Proyecto integrador. Las TIC en la sociedad S4.pptx
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
1. iPhone + Botnets = Fun
El ascenso y caída de un imperio
Autor: David Barroso
Congreso de Seguridad ~ Rooted CON’2010
2. Agenda
• Nuestro personaje
• Cómo intentó infectar millones de iPhones
– En quién se fijó
– Cómo lo hizo
– Cómo acabó
• Conclusiones
Congreso de Seguridad ~ Rooted CON’2010 2
3. Aviso
La presentación contiene datos reales y datos
de ciencia-ficción
En caso de duda, siga el principio de la Navaja
de Occam
Congreso de Seguridad ~ Rooted CON’2010 3
4. Nuestro personaje
• Nombre: Homer
• Edad: 38
• Ocupación: Inspector
de Seguridad
• Lugar: Springfield
Congreso de Seguridad ~ Rooted CON’2010 4
26. Ikee Worm
• Ikee iPhone Worm (alpine):
“<ikee> Secondly I was quite amazed by the number
of people who didn't RTFM and change their
default passwords.”
• Segundo iPhone Worm (ohshit!):
– Roba información
– Es una botnet con dos C&C
– Afecta a bancos holandeses
– Ya no es sólo un script de prueba sino que tiene
un proceso malicioso (sshd)
Congreso de Seguridad ~ Rooted CON’2010 26
36. iOrchard– C&C
• Basado en LAMP (como casi todos)
• Fuerte uso de javascript (mootools)
Congreso de Seguridad ~ Rooted CON’2010 36
37. ZeuS – Cifrado (antiguo)
Congreso de Seguridad ~ Rooted CON’2010 37
38. ZeuS – Cifrado
• ZeuS utiliza el algoritmo RC4 con claves de 256
bytes
– Enviar datos robados
– Contactar con el C&C
– Recibir ordenes
• El fichero de configuración está cifrado con la
clave única (unas 1200)
Congreso de Seguridad ~ Rooted CON’2010 38
42. ZeuS – Información privada
• Roba credenciales almacenados en el
Windows Protected Storage
• Roba certificados X.509
• Roba credenciales FTP y POP3
• Roba cookies HTTP y Flash
Congreso de Seguridad ~ Rooted CON’2010 42
43. iOrchard– Información privada
• Direcciones de correo
– /var/mobile/Library/Preferences/
com.apple.accountsettings.plist
• POP3, IMAP, Gmail, MobileMe, etc.
– No está la contraseña (PSKeychainUtilities)
• /private/var/Keychains/keychain-2.db
1||||||||||||||homer@mrx.com||mail.mrx.com|smtp||25||<t?????hT
Sj??]6=?|apple
Congreso de Seguridad ~ Rooted CON’2010 43
44. iOrchard– Información privada
• SMS
– /private/var/mobile/Library/SMS/sms.db
sqlite> select * from message;
581|605234312|1268480030|"Hola David, soy Homer.
Oye, llamame por favor cuando puedas, vale? Venga,
hasta luego." - via SpinVox. Recuerda: DictaSMS es
gratis. Solo se cobra al que te llama si te deja msj. |2|0||
230|0|0|0|0||es|||1||
Congreso de Seguridad ~ Rooted CON’2010 44
50. iOrchard– Información privada
• Fotografías
– /var/mobile/Media/DCIM/100APPLE
• JPG y PNG
• Longitud y latitud
Congreso de Seguridad ~ Rooted CON’2010 50
51. iOrchard– Información privada
• Localización geográfica
– /var/mobile/Library/Preferences/com.apple.Maps.plist
• UserLocation with date
• /var/mobile/Library/Preferences/
com.apple.preferences.datetime.plist
– Timezone
– /var/mobile/Library/Preferences/
com.apple.weather.plist
• Tiempo en ciudades
Congreso de Seguridad ~ Rooted CON’2010 51
61. iOrchard– Acceso por VNC
• $10000 en ZeuS
• Open Source en iOrchard ($0)
• Integrando Veency, un servidor VNC
disponible en Cydia
Congreso de Seguridad ~ Rooted CON’2010 61
63. Veamos los resultados
Después de varias oleadas de infecciones
masivas…
… y de una intensa actividad de compra,
alquiler y venta
Congreso de Seguridad ~ Rooted CON’2010 63
66. Conclusiones
• Hay unos 40 millones de iPhone
– 10% jailbreak
• Infección es simple
– Contraseña por defecto
• Acceso total a los datos privados
– Acceso a tu entidad financiera
– Spear phishing
• Conectividad 24x7
• Copiemos las características de un caso de éxito
• Vigila tu iPod/iPhone/iPad
Congreso de Seguridad ~ Rooted CON’2010 66
67. ¿Cómo acabó todo?
¿Qué pasó con
Homer y su iOrchard?
Congreso de Seguridad ~ Rooted CON’2010 67
71. Gracias a:
S21sec e-crime
Jay Freeman (saurik)
Nicolas Seriot (iPhone privacy)
KennyTM (Keyboard hooks)
Homer – Matt Groening
David Barroso
tomac@yersinia.net
@lostinsecurity
Congreso de Seguridad ~ Rooted CON’2010