lo que le permitió obtener información suficiente para accesar a las cuentas de iCloud y Gmail de Honan.

Es obvio que la habilidad del que se describe a sí mismo como un adolescente de 19 años de ejecutar un ataque de ingeniería social de múltiples niveles hace surgir la pregunta de quién más (agencias de inteligencia, criminales o legiones de adolescentes aburridos) pueden haber estado ya poniendo en operación estas técnicas, sin que las víctimas siquiera se dieran cuenta.

¿A quién culpar?
Si se busca culpar a alguien, se puede comenzar con el sistema de verificación de identidad que emplean los gigantes de la tecnología. “El sistema de Amazon tiene una falla parcial, pero el vínculo más débil es por mucho Apple”, dice Marco Arment, cofundador de Tumblr, en su blog. “Resulta atroz que den control de su cuenta en iCloud a cualquier persona que sepa su nombre y domicilio (lo que cualquiera puede averiguar muy fácilmente), y los últimos cuatro dígitos de su tarjeta de crédito (que en general se considera seguro mostrarlos en sitios Web y recibos)”.

Cuando se trata de hacer revisiones a consumidores, las empresas son perezosas. “A lo que se reduce esto es a la autenticación (¿cómo verifica que alguien es quien dice ser?). Ahora mismo, la norma de la industria señala que usted proporcione un poco de información personal”, dice en conversación telefónica el gerente de Inteligencia de Amenazas de Trustwave SpiderLabs, quien se presenta como Space Rogue. Para él, el problema es obvio: “Nada de eso es información secreta. Toda se consigue fácilmente por medio de Google o de otros métodos”

La falla de los equipos de seguridad de Amazon y Apple al no poder detectar (o molestarse por contemplar) de forma proactiva los ataques al estilo de Phobia es patente. (Se ha informado que ambas compañías están revaluando sus verificaciones y consecuencias.)

En la conferencia Black Hat Europa, realizada en Ámsterdam a principios de año, comprobadores de penetración describieron trabajos temporales en los cuales habían sido contratados por una empresa para identificar sus vulnerabilidades a la seguridad de la información.

En ocasiones encontraron las fallas esperadas en aplicaciones Web. Pero muy a menudo también hallaron literalmente puertas traseras sin llave a la oficina misma, además de impresiones de nombres de usuario, contraseñas u otra información confidencial indizada cuidadosamente en archiveros sin llave.

Comprobadores de penetración profesionales se habrían comido completitas a Amazon y Apple, dada la facilidad con la que se puede robar la identidad de los consumidores. “Las personas hacen esto todo el tiempo; no es un caso aislado lo que le sucedió a Honan”, dice Space Rogue, quien ayudó a fundar la destacada agencia de consultores @Stake, y quien ha trabajado antes para el ‘think tank’ (u organismo de políticas) L0pht Heavy Industries.

Usuarios flojos
Si las empresas son perezosas, también lo son los consumidores, y Honan admitió su culpabilidad en el ataque contra su identidad en línea. “Esos lapsos de seguridad son culpa mía, y en verdad me lamento por ellos”, escribió en un resumen de los ataques. No obstante, tras hacer esa declaración al principio de su artículo, Honan dedicó después 3,300 palabras a analizar lo que los demás, incluidos Amazon y Apple, hicieron mal.

Para reiterar: No hay que aprender de Honan. Él no hizo una copia de seguridad de sus dispositivos en un disco duro, a pesar de contar con el sorprendente software de respaldo “dispara y olvida” Time Machine, incluido con su laptop Apple con OS X. Además, utilizó prefijos de direcciones de correo electrónico idénticos (primer nombre, apellido) en numerosos servicios, lo que hizo que las direcciones de sus cuentas fueran fáciles de adivinar para un atacante. Y vinculó numerosas cuentas unas con otras, creando con ello un punto de falla único.

Honan es difícilmente la primera persona con conocimientos técnicos que comete este tipo de errores. El acusado de LulzSec y participante de Anonymous, Donncha O’Cearrbhail, afirmó haber comprometido el AppleID del principal investigador del crimen cibernético de Irlanda. Como el policía re-enviaba también sus correos de trabajo a una cuenta de Gmail que había configurado en su iPhone para revisarla, O’Cearrbhail pudo escuchar a escondidas una conferencia telefónica entre el FBI y agencias internacionales de procuración de justicia.

Por desgracia, cuando se trata de proteger los estilos de vida cada vez más conectados de las personas, no hay respuestas fáciles. “Las personas desean aprovechar la tecnología para facilitar sus vidas, de modo que vinculan todas estas cuentas entre sí, y al hacerlo las pone en riesgo”, señala Space Rogue. “¿Es culpa de las compañías IT, por permitir a las personas hacer esto, o es culpa de las personas? Esto es algo con lo que la sociedad tendrá que lidiar conforme pase el tiempo.”

Por fortuna, la historia aleccionadora de Honan (y el excelente análisis de cómo fue hackeada su vida, que Phobia hizo posible al contarlo, a cambio de la garantía de que Honan no lo demandara) ha puesto este problema bajo el reflector central.

Quien llege a sufrir una desgracia similar no debe esperar el trato con guantes blancos que obtuvo Honan, el cual incluyó el trabajo de Apple para recuperar los archivos que fueron eliminados de manera remota de su disco duro. “La víctima aquí es un conocido periodista de tecnología, de modo que obtuvo el nivel de soporte técnico del cual no disponemos la mayoría de nosotros”, sentencia Bruce Schneier, director IT de seguridad de BT, en una publicación en el blog. “Creo que esto será cada vez un problema más grande, y que los proveedores de servicios de Nube necesitarán soluciones mejores y más automatizadas.”

¿Qué aspecto podrían tener estas soluciones de seguridad mejoradas? Como se ha dicho, Apple y Amazon pueden comenzar al menos ofreciendo autenticación bifactorial. Dado que ambas compañías ganan mucho dinero operando tiendas de aplicaciones para smartphones y cuentan con esos canales de distribución, crear una aplicación bifactorial para teléfonos inteligentes será un próximo paso natural. O simplemente podrían usar la aplicación para smartphones de Google.

Mientras tanto, conviene someter a interrogatorio a quienes deseen llamar al servicio a clientes para restablecer una contraseña, pero que (al igual que Phobia cuando contactó a Apple) carecen de las respuestas a las preguntas de seguridad archivadas. Por ejemplo, después de permitir que un usuario solicite restablecer una contraseña por vía telefónica, ¿por qué no “hacer que la persona vuelva a llamar al día siguiente?”, propone Marco Arment, cofundador de Tumblr: “Si olvida su contraseña y las respuestas a sus preguntas de seguridad, no es irracional esperar un poco de incomodidad”, en especial si no desea ver su vida digital comprometida por un atacante con conocimientos de ingeniería social.

Fuente: Information Week

Gatekeeper ¿un antivirus integrado para Mac OS X?

agosto 4, 2012 Los comentarios están cerrados

En los últimos días, se está hablando de Gatekeeper, una nueva funcionalidad de Mountain Lion a la que se le está considerando “antivirus para Mac”.

En la página oficial de Apple, se puede leer:

 “Gatekeeper es una nueva funcionalidad en Mountain Lion que complementa las comprobaciones de malware que ya existen en OS X para proteger tu Mac de malware y aplicaciones maliciosas de Internet”

Esto no es del todo cierto. Vayamos por partes. En lo referente a “las comprobaciones que ya existen”, en concreto hablan de la cuarentena y de xProtect. La cuarentena es una simple alerta sobre los ficheros descargados de Internet. xProtect es un rudimentario sistema de detección por firmas de malware que se introdujo en septiembre de 2009. Se trata de un primer acercamiento a un antivirus integrado. Tan rudimentario que cuando apareció solo reconocía dos familias que solían atacar al sistema operativo de Apple y solo comprobaba ciertas descargas (las de Safari, iChat y Mail). Actualmente cuenta con algunas firmas más, que se pueden ver claramente (nombre del malware y el patrón de detección) en:

http://configuration.apple.com/configurations/macosx/xprotect/3/clientConfiguration.plist

El número 3 en la URL hace referencia a Mountain Lion. Si se modifica al 2, se ve el fichero de firmas de Lion y 1 es para Snow Leopard. Por cierto, no parece detectar ni se ve en esas listas al reciente OSX/Crisis que, aunque no haya conseguido un gran número de infecciones, sí ha gozado de mucha popularidad.

Sin embargo, aunque el proyecto xProtect sigue en marcha, parece enterrado y es muy complicado encontrar información en la página oficial de Apple.

El comando site:support.apple.com xprotect en Google apenas ofrece ya información. Y en los resultados en los que aparece, la palabra en sí no puede encontrarse o se trata de usuarios particulares preguntando en foros de consulta. No suelen avisar tampoco de cuándo es actualizado. Se hace silenciosamente y sin anuncios.

¿Gatekeeper es o no es por fin un antivirus?

El movimiento de Apple es claro: el modelo de negocio de apps se va a extender de los móviles al escritorio muy pronto, y quiere controlar el terreno. Pero no. Gatekeeper se trata de un sistema que controla que las apps descargadas estén firmadas por un ID conocido. Una suerte de Authenticode de Microsoft.

Para desarrollar para Apple y publicar en el App Store, el programador debe conseguir (y pagar) un ID con el que firma sus programas. Una especie de certificado.

Según Apple

    “El ID del programador permite a Gatekeeper bloquear aplicaciones creadas por desarrolladores de malware y verificar que las apps no han sido modificadas desde que fueron firmadas. Si una app fuera desarrollada por un programador desconocido (o sin ID) o modificada con él, Gatekeeper puede bloquear la app y que no sea instalada”.

Las opciones de Gatekeeper son:

  •  Solo abrir apps que vengan de la Store oficial.
  •  Abrir las que vengan de la Store oficial y desarrolladores identificados.
  • Ejecutar cualquier app independientemente de donde venga (lo que significa deshabilitar Gatekeeper). Eso sí, las que no sean íntegras serán rechazadas.

En definitiva, un “comprobador de certificados”. Apple avisa de que efectivamente, se pueden comprobar los ID y la integridad de los ficheros… pero olvida que comprobar la integridad o la entidad del que firma, nunca dice absolutamente nada de las intenciones del programa firmado. Y si no, que se lo pregunten a Microsoft: TheFlame estaba firmado con un certificado legítimo de Microsoft.

Por tanto, Gatekeeper está lejos de ser un antimalware. Más bien es un controlador de la integridad, procedencia y autoría de las apps. Y teniendo en cuenta que un ID puede ser robado, tampoco garantiza nada. Es cierto que en un momento dado Gatekeeper podría detener una app maliciosa, pero no la detectaría por su comportamiento, sino por no poseer un ID válido o provenir de fuera de la Store oficial. Esos serían los “obstáculos” para el atacante. O, si el usuario solo descarga del Store oficial, tendría que colar el malware en el catálogo. Aunque si bien el Google Play está repleto de aplicaciones maliciosas (hasta el punto que Google ha vuelto a anunciar nuevas restricciones para publicar), Apple ha conseguido un control mucho más estricto y es cierto que, descargar desde su Store oficial, ofrece una importante garantía de “salubridad”.

Fuente: Hispasec

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Categorías:Noticias Etiquetas: , ,

Presentan Rootkit para Mac en #BlackHat

agosto 3, 2012 Los comentarios están cerrados

En la conferencia de seguridad BlackHat el investigador de seguridad australiano Loukas K. (Snare) demostró un rootkit para Mac (PDF explicativo aquí).

En este caso, es la aplicación maliciosa se base en un ataqe al protocolo Extensible Firmware Interface (EFI), que ha sido implementado por un gran número de fabricantes de motherbase, para sustituir a la clásicas BIOS.

El rootkit es capaz de inyectarse en el firmware EFI de un MacBook Air y saltear el sistema de cifrado FileVault del disco duro. Aunque la idea de un rootkit en EFI no es nuevo, esta es la primera vez que se ha demostrado en vivo y el hacker ha utilizado un método hasta ahora desconocido sobre la base de modificar una placa Eternet Thunderbolt.

Desde el punto de vista de un atacante, un rootkit insertado en la BIOS EFI tiene algunas ventajas importantes. El código malicioso sobrevive al reiniciar el sistema, es capaz de saltarse el cifrado del disco, no tiene que realizar cambios en el sistema de archivos disco duro, y sin embargo está en condiciones de modificar el núcleo del sistema operativo al arrancar el mismo. La infección requiere acceso físico a la computadora.

Dependiendo de los puertos disponibles en el sistema, un atacante puede insertar una unidad flash USB o elegir el nuevo método a través del adaptador Ethernet.

Fuente: Segu-Info

Categorías:Noticias, Pentesting Etiquetas: , ,

Rakshasa: un rootkit permanente para hardware

agosto 3, 2012 Deja un comentario

Jonathan Brossard, de la firma francesa de seguridad Toucan System, ha presentado en BlackHat y Defcon un malware capaz de tomar el control de la BIOS de al menos 100 motherboards [PDF].

El malware es indetectable en el BIOS y la única forma de eliminarlo sería volver a actualizar el BIOS y, si además, los dispositivos periféricos también están infectados, podrían volver a infectar a la placa base. La única manera de garantizar la limpieza de un sistema infectado sería volver a actualizar tanto la placa base y todos los periféricos, al mismo tiempo, algo claramente más allá del usuario promedio.

Dado que el malware se encuentra en, o sustituye el BIOS, el malware tiene el control sobre el equipo antes de que el sistema operativo se cargue. Todo lo que es parte del sistema operativo puede ser controlado, el cifrado puede apagarse mientras el usuario cree que que está funcionando, el firewall puede ser traspasado y el software antivirus no tiene sentido.

En esencia es indetectable, ya que no deja ninguna huella en los archivos, en el disco duro o en memoria, a diferencia de otros programas maliciosos como los bootkits que se almacenan en la Master Boot Record (MBR) y en consecuencia eran fáciles de detectar. Rakshasa descarga el bootkit en memoria RAM cada vez que se inicia el equipo y luego se elimina de la memoria RAM sin dejar rastro alguno.

Si bien este no es primer acercamiento al tema y el virus CIH ya fue capaz de infectar un BIOS en 1998, esta nueva prueba de concepto abarcaría mayor cantidad de fabricantes y podría suponer una nueva etapa en el diseño de malware.

Fuente: http://blog.segu-info.com.ar/2012/08/rakshasa-un-rootkit-permanente-para.html