Seguridad en Mac OS X: una aproximación a la táctica de «que viene el lobo»

quevieneellobo.jpgIntego ha publicado (inglés) un extenso informe detallando el funcionamiento del nuevo sistema anti-malware de Mac OS X 10.6 Snow Leopard. En el informe, Intego detalla el funcionamiento al completo de cómo funciona el sistema de Apple, y que sistemas usa la compañía de Cupertino para detectar las diferentes variantes de Troyanos que han estado afectando al Mac en los últimos tiempos.

El informe es bastante interesante en sí, y muy detallado, mostrando que el sistema de Apple para la detección de troyanos tiene peculiaridades propias y en algunos casos no resulta muy eficiente (como en la detección de meta-paquetes .mpkg o en la detección sobre programas de uso común como ciertos cliente de mensajería instantánea). De la misma forma, no hace muchos días Trend Micro, aprovechando curiosamente el lanzamiento de Mac OS X 10.6 Snow Leopard, lanzó otra alerta de seguridad sobre versiones pirateadas de Mac OS X 10.6 Snow Leopard infectadas con un troyano. Sin embargo, la mala aproximación que están haciendo las compañías de software de seguridad al Mac va a acabar pasándoles factura.

En resumen

El excelente por otra parte informe de Intego (que conviene leerse) al respecto de los problemas de seguridad de Mac OS X termina con un resumen que merece la pena comentar:

Aparentemente Apple ha añadido una función de detección de malware muy limitada a Snow Leopard. Solo escanea archivos de un puñado de aplicaciones y solo en busca de dos variantes de Troyanos, no en todas las variantes que nosotros hemos detectado. No puede reparar archivos o escanear el Mac en busca de infecciones. No detecta malware contenidos en meta-paquetes haciendo muy simple el sobrepasar la protección de Apple. Y no es capaz de escanear volúmenes en redes ni detectar archivos infectados copiados desde almacenamiento externo. En resumen, la protección Anti-malware de Apple en Snow Leopard es notable por la falta de protección seria a los usuarios de Mac.

Que viene el lobo

En general, las compañías de software para seguridad para Mac están usando la táctica que tan bien ha funcionado durante los pasados años en la plataforma Windows: «que viene el lobo».

En la situación actual sobre el malware para Mac no hay ningún virus ni gusano: es decir, no hay software malicioso que realice operaciones sin el consentimiento del usuario. No existe, a pesar de que muchos medios insisten en hablar de virus para Mac.

En ninguna parte del informe, por otra parte, se indica que el vector necesario para instalar el Troyano pasa inexcusablemente por que el usuario apruebe esa instalación con su contraseña de administrador. Ese detalle es frecuentemente olvidado por todos los que acusan a Apple de falta de seguridad a la hora de manejar problemas de seguridad causados por este tipo de ataques.

Si bien es cierto que cualquier usuario puede ser engañado debido a su ingenuidad, estamos trasladando el problema de la seguridad a la contención en vez de a la educación: de nuevo un táctica probada en el mundo Windows: considerar al usuario absolutamente idiota.

Los vectores de infección de este/estos troyano, por otra parte, vienen de claros ejemplos de riesgos de seguridad: webs de contenidos explícitos y archivos ilegalmente descargados. Es comprensible que una empresa de seguridad se enfoque a proteger a los usuarios, pero es difícil hacerlo si el usuario no desea ser protegido e infringe las medidas de seguridad mas básicas tomando riesgos. Contra eso, no hay defensa posible.

Las consideraciones al respecto de el escaneo de archivos en la situación actual es, también, una situación un tanto extraña: si no hay malware capaz de ejecutarse sin la aprobación del administrador, ¿porqué Apple tiene que tomarse la molestia de detectarlo previamente?. Para Apple es mejor esperar al momento de la infección y no tener que destinar recursos a la detección previa puesto que esta infección, al menos de momento, no es nunca sin el consentimiento del usuario.

Que Apple, por otra parte, use un sistema muy básico de defensa debería ser una alegría para estos desarrolladores y fabricantes ya que les permite instalarse en un cómodo nicho de mercado como han hecho otras empresas en otros segmentos del negocio de Cupertino.. Y no es una cuestión de «estar agradecidos a Apple por dejarnos ganar dinero a su costa» en un movimiento de pleitesía, pero si tu producto depende de un fabricante que puede determinar quien juega en su patio y quien no (y Apple es muy aficionada a este tipo de políticas), andar hurgando con un palo en las heridas es algo contraproducente, porque como todos los felinos, el Leopardo de las nieves tiene garras afiladas y puede dar zarpazos profundos.

Apple, por su parte, debe ser consciente también de que los usuarios de Mac OS X corremos riesgos y que debemos ser protegidos, pero su labor mas importante es tapar otros agujeros del sistema operativo, agujeros a los que los desarrolladores de software anti-malware no tienen acceso. El resto del negocio es para ellos y «montando bronca» no van a conseguir mas clientes: siendo honestos, sinceros y colaborativos, posiblemente si.

22 Comments

  1. Anónimo

    Qué gran frase: «Si bien es cierto que cualquier usuario puede ser engañado debido a su ingenuidad, estamos trasladando el problema de la seguridad a la contención en vez de a la educación: de nuevo un táctica probada en el mundo Windows: considerar al usuario absolutamente idiota.»

  2. Anónimo

    Tanto en Windows como en Mac OS X el usuario no es que sea considerado idiota, es que es completamente idiota, eso es un axioma universal.

    «No existe parche contra la estupidez humana.»
    — Kevin Mitnick

    Ayer sin ir mas lejos tuve una media bronca con un subnormal que queria activar el firewall de Leopard para parar posibles troyanos y ejemplos como ese los tengo a patadas, lo malo no es que no sepas lo malo es que no sepas y encima vayas de listo.

  3. Anónimo

    Pues curiosamente con el firewall de Mac OS X _SÍ_ que se puede controlar el uso indiscriminado de las conexiones para cualquier troyano.

    Es sencillo. Hay que elegir la opción número 3: Definir el acceso de aplicaciones y servicios específicos.

    Si se activa y se van autorizando qué aplicaciones tiene derecho a acceder o ser accedidas y qué servicios aquellas aplicaciones (por ejemplo un troyano) que no esté en esa lista (ya hay que ser absolutamente subnormal para tener que ir al firewall y autorizar el acceso a «ese-programa-que-no-sabes-qué-es»). Al principio puede parecer un engorro pero una vez configurado todos los servicios y todos programas va de maravilla.

    Este es un buen método -algo paranoico eso sí- de conocer y controlar todo lo que entre o salga de tu máquina…

    En los Windows es como tener el Zone Alarm o el COMODO Firewall instalado.

    Efectivamente no escaneará el sistema en busca de posibles archivos troyano pero si asumimos que en «Mac es muy dificil tener uno» esta es una medida de control tan factible como cualquier otra.

  4. Anónimo

    Aqui el mas subnormal de todos eres tu, eso para empezar.

    Lo segundo, por defecto todas las conexiones salientes estan permitidas y como se te ocurra bloquear todo el trafico saliente a ver si tienes narices a hacer un uso eficiente del sistema, aparte de todo que un troyano que te hayan colado con tu consentimienot y password se saltara eso como le de la gana, tio listo.

    EL firewall de Leopard NO BLOQUEA CONEXIONES SALIENTES, necesitarias algo como el Little Snitch o un firewall de terceros.

    lee aqui lo que te acabo de decir, majadero.

    http://www.idg.es/macworld/content.asp?idn=63172

    Ves como eres subnormal del culo y encima vas de listo??? ves?? ves???

  5. Anónimo

    A los actuales troyanos para Mac se las suda el firewall: envenenan las DNS para que cuan do vayamos al banco, acabemos en una página que «parece» el banco, pero que no lo es.

    Funcionan así.

  6. Anónimo

    Hola, soy el subnormal, subnormal normal, subnormal del culo, tio listo y majadero, y ya está bien que os metais conmigo.

    Lo haceis porque sois unos gallinas abusones y no os atreveis con nadie de vuestro nivelazo.

    Suerte teneis de que sea como sea y podais continuar con la cara de la cabeza intacta.

  7. Anónimo

    vallanse a a decir tonterias a tu.tv o youtube por favor!!! esto se trata de contruir algo de donde todos podamos beneficiarnos, ya a algunos les tocara aportar conocimiento y a otros tantos nos tocara recivirlos, pero por dios ser constructivos ante todo..

  8. Anónimo

    Por que pa 4 cosas que has dicho las 4 hacen competicion de burrada del siglo.

    Por cierto a ver si aprendemos a escribir un poquito eh?

    vallanse = Vayanse
    recivirlos = Recibirlos.

    Que como siempre se pone a dar lecciones el mas tonto de todos.

  9. Anónimo

    Primero. Lo de subnormal -ni te conozco ni me imagino que lo seas- era para llamarte la atención por llamar a alguien así. Yo he utilizado tu «forma de actuar» y ya veo a a tí te molesta… ¿Has pensado que a los demás también?

    Segundo. Sí se puede. ‘ipfw’ el verdadero firewall que hay «debajo» permite que bloquees conexiones salientes. Efectivamente hay que configurar el firewall a mano -su archivo de configuración en consola- o usando algún GUI que sabe tratar con él y de los que hay gratuitos (como BrickHouse o su sucesor Flying Buttress). Evidentemente con la chorrada de ventana que ofrece Apple no vas a poder… Apple suele hacerlo. Coje herramientas que no son suyas (Apache, ipfw, openldap, etc…) le mete un super-capado GUI y ¡ta chan! ya tienen herramienta supermegaguay…

    Tercero. Con respecto a hacer un uso eficiente del sistema… Pues curiosamente todos los servidores en los que suelo activar un firewall tienen una política de «drop-por-defecto» (bloquear por defecto) y poco a poco -ya avisé antes que era un uso algo paranoico- abro aquello que veo que voy necesitando (personalmente nunca me interesa ir «ofreciendo» mi iTunes como muchos usuarios Mac hacen…)

    Hay vida más allá del entorno gráfico. ¿Por qué crees que la consola en los Unix actuales sigue existiendo? La potencia la tienes ahí, no en la ventanita. En ella solo esta la comodidad.

    Referencias en una búsqueda rápida por San Google:
    Manual ipfw de FreeBSD
    Ejemplo de configuración ipfw en Mac OS X
    …más sobre el tema
    … y más

    Que pases un buen día

  10. Anónimo

    Por que todo eso ya lo sabia, yo soy administrador de sistemas y toco FreeBSD, OpenBSD, Solaris, HP.UX, Mac OS X, Windows o lo que haga falta.

    ipfw, es lo que yo uso en Mac OS X, en OpenBSD uso PF (Packet Filter) e iptables en Linux pero….

    Un usuario normal no sabe que hay vida mas alla del GUI y cuando comente lo de que un usuario queria usar el firewall de Mac OS X para parar troyanos por supuesto me(se) referia al que tu ves en las preferencias del sistema.

    Claro que puedes usar ipfw, o Little Snitch u otro firewall pero estabamos hablando del firewall de Mac OS X, no de ipfw (que no son el mismo) ni nada.

    Buen dia para ti que habras aprendido algo nuevo.

  11. Anónimo

    No soy precisamente un novato en eso de la administración de sistemas.

    Así que no estabas diciendo toda la verdad. Poderse se puede. Difícil, sí, porque no es un tema trivial para un usuario común, pero te «estabas guardando información» que en cierto modo invalidaba lo que decías. Otra cosa es que el usuario del que hablaste no tuviese muy claro esos conocimientos pero de ahí a ponerle «verde» queda muy de BOFH… Con lo sencillo que hubiese sido decirle que «sí, pero entonces hay que hacer una configuración particular, especial y compleja… y es más fácil de la forma X».

    Por otro lado el firewall de Mac OS X es ipfw. Otra cosa es que el «configurador» gráfico admita poca elasticidad para dar al usuario la apariencia de que controla todas sus características y tampoco es verdad.

    PS: El día que no aprenda algo nuevo será preocupante…

  12. Anónimo

    Una observacion mas atenta me indica que fuiste precisamente tu el que dijiste lo de la tercera opcion del firewall de las preferencias del sistema asi que ahora no te salgas por la tangente que googlear sabemos todos.

    Propicios dias.

  13. Anónimo

    Extraido de la Wikipedia y tal y tal:

    «Firewall de Aplicaciones

    Leopard viene con dos motores de firewall: el original de BSD IPFW, el cual estaba en versiones anteriores de Mac OS X, y el nuevo Firewall de Aplicaciones. A diferencia de IPFW, que intercepta y filtra datagramas IP antes de que el núcleo realice algún proceso significativo, el Firewall de Aplicaciones opera en la capa de socket, vinculado a procesos individuales.»

    Asi pues ipfw no es lo mismo que el firewall de las preferencias, ves???

    Que los dioses te sean favorables.

  14. Tito

    En resumen
    El excelente por otra parte informe de Intego (que conviene leerse) al respecto de los problemas de seguridad de Mac OS X termina con un resumen que merece la pena comentar:

    Aparentemente Apple ha añadido una función de detección de malware muy limitada a Snow Leopard. Solo escanea archivos de un puñado de aplicaciones y solo en busca de dos variantes de ((((((Toryanos))))))…

  15. Anónimo

    Siempre he activado la tercera opción para bloquear entrantes (por ser más cómodo graficamente) y seguidamente para cerrar la parte que el firewall de aplicaciones no realiza (las salientes) me tiraba a ipfw pensando que es otra de las «capadas» que Apple ha hecho en su S.O. para hacerlo más amigable y menos complejo al usuario normal.

    Si es erroneo hacerlo así eso es cosa ya de ‘mea culpa’. Mac OS X es el S.O. más reciente que uso (unos 2 años) porque provengo del Linux, FreeBSD y OpenBSD (este en menor medida)…

  16. Anónimo

    Ahí ya me cojes a destiempo… Siempre he creído que el Firewall de Aplicaciones de Mac era la «especialización con una configuración específica» de ipfw y que debajo realmente el que lo corría todo era ipfw…

    He estado intentando confirmar eso por la web de Apple y ellos efectivamente en este documento> distingue ambos…

    Si es así estoy equivocado y son dos los firewalls que hay en Mac OS X…

    Como colofón -que asumo final- (no suelo postear mucho, prefiero leer) me ha gustado discutir contigo. Prefiero esto a «adorar lo bueno y bonito que es Mac OS X»

    Ya nos enzarzaremos otro día más ;-P

  17. Anónimo

    Tengo entendido que Snow Leopard no sólo tiene problemas de seguridad, sino que ya están testeando el OS 10.6.1 por problemas en compatibilidad con periféricos (sobre todo impresoras) y con algún software. ¿Está bien que después de tanta promoción salga un sistema tan problemático?

  18. Anónimo

    porque cuando se habla de seguridad en mac, un maquero insulta a un usuario de windows o ect? por fanatismo? ese fanatismo es el que provoca que insulte a otro maquero por cuestionar la seguridad de mac?, a donde vais a llegar, a insultar por decir, que no os gusta la sombra tan fuerte de las ventanas que usa osx? eso es de ser… no voy a decir que, que me insultan.
    administrador, saca el palo que nos liamos a ostias con estos.

Deja una respuesta