La nueva variante de MacDefender se salta la reciente protección de Apple: esto, señores, es la guerra
Solo 8 horas después de que Apple lanzara una actualización de seguridad que adicionalmente tiene un problema, los creadores de MacDefender han lanzado una "actualización" de su falso antivirus que se salta la protección establecida por Apple haciendo de este update el mas inútil de la historia de la compañía de Cupertino.
Ed Bott de Zdnet ha hecho público que la nueva variante de MacDefender, llamada Mdinstall.pkg ha sido modificada para saltarse la protección establecida por Apple en su última actualización de seguridad. El archivo tiene fecha de ayer con hora 9:24PM de la costa del pacífico, menos de 8 horas después de que la compañía de Cupertino liberara Security Update 2011-003.
En un test con las preferencias de Safari por defecto, el comportamiento del falso antivirus es igual al de las versiones anteriores, saltándose la protección establecida por Apple e iniciando la instalación sin la necesidad de la contraseña de administración.
Según Bott, "Como bien saben los expertos de virus de PC saben, el juego del gato y el ratón ha comenzado y puede prorrogarse indefinidamente Tu turno, Apple".
En la situación actual, las decisiones de Apple son críticas no solo para parar este que es aparentemente el primer problema de seguridad importante de la empresa sino para desanimar a otros desarrolladores de malware que hasta ahora han obviado la plataforma por la complejidad de realizar software malicioso que fuera lo suficientemente rentable como para justificar el esfuerzo y la inversión.
Los creadores de este tipo de software malicioso han encontrado el agujero perfecto que Apple en cierta manera no puede controlar: la desinformación y confianza de los usuarios que apuestan en la seguridad de sus sistemas, atacando no directamente el software de la compañía (o de terceros) sino la ingenuidad o desconocimiento de sus usuarios.
Apple si puede hacer algunas cosas al respecto: la primera de ellas es deshabilitar totalmente la opción de apertura automática de archivos de Safari. Esta característica ha causado mas problemas a la compañía que beneficios (en términos de seguridad) y permitiría, en ciertos términos, desplazar la elección de apertura de archivos desde Apple al usuario final.
La segunda es la educación: el ataque de MacDefender se basa en algo tan viejo como el mundo: la ingeniería social.
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. [WIkipedia]
Apple tiene que hacer un esfuerzo en educación además de reforzar las medidas de seguridad del sistema estableciendo, por ejemplo, que todo el software que requiera un instalador forzosamente use el de la compañía y adicionalmente sea necesario de forma inexcusable la entrada de la contraseña del administrador. Otras opciones pasarían por el firmado del código obligatorio o el blindaje de ciertas carpetas en las que solo se pudiera ejecutar código firmado.
Independientemente de estas medidas de seguridad, lo mas importante a reseñar es que los creadores de esta plataforma están haciendo el suficiente dinero como para seguir desarrollando variantes que induzcan a los usuarios a creer que están infectados y que necesitan pagar por un software inútil, lo que implicaría que la cuota de mercado de Apple ha madurado lo suficiente como para ser ya un objetivo suculento para estas mafias del crimen.
Punto 1: Elimina automáticamente la versión inicial de MacDefender. Para los usuarios que estuvieran infectados, es una noticia fantástica. Ya quisieran los usuarios de Windows algo así. En su día tuve que luchar contra virus que se metían en Windows solo por estar conectado a Internet, sin hacer absolutamente. En cuanto se le asignaba una IP, zas, virus instalado, y la única manera de quitarlo era comprando un antivirus de una empresa ajena e instalándolo antes de siquiera conectar ese ordenador a Internet. Por no decir que, a día de hoy, hay miles de ordenadores zombies con Windows cuyos usuarios lo siguen usando como si no pasara nada. Y Microsoft no hace nada o muy poco al respecto.
Punto 2: Ahora tenemos un servicio que diariamente descarga nuevas defensas frente a este tipo de ataques. En cuanto Apple actualice esa lista, estaremos de nuevo protegidos. ¿Qué mas queremos? ¿Que Apple sea nuestro papá y nos diga por qué páginas podemos navegar y por cuales no? El usuario también tiene algo de responsabilidad a la hora de no dejarse engañar, y a mi modo de ver, Apple lo está haciendo más que bien frente a estos ataques. Yo sigo 100% tranquilo con mi Mac sin antivirus viendo cómo Apple responde frente a UN SOLO ATAQUE diseñado contra los Mac en años.
Ya han conseguido que tenga que entrar en un flujo de trabajo REACCIONANDO, el sistema es atacable e inseguro, como todos, y se dirá continuamente por activa y por pasiva, el motivo por el cual no era atractivo para dichos ataques ha quedado atrás, la cuota de mercado es lo suficientemente grande ya para obtener importantes réditos creando programas que se beneficien de fallas en el sistema.
No nos pongamos vendas, y sí, el eslabón débil es el mayor responsable de la consecución de la gran mayoría de ataques, por eso hay que concienciar y enseñar, no sólo lo bien que se pueden hacer videos, presentaciones, etc... También es necesario tener en mente que en un futuro no muy lejano medidas activas (herramientas como la que ha usado ahora Apple), tanto como pasivas dirigidas a actuar antes (empezando por no negar la posibilidad de dihos ataques).
Un saludo.