1 jul. 2016

Hummer: nuevo troyano muy propagado que rootea Android

El laboratorio de investigación de seguridad de Cheetah Mobile emitió una advertencia sobre una nueva familia de troyanos para Android bautizada como "Hummer". Durante el primer semestre de 2016, Hummer ha infectado al menos 1,2 millones de dispositivos y, sólo en China, había hasta 63.000 infecciones diarias.

Los investigadores afirman que esta familia es una de las más grandes debido a la cantidad de infectados alrededor del mundo. Basado en estimación de Cheetah, si el desarrollador del troyano fuera capaz de ganar U$S0,50 (el costo promedio de una nueva instalación) cada vez que es instalado, el grupo detrás de esta familia de troyanos podrían hacer hasta U$S500.000 diarios.

Cuando un móvil es infectado con el troyano de Hummer, se procede a "rootear" el dispositivo para obtener privilegios de administrador del sistema. Los miembros de la familia Hummer son capaces de rootear el teléfono con 18 métodos diferentes y, una vez infectado, es muy difícil de eliminar. Luego de la infección, se muestran anuncios con mucha frecuencia y se instalan aplicaciones innecesarias silenciosamente, lo cual consume mucho tráfico de red.
Ya que el troyano puede tomar control sobre el sistema operativo del teléfono, las herramientas antivirus podrían no ser capaces de borrar completamente al troyano.

Para quienes ya están infectados con este troyano, Cheetah Mobile ofrece una aplicación en Google Play para eliminarlo.

Origen de la familia de troyanos de Hummer

Después de analizar las muestras, en Cheetah descubrieron al menos 12 nombres de dominio que se utilizan para actualizar al troyano y, basado en el análisis del código, los investigadores creen que esta familia se originó en China.

Según datos recogidos por Cheetah Mobile, entre enero y junio de 2016, el número promedio de los teléfonos infectados por Hummer fue de 1.190.000, la infección más grande que cualquier otro troyano para teléfono inteligentes y, si bien hay infecciones son principalmente en India, Indonesia, Turquía y China, se está extendiendo por todo el mundo rápidamente.

El troyano muestra continuamente mucha publicidad y es muy molesto, lo cual lleva a que las ganancias por clic aumenten exponencialmente. También instala juegos y aplicaciones porno, las cuales son reinstaladas poco después de su desinstalación. Cheetah hizo algunas pruebas y los resultados fueron sorprendentes: en varias horas, el troyano accedió a la red más de 10.000 veces, descargó más de 200 apps y consumió hasta 2 GB de tráfico de red.

Otros troyanos que rootean el teléfono

Expertos de Lookout han detectado una aplicación con el nombre de LevelDropper disponible en la Google Play Store que también rootea el dispositivo sin el consentimiento del usuario.

Symantec además encontró la aplicación Beaver Gang Coulter, que también rootea el teléfono y se puede obtener en la Google Play Store sin ningún problema. Por desgracia, esto no es nada más que otra muestra de que los filtros no funcionan de forma correcta y que suponen un problema para los usuarios. Esta amenaza se encarga de cumplir órdenes que se envían de forma remota, analizando el equipo en busca de vídeos y fotos de la aplicación Viber.

Fuente: Cheetah Mobile | Softpedia | Lookout

30 jun. 2016

Retos solucionados de "HackThisSite"

Para registrar un dominio .AR será necesario tener clave fiscal y datos biométricos

Así lo dispuso la Dirección Nacional de Registro de Dominios de Internet; lo usará como método de autenticación con datos biométricos registrados en AFIP. El sistema entraría en funcionamiento este fin de semana.
En breve, para registrar un dominio nacional (por ejemplo, un .com.ar) los argentinos deberán contar con CUIL/CUIT y clave fiscal provistos respectivamente por la Anses o la AFIP (que ya los exige para los recién nacidos).

Así lo informó NIC Argentina, que se encarga de la administración de registros de nivel superior (TLD) .ar, y que depende de la Dirección Nacional de Registro de Dominios de Internet, en un mail que envió a personas que ya tenían registrado algún dominio .ar.

Próximamente para operar en NIC Argentina "vas a necesitar tu N° de CUIT y Clave Fiscal Nivel 3. Esto se debe a que el sistema se integrará a una nueva plataforma de trámites de gobierno a nivel nacional. Así, tu Usuario pasará a ser tu N° de CUIT y tu contraseña, la Clave Fiscal". La clave nivel 3 exige "constituirse personalmente en una Dependencia AFIP. 2. Acreditar su identidad. 3. Presentar F. 206. 4. Registrar sus Datos Biométricos".

Desde el departamento de prensa de NIC.ar explicaron que "A través de la modalidad con Clave Fiscal, apuntamos a brindar mayor confianza en la gestión de los trámites y en la administración de los dominios, además de optimizar los métodos y tiempos de validación ya que AFIP funcionaría como organismo de autenticación de la identidad de los usuarios. Hasta hoy para operar en NIC Argentina, los usuarios deben registrarse y acreditar su identidad presentando cierta documentación adicional. Por ejemplo, una Persona Física debe enviar una nota específica con copia del DNI."

Según el organismo, la AFIP "no tendrá información sobre la administración de los dominios y NIC Argentina tampoco tendrá información sobre situaciones tributarias. Las gestiones son independientes. El NIC tampoco tendrá conocimiento de la Clave Fiscal del usuario. A modo de analogía, tal como ocurre con el pago de operaciones en la actualidad, NIC Argentina no posee conocimiento de los datos de una tarjeta de crédito ingresada y, por el contrario, sólo es informado sobre el pago o no de dicha operación."

El organismo ya definió el cronograma en la que comenzará a exigir el CUIL/CUIT para registrar un dominio.

Fuente: La Nación | NIC.ar

Encuentran en línea la base de datos mundial de terroristas

Se ha filtrado una base de datos que contiene 2,2 millones de registros de "terroristas y personas de riesgo elevado". Nuevamente el investigador Chris Vickery afirmó en Reddit que había logrado obtener una copia de la versión 2014 de la base de datos confidencial World-Check, que generalmente es utilizada por los bancos, gobiernos y agencias de inteligencia de todo el mundo para hallar presuntos terroristas.

La base de datos contiene registros de sospechosos de terrorismo, crimen organizado, blanqueo de dinero, soborno, corrupción y "otras actividades desagradables". Según Thomson Reuters, el administrador de World-Check Risk Intelligence, este es un servicio utilizado por al menos 4.500 instituciones, los 50 bancos más grandes del mundo y más de 300 agencias de gobierno e inteligencia de al menos 240 países.
Aunque el acceso a la base de datos de World-Check se supone que está fuertemente restringido por leyes europeas sobre privacidad, Reuters afirma que un tercero no identificado ha expuesto en línea una versión.

Vickery no reveló exactamente cómo llegó a los datos, pero dice que "No hubo hackeo en mi adquisición de datos y podría haber sido una fuga de datos, aunque no directamente de Thomson Reuters"

Según Vickery, la base de datos no estaba utiliza ningún tipo de protección como nombre de usuario o contraseña para acceder a los registros y reveló que la misma todavía está disponible en línea.

La base de datos de World-Check, también contiene las fechas y lugares de nacimiento de las personas y Thomson Reuters ha sido repetidamente acusado de "marcar" en falso a individuos y organizaciones terroristas sin su conocimiento. Por ejemplo, una investigación de febrero de 2016 revelo que había varias personas marcadas como terrorista, incluyendo "un líder norteamericano de los derechos civiles, un economista honrado por la reina y un destacado activista contra el extremismo".

Fuente: The Hacker News

29 jun. 2016

Venden datos clínicos de 9.3 millones pacientes en la Dark Web

Existen muchas formas hacer negocios ilegales con la información de la gente, algunos se dedican a vender o filtrar imágenes de falsos en situaciones privadas, muchos otros eligen un servicio, vulneran su seguridad y se hacen con la información personal y de pago de los usuarios para venderlo al mejor postor. La información privada de la gente hoy en día puede ser un negocio por el que se gana mucho, y hemos llegado a extremos como el que les mostraremos ahora, donde la información clínica de miles de personas fue robada de entidades de salud y están siendo comercializadas en la Dark Web, y no hablamos de mil, ni 10 mil, ni siquiera 300 mil archivos clínicos de pacientes.

Un ciberdelincuente anónimo puso a la venta en la Dark Web un registro con más de 655.000 datos clínicos de pacientes de tres organizaciones de salud de EEUU. Para muchos el tema puede ser sin importancia, pero piensa que en un historial médico aparecen muchos datos privados como los nombres y apellidos, direcciones teléfonos y, claro está, resultados médicos que podrían ser utilizados por terceros para realizar chantajes y extorsiones, si ahora basta una foto en paños menores de un famoso para perjudicarlos, imagínense lo que podría causar la filtración de una enfermedad grave.

Por parte de las entidades de salud involucradas no existe un pronunciamiento oficial, pero el ciberdelincuente asegura haber sido capaz de romper la seguridad del protocolo RPD para conseguir su objetivo. La información que tiene en su poder tuvo un objetivo principal, chantajear a las entidades involucradas y ganar algo de dinero con ello, pero al parecer no atendieron a su solicitud y no quedó mas que poner en venta la información en la Dark Web por una cifra superior a la que pedía a sus víctimas en un comienzo, se habla de una cantidad que oscila entre los USD$100.000 y los USD$411.000, que deben ser pagados obviamente en bitcoins para que la transacción no deje huella.

Este nuevo ataque no solo pone de relieve que últimamente los sistemas parecen más vulnerables que nunca. También pone la atención sobre el hecho de que centros a priori menos atractivos para los delincuentes (como una compañía médica) también pueden ser blancos de estos delitos y que necesitan por tanto reforzar su seguridad, velando de manera más activa por protección de privacidad de sus usuarios.
El delincuente vende la información en TheRealDeal (trdealmgn4uvm42g[.]onion/profile/32184) un sitio sitio en la Dark Web y, de acuerdo a la base de datos solicita un pago de 151BTC (~100,000$) a 607BTC (~395,000$).

Una actualización al informe anterior señala que se han encontrado hasta 9,3 millones de registros en línea y en venta por un precio de 750BTC. El formato de los datos es "Firstname, Lastname, Address1, City, State, Zip, Email, HomePhone, CellPhone, DOB, SSN". Al parecer los datos han sido accedidos a través de una vulnerabilidad explotada en un escritorio remoto (RDP).


Fuente: TecnoFanatico

Guías de buenas prácticas de criptografía y SSL/TLS

El equipo de SSL Labs ha actualizado su manual de buenas prácticas a la hora de configurar un servidor web con la máxima seguridad. En SSL Labs son expertos en comprobar si un servidor web está correctamente configurado, y si no lo está, nos indican cómo configurarlo correctamente para solucionar posibles vulnerabilidades descubiertas.

Recomendaciones generales sobre los certificados y claves privadas

La primera recomendación de seguridad es utilizar siempre claves RSA de 2048 bits como mínimo, es recomendable aumentar la seguridad hasta los 3072 bits pero debemos tener en cuenta que el establecimiento de las conexiones será más lenta. Otra recomendación pasa por usar claves ECDSA de 256 bits, pero debemos tener en cuenta que algunos clientes es posible que no soporten ECDSA y por tanto no podrán conectarse. No obstante, es posible desplegar en el servidor web tanto claves RSA como ECDSA simultáneamente.

Otra recomendación muy importante es proteger las claves privadas del servidor, de tal forma que muy poca gente tenga acceso a ellas. Además, es recomendable generar las claves privadas nosotros mismos, protegerlas en un contenedor cifrado y realizar copia de seguridad por si perdemos la clave original. Si en algún caso la clave privada se ve comprometida, es necesario revocarla cuanto antes y renovarla para generar nuevas claves. Además, también se recomienda renovar los certificados anualmente.

Debemos tener en cuenta que al pedir un certificado, cubramos todos los subdominios de la página web. También debemos tener presente que los certificados debemos adquirirlos en una CA de confianza, y que el algoritmo de firma de los certificados sea SHA256, actualmente SHA-1 no se considera seguro.

Recomendaciones sobre la configuración del sistema con TLS

Actualmente el principal protocolo que debe soportar nuestro servidor web es TLS 1.2 que es el único que no tiene actualmente fallos de seguridad, además es la única versión que proporciona una suite de cifrado moderno. Con la finalidad de mantener la compatibilidad con clientes antiguos, tal vez sea necesario soportar también TLS 1.1 y TLS 1.0, pero en un par de años quitarán el soporte para TLS 1.0 por lo que debemos tenerlo en cuenta. Otra recomendación es la de estar muy atentos a la salida de TLS 1.3, el último protocolo de seguridad que aún está en producción.

Siempre debemos utilizar suites de seguridad con cifrados robustos, TLS 1.2 incorpora suites AEAD que proporcionan una autenticación robusta y también un intercambio de claves seguros usando DH de al menos 2048 bits, Forward Secrecy, protocolo HSTS y cifrado de al menos 128 bits. Las suites de cifrados que actualmente se recomienda usar son las siguientes:
  1. ECDHE-ECDSA-AES128-GCM-SHA256
  2. ECDHE-ECDSA-AES256-GCM-SHA384
  3. ECDHE-ECDSA-AES128-SHA
  4. ECDHE-ECDSA-AES256-SHA
  5. ECDHE-ECDSA-AES128-SHA256
  6. ECDHE-ECDSA-AES256-SHA384
  7. ECDHE-RSA-AES128-GCM-SHA256
  8. ECDHE-RSA-AES256-GCM-SHA384
  9. ECDHE-RSA-AES128-SHA
  10. ECDHE-RSA-AES256-SHA
  11. ECDHE-RSA-AES128-SHA256
  12. ECDHE-RSA-AES256-SHA384
  13. DHE-RSA-AES128-GCM-SHA256
  14. DHE-RSA-AES256-GCM-SHA384
  15. DHE-RSA-AES128-SHA
  16. DHE-RSA-AES256-SHA
  17. DHE-RSA-AES128-SHA256
  18. DHE-RSA-AES256-SHA256
  19. EDH-RSA-DES-CBC3-SHA

Uso de librerías y estándares

Actualmente la recomendación principal para el cifrado de datos pasa por utilizar la librería Nacl o libsodium, estas librerías están orientadas específicamente a proporcionar siempre la máxima seguridad, velocidad y usabilidad. Los algoritmos de cifrado simétrico recomendables son Chacha20-Poly1305 y AES-GCM, el primero porque está muy optimizado de cara a los procesadores y además es más fácil de implementar que AES-GCM. El segundo es recomendable utilizarlo debido a que es actualmente el estándar en la industria y los procesadores incorporan el juego de instrucciones AES-NI para acelerar el cifrado y descifrado de datos. No se recomienda utilizar algoritmos de cifrado por bloques como AES-CBC, AES-CTR etc, y por supuesto nunca utilizar RC4.

La longitud de las claves privadas se sigue recomendando que sea de 256 bits para los cifrado simétricos, actualmente son las más seguras. Respecto a los algoritmos de firma simétrica, se debe seguir utilizando HMAC, nada de usar HMAC-MD5 o HMAC-SHA1, ni tampoco hashes cifrados ni CRC, actualmente el algoritmo de firma/hash más seguro es SHA-512/256 hasta que SHA-3 salga en escena, nunca se debe usar MD5 o SHA-1.

Respecto al cifrado asimétrico, si tenemos que usar RSA siempre es recomendable usar RSA-OAEP para reforzar la seguridad del propio algoritmo. No obstante, debemos tener en cuenta que se están realizando progresos para crackear RSA así que es recomendable usar siempre la mayor longitud de clave posible (4096 bits como mínimo). Asimismo, respecto a la firma asimétrica siempre debes usar Nacl, Ed25519, o RFC6979.

Por último, si vas a utilizar Diffie-Hellman es recomendable que lo hagas con la librería Nacl, o sino con Curve25519 que es una librería actualizada para usar DH con curvas elípticas, si no puedes usar nada de esto, utiliza DH-2048.

En este post de GitHub se puede comprobar un listado de recomendaciones relacionadas con la criptografía que podemos usar en los diferentes software, y también en configuraciones de servidores que utilicen cifrado de datos, tanto a nivel de red como cifrado de datos local. Además, en la Wiki en GitHub de SSL Labs se pueden encontrar todas las recomendaciones de seguridad.

Fuente: Redes Zone I y II

Vulnerabilidades críticas en productos de Symantec (Parchea!)

Gran parte de la línea de productos de Symantec contiene una serie de vulnerabilidades que exponen a millones de consumidores a ataques que permitirían tomar el control completo de sus sistemas.

Tavis Ormandy, investigador del Project Zero de Google dijo: "Estas vulnerabilidades son tan malas como se expresan. No se necesita ninguna interacción del usuario para explotar las vulnerabilidad con el privilegio más alto posible. En algunos casos en Windows, el código vulnerable es cargado por el kernel, dando como resultado la corrupción remota del núcleo."

En el post publicado poco después por Symantec, se enumeran 17 productos empresariales y ocho del consumidor final que son vulnerables.
Los productos vulnerables son:
  • Norton Security, Norton 360, and other legacy Norton products (All Platforms)
  • Symantec Endpoint Protection (All Versions, All Platforms)
  • Symantec Email Security (All Platforms)
  • Symantec Protection Engine (All Platforms)
  • Symantec Protection for SharePoint Servers
Ormandy, advirtió que la vulnerabilidad es inusualmente fácil de explotar, lo que permite que los exploits puedan propagar malware sobre una red específica, o potencialmente en Internet en general.
Debido a que Symantec utiliza un controlador y un filtro para interceptar todas las entrada/salida del sistema, sólo enviando un enlace o un correo electrónico a la víctima, es suficiente para ejecutar el exploit sin que el usuario interactué. Al no ser necesario ninguna interacción, se trata de una vulnerabilidad "wormable" con consecuencias potencialmente devastadoras para los clientes de Norton y Symantec.
Un atacante podría comprometer fácilmente toda la red de la empresa utilizando una vulnerabilidad como esta.

Las fallas residen en el motor que los productos utilizan para la descompresión del malware y la forma en que se analizan sus cargas maliciosas. Los "unpackers" trabajan realizando el análisis de código contenido en los archivos recibidos, antes de que se permita la descarga o ejecución de los mismos. Debido a que los unpackers de Symantec funcionan directamente en el núcleo del sistema operativo, los errores pueden permitir tomar el control completo de la máquina vulnerable. Los unpackers deberían ejecutarse en un "sandbox", que aísla el código no confiable de partes sensibles del sistema operativo.

El investigador dijo que el exploit de la prueba de concepto que ideó expone al unpacker a registros de tamaño poco frecuente y esto también causa in desbordamiento de búfer. Además, también encontró una biblioteca de software abierto que contiene código vulnerable desde hace al menos siete años.

Debido a ques estos unpackers y emuladores contienen una gran cantidad de vulnerabilidades, desde hace un tiempo fue posible escribir pruebas de concepto para Comodo, ESET, Kaspersky, Fireeye y muchos otros. Una lista de las vulnerabilidades adicionales de Symantec está aquí.

Los usuarios finales o los administradores debe instalar manualmente las correcciones cuanto antes.

Fuente: ArsTechnica

28 jun. 2016

Roban U$S10 millones de un banco ucraniano a través SWIFT (y van 5)

Sucedió otra vez, y van 5. Expertos de la organización ISACA confirmaron que los "delincuentes de SWIFT" han robado al menos U$S10 millones de un banco ucraniano a través del sistema SWIFT.

La noticia fue difundida por expertos de ISACA en Kiev, quienes confirmaron que la actividad fraudulenta se llevó adelante a través del sistema bancario internacional SWIFT, que gestiona las transferencias de dinero entre las instituciones financieras en todo el mundo.

Los miembros de la ISACA fueron contratados para investigar el ataque cibernético y parece que al menos una docena de bancos han sido comprometidos, lo que resulta en cientos de millones de pérdidas del dólar. "Hasta el momento, docenas de bancos, sobre todo de Ucrania y Rusia, han sido comprometidos, y se han robado cientos de millones de dólares" dijeron desde ISACA.

Los expertos involucrados en la investigación confirman que la investigación llevada a cabo por los delincuentes para realizar los ataques toma mucho tiempo. Los atacantes aprovecharon vulnerabilidades en las redes internas de las instituciones financiera durante meses para reunir la información necesaria para el ataque. La fase de reconocimiento les permite estudiar los procesos internos y controles implementados por el banco y los datos obtenidos se utilizan para realizar transferencias fraudulentas de dinero.

Según los expertos, los ciberdelincuentes utilizan información públicamente disponible y herramientas que probablemente también estén dirigidas a otras instituciones financieras del mundo. Exactamente hace un mes, un cuarto banco en Filipinas fue víctima del mismo tipo de robo y expertos de Symantec confirmaron que las herramientas utilizadas pertenecían al grupo Lazarus.

"Los bancos no están compartiendo información y tienen miedo de la publicidad negativa" explicó Aleksey Yankovsky, jefe de división de Kiev de ISACA.

El primer ataque fue realizado en febrero y robaron U$S81 millones del banco central de Bangladesh. Luego, en mayo se anunció la segunda y tercera víctima.

Fuente: Security Affairs

Curso de Ethical Hacking, Penetration Test y Desarrollo Seguro en Rosario

En el mes de julio y agosto tendré el placer de dictar dos nuevos cursos en la Ciudad Rosario. Ellos son "Introducción al Ethical Hacking y Penetration Test" y "Desarrollo Seguro: práctica orientada a prevención de OWASP Top 10". A continuación los detalles y la información de inscripción.

Curso "Desarrollo Seguro: práctica orientada a prevención de OWASP Top 10"

Este curso está orientado a conocer las 10 vulnerabilidades consideradas críticas por OWASP así como la forma de analizarlas, explotarlas y solucionarlas desde el inicio hasta la implementación de cualquier proyecto de desarrollo de aplicaciones.

Fecha y horario: 28 de julio de 18 a 22 hs / 29 de julio de 09 a 13 hs
Modalidad: Presencial
Lugar: Fundación Libertad Mitre 170, Rosario.

Luego de finalizado el curso será capaz de

  • Conocer y entender las 10 vulnerabilidades consideradas críticas por OWASP
  • Entender las amenazas y vulnerabilidades a las que está expuesta cualquier aplicación
  • Reconocer y detectar de manera proactiva las falencias del desarrollo de las aplicaciones
  • Identificar vulnerabilidades en aplicaciones en forma manual y con herramientas
  • Aplicar las contramedidas necesarias para aumentar la seguridad de las aplicaciones

Contenidos: Teórico - Práctico

  • Estado en la seguridad del software
  • Principios del diseño de software seguro
  • Conceptos generales sobre el desarrollo de aplicaciones web
  • OWASP Top 10, CWE y SANS Top 20
  • Revisión de Guía de desarrollo de OWASP
  • Revisión de Open Source Security Testing Methodology Manual (OSSTMM)
  • Análisis de vulnerabilidades del Top 10 de OWASP
  • Testing Black y White Box
  • Tipos de validaciones
  • A1. Ataques de inyección
  • Prevención de inyecciones
  • A2. Pérdida de autenticación y gestión de sesiones
  • A3. Cross-site Scripting (XSS)
  • A4. Referencia insegura directa a objetos
  • A5. Configuración de seguridad incorrecta
  • A6. Exposición de datos sensibles
  • A7. Ausencia de control de acceso a funciones
  • A8. Falsificación de petición - Cross_Site_Request_Forgery (CSRF)
  • A9. Uso de componentes con vulnerabilidades conocidas
  • A10. Redirecciones y reenvíos no validados

Curso "Introducción al Ethical Hacking y Penetration Test"

Fecha y horario: 04 de agosto de 18 a 22 hs / 05 de agosto de 09 a 13 hs
Modalidad: Presencial 
Lugar: Fundación Libertad Mitre 170, Rosario.

Luego de finalizado el curso será capaz de

  • Conocer los distintos tipos de análisis de seguridad
  • Entender las amenazas y vulnerabilidades a las que está expuesta cualquier organización
  • Conocer las metodologías de análisis de vulnerabilidades

Contenidos: Teórico - Práctico

  • Introducción al Ethical Hacking
  • Introducción al Ethical Hacking
  • Hacking vs Cracking
  • Crímenes por computadora
  • Ciberactivismo
  • NDA y otros contratos
  • Conceptos introductorios para un análisis
  • Posicionamiento para realizar un análisis
  • Tipos de análisis
  • Certificaciones relacionadas
  • Conceptos de Networking y Criptografía
  • Modelos OSI
  • Infraestructura y conectividad
  • Conceptos de criptografía
  • Ingeniería Social
  • Metodologías
  • Fraudes y estafas
  • Etapas del análisis - Práctica
  • Ataques pasivos vs activos
  • Reconocimiento
  • Exploración
  • Scanning
  • Fingerprinting y banners
  • Web Crawling
  • Anonimizadores
  • Google Hacking
  • Enumeración
  • Explotación de vulnerabilidades
  • Acceso a sistemas
  • Man in the Middle (MitM)
  • Análisis de vulnerabilidades
  • Ataques de inyección
  • Confección de informes y reportes técnicos y gerencial
Cristian de la Redacción de Segu-Info

    Fallo de seguridad permitiría resetear la contraseña en Mac a cualquier usuario

    Tanto a nivel de hardware como de software, Apple intenta que sus ordenadores sean lo más inaccesibles posible ante los atacantes. A pesar de ello, el software de los de Cupertino no está exento de fallos de seguridad, y este es uno de los más graves que se recuerdan.

    Un ingeniero de seguridad informática, llamado fG!, ha descubierto un fallo en el firmware de Mac OS X que permite resetear la contraseña del sistema. Para poder resetear la contraseña en un Mac en caso de olvido, había que contactar con el servicio técnico de Apple, y disponer de un recibo de compra original.
    Para ello, el usuario tiene que reiniciar el dispositivo pulsando Comando + R. Luego, hay que pulsar Mayus + Control + Comando + Opciones + S, todas a la vez. Una vez pulsadas en el inicio, se genera un código de 33 dígitos en la pantalla. Ese código, junto con el número de serie del Mac, hay que dárselo a Apple para que envíen un archivo SCBO que permite resetear finalmente la contraseña. Estos archivos SCBO sólo puede generarlos Apple, ya que se requieren claves de cifrado a las que sólo tiene acceso la compañía que las crea. Incluso, fG! habla de que habría claves SCBO universales que permitirían acceder a varios tipos de Mac.

    Con respecto a dónde conseguirlas, fG! ha descubierto en su investigación sobre este asunto que, pagando 100 dólares en una web, en la que se afirma que es posible obtener los archivos SCBO y resetear la contraseña sin tener que ponerse en contacto con Apple. No se sabe si es que los hackers han accedido a las claves de cifrado Apple, si las han conseguido mediante ingeniería inversa, o si las han conseguido por fuerza bruta. Esto último es realmente improbable, ya que hacen falta decenas de años para conseguirlas mediante fuerza bruta.

    Los archivos SCBO son prácticamente inasequibles sin las claves de cifrado. Cabe la posibilidad de que este fallo venga causado por un trabajador de Apple que quiera sacarse un dinero extra en la red generando estos archivos SCBO. Al fin y al cabo, cualquier tienda con la certificación de Apple Premum Reseller puede acceder a este tipo de códigos. Incluso, ¿algún trabajador descontento que fue despedido, y cuya cuenta no fue borrada? Quien sabe.

    Fuente: ADSLZone