¿Cómo funciona la nueva característica contra el malware en Mac OS X 10.6 Snow Leopard?
Una de las características introducidas en Mac OS X 10.6 Snow Leopard es un nuevo sistema de detección de software malicioso que permite a los usuarios poder determinar si el software descargado es pernicioso para los ordenadores. Sin embargo, se han levantado ciertas dudas acerca de cómo funciona este simple sistema y como se activa ante la presencia de software potencialmente dañino para nuestro ordenador.
El proceso que sigue Apple para detectar la presencia de este tipo de software es bastante sencillo y está basado en flujos de trabajo ya probados por la industria.
COn el aumento de la cuota de mercado de Apple, los hackers y amigos de lo ajeno han destinado cada vez mas recursos a crear software que permite a un atacante la posibilidad de robar datos sensibles de nuestros ordenadores. Al contrario que en Windows, el malware para Mac requiere siempre la activación por parte del usuario, así que los criminales han adoptado diversas tácticas de enmascaramiento de su software prometiendo características o software necesarios para realizar una tarea, como el caso del falso códec de vídeo MacCinema o falsas copias de software para Mac, como ha sido el reciente caso del lector de PDF Foxit Reader.
Los maleantes confían en que el usuario validará la instalación del software malicioso enmascarado y allí comienzan los problemas. El ataque mas común a los Macs actualmente es un envenenamiento de las DNS; de forma que al hacer una petición a un página legítima (EBay, un banco, PayPal o página similares) las falsas DNS llevan al usuario a una página idéntica a la original de la que pueden robar los números de tarjetas de crédito, contraseñas y mas.
Para evitar este problema, en Mac OS X 10.6 Snow Leopard Apple ha incluido un simple y rudimentario sistema de detección de estos ataques mejorando una característica presente en Mac OS X desde Mac OS X 10.4 Tiger: la cuarentena.
File Quarantine es un sistema que advierte al usuario al ejecutar una nueva aplicación descargada desde internet, aunque no solo se reduce a las aplicaciones, sino también a diferentes tipos de archivos que podrían ser ejecutables (scripts, archivos php). El usuario debe tomar entonces la decisión de ejecutar ese programa o no vía un cuadro de diálogo presentado por el sistema operativo.
El usuario tiene dos opciones ante este cuadro de diálogo: aceptar si cree que el software no resulta un peligro para su Mac o cancelarlo, si tiene algunas dudas sobre si la aplicación puede resultar potencialmente dañina para su máquina. Sin embargo, si cancelamos la apertura del archivo, el sistema lo pone en cuarentena, y ahí hay una serie de variaciones en la política de como trata el sistema el archivo al respecto de los ordenadores con múltiples cuentas de usuarios.
Generalmente, si cancelas la apertura de la aplicación, la siguiente vez que trates de abrirla, volverá a solicitar la aprobación de el usuario. En el caso de una aplicación que compartirán múltiples usuarios en su Mac, solo el usuario que descargó la aplicación puede eliminar la cuarentena de forma definitiva, mientras que otros usuarios del mismo ordenador recibirán el cuadro de diálogo siempre que intenten abrir la aplicación y deberán aceptar la apertura del archivo en cuestión cada vez que abran el archivo en cuestión.
Así que si una aplicación que consideras seguro, pero te te da la lata con este cuadro de diálogo cada vez que la intentas abrir, con toda seguridad lo que ocurre es que lo descargaste con otro usuario y deberás identificarte como tal para poder sacarlo de la cuarentena y no recibir mas cuadros de diálogo solicitando permiso para abrirla.
AntiMalware
Apple ha ampliado la protección del sistema operativo usando un rudimentario (pero creemos eficaz) para identificar amenazas para nuestro ordenador. EL sistema no ofrece curas ni una vacunación de los archivos infectados: solo avisa de su existencia y de que el usuario no debería ejecutarlos.
La comprobación que realiza el sistema de si un archivo o aplicación es potencialmente peligroso, ya sea descargado desde Safari o recibido a través de un programa de correo electrónico o a través de iChat, se realiza a través de File Quarantine usando un archivo de definiciones, de forma similar a como se realiza en los programas antivirus tradicionales, que se encuentra en Sistema/Librería/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plist.
Hasta ahora, en el archivo de definiciones solo se encuentran dos referencias a malware: el troyano OSX.RSPlug.A descubierto en 2007 y el malware distribuido en un instalador pirata de iWork 09 llamado OSX.iService.
Se supone que Apple irá aumentando la lista de definiciones de malware a través de actualizaciones de software, que serán mas frecuentes conforme vayan aumentando las amenazas al sistema operativo, aunque en esta ocasión, los usuarios no van a permitir retrasos en cuanto a la actualización de definiciones de software pernicioso porque no es lo mismo solucionar un problema en un programa que permitir que los ordenadores permanezcan en peligro mas de lo necesario. Estas actualizaciones de seguridad (posiblemente, de muy poco peso) deberían ser tan frecuentes como conforme se vaya ampliando la amenaza de software malicioso para Mac.
Desde el otro lado
Por supuesto, hecha la ley, hecha la trampa. Los desarrolladores de malware para Mac van a estudiar y analizar esta característica en busca de formas de engañarla, posiblemente realizando un ataque en dos pasos: el primero, la modificación del archivo XProtect.plist a través de un instalador supuestamente legítimo para luego instalar el correspondiente software dañino en una segunda fase, lo que supondrá una escalada en la guerra contra el malware ya que Apple se verá forzada a ir aumentando las medidas de seguridad.
En circulos de seguridad, esta táctica se llama "pescar en barril": primero se lanza una oleada de instaladores que modifiquen las medidas de seguridad para luego lanzar una segunda oleada de software malicioso con la esperanza que los usuarios hayan "picado" en el primero y "piquen" en el segundo. No es una táctica que produzca gran cantidad de resultados, pero es una primera aproximación a intentar romper la seguridad del sistema.
la adición de esta medida, no obstante, no exime a los usuarios de seguir un buen decálogo de prácticas seguras a la hora de tratar con archivos descargados de internet. La mejor medida de seguridad no es la correctiva, sino la preventiva y una buena política de gestión de archivos descargados de internet es la forma mas segura de no recibir un extracto de Banco que nos diga que nos han "sableado" la cuenta.
Aprovechando eso empezarán a """"""proteger los derechos de autor""""""", controlar todo lo que hacemos para que no se cuele un pedofilo, etc...
Como dijo Franklin: "Aquellos que cedan su libertad por un poco de seguridad, se quedarán sin ninguna de las dos".
Educar es la solución, y no hay mejor antivirus que el sentido comun.
Me ha encantado el comentario 7...
Namaste,
silta
No queremos control pero queremos estar seguros. No queremos que nos limiten nuestra libertad, pero queremos que se la limiten a los demás. Tenemos derecho a disfrutar de forma gratuita del trabajo de otros, pero por el nuestro es sagrado nos tienen que pagar. Es curioso, ¿no?.
Como se dice en otros post, la solución es la educación. Pero el tener un pueblo formado no interesa a los "poderes políticos y sociales". Que la gente piense no interesa demasiado a una minoría que es la que se perpetúa, de diversas formas, en el poder establecido. Y no estoy hablando de un bando u otro, todos los bandos hacen lo mismo.
Me resulta curioso que mientras se habla del derecho a la libertad, en sus diferentes aspectos, no se hable de herramientas como TOR (The Onnion Project) que se han convertido en un nido de pederastas y delincuentes a los que es casi imposible echar mano. Eso si, dicha aplicación está liberada y patentada por la US Navy. Más hipocresía.
Tampoco se nos ha de escapar que la mayoría del pueblo no quiere saber más allá de lo que le interesa para su vida cotidiana. ¿Cuántos padres hacen cursos de control parental para proteger a sus hijos?. ¿Cuántos padres se sientan con sus hijos a ver lo que hacen mientras están conectados a Internet?. ¿Cuántos padres se excusan con su falta de capacitación o de interés para realizar una mínima tarea de formación en éste ámbito con sus hijos?.
Las dos respuestas más frecuentes que me han dado a las preguntas anteriores son que carecen de conocimientos y que carecen de tiempo para adquirirlos. "Pero si sentándote al lado de tu hijo puedes ver por donde se mueve en Internet. Ya, pero es ir contra su derecho a la intimidad (aproximación a un diálogo con un padre de familia con una hija de 10-11 años conectada a Internet)". Hipocresía. Los padres no quieren dedicarle tiempo a sus hijos, lo quieren para ellos. ¿Cuánto se tarda en hacer el curso on-line sobre control parental de INTECO?.
Perdón por lo extenso del post, pero por mi trabajo veo a diario que los que se tienen que responsabilizar en mayor medida de la educación y formación en valores de los menores se "escaquean" y se autojustifican con lo del tiempo o su incapacidad para seguir el ritmo de las nuevas tecnologías (pero son capaces de descargar con el emule, configurar la ps3, el tom-tom o el smartphone que acaban de comprar y que muestran orgullosos a sus hijos). Más hipocresia.