Mac OS X 10.6 Snow Leopard: Xprotect y el informe de Intego

Con el lanzamiento de Mac OS X 10.6 Snow Leopard, Apple ha introducido un sencillo sistema de seguridad para detectar malware. De este sistema de protección hemos hablado en varios artículos de faq-mac (¿Cómo funciona la nueva característica contra el malware en Mac OS X 10.6 Snow Leopard?, Seguridad en Mac OS X: una aproximación a la táctica de “que viene el lobo”) además de hacernos eco de los problemas de seguridad de Mac OS X con los Troyanos. Intego publicó un informe de cómo funcionaba este sistema de seguridad bastante detallado (en inglés) y bastantes lectores nos habéis solicitado que ampliemos esta información. Hoy os traemos el informe en castellano.

Informe sobre el funcionamiento de el sistema de seguridad de Mac OS X 10.6 Snow Leopard por Intego

Desde que publicamos un artículo acerca de la nueva función contra el software malicioso que Apple ha incorporado a Snow Leopard, han aparecido diversos artículos sobre su funcionamiento. En su día ofrecimos una comparativa entre esta función y VirusBarrier X5, en la que destacábamos algunas de las características que incluye (y otras de las que carece) la nueva función. En esta ocasión, nos gustaría analizarla con más detalle y describir exactamente cómo funciona, qué hace (y qué no hace) para proteger a los Macs del software malicioso.

Algunos sitios web han bautizado a la nueva función como “XProtect”, por el nombre de un archivo que contiene los datos necesarios para su funcionamiento. Dado que Apple no ha asignado a esta función ningún nombre “oficial”, nos referiremos a ella simplemente como la “función de Apple contra el software malicioso”. El archivo Xprotect, llamado Xprotect.plist, se encuentra en /System/Library/CoreServices/ CoreTypes.bundle/Contents/Resources/; un lugar más o menos oculto (se encuentra dentro de CoreTypes.bundle, un paquete que contiene básicamente iconos).

Este paquete contiene otro archivo que nos interesa: se llama Exceptions.plist e incluye una lista de los programas afectados por la función de Apple contra el software malicioso. (Más adelante analizaremos con detenimiento el contenido de estos archivos.)

Así pues, ¿cómo actúa esta función? Apple lleva bastante tiempo utilizando una función de “cuarentena” en Safari, Mail y iChat. Esta función identifica cuándo se descargan archivos y se reciben adjuntos en mensajes de correo electrónico o durante los chats, y define un atributo extendido (dato no visible para los usuarios) en esos archivos con información sobre cuándo se descargaron y con qué aplicación. Éste es el atributo extendido de una imagen de disco que descargamos con Safari:

com.apple.quarantine: 0000;4a9bc528;Safari.app;2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E|com.apple.Safari

(Téngase en cuenta que el atributo extendido se añade a todos los archivos recibidos de las formas mencionadas en el párrafo anterior, pero la función de cuarentena sólo analiza determinados tipos de archivos, principalmente ejecutables -aplicaciones o scripts- y paquetes de instalación.)

Si después de montar la imagen de disco, se hace doble clic en un archivo ejecutable o en un paquete de instalación incluido en la imagen, la función de cuarentena detecta el atributo extendido y el sistema muestra esta advertencia:

intego_warning1.jpg

Esto ocurre también al descargar un ejecutable o un paquete de instalación en un archivo comprimido. Después de extraer el ejecutable y hacer doble clic en él, verá el mensaje de alerta anterior.

La nueva función de Apple se apoya en este sistema de cuarentena para analizar el archivo en busca de software malicioso; en caso de encontrar algo, aparece el siguiente cuadro:

intego_snowav.jpg

¿Qué analiza la función de Apple contra el software malicioso?

A continuación examinaremos el archivo XProtect.plist mencionado antes. Si miramos este archivo con el Property List Editor de Apple, vemos que hay un total de dos tipos de software malicioso en la lista: el troyano RSPlug.A y el troyano iServices.

intego_xprotect.jpg

Intego descubrió el primero en octubre de 2007 y el segundo, en enero de este año. En la actualidad, existen 17 variantes del troyano RSPlug en circulación y varias del troyano iServices.

Una pregunta interesante es si la función de Apple contra el software malicioso es capaz de detectar todas las variantes existentes del troyano RSPlug. Pues bien: los cazavirus de Intego realizaron algunas pruebas y descubrieron que Apple sólo detecta 15 de las 17 variantes de este troyano, lo que significa que dos son capaces de penetrar en la barrera de Apple. Las variantes que no detecta Snow Leopard son RSPlug.A y RSPlug.C. Además, la función de Apple contra el software malicioso identifica incorrectamente las variantes que encuentra, ya que, en todos los casos, la alerta que aparece con cualquier variante del troyano RSPlug indica que la variante detectada es RSPlug.A.

En cuanto a iServices, las cosas se complican un poco más. Este troyano se descubrió en programas pirateados que se distribuían a través de los sitios BitTorrent. El problema es que Apple no marca los archivos descargados con clientes BitTorrent (ver más abajo); por tanto, a menos que alguien empiece a distribuir las imágenes de disco infectadas de iWork ’09 y Photoshop CS3 a través de sitios web, la nueva función de Apple jamás detectará ningún troyano iServices.

Hay que destacar otra carencia importante de este sistema. El instalador de Apple utiliza dos tipos de archivos de instalación: archivos .pkg y .mpkg. Los primeros son simples archivos de paquetes mientras que los segundos son archivos de metapaquetes, que contienen a su vez varios paquetes, a menudo para instalaciones que constan de varios elementos. Según revelaron nuestras pruebas, la función de Apple no encuentra el software malicioso incluido en los archivos .mpkg. Hicimos la prueba con varias muestras de troyanos RSPlug en archivos de metapaquetes y no apareció ninguna alerta. Sin embargo, algunos de los archivos incluidos en los metapaquetes sí generaron alertas al abrirlos de manera individual.

¿Qué aplicaciones están protegidas?

Ya hemos mencionado que el archivoExceptions.plistcontiene una lista de programas que pueden utilizar la función de Apple contra el software malicioso.

intego_exceptions.jpg

Bajo la sección “Additions”, se pueden ver los identificadores de los programas que supervisa Snow Leopard en ese momento en busca de software malicioso. Hay navegadores web: Internet Explorer, Firefox, OmniWeb 5, Opera, Shiira, Mozilla Navigator y Camino; y también clientes de correo electrónico: Entourage, Seamonkey y Thunderbird. (Además de estos programas, están los propios de Apple, como Safari, Mail y iChat, que no aparecen en el archivo; tienen la clave LSFileQuarantineEnabled activada en sus archivos info.plist. Cualquier aplicación con esta clave activada se beneficiará de la protección de la cuarentena de Apple, aunque esto es algo que compete a cada desarrollador.) No obstante, esto no se aplica a todos los tipos de archivos: por ahora, las aplicaciones y otros ejecutables (como los scripts) están marcados, al igual que los paquetes de instalación. También están marcados otros tipos de archivos, pero los troyanos camuflados como si no fueran aplicaciones pueden infiltrarse a través de la barrera de protección.

Entre los ausentes destacados de esta lista están programas de mensajería instantánea (como MSN, Adium y Skype), clientes de correo electrónico (PowerMail, Mailsmith, etc.) y sobre todo el ingente número de aplicaciones que pueden descargar archivos de otros sitios distintos de la web. No están protegidos ni los programas de FTP ni los clientes de BitTorrent o de otros programas P2P, que precisamente constituyen vías de infección habituales.

Hay que apuntar que tampoco el Finder está protegido, lo que significa que los archivos copiados desde volúmenes de red o desde soportes extraíbles (como las memorias USB) no se analizan en absoluto. Además, la función de Apple no es capaz ni de reparar los archivos infectados ni de subsanar el daño que pueda haberse producido una vez se ha infectado el Mac. De hecho, en este último caso, Apple ni siquiera le informará de que el Mac está infectado.

Lo que no se sabe: actualizaciones de las definiciones de virus

Apple ha manifestado que ofrecerá actualizaciones del archivo de definiciones de virus XProtect.plist a través de su aplicación Actualización de Software, pero no ha especificado con qué frecuencia. Para empezar, en las actuales definiciones sólo hay dos troyanos, a todas luces insuficiente dada la cantidad de programas maliciosos que amenazan a los Macs. No está claro si Apple esperará a las actualizaciones de seguridad para actualizar este archivo o si habrá actualizaciones por separado con más frecuencia (Apple publica actualizaciones de seguridad para Mac OS X unas diez veces al año de media). Los programas antivirus que se comercializan ofrecen actualizaciones frecuentes: en el caso de Intego, dos veces por semana como mínimo, o más a menudo si se descubren nuevos códigos maliciosos o nuevas variantes.

En resumen

Como hemos visto, la función contra el software malicioso que ha incorporado Apple a Snow Leopard presenta muchas limitaciones. No solo no analiza los archivos de un buen número de aplicaciones, sino que cuando lo hace, sólo busca dos troyanos y ni siquiera localiza todas las variantes existentes que hemos probado. Tampoco es capaz de reparar los archivos ni analizar el Mac para encontrar las infecciones existentes. No detecta el software malicioso incluido en los metapaquetes, allanando el terreno al malware para que burle las defensas de Apple. Tampoco puede analizar volúmenes de red y ni siquiera es capaz de detectar los archivos infectados que se copian desde soportes extraíbles. En definitiva, la función contra el software malicioso que Apple ha incorporado a Snow Leopard no ofrece una protección realmente eficaz a los usuarios de Mac.

0 0 votos
Article Rating
Subscribe
Notify of
0 Comments
Opiniones Inline
Ver todos los comentarios
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x