10 años de malware para Mac OS X

Categorias: Apple,Mac,Malware | | 1 Comentario » |

Adaptación del artículo publicado por Graham Cluley en el blog de ESET WeLive Security.

Antes de empezar vamos a dejar una cosa clara:

El problema del malware en Mac OS X no es ni de lejos tan grave como en Windows.

Se descubren alrededor de 200.00 nuevas variantes de malware para Windows cada día. La actividad de los códigos maliciosos en el mundo Mac es mucho menos frenética, pero el hecho es que existe malware que puede infectar nuestros iMacs o MacBooks.

Y si tu ordenador Apple es lo suficientemente desafortunado como para caer víctima de una de estas infecciones, no vas a sentirte mucho mejor que tus amigos usuarios de PC que intentan eliminar un troyano con acceso remoto o una molesta barra de herramientas en su sistema Windows.

apple-ii-170

Cabe recordar también que el malware para Mac no es para nada algo nuevo.

El malware para dispositivos Apple tiene como objetivos a los Macintosh “y al PC”. Tenemos ejemplos como el primer malware desarrollado para ordenadores Apple II en 1982 conocido como Elk Cloner y que fue programado por Rich Skrenta.

Pero las amenazas para Apple II y los ordenadores Apple que funcionaran con Mac OS 9 o versiones anteriores no son especialmente relevantes para nadie aparte de los historiadores.

Lo que realmente preocupa a los usuarios de Mac actuales es que amenazas existen para Mac OS X.

Además, resulta que en 2014 se cumple el décimo aniversario del malware para Mac OS X. Es por eso que hemos decidido recordar algunos de los ejemplos más destacables de gusanos y troyanos que hemos visto en esta plataforma en los últimos diez años.

Renepo (2004)

Tal y como se puede ver en nuestra web de información sobre las amenazas para Mac, el primer malware desarrollado para Mac OS X apareció en 2004.

Renepo (también conocido como “Opener”) fue un gusano de Shell script y contenía un arsenal de funcionalidades de spyware y puerta trasera que permitía a los atacantes robar información de los ordenadores infectados, desactivar las actualizaciones, desactivar el cortafuegos del ordenador y descifrar contraseñas.

renepo-1

Renepo nunca fue un problema serio para la gran mayoría de usuarios de Mac ya que no se propagó por Internet y requería que el atacante tuviera acceso físico a tu ordenador para instalarlo. Sin embargo, fue un primer indicador de que los Mac no estaban protegidos por arte de magia contra el código malicioso.

Leap (2006)

Leap supuso para mucha gente que monitorizaba la seguridad en los productos Apple, el primer gusano real para el sistema operativo Mac OS X.

Leap podía propagarse a otros ordenadores Mac mediante el envío de mensajes a través de iChat, haciéndolo comparable a un gusano de correo electrónico o de mensajería instantánea.

En aquellos días, algunos fanáticos del Mac salieron en defensa de Apple argumentando que Leap “no era realmente un virus”, sino que se trataba de un troyano. Pero, en nuestra opinion, se equivocaban.

Esta argumentación se basaba en que Leap necesitaba de la interacción del usuario para infectar el sistema (el usuario debía abrir el archivo malicioso que se enviaba a través de iChat), por lo que no podía ser considerado como un virus o un gusano.

Pero varios ejemplos de malware para Windows descubiertos en la misma época como MyDoom o Sobig también requerían de una intervención del usuario (pulsando sobre un archivo adjunto). Y aun así, muchos usuarios de Mac estuvieron más que dispuestos a llamar “virus” a esos tipos de malware para Windows cada vez que tenían la oportunidad.

En nuestra opinion, actualmente se podría considerar el termino “virus” como un contenedor de diferentes tipos de malware que incluye a los gusanos, virus parásitos de ficheros o virus del sector de arranque, entre otros. Los troyanos son un tipo completamente diferente de malware porque, a diferencia de los virus y los gusanos, no pueden replicarse a si mismos y no pueden propagarse automáticamente.

Leap fue seguido rápidamente por otra muestra de malware, una prueba de concepto de un gusano llamado Inqtana que se propagaba usando una vulnerabilidad de la conexión Bluetooth.

Así que la próxima vez que alguien te diga que no existen los virus para Mac OS X ahora puedes responderle con autoridad “¡Por supuesto que hay!”

Jahlav (2007)

Las cosas se pusieron realmente feas con Jahlav (también conocido como RSPlug), una familia de malware que empleaba una técnica frecuentemente utilizada en amenazas dirigidas a sistemas Windows y que consistía en cambiar la configuración DNS del sistema infectado. Existieron varias versiones de Jahlav, que frecuentemente se camuflaba en forma de falso códec de vídeo necesario para visualizar contenido pornográfico.

jahlav

Por supuesto, los criminales detrás de estos ataques sabían que este camuflaje era un ejemplo altamente efectivo de cómo la ingeniería social podía engañar a mucha gente para que diera a una aplicación permisos para ejecutarse en su ordenador.

La verdad fue que muchos usuarios de Mac, tal y como sucedía con los de Windows, bajaban la guardia si creían que una aplicación así les ayudaría a ver contenido pornográfico.

MacSweep (2008)

En un ejemplo temprano de scareware para Mac OS X, MacSweep intentaba engañar a los usuarios haciéndoles creer que se habían encontrado problemas de seguridad y privacidad en sus ordenadores. En realidad, las alertas que se mostraban estaban diseñadas para que los usuarios compraran la versión completa de este falso software antivirus.

Snow Leopard (2009)

Por supuesto, Snow Leopard no es un malware ya que se trataba de la versión 10.6 de Mac OS X lanzada en agosto de 2009.

La razón por la que está incluido en esta historia del malware para Mac OS X es porque fue la primera versión del sistema operativo en incluir una protección antivirus básica (aunque de una forma bastante rudimentaria).

osx-xprotect

Apple, preocupada por la propagación y las alarmas que generaron las infecciones causadas por la familia del malware Jahlav, decidió tomar cartas en el asunto.

Sin embargo, su funcionalidad antivirus solo era capaz de detectar malware bajo ciertas circunstancias (e inicialmente solo cubría dos familias de malware). Parecía claro que aquellos usuarios de Mac concienciados sobre la seguridad de sus sistemas quizá necesitasen algo mejor.

Boonana (2010)

Este troyano basado en Java demostró que el malware multiplataforma había llegado para quedarse atacando sistemas Mac, Linux y Windows.

Esta amenaza se propagaba mediante mensajes publicados en redes sociales camuflado en forma de vídeo y realizando la siguiente pregunta: “¿Es tuyo este vídeo?”.

boonana

Obviamente, tras esta aparentemente inocente pregunta se ocultaba toda una campaña de propagación de malware que hacía que los usuarios despistados que pulsaran sobre el enlace se descargaran un malware camuflado de un supuesto applet para poder ver el vídeo.

MacDefender (2011)

Con MacDefender vimos como el número de infecciones para Mac llegaban a un nuevo nivel ya que muchos usuarios vieron como aparecían falsas alertas de seguridad en sus sistemas.

Utilizando técnicas maliciosas de optimización del motor de búsqueda, los ciberdelincuentes consiguieron desviar tráfico hacia sitios web especialmente preparados que alojaban falsos antivirus cuando los usuarios buscaban cierto tipo de imágenes.

Por supuesto, el peligro se encontraba en que a los usuarios se les incitaba a que pagaran cuanto antes por esta falsa protección usando la tarjeta de crédito para terminar con estos mensajes alarmantes.

macdefender

Decenas de miles de usuarios contactaron con el servicio técnico de Apple solicitando asistencia para resolver este tipo de infecciones.

Flashback (2011/2012)

El malware Flashback en 2011/2012 supuso el ataque más extendido jamás visto en la plataforma Mac hasta la fecha, afectando a más de 600.000 ordenadores Mac.

flashback

Esta amenaza se hacía pasar por un instalador falso de Adobe Flash Player y se aprovechaba de una vulnerabilidad sin solucionar de Java. Su finalidad era el robo de datos como contraseñas e información bancaria de los ordenadores Mac infectados, además de redirigir los resultados de los motores de búsqueda para engañar a los usuarios y dirigirlos hacia contenido malicioso.

En septiembre de 2012, investigadores de ESET publicaron un análisis técnico del malware Flashback que merece leerse si se quiere saber más acerca de esta amenaza.

Lamadai, Kitm y Hackback (2013)

Durante los últimos meses, los Macs también han sido utilizados en labores de espionaje y, obviamente, todas las sospechas han apuntado a las agencias de inteligencia y atacantes apoyados por gobiernos con objetivos muy específicos.

El troyano Lamadai, por ejemplo, tenía como objetivo ONGs (organizaciones no gubernamentales) tibetanas y se aprovechaba de una vulnerabilidad en Java para descargar malware adicional en los ordenadores infectados.

lamadai

Mientras tanto, Kitm y Hackback espiaron a sus víctimas en el Foro de la Libertad de Oslo, proporcionando a los atacantes la habilidad de ejecutar comandos a su voluntad en los sistemas infectados.

LaoShu, Appetite y Coin Thief (2014)

Así las cosas, ¿que ha pasado en lo que llevamos de 2014? ¿Está siendo el décimo aniversario de Mac OS X un año destacable?.

Bueno, de acuerdo con los investigadores de ESET, se siguen observando nuevas variantes de malware para Mac cada semana, lo que pone a aquellos usuarios de Mac que no protegen sus sistemas en riesgo de perder sus datos o de comprometer la seguridad de su sistema por un ataque.

El espionaje patrocinado por los gobiernos sigue haciendo acto de presencia, con el descubrimiento de Appetite, un troyano para Mac OS X que ha sido usado en varios ataques dirigidos contra departamentos gubernamentales, oficinas diplomáticas y empresas.

angry-bird-170

Por su parte LaoShu se ha ido propagando a través de mensajes spam haciéndose pasar por un aviso de entrega de FedEx, y sacando a la luz interesantes documentos que no habían sido asegurados de forma adecuada.

No obstante, la mayor parte de la atención reciente ha ido hacia CoinThief ya que se distribuía en una versión crackeada de Angry Birds, Pixelmator y otras aplicaciones conocidas, llevando a los usuarios a infectarse.

Lo que hizo a CoinThief en un malware interesante fue que los investigadores encontraron que este malware estaba diseñado para robar credenciales de acceso a varios sitios web relacionados con el intercambio y almacenamiento de Bitcoines a través de barras de herramientas maliciosas para navegadores.

En resumen, protégete.

Esta ha sido una breve historia del malware para Mac OS X. Si se desea aprender más acerca de estas amenazas o se está interesado en alguna de las muestras para Mac que hemos visto en ESET durante los últimos 10 años, aconsejamos consultar nuestra web “Información sobre las amenazas para Mac” y descargar la versión de evaluación de ESET Cybersecurity para Mac.

A pesar de que no existe ni de lejos tanto malware para Mac como sí lo hay para Windows, cada nueva amenaza que aparece debe ser considerada como importante, y sabemos que los ciberdelincuentes están trabajando duro para encontrar nuevas víctimas.

Josep Albors



Phishing de Apple ID en la web de Electronic Arts Games

Categorias: Apple,Phishing | | Sin comentarios » |

Cuando hablamos de phishing, a muchos se nos viene a la cabeza la típica página web que intenta suplantar una entidad bancaria de confianza y a la cual accedemos normalmente tras pulsar en un enlace que nos ha llegado por correo electrónico. Si bien es cierto que este es el caso más común, no es, ni mucho menos, el único.

Phishing es todo aquel caso de suplantación de identidad de una empresa o servicio, y para que tenga éxito es muy importante  ganarse la confianza del usuario, haciendo que la web falsa sea prácticamente idéntica a la original e incluso alojándola en un dominio de confianza.

En los últimos meses venimos observando que cada vez más sitios web supuestamente de confianza están teniendo problemas de seguridad, problemas que algunos atacantes aprovechan, como en este caso, para obtener las credenciales de acceso de los confiados usuarios a algún servicio online de interés.

EA_portada

Pongamos como ejemplo un caso reciente. En el día de ayer, la empresa de seguridad Netcraft publicó en su blog un aviso de seguridad en el que se alertaba de que uno de los servidores web de Electronic Arts (EA) Games se encontraba alojando una web de phishing de Apple. Para quien no la conozca, EA es una de las desarrolladoras de software de entretenimiento más importantes y en su catálogo podemos encontrar superventas como la saga FIFA, Battlefield, Plants vs. Zombies o el recientemente publicado Titanfall.

Las webs oficiales de EA son visitadas diariamente por decenas de miles de personas. Esto las hace un objetivo muy atractivo para los ciberdelincuentes que se encuentran detrás de este ataque. Aprovechándose de una vulnerabilidad de WebCalendar 1.2.0 (versión que cuenta con varios agujeros de seguridad) instalado en el servidor comprometido, los atacantes consiguieron alojar una web de phishing de Apple ID como la que vemos a continuación:

ea_apple_phish

Esta web fraudulenta intenta engañar al usuario para que introduzca su ID de Apple y su contraseña para, a continuación, solicitar a la víctima que verifique otros datos personales como su nombre y apellidos, número de la tarjeta de crédito, fecha de expiración, código de seguridad, fecha de nacimiento, número de teléfono, nombre de soltera de su madre y otro tipo de información privada. Estos datos son reenviados a los ciberdelincuentes para, seguidamente, redirigir al usuario a la web original de Apple ID.

Debido que la web de phishing se encuentra alojada en un sitio web de confianza, es probable que hayan caído en la trampa más usuarios de lo que es habitual en estos casos. Por su parte, Electronic Arts ya ha informado de que está trabajando para que este tipo de incidentes no se vuelvan a repetir.

Si hemos picado con esta web falsa, es importante que cambiemos cuanto antes nuestra contraseña de Apple ID y activemos la siempre útil autenticación de doble factor, tal y como nos aconsejan desde el blog de Seguridad Apple. Si además hemos proporcionado los datos de nuestra tarjeta de crédito, necesitaremos acudir lo antes posible a nuestra entidad bancaria para cancelarla y solicitar una nueva, si no queremos que la utilicen para realizar cargos fraudulentos.

El uso de webs legítimas para alojar webs de phishing o malware hace tiempo que se convirtió en algo habitual. Es por ello que debemos estar alerta y sospechar de cualquier acción sospechosa cuando navegamos por Internet, aunque sea por aquellas webs que visitemos habitualmente y que nos inspiran confianza.

Josep Albors

Enlaces relacionados

Disfruta de los videojuegos pero no bajes la guardia

Acceden a un servidor de Ubisoft y roban datos de usuarios

Según el veterano jugador Pat Garrat “los `jugones`siempre serán una presa fácil para los ciberdelincuentes, pero no es nuestra culpa”

 



Apple publica iOS 7.1 y soluciona varios agujeros de seguridad

Categorias: actualizaciones,Apple,Vulnerabilidades | | Sin comentarios » |

El pasado lunes, Apple publicó una esperada actualización de su sistema operativo iOS, utilizado principalmente en sus dispositivos móviles iPhone e iPad. Esta actualización es de las consideradas importantes ya que corrige más de 40 vulnerabilidades, además de añadir mejoras en algunas aplicaciones incluidas en el sistema y en el propio rendimiento, muy criticado desde la aparición de iOS 7.0.

iOS7

Nuevas características

Según podemos ver en el apartado de mejoras en la seguridad del sistema publicado por Apple en su web, entre las vulnerabilidades solucionadas encontramos algunas que fueron utilizadas por el grupo evad3rs para conseguir realizar jailbreak en iOS 7. Esto imposibilita que los usuarios de iPhone e iPad puedan “liberar” sus dispositivos de las restricciones impuestas por Apple, principalmente en lo que se refiere a la instalación de aplicaciones sin firmar.

Es posible que esta gran actualización sea la última que reciban los usuarios de iPhone 4, cercano ya al fin de su ciclo de vida si nos fijamos en los precedentes establecidos por modelos anteriores del conocido teléfono de Apple. Desde el momento en que Apple decida dejar sin soporte estos dispositivos, sus usuarios quedarán a merced de futuros agujeros de seguridad, si bien el periodo de soporte con el que habrán contado estos terminales supera con creces la media de otros terminales que cuentan con Android como sistema operativo.

Cuidado con el jailbreak

Aunque la mayoría de usuarios tan solo se fijan en los detalles estéticos o en si la nueva versión incluye alguna nueva característica llamativa (como lo fue Siri en su momento), la verdad es que no son pocos los que se resisten a actualizar su dispositivo a la última versión de iOS y perder las múltiples posibilidades que ofrece el jailbreak. Sin embargo, debemos tener en cuenta que un dispositivo “liberado”, si no se disponen de los conocimientos adecuados, supone un grave riesgo de seguridad y puede comprometer la información que almacenemos en él.

Así pues, si eres usuario de iPhone o iPad, recomendamos encarecidamente actualizar a esta nueva versión de iOS para evitar sorpresas desagradables.

Josep Albors

Actualización 12/03: El grupo evad3rs ha respondido al lanzamiento de esta actualización de iOS con la publicación de un nuevo exploit que permite hacer jailbreak también a iOS 7.1



Todavía hay un 5% de “valientes” que no utilizan ningún sistema de seguridad en su ordenador

(¿La habíais echado de menos? ¡Nosotros sí! De nuevo tenemos a nuestra genial Yolanda con nosotros)

Así nos lo cuenta AV-Comparatives, que ha publicado la cuarta entrega de su encuesta sobre antivirus, que lleva por título Anti-Virus Survey Report, y que recoge SiliconWeek.

El estudio ha recogido información de más de cinco mil personas a nivel mundial, y extrae conclusiones bastante interesantes, como lo que los usuarios consideran que los tres aspectos más importantes que tiene que tener un producto encargado de la seguridad son, por orden de importancia, el poco efecto en el rendimiento del sistema, una buena velocidad de detección, y una buena capacidad para eliminar malware.

 eset-nod32-antivirus-estudio-avcomparatives-ordenador-sin-proteccion

Esto me recuerda cuando hace muchos años utilizábamos como argumento de marketing la cantidad de virus que cada programa era capaz de detectar y de neutralizar, ya que no había sistemas automáticos de reconocimiento de amenazas informáticas, clasificación y desinfección. Y claro, conseguir muestras de los virus que estaban circulando para poder incorporarlas al que llamamos “fichero de firmas” era harto complicado. Si se creaba un bicho en Algeciras, tardaba meses en cruzar España y llegar a Vigo.

Con la era de Internet todo esto ha cambiado: somos capaces de detectar mucho antes amenazas informáticas con sistemas automáticos .Y cuando hace algunos años cada día se incorporaban 10 nuevos virus al fichero de firmas para poder ser detectados y neutralizados, hoy hablamos de miles diarios. A lo que hay que añadir que ya hay tecnologías en cada ordenador individual capaces de reconocer por sí mismas nuevas amenazas y de neutralizarlas, sin saber nada antes de ellas.

Así que ahora se valora mucho más otras cosas que la capacidad de detección, porque, como a los soldados al acabar la mili, el valor se le supone. Y es que no hay diferenciación ya entre productos en cuanto a qué son capaces de detectar –desde el punto de vista del usuario-, mientras que sí hay mucha sensibilidad con que el antivirus no ralentice y con que sea rápido haciendo lo que tiene hacer. Otra cosa es la típica empresa que utiliza antivirus gratuitos suponiendo que son geniales y se infecta, y entonces, acordándose de Santa Bárbara cuando truena (Seguimos con la mili, patrona de Artillería), acuden a buscar un profesional que les ayude instalándoles, a partir de ese momento, un antivirus de pago… Pero en este país –y creo que también en otros- somos “asín” ;-).

Además, el estudio también nos cuenta que hay diferentes hábitos de uso de antivirus según estemos hablando de Estados Unidos o de Europa, y que al otro lado del charco, un porcentaje muy alto utiliza soluciones gratuitas mientras que en Europa, que valoramos mucho el soporte técnico y que haya alguien al otro lado echándonos una mano cuando hace falta, preferimos como primera opción los antivirus de pago.

Eso sí, no especifica si los que se llaman usuarios de soluciones gratuitas incluye también los “piratillas” que no adquieren la licencia pero que con el uso de diversas triquiñuelas consiguen, durante un rato, utilizar las versiones comerciales sin pagar.

Pero sí arroja otro dato interesante: todavía hay un 5% de valientes a nivel mundial que no utiliza ningún antivirus en su ordenador (no especifica si son usuarios Apple, Linux o Windows). Tanto si se tienen muchos conocimientos informáticos como si se trata de usuarios noveles o medios de las nuevas tecnologías, el no utilizar antivirus es como irte de vacaciones, dejar la puerta y las ventanas de tu casa abiertas de par en par y además colgar un cartel en la fachada que diga “señores ladrones, pasen ustedes libremente y sin prisas. Llévense lo que quieran, estamos de vacaciones. ¡Ah! Y en la nevera hay refrescos” ;-).

Bueno, un estudio más de los serios que arrojan algo de luz acerca de cómo se comporta el mercado. Y que, dicho sea de paso, sitúa a ESET entre el top 3 de principales marcas de antivirus utilizadas a nivel mundial, dicho por los propios usuarios (que luego no diga nadie que nosotros mismos nos echamos flores ;-). Así que gracias a todos los que confiáis en ESET vuestra seguridad, porque gracias a vosotros, cada día somos mejores.

Feliz fin de semana, trop@!

Yolanda Ruiz
@yolandaruiz



Los Angry Birds usados para propagar malware para Mac

Categorias: Apple,General,Mac,Malware | | Sin comentarios » |

Investigadores de ESET nos alertan de un tipo de malware para Mac que roba Bitcoins a través de aplicaciones modificadas para propagar el código malicioso. En concreto se trata del troyano OSX/CoinThief que infecta ordenadores que usan Mac OS X, instalando complementos maliciosos en el navegador para robar las credenciales de sitios dedicados al intercambio de bitcoins.

 

angrybirds-623x4321

Los expertos han desvelado que CoinThief se está propagando mediante redes de intercambio de archivos P2P, escondido dentro de versiones crackeadas de aplicaciones muy famosas para Mac OS X, tales como:

  • El editor de texto para Mac: BBEdit
  • El editor de gráficos: Pixelmator
  • El popular juego Angry Birds
  • El catálogo multimedia Delicious Library

Los delincuentes que están detrás de CoinThief quieren sacar partido de la locura que se está viviendo con los bitcoines y la fluctuación en su cotización, irrumpiendo en los monederos digitales de los usuarios“, afirma el investigador de seguridad Graham Cluley, que ha escrito sobre esta amenaza en el blog de ESET “We Live Security“. “Tal y como ha demostrado el equipo de investigación de ESET, los usuarios de Mac que han descargado e instalado aplicaciones piratas desde sitios torrent, no sólo están privando a los desarrolladores de sus legítimos ingresos, sino que están arriesgando sus ordenadores y su economía“, explica.

Según las estadísticas de detección ofrecidas por ESET LiveGrid, esta amenaza está afectando fundamentalmente a usuarios de Mac en Estados Unidos. CoinThief fue detectado a primeros de mes por los investigadores de SecureMac, que descubrieron que se había distribuido a través de sitios famosos de descargas, como Download.com y MacUpdate.com, escondidos en versiones troyanizadas de Bitcoin Ticker TTM (To The Moon), BitVanity, StealthBit y Litecoin Ticker.

Consejos

Desde aquí, más allá de que seas usuario de Bitcoin o no, aconsejamos a los usuarios de Mac que protejan sus equipos con un antivirus actualizado y que resistan la tentación de descargar software pirateado. Lo recomendable es dirigirse a una fuente legítima como el sitio web de cada desarrollador o el App Store para Mac.

Si desafortunadamente eres uno de los usuarios infectados por el OSX/CoinThief, aquí tienes algunas instrucciones de limpieza que te pueden resultar útiles. 

 

Adaptación del post de Graham Cluley para We Live Security

 

Enlaces Relacionados: 

- Los Angry Birds, ¿luchan contra cerdos o son también espías?

- Apple publica una actualización urgente para iPhone y iPad

 

 



Apple publica una actualización urgente para iPhone e iPad

Si estás usando un iPhone o un iPad, ahora sería un buen momento para actualizar el sistema operativo iOS a la última versión 7.0.6. Apple acaba de publicar una actualización urgente para el popular sistema operativo utilizado en sus dispositivos móviles que soluciona una grave vulnerabilidad en la verificación de conexiones SSL, tal y como explica la propia Apple en su web de soporte.

Pero antes de nada, si nos aparece una pantalla similar a la que mostramos a continuación en nuestro iPhone o iPad, hagámosle caso e instalemos esta actualización de seguridad.

ios706

¿En qué consiste esta vulnerabilidad?

Una vez cerrado este agujero de seguridad, pasemos a analizar en que consiste puesto que la mayoría de usuarios de estos dispositivos  no sabrán muy bien en que consiste un “parche para verificar una conexión SSL”. Después de todo, este es un lenguaje bastante técnico.

Para explicarlo de forma comprensible, podríamos decir que tu dispositivo móvil de Apple tiene una vulnerabilidad crítica que permitiría a un atacante interceptar lo que deberían ser comunicaciones seguras entre tu iPhone/iPad y sitios web con protección SSL.

¿Qué es SSL?

SSL es aquello que bancos y tiendas online utilizan para proteger nuestra interacción con ellos cuando realizamos operaciones por Internet. Suele estar representado por el icono de un candado en la barra de direcciones del navegador, justo al lado de “https//direcciónweb”. El problema derivado de esta vulnerabilidad ya solucionada sería que un atacante podría obtener nuestras credenciales de acceso cuando intentemos acceder a sitios web que nos las soliciten.

Curiosamente, SSL también se utiliza para verificar las actualizaciones de software, los conocidos como parches de seguridad como el que estamos comentando hoy. Esto supone otro posible vector de ataque para los ciberdelincuentes que busquen tomar el control de los dispositivos vulnerables.

Esto significa que, para realizar esta y cualquier otra actualización importante de seguridad, deberíamos hacerlo en una red de confianza y no en la primera red Wi-Fi que encontremos cuando estemos tomándonos un café (a menos que conozcamos al dueño del bar y sepamos que esta tan maniático por la seguridad como nosotros).

Posibles ataques

No obstante, el problema principal de muchos investigadores a estas alturas es que los ciberdelincuetes hayan analizado el parche lanzado por Apple y, utilizando ingeniería inversa, sepan cómo aprovechar la vulnerabilidad en dispositivos sin actualizar. Otra de las preocupaciones es que el mensaje que nos invita a actualizar la versión de iOS no aparece todavía en todos los dispositivos móviles de Apple, dejando abierta una ventana de tiempo que los atacantes pueden aprovechar.

Además, a muchos de los usuarios de iPhone/iPad que les aparezca un mensaje de actualización como el que hemos visto no les parecerá tan importante puesto que la mayoría desconocerán que es SSL, a pesar de que lo usen a diario sin saberlo. Así que, si estás leyendo esto, lo mejor que puedes hacer tras actualizar tu dispositivo iOS es avisar a tus amigos y familiares para que hagan lo mismo tan pronto como reciban la solicitud de actualización.

Riesgos en Mac

¿Y qué pasa con los millones de ordenadores Mac? Ellos también tienen esta vulnerabilidad pero la actualización que la soluciona aún no ha sido publicada. Si sois usuarios de Mac, permaneced atentos a la publicación de este parche y actualizad tan pronto como aparezca, siempre desde una red de confianza.

Otra posible (y recomendable) medida de seguridad es utilizar navegadores como Firefox o Chrome en lugar de Safari ya que estos abortan las conexiones vulnerables. Podemos revisar si somos vulnerables navegando, por ejemplo, a la web gotofail.com y comprobar si nuestro navegador presenta este fallo de seguridad.

XS-2014-02-22-at-1.42.51-PM

Esta nueva vulnerabilidad demuestra que, independientemente del Sistema operativo utilizado, las actualizaciones de seguridad son cruciales para mantenernos protegidos. Esperemos que Apple publique pronto el parche para los usuarios de Mac y que los usuarios de iPhone/iPad actualicen cuanto antes sus dispositivos para evitar problemas con la seguridad de sus comunicaciones.

Josep Albors

Enlaces relacionados:

Apple lanza iOS 7 y aparecen los primeros fallos

Apple y Microsoft publican parches de seguridad para Mac OS X y Windows



Vulneran la protección Touch ID del nuevo iPhone 5S a los pocos días de salir al mercado

Categorias: Android,Apple,seguridad,telefonía | | Sin comentarios » |

Una de las características más destacadas en el recientemente presentado iPhone 5S es la incorporación de un sensor biométrico en el botón Home que permite identificar huellas dactilares y usarlas como método de autenticación. Y como siempre que aparece una nueva capa de seguridad (especialmente en dispositivos como iPhone), no tardaron en aparecer varios grupos de investigadores dispuestos a saltársela.

Y así ha sido. Menos de una semana después de la presentación en sociedad del teléfono estrella de Apple, un grupo de investigadores alemanes conocidos como el Chaos Computer Club han publicado un vídeo donde se observa cómo pueden engañar al Touch ID con una huella falsificada a partir de una fotografía en alta calidad de la huella del propietario del iPhone. Este procedimiento se puede observar en el vídeo que mostramos a continuación:

Según este grupo, para engañar al sensor biométrico incorporado en el iPhone 5S tan solo han tenido que utilizar una imagen en alta resolución de la huella de la víctima, debido a que el sensor incorporado en el dispositivo es de mayor resolución que los que se ven habitualmente en otros dispositivos. No obstante, para poder utilizar esta técnica se necesita tanto el acceso físico a un iPhone 5S como obtener una huella fresca, preferiblemente de superficies como el cristal.

Además, se necesita procesar la imagen de la huella para que esta pueda engañar al sensor biométrico, por lo que, si bien no es algo excesivamente complejo para alguien que esté acostumbrado a realizar este tipo de operaciones (un médico forense, por ejemplo) y cuente con el material adecuado, tampoco es algo que está al alcance de cualquiera. El problema no es tanto evitar que alguien acceda al dispositivo sin nuestro consentimiento, sino almacenar información suficientemente importante en él como para que alguien se tome todas estas molestias para acceder a ella.

TouchID

Por desgracia, muchos usuarios almacenan información cada vez más importante en dispositivos móviles o los utilizan para acceder a ella si se encuentra almacenada en algún servicio alojado en lo que conocemos como nube. La mayoría de ellos pensarán que con las medidas de protección incorporadas por el fabricante hay más que suficiente, pero si el objetivo es lo suficientemente goloso para un atacante, podrá intentar vulnerar las capas de seguridad incorporadas ya sea utilizando software malicioso o de análisis forense u otras técnicas como la que acabamos de describir si se consigue acceso físico al dispositivo.

Como bien apuntan nuestros compañeros de ESET Latinoamérica, el uso de métodos de bloqueo del dispositivo como los patrones de dibujo en Android han demostrado que pueden resultar más sencillos de vulnerar que las contraseñas tradicionales, especialmente si estas cuentan con más caracteres de los cuatro que suelen usarse habitualmente. Pocos usuarios conocen la posibilidad de establecer contraseñas más complejas en sus dispositivos y por eso consideramos importante recordarlo.

  • En iOS  se puede acceder al menú de Ajustes > General > Bloqueo con código. Una vez allí tan solo deberemos desactivar la opción Código simple para definir una nueva contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-iOS-más-de-cuatro-caracteres1

  • Para Android se puede acceder al menú Ajustes > Pantalla de bloqueo > Contraseña. Una vez ahí, podremos definir una contraseña alfanumérica de más de cuatro caracteres.

Bloqueo-Android-más-de-cuatro-caracteres

Hay que tener en cuenta no solo el acceso físico al dispositivo, sino también a todos los servicios a los que nos conectamos desde nuestro móvil. Solemos acceder a cuentas como las de Apple, Gmail, Twitter o Facebook y almacenamos nuestros datos de registro en el dispositivo para evitar tener que registrarnos cada vez que queremos consultar el correo o comprobar actualizaciones de nuestras amistades en Facebook. Esto es lo que más nos debería preocupar en caso de robo o pérdida del dispositivo, y no tanto su valor económico.

Para evitar este tipo de acceso no autorizado se pueden aplicar ciertas medidas como cifrar los datos almacenados en el dispositivo, utilizar autenticación de doble factor a la hora de acceder a cuentas personales o corporativas de correo u otros servicios y contar con un sistema antirrobo que nos permita localizar el móvil o borrar los datos almacenados en él en caso de pérdida o robo. Como vemos, no nos faltan opciones, pero la responsabilidad final para aplicarlas siempre recaerá en nosotros.

Josep Albors



ESET Lanza la Beta de ESET Rootkit detector para OS X

Categorias: Apple,Mac,Malware,rootkit | | Sin comentarios » |

El siguiente post es una traducción y adaptación del post original escrito por nuestro compañero Pierre-Marc Bureau en el blog de ESET We Live Security.

Un rootkit es un software malicioso que tiene la capacidad de ocultarse en un sistema infectado. Esto se consigue enganchándose a funciones del sistema. Un rootkit podría, por ejemplo, ser usado para ocultar ficheros de la vista del usuario al modificar las funciones responsables de mostrar los contenidos de un directorio. Los rootkits son utilizados frecuentemente en combinación con otros tipos de malware, que los oculta a ojos de los usuarios y de algunas soluciones de seguridad. El número de familias de malware que poseen características de rootkit y afectan a sistemas Windows es de varias decenas.

En ESET creemos que pueden haber rootkits que tengan a OS X como objetivo, pero tenemos una visibilidad muy reducida sobre esa amenaza ahora mismo. Sabemos que desconocemos muchas cosas. También sabemos que hay varias web e incluso varios libros [1,2] que han documentado cómo trabajan los rootkits en OS X. Hemos visto malware en OS X utilizando técnicas de rootkit en el pasado. El ejemplo más destacable fue el de OSX/Morcut [3], también conocido como Crisis por otros fabricantes de antivirus. Este malware se utilizó para robar información de Macs infectados y cargaba una extensión del kernel para ocultar sus archivos de la víctima.

La detección  de un rootkit bajo OS X normalmente implica realizar un volcado y analizar la memoria del kernel. Requiere tiempo y conocimiento y no es algo accesible para cualquiera.

ERD_screenshot_infectedPNGHoy, ESET lanza la beta de una herramienta sencilla para detectar rootkits en OS X. Esta herramienta, de nombre ESET Rootkit Detector, puede descargarse desde el enlace que hemos habilitado en nuestra web. Está diseñado para detectar modificaciones en la memoria del kernel de OS X que podrían indicar la presencia de un rootkit. Su utilización es muy simple ya que el usuario tan solo debe descargar y ejecutar la aplicación. Debido a que se necesita una extensión del kernel para detectar modificaciones en la memoria del kernel, se le pedirá al usuario que conceda permisos de administrador. Tras unos segundos de análisis, se muestra el resultado al usuario.

Si se encontrase algún módulo malicioso, se le da la opción al usuario de enviar un informe a ESET. Buscamos ayuda para ser conscientes de lo que no conocemos todavía. Nuestro equipo de ingenieros especializados en analizar malware se encargarán de revisar los ficheros y asegurarse de que los usuarios se encuentran debidamente protegidos en el caso de que se descubra una nueva amenaza.

ERD_screenshot_prescan

No hay que olvidar que esta herramienta se encuentra aún en fase beta y no recomendamos ejecutarla en un equipo que se encuentre en producción. Por otro lado, nos encantaría tener a tanta gente como sea posible probando y jugando con ella. Esto nos permitirá ver cómo de bien está funcionando nuestra nueva tecnología y, en el caso de encontrar algo, este será un gran material de análisis que nos permitirá detectar y documentar mejor aquellos rootkits que tengan como objetivo OS X. Siempre necesitamos saber más acerca de lo que desconocemos.

[1] Charlie Miller, Dino Dai Zovi, The Mac Hacker’s Handbook, Marzo 2009, ISBN: 0470395362

[2] Paul Baccas, Kevin Finisterre, Larry H., David Harley, Gary Porteous, OS X Exploits and Defense, Elsevier 2008, ISBN: 978-1-59749-254-6

[3] http://www.virusradar.com/en/OSX_Morcut/detail

Josep Albors



Apple lanza iOS 7 y aparecen los primeros fallos

Categorias: Apple,telefonía,Vulnerabilidades | | Sin comentarios » |

El esperado lanzamiento del iPhone 5S (y su colorista hermano ligeramente más económico, el 5C) ha traído consigo también, como es tradición, la aparición de la nueva versión del sistema operativo iOS. Esta nueva versión del sistema operativo incluye novedades, con el cambio de interfaz como el que más destaca a primera vista, pero también en materia de seguridad y el arreglo de 80 agujeros de seguridad existentes.

Entre las novedades que más han dado de que hablar encontramos el nuevo sensor biométrico incorporado en el botón Home del iPhone 5S. Esto permitirá desbloquear el dispositivo con nuestra huella dactilar, aunque aún queda por ver si este método de autenticación también permitiría acceder a nuestros datos almacenados en iCloud. En caso de confirmarse esta posibilidad, los usuarios más paranoicos deberían empezar a plantearse llevar siempre puestos guantes para evitar dejar huellas que puedan ser utilizadas para desbloquear su dispositivo o acceder a sus datos privados almacenados en la nube.

Touch_ID

Además, tenemos a la comunidad de jailbreakers trabajando duro para conseguir explotar los fallos de seguridad de iOS 7 y lograr un jailbreak en esta nueva versión. De momento, solo la confirmación de la utilización de arquitectura de 64 bits en el iPhone 5S y el 5C ha retrasado un poco el lanzamiento de este jailbreak, pero los investigadores detrás de esta tarea ya han anunciado que no deberían tardar mucho en conseguirlo.

Sin embargo, aun sin la existencia de un jailbreak para iOS 7, ya se han descubierto algunos fallos que afectan a la seguridad del dispositivo. Uno de estos fallos está relacionado con la función Find my iPhone, el sistema de Apple que permite ubicar un dispositivo si ha sido robado o perdido. Con la nueva versión, si se quiere desactivar esta función es necesario introducir nuestra contraseña de Apple ID, algo que dificulta que sea desactivado por los amigos de lo ajeno.

No obstante, si utilizamos el asistente Siri para poner nuestro dispositivo en modo avión, esta función se desactiva, sin necesidad de introducir ni el Apple ID ni la contraseña de acceso al dispositivo. Tan sencillo como eso.

modoavion

Precisamente, la contraseña o passcode utilizado para bloquear nuestro dispositivo también puede ser saltada y acceder a algunas de las funciones del iPhone como el carrete de fotos, el correo electrónico o la cuenta de Twitter, por ejemplo. La manera de hacerlo es realizando una combinación de botones en el nuevo Control Center de iOS7, tal y como se puede observar en el vídeo a continuación.

Se ha comprobado la existencia de este fallo en los modelos de iPhone 4S, 5, 5S y 5C, así como también en el modelo de iPad más reciente. De momento no existe una solución por parte de Apple que arregle este fallo, el cual, por otra parte, ya ha sucedido en versiones anteriores de iOS. La única solución temporal que podemos aplicar pasa por desactivar el Control Center, con la pérdida de funcionalidad que esto supone.

Como vemos, el lanzamiento de iOS 7 ha venido cargado, además de novedades, de algún percance, cosa bastante frecuente cada vez que Apple saca una nueva versión de este sistema operativo. Es de suponer que este tipo de agujeros de seguridad se solucionen en las próximas semanas, por lo que los usuarios de iOS 7 deben estar atentos a futuras actualizaciones.

Josep Albors



Nuevo troyano para Mac contiene referencias al Ejército Electrónico Sirio

Categorias: Apple,backdoor,Mac,Troyanos | | 1 Comentario » |

Una nueva amenaza para OS X ha sido descubierta en los últimos días por investigadores de la empresa de seguridad Intego. En este caso se trata de un troyano que fue detectado en el servicio Virustotal hace menos de una semana, enviado por un usuario en Bielorrusia.

Esta nueva amenaza genera una puerta trasera en los sistemas OS X infectados, permitiendo recibir órdenes desde un centro de mando y control (C&C) aunque, cuando los investigadores analizaron esta amenaza, este servidor ya no se encontraba operativo. El hecho de que la propagación de este malware haya sido escasa y que aún se desconozca el método de entrega del malware hace pensar que se trate de un ataque dirigido hacia objetivos concretos.

El troyano se presenta en forma de una aplicación camuflada bajo la apariencia de una fotografía romántica. Aquellos usuarios más despistados pueden caer en la trampa pensando que se trata tan solo de una inocente imagen, ya que la extensión de la aplicación (.app) no se muestra por defecto. Como ya hemos dicho, la forma de distribución de este malware aún no está clara, podría haberse enviado por correo o colocado en una página web legítima que hubiera sido comprometida.

foto_app

Los investigadores de Intego comprobaron que dependiendo de la forma en la que se reciba el fichero malicioso, su comportamiento variaba ligeramente. No obstante, cuando conseguía instalarse, el troyano intentaba camuflarse como una imagen cualquiera, cosa que consigue en la mayoría de ocasiones. Una vez ha conseguido infectar el sistema, este malware muestra la imagen en la aplicación Preview para que el usuario piense que solamente ha descargado la imagen, mientras instala una puerta trasera que permite a un atacante enviar una serie de comandos variados a través del puerto 7777.

La datos enviados al atacante incluyen información del sistema infectado, pero también permiten enviar comandos de ping para comprobar que la conexión se encuentra activa. No obstante, la acción más curiosa de todas y la que más revuelo ha generado, es aquella por la que intenta descargar la siguiente imagen perteneciente al Ejército Electrónico de Siria (conocido por otras acciones hacktivistas recientes) en el sistema infectado.

syrian electronic army logo

Esta amenaza se suma a otra de reciente descubrimiento que volvía a tener como objetivos a grupos activistas pro-Tíbet. Esto no supone que los Mac se hayan vuelto vulnerables de la noche a la mañana, ya que han existido amenazas para esta plataforma desde prácticamente sus comienzos. No obstante, el aumento del malware para este sistema operativo en los últimos años debería servir para erradicar definitivamente el mito de que los Mac no pueden infectarse.

Usar OS X hoy en día no garantiza que estemos seguros, si bien sigue siendo una plataforma mucho menos atacada que Windows. Si nos preocupamos por nuestra seguridad no debemos pensar que nuestro ordenador es invulnerable solo porque algún mensaje publicista lo diga o porque otros usuarios se obcequen en creerlo (sí, esto también va por los usuarios de GNU/Linux). La mayoría de sistemas operativos actuales cuentan con mecanismos de defensa que pueden ayudarnos a mitigar una gran parte del malware existente. Solo hace falta molestarnos en aprender a utilizarlos adecuadamente y nos ahorraremos muchos problemas.

Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje