Select Page
Instalar QRadar CE en Proxmox

Instalar QRadar CE en Proxmox

Esta vez les cuento cómo instalar QRadar CE en Proxmox usando el archivo .ova provisto por IBM. El formato OVA se importa directamente en VMWare o en Virtualbox, pero no en Proxmox, y por eso este tutorial.

Si bien la instalación la hice con QRadar CE versión 7.3.3, estimo que estos pasos funcionan también en las demás versiones. 

 

Condiciones iniciales

Para aquellos que tengan ganas de jugar o experimentar con el SIEM QRadar de IBM, sepan que existe una versión gratuita denominada QRadar CE (Community Edition). Tiene el 90% de las funcionalidades de la versión paga y sólo está limitada a 50 EPS / 5000 FPM.

Este tuto tiene por objetivo expicar cómo instalar QRadar CE versión 7.3.3 sobre el ambiente de virtualización open source Proxmox versión 6.1-7.

Para escribirlo, me basé en un trabajo del año pasado de Tobias Hoffman, en varios documentos de IBM y en esta publicación de docplayer.

Instalar QRadar CE

Si bien es posible crear una máquina virtual en Proxmox e instalar QRadar CE desde cero, esto requiere bastante trabajo ya que QRadar se instala sobre CentOS por lo que hay que instalar CentOS primero, y después correr el setup de QRadar. Por eso, para hacerlo más rápido, vamos a usar la imagen .ova que provee IBM. El formato OVA se importa directamente en VMWare o en Virtualbox, sin embargo no es así en Proxmox.

Los pasos para importar el .ova de QRadar CE y luego instalar la aplicación son los siguientes:

 

1- Crear la VM en Proxmox.

Doy por sobrentendido que quien vaya a seguir de aquí en adelante tiene un Proxmox 6 instalado y funcionando. Entonces empecemos. Una vez logueado en el Proxmox:

  • Hacer clic en el botón Creare VM:

En la solapa General:

  • Seleccionar el Nodo donde se va a crear la VM (en este caso: pve1).
  • Elejir un ID (por ejemplo: 3000)
  • Definir un nombre (por ejemplo: qradarce-733)
  • Hacer clic en Next.

En la solapa OS:

  • Seleeccionar Do not use any media.
  • Para el tipo de sistema operarivo seleccionar Linux.
  • Para el kernel seleccionar 5.x – 2.6
  • Hacer clic en Next.

En la solapa System:

  • Dejar todo por default.
  • Hacer clic en Next.

En la solapa Hard Disk:

  • Dejar todo por default (no importa lo que se seleccione, ya que ese disco lo vamos a borrar luego).
  • Hacer clic en Next.

En la solapa CPU:

  • Seleccionar 2 Sockets y 2 Cores (si se usa la versión free de Proxmox, no es posible seleccionar más de 4 CPUs).
  • Hacer clic en Next.

En la solapa Memory:

  • Seleccionar un mínimo de 16GB de RAM.
  • Hacer clic en Next.

En la solapa Network:

  • Dejar todo por default.
  • Hacer clic en Next.

En la solapa Confirm:

  • Verificar que todo esté correcto.
  • Hacer clic en Finish.

 

 

2- Eliminar el disco que creamos.

  • En el menú de VMs de Proxmox, ubicar la VM que acabamos de crear (por ejemplo: VMID= 3000, Nombre= qradrarce-733) y hacer clic en Hardware.

 

  • Hacer clic en Detach.

 

  • Hacer clic en Yes.

Ahora el disco aparecerá como “Unused Disk“.

  • Seleccionar el disco.
  • Hacer clic en Remove.
  • Hacer clic en Yes.

Ya eliminamos el disco que nos creó Proxmox para poder incorporar el que viene en el .ova de QRadar.

 

3- Incorporar el disco de QRadar CE que viene dentro del archivo .ova en la VM que acabamos de crear.

 

IMPORTANTE: Para poder bajar los archivos de QRadar CE se debe ser un usuario registrado, asi que si no lo son, deben darse de alta.

Si bien se pueden bajar el .ova a sus máquinas y después transferirlo al Proxmox, en mi caso era mucho más ventajoso hacerlo directamente en el Proxmox. La razón es que estamos en Cuarentena, el Proxmox lo tengo a 20 km de casa, y mi ancho de banda de subida es horrible. Así que usé este truco:

Una vez logueados en el sitio de IBM:

 

  • Hacer clic en Download QRadar Community Edition V7.3.3. El sitio los redirige a esta página:

Ahora pueden bajar el .ova a sus máquinas como les dije antes, o bajarlo directamente en el Proxmox. Voy a explicar esta segunda opción:

  • Hacer clic derecho en la pantalla anterior en: Download.
  • En el menú contextual del browse, hacer clic en Copy Link Location o Copy link address (según sea el navegador).
  • Pegar el link en un archivo de texto para no perderlo. El link tendrá la forma:

hxxps://iwm.dhe.ibm.com/sdfrl/1v2/regs2/qrce/Xa.2/X….q/Xc.QRadarCE733GA_v1_0.ova/Xd./Xf.LPr.D1jk/Xg.1…2/Xi.swg-qradarcom/XY.regsrvs/XZ.4…n/QRadarCE733GA_v1_0.ova

  • Conectarse por ssh al Proxmox.

# ssh -l root <ip_del_proxmox>

  • Posicionarse en un directorio que tenga un espacio libre de al menos 4.1GB.

# cd /tmp

  • Bajar el QRadarCE733GA_v1_0.ova con el comando wget y el link que copiaron en el archivo de texto.

# wget -bqc hxxps://iwm.dhe.ibm.com/sdfrl/1v2/regs2/qrce/Xa.2/X….q/Xc.QRadarCE733GA_v1_0.ova/Xd./Xf.LPr.D1jk/Xg.1…2/Xi.swg-qradarcom/XY.regsrvs/XZ.4…n/QRadarCE733GA_v1_0.ova

Una vez que termine la bajada, y dado que el archivo .ova que nos bajamos no es más que un .tar:

# file QRadarCE733GA_v1_0.ova
QRadarCE733GA_v1_0.ova: POSIX tar archive

  • Destarearlo

# tar xfv QRadarCE733GA_v1_0.ova

Se destarean 4 archivos:

-rw-r–r– someone/someone 7381 2020-01-22 08:32 QCE-jan22.ovf
-rw-r–r– someone/someone 277 2020-01-22 08:32 QCE-jan22.mf
-rw-r–r– someone/someone 950009856 2020-01-22 08:32 QCE-jan22-file1.iso
-rw-r–r– someone/someone 3441993728 2020-01-22 08:36 QCE-jan22-disk1.vmdk

El que nos interesa es el disco virtual, es decir el QCE-jan22-disk1.vmdk.

  • Importar el disco en la VM con el siguiente comando en la consola de Proxmox.

# qm importdisk <ID> QCE-jan22-disk1.vmdk <store> -format qcow2

ID: es el VMID que definimos al crear la VM, en este caso: 3000.

store: es el repositorio de almacenamiento de las VMs en el caso de tener más de uno, en nuestro caso PVE-1.

En nuestro ejemplo, el comando quedaría:

# qm importdisk 3000 QCE-jan22-disk1.vmdk PVE-1 -format qcow2

Este comando importa el vmdk, lo convierte en qcow2 y lo asigna a la VM 3000.

  • En la interfase web de Proxmox, seleccionar la VM de QRadar que creamos:

Nos aparece el disco importado como “Unused Disk 0“.

  • Seleccionamos el disco.

  • Hacemos clic en Edit:

IMPORTANTE: El formato del disco que bajamos de IBM es IDE, así que en Bus/Device hay que seleccionar: IDE.

  • Hacemos clic en Add.

 

 

4- Instalar QRadar CE dentro de la VM

La VM ya está lista con el disco importado desde el .ova de IBM, pero QRadar todavía no está instalado. Estos son los pasos para hacerlo:

  • Bootear la VM.
  • Conectarse a la consola de Proxmox de la VM.
  • Cuando lo pida, definir una password para el root de la consola de QRadar.

Hay un mínimo de dos usuarios que necesitamos para que funcione, el root de la consola y el admin de la GUI.

Hay que tener en cuenta que al instalar QRadar, la dirección IP de la consola queda almacenanda por todos lados y cambiar la IP no es fácil. Por eso es importante asegurarse si la dirección IP que tiene la VM antes de instalar es la correcta.

  • Verificar la dirección IP de la VM

# ip a

  • Si la dirección IP no es la correcta, ejecutar el NetworkManager Tex User Interface (horrible, pero es lo que hay…):

# nmtui

  • Configurar los parámetros de red que correspondan.

Una vez definidos los parámetros de red, ya se puede configurar QRadar.

  • Ejecutar /root/setup

# cd

# ./setup

Armarse de paciencia porque tarda mucho. A mi me tardó como 1 hora.

Ojo que si se duermen, hay un momento en el que el setup pide la password de admin. Si no la ponen en un tiempo (que no se cuál es), el instalador sale por timeout y la instalación sigue. De esta forma, la password de admin queda desconfigurada.

Si todo funciona, una vez que el instalador termine, levantarán todos los servicios y se podrá acceder a la consola de QRadar apuntando el browser a:

https://<IP_de_la_VM_de_QRadar_CE>/

Si no lograron configurar la password de admin y ya están en este estado, lo mejor es:

Entrar a la consola por ssh.

# ssh -l root <IP_de_la_VM_de_QRadar_CE>

# /opt/qradar/support/changePasswd.sh

Cambian la contraseña y ya pueden entrar.

Si todo funciona, les recomiendo hacer un snapshot de la VM en este estado, porque si son como yo, seguro instalando cosas la van a romper y volver a este punto cuesta trabajo. Para eso:

Se conectan a la consola de QRadar via ssh y le dan:

# shutdown now

Proxmox permite hacer snapshots de las VMs vivas, pero como en cualquier otro sistema de virtualización, es mucho más limpio hacer un snapshot con la VM apagada.

  • Van a la interfase de Proxmox.
  • Seleccionan la VM
  • Van “Snapshots

  • Y hacen clic en “Take Snapshot“.

Ahora si, QRadarCE ya está listo para jugar, experimentar y romper. Que lo disfruten!!!

Hasta la próxima!

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
La suma de todos los miedos

La suma de todos los miedos

Según una reciente nota de sky.com, un grupo de hackers logró obtener información clasificada de un contratista que brinda soporte técnico crítico a una flota de misiles nucleares de EEUU.

La empresa ciberatacada es Westech International, una pequeña compañía que posee contratos con el Departamento de Defensa de Estados Unidos. Entre sus servicios, se encuentra un contrato con Northrup Grumman para dar soporte al sistema de misiles balísticos intercontinentales Minuteman III, brindando mantenimiento e ingeniería para sus operaciones en tierra. Estos misiles se encuentran almacenados en cientos de instalaciones de lanzamiento subterráneas protegidas, operadas por la Fuerza Aérea de EEUU.

Según ellos mismos informan en su sitio, “WESTECH también proporciona apoyo logístico y de mantenimiento para 18 estaciones de prueba de los Sistemas de Pruebas Automatizadas de los Minutema de Tierra (GMATS) ubicadas en seis bases. WESTECH opera el Depósito de GMATS en Hill AFB, UT almacenando más de 1500 artículos valorados en 18,8 millones de dólares, apoyando a toda la flota de GMATS.

La nota de sky.news, posee además un comentario localmente escalofriante. Mencionan, a modo de ejemplo, que cada misil “…es capaz de lanzar múltiples ojivas termonucleares a más de 6.000 millas, o la distancia entre Londres y Buenos Aires.

Lo cierto es que es una empresa muy pequeña, pero con la responsabilidad de manejar sistemas críticos y peligrosos.

Semejante responsabilidad viene con un gran poder (o al revés…). El asunto aquí es que las redes de Westech fueron infiltradas y fueron infectadas con un ransomware. Lo que sigue es conocido, una gran cantidad de archivos sensibles fueron cifrados y los ciberdelincuentes solicitaron rescate a la empresa para devolverlos sanos y salvos…

Ahora más técnicamente, el ransomware que los atacó fue MAZE, una conocida pieza de malware que tiene algunas características particulares y preocupantes.

La primera es que es un ransomware-for-rent. Es decir, los desarrolladores lo alquilan por un porcentaje de las ganancias del usuario final.

La segunda es que está asociado a grupos de cibercriminales rusos, y es aquí donde el objetivo del ataque empieza a hacer ruido.

El tercero y peor, es que adicionalmente a otros ransomware que sólo cifran los archivos y destruyen los originales, el MAZE tiene la habilidad de exfiltrar la información que ataca.

Por este motivo existe gran preocupación, porque más allá de la recuperación de los archivos originales (¿¡y el esquema de backup!?), existe la posibilidad que información crítica sobre este sistema de misiles se encuentre ahora en manos peligrosas.

Los responsables de Westech confirmaron el incidente en el que sus archivos fueron cifrados (¿¡y el EDR!?) y que están trabajando con una empresa de ciberseguridad local para efectuar el análisis forense e investigar qué y cómo sucedió (¿¡y los procesos!?).

Hace algún tiempo hablábamos de los peligros que atacantes pudiesen tomar control de sistemas militares, en ese caso de drones artillados. Aquí las posibilidades son mucho mayores y peores. El sistema de misiles Minuteman III es enorme, mortal y con un rango de distancia de acción de 1/4 del planeta.

Hoy en día es imposible pensar que haya organizaciones que manejan información tan crítica que puedan habr sido blanco de ransomware; y de un ransomware conocido. Es muy probable que los responsables de Westech, siendo tan chicos, se hayan planteado en algun momento el famoso “¿y a mí qué me van a sacar…?”

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Ensayo general

Ensayo general

El fin de semana del 9 y 10 de mayo se llevó a cabo con gran éxito por primera vez una Ekoparty virtual. Fue la Ekoparty University Talks (#UniTalks) y se organizó con la UTN de Córdoba y Hacker Space también de Córdoba.

Para los que no hayan participado en vivo, todavía la pueden encontrar en twitch.

Estuvo buena. Primero por la calidad de las charlas. Y segundo porque funcionó como un ensayo general para la próxima Ekoparty 2020 que va tener lugar los próximos 24 al 26 de Septiembre, de forma integramente virtual.

Va mi crítica al evento.

 

Presentación

Inicialmente se hizo la presentación UTN Córdoba y Hacker Space, contando qué hace la UTN Córdoba en temas de ciberseguridad y cómo nació Hackerspace, con anécdotas de Las Vegas y todo.
Si bien algunos comentarios me parecieron algo démodé, como el término ‘seguridad informática’ que ya no usa nadie, o el concepto de que la seguridad es algo que todavía se agrega al negocio de mala gana; estuvo bien para los que escucharon y todavía están en ese estado. Que por suerte son cada vez menos.

Y luego vinieron las charlas:

 

Hacking Humanos

de Emiliano Piscitelli

Si bien fue parecida a la charla de la eko 2019, se agregaron algunas herramientas nuevas muy interesantes como 8D Sound y avatarify.
El tema de Ingeniería Social es apasionante y Emiliano sabe mucho y sabe transmitir sus conocimientos.

 

A day in the life of a pentester: I’m up to mischief

de Ileana Barrionuevo

Muy buena charla, interesante por estar dada por alguien que parece ser una buena hacker pero con un estilo muy académico y metodológico, me gustó mucho. Además de contar muchas herramientas de pentest, contó muchos tips metodológicos muy interesantes y se ve que ella los usa.

 

Radio Definidas por Software (SDR)

de Mariano Marino

Fue una buena charla pero la mayor parte fue académica. Muuucha teoría de RF (me hizo acordar a la secundaria y a la facu), pero sinceramente esperaba algo más hands on.

Es claro que para los que no sabían nada de radioporpagación, tienen que haber salido sabiendo…
Me encantó el golpe a los terraplanistas 😛

 

El arte detrás de la seguridad de Ubuntu. ¡A preparar paletas!

de Maria Emilia Torino

A pesar de que muchas veces me enojo bastante con mi Ubuntu, saber por Maria Emilia que es uno de los sistemas operativos más seguros me tranquiliza 🙂 Muy buena charla, muy orientada a la metodología para asegurar la plataforma de Canonical, muy interesante.

 

Defensa en Profundidad para Aplicaciones Basadas en Contenedores

del Ing. Alfredo Pardo

No hay demasiado para decir. Simplemente que estuvo muy bien explicado, muy buenos conceptos sobre el funcionamiento y la seguridad específicamente de docker y kubernetes.

 

Cazarrecompensas digital: ganando dinero reportando vulnerabilidades

de Alan Levy

El excelente mago de la eko 2019 explicó muy bien para quienes quieren iniciarse como cazarrecompensas, tipos, programas, herramientas que él usa. Muy bueno. Habló muy bien de Burp y estoy totalmente de acuerdo! Me encantó que mencione mindmaps! estilo de herramientas que uso hace 15 años, que siempre me criticaron y es la primera vez que lo veo en una conferencia!. Muy profesional y muy buenos los tips.

 

En resumen, #UniTalks fue un muy buen evento en sí mismo, y un excelente ensayo general para la próxima eko 2020.

 

 

 

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

FEARWARE!

FEARWARE!

….o cómo usar el miedo como vector para ciberataques…
Pasaron ya 2 meses y medio desde el inicio de la pandemia del COVID-19, y ya se han producido numerosos eventos de ciberseguridad relacionados con el brote que afecta a la salud mundial.
Dicen que “a río revuelto, ganancia de pescador”. Hoy en día está claro que el río está muy revuelto y los pescadores, aún en nuestro ámbito, están a la orden del día. Estos son 3 de los casos de ciberseguridad que han resonado últimamente relacionados con el coronavirus:
 

Ataques de phishing:

Ya a principios de febrero habíamos contado en la sección de noticias de Platinumciber, que investigadores de KnowBe4 y de Mimecast, habían descubierto campañas de phishing utilizando al Coronavirus como excusa.
Las campañas consistían en enviar emails falsos, donde se prometía brindar tanto una lista de infecciones activas en el área circundante de la víctima, como recomendaciones para la prevención de las infecciones. En estos emails se invitaba a los usuarios a  hacer clic en un enlace que los llevaba a una página de login falsa donde se capturaban sus credenciales.

 

Spyware:

Otro de los casos fue detectado por la empresa Reason Security el 2 de marzo pasado. En ella detallan que se está distribuyendo un malware disfrazado de un mapa de infecciones de Coronavirus o “Coronavirus map”. La aplicación que se distribuye es muy convincente mostrando un mapa en tiempo real de la evolución de la pandemia. De hecho, el malware copia los datos reales del sitio verdadero de la Universidad Johns Hopkins y los presenta con una GUI muy parecida a la aplicación original. Lo que además hace el Corona-virus-Map.com.exe, es robar datos del browser del usuario que lo ejecutó, entre ellos las credenciales almacenadas. En publicaciones más recientes, este malware fue atribuido a hackers rusos y se cree que está relacionado con la familia de malware AZORult descubierta en el año 2016.

 

Ciberataques:

Para completar esta triada, en el día de hoy se informó que un hospital de República Checa que atiende pacientes con COVID-19 sufrió un ciberataque que obligó a apagar todos sus sistemas informáticos. Se trata del hospital de la Universidad de Brno en la ciudad del mismo nombre. Uno de los elementos que más llama la atención a los investigadores, es que en dicho hospital, el segundo en tamaño en el país, es donde se realiza la mayor parte de los análisis para verificar los casos de Coronavirus en República Checa. No se informó el daño causado por el ciberataque ni tampoco si llegó a penetrar los sistemas donde se realizan y almacenan los análisis de COVID-19.

 

Tal como se comenta en esta nota del medio de noticias británico Independent, la situación mundial causada por el Coronavirus es una excelente oportunidad para generar ciberataques. Los cibercriminales juegan entonces con dos elementos relacionados con esta situación.

El primero es que el miedo (en inglés: fear) genera en la población una necesidad imperiosa y a veces compulsiva de conocer detalles sobre lo que sucede. Esto implica que cualquier oferta que les llegue a los usuarios con información sobre la pandemia sea aceptada sin demasiado análisis.

El segundo es que tanto gobiernos, empresas o la población misma, están en estos días enfocando toda la atención a un solo objetivo: la contención de la enfermedad. Esto lleva irremediablemente, a bajar la guardia en todos los otros frentes, como por ejemplo en la ciberprotección.

Es explotando este factor miedo que los cibercriminales se aprovechan de la situación.

El caso del Coronavirus dio la oportunidad de acuñar un nuevo término: “Fearware“, para distinguir entre otros,  al ‘miedo’ como vector para ciberataques.

 

Actualización del 15-mar-2020, 21:45

Worldometer:

El sitio https://www.worldometers.info donde se publican estadísticas mundiales de diferentes temas, tomó el caso del Coronavirus para hacer el seguimiento de los casos. En el día de hoy (hace media hora) se pudo observar que los valores de casos en el mundo se habían incrementado de forma ridícula. Era posible ver estos números a las 21:25 (AR):

 

Y en el detalle por país:

Donde se ve el ingreso de 567.999 casos y 892.045 muertos en la Ciudad de Vaticano!

Refrescando la página a las 21:30 (AR) se podía ver otra modificación de los números:

 

Es muy probable que alguien haya tomado control de parte de la aplicación y haya ingresado esos datos de forma manual. Es muy poco probable que haya sido un error del sistema, ya que la Ciudad del Vaticano no figura dentro de la lista de países que admite el sistema.

Es un momento en que la humanidad necesita de la colaboración de todos y que se tome esto en serio.

Y acciones como estas, realmente causan indignación.

 

Actualización del 15-mar-2020, 22:33

La noticia de la intrusión fue también levantada por este sitio italiano.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.

Jailbreak con Ra1nUSB (que funciona!)

Jailbreak con Ra1nUSB (que funciona!)

Cómo hacer un jailbreak con checkra1n, sin necesidad de una Mac ni de instalar nada en la PC, pero que sí funciona

Los amantes del iPhone y del jailbreak, se enteraron hace 4 meses del descubrimiento de checkm8, una vulnerabilidad de hardware del iPhone desde los modelos 4S (con chip A5) hasta los 8 y X (con el chip A11). Como esta vulnerabilidad está en la SecureROM, es decir en el mismo hardware, no importa qué versión de iOS tenga el iPhone, es posible jailbreakearlo.

Pequeña historia

Desde la publicación de la vulnerabilidad, hubo que esperar a noviembre de 2019 para que apareciera checkra1n, la tool que permite hacer el jailbreak del iPhone. El problema con el checkra1n es que se necesita una Mac para ejecutarlo. Para simplificar la razón de esto, se puede decir que la forma en la que la Mac maneja los dispositivos USB, es la misma que la del iPhone. Entonces, interceptar el manejo de la interfaz USB en modo DFU en el iPhone desde una Mac, no digamos que es trivial, pero sí que es relativamente simple para gente como Luca Todesco (@qwertyoruiopz).

Sin embargo, hacer el mismo manejo de los drivers USB con una PC (sea desde Windows o desde Linux) es muy complejo tal como dice el equipo de checkra1n:

Q: When is Windows support coming?
A: We need to write a kernel driver to support Windows (which is a very complex piece of code!) which will take time. Rest assured however, we are working hard on it.

 

Variantes

Por esta razón, mientras la comunidad espera que checkra1n esté listo para Windows o Linux, se iniciaron varios proyectos para poder correrlo desde una PC emulando a la Mac. Entre ellos están:
Los primeros dos, son (excelentes) formas de crear Mac virtuales dentro de una PC, tanto con Linux como con Windows. Ambos métodos implican la instalación en la PC de una Mac vistualizada. Los probé a ambos y no me funcionó ninguno.

Pruebas

El problema que tuve al probar estas opciones fue el hardware. Como la clave del exploit de checkm8 reside en la forma en que se maneja el stack de USB mientras el iPhone bootea en modo DFU, es muy importante que el hardware que se use pueda tomar ventaja de esto, pero desde una Mac virtualizada dentro de otro sistema operativo! Bastante complejo debido a la virtualización de hardware de una Mac dentro de una PC.

La lista de equipos donde probé estas variantes es:
  1. Desktop Dell Optiplex 3060 con Ubuntu,
  2. All-in-one Lenovo Thinkcentre a70Z con Xubuntu,
  3. Notebook Vaio  con Mint
  4. Notebook Dell Inspiron 15 Serie 7000 con Ubuntu.
En ninguna funcionaron las herramientas. Si bien en todas levantaron las Mac virtuales, ninguna reconoció al iPhone correcta o completamente.

Ra1nUSB

Mi siguiente paso fue probar con Ra1nUSB. Esta versión tiene a ventaja de que se bootea el virtualizador de Mac desde un pendrive, por lo que nos evita tener que instalar nada en la PC. Además, elimina varios elementos intermedios del sistema operativo entre el hardware y la Mac.

Bajé varias versiones de Ra1nUSB, traté de bootear en todas las máquinas anteriores y en ninguna ni siquiera booteó. En todas se quedó trabado en la carga de com.apple.xpc.launchd; es decir, en las X de MAc, que en Mac se llaman xpc. Entonces me di cuenta que el problema de Ra1nUSB no era el exploit en sí mismo sino el Clover.

Clover

Clover es un bootloader GUI de Mac tanto para UEFI como para BIOS. Posee mil opciones preconfiguradas para que reconozca el hardware en el que está y pueda bootear un MacOS. Si bien me funcionaron casi todas las versiones de Clover  que me bajé sobre los sistemas virtualizados, no funcionó ninguna de estas como parte del booteo del pendrive con Ra1nUSB.
Busqué en muchos foros y encontré que esto les pasaba a muchos y casi nadie les respondía nada y los que lo hacían respondían esas tonterías como “conseguite una Mac” o peores, como “para qué querés jailbreakear el iPhone?”.
Finalmente, antes de empezar a buscar quién me podía prestar una Mac, y basado en este blog de reddit, usé una combinación que funcionó perfecta.

Los pasos que hice para que funcionara fueron estos:

1- Bajar el RainUSB desde aquí.

2- Flashear el pendrive con Balena Etcher.

3- Bajar esta versión de Clover.

4- Montar el pendrive. Dentro hay 2 particiones: Ra1nUSB y RA1NUSBBOOT.

5- Entrar en RA1NUSBBOOT y reemplazar el directorio /RA1NUSBBOOT/EFI/CLOVER

por el dierctorio /Clover del Clover.zip que se bajó en 3.

 

El resto de los pasos son los que están en todos los tutoriales, pero se los dejo:

6- Deshabilitar todas estas opciones de la BIOS del equipo:

  • VT-D
  • EL SerialPort
  • SecureBoot
  • Stack Network
  • Fastboot
  • Wake on LAN

7- Bootear el sistema con el pendrive.

8- Una vez que bootea Clover, elegir “Boot macOS Install from Ra1nUSB”. Si bootea correctamente, aparecerá una pantalla com esta:

Si no bootea, puede ser porque el equipo es muy viejo o alguna de las opciones de la BIOS del punto 5 no fue correctamente configurada.

9- Aparece el instalador de MacOS con un indicador de que se está ejecutando Ra1nUSB:

10- Ir al menú superior y seleccionar Utilities y luego Terminal. Aparecerá una terminal de comandos.

11- En la terminal ingresar el comando ra1nusb y dar Enter. Aparecerá la ventana de checkra1n.

12- Conectar el iPhone, y en la ventana de checkra1n aparecerá el modelo del iPhone conectado:

 

13- Dar Start y seguir las instrucciones de la pantalla para bootear el iPhone en modo DFU.

Listo! Una vez que botee, aparecerá el ícono de chechra1n…

 

que permite instalar cydia…

Espero que les sirva.
Hasta la próxima!

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.