Se habla en los medios de un par de virus (o troyanos o gusanos) que han
sido detectados replicándose a sí mismos. Esto no sería en absoluto
novedad, sino fuera porque el código infecta a los MAC OS X de Apple.
¿Está siendo atacado el sistema operativo más elegante? No es un ataque
propiamente dicho y a uno de ellos, incluso, ni siquiera se le puede
llamar virus. Por ahora los usuarios de Mac pueden respirar tranquilos:
los virus de difusión masiva siguen siendo una parcela reservada para
Microsoft y Windows, pero quizás se debería reflexionar sobre esta
posibilidad en un futuro.
El día 13 de febrero, un usuario anónimo (no podía ser de otra forma)
dejaba un mensaje en uno de los foros más populares para usuarios de
Mac, MacRumors. En él se ofrecía a través de un enlace a un servidor
externo, un archivo comprimido que se supone contenía imágenes de la
nueva versión de Mac (la OS X 10.5, llamada Leopard). El fichero se
llama latestpics.tgz y con él, llegó la polémica.
Aunque lo aparentase, no contenía imágenes. Eran simples ejecutables
UNIX compilados y camuflados… un programa. A partir de aquí, podríamos
calificar a este engendro de troyano, por ocultarse como algo que
realmente no era. Estas denominaciones han provocado profundas
discusiones, pues las connotaciones implícitas que conlleva calificar de
troyano a un código no son las mismas que calificarlo de virus o gusano.
Esta última nomenclatura denota más vulnerabilidad por parte del sistema
operativo (virus y gusanos pueden ejecutarse con mínima interacción del
usuario, a escondidas, y pueden replicarse hábilmente entre los
sistemas) mientras que un troyano es habitualmente ejecutado consciente
o inconscientemente por un usuario, lo que deja caer la balanza de la
culpa y la responsabilidad más hacia este último. Los defensores de Mac,
en este punto, quieren dejar muy claro que el sistema operativo es
seguro, pero no puede hacerse responsables de las intenciones o
consecuencias de la utilización por parte de un usuario incauto e
irresponsable.
Al archivo, una vez analizado se le podían reconocer rutinas destinadas
a autorreplicarse e infectar otros sistemas Mac. Aprovechaba la lista de
contactos de iChat para enviarse a sí mismo e intentar contagiar a otros
usuarios. Sobre esto, los usuarios de Mac han rechazado igualmente la
denominación de «virus», pues necesita de bastantes acciones
irresponsables por aparte del usuario para poder replicarse. En primer
lugar el usuario de iChat debe aceptar la transferencia de las supuestas
imágenes, descomprimirlas y ejecutar el archivo en su interior. Si el
usuario pertenece al grupo de administradores se infectará, si no, el
sistema operativo le pedirá las credenciales porque el malware intenta
escribir en zonas reservadas. Esto es como en cualquier otro sistema
operativo, aunque entre usuarios Mac sea más habitual relegar la cuenta
de root a labores administrativas. Necesitar de tanta ayuda para
infectar, debilita enormemente las posibilidades de contagio masivo.
Parece ser que también es capaz de infectar otros archivos en el
sistema, aunque su código no resulte demasiado sofisticado. Además, cabe
destacar que no aprovecha ninguna vulnerabilidad conocida o desconocida
del sistema para ejecutarse. Su «modus operandi» para infectar un
sistema que lo aloje, resulta completamente manual.
En todo caso, el código ha llegado al estatus de malware, pues varias
casas antivirus lo han incluido en sus firmas bajo el nombre de OSX/Leap
(otros como OSX/Oomp-A), cosa que no ocurre a menudo aunque, a tenor de
lo acontecido estos últimos días, cabría preguntarse si está cambiando
esta tendencia. Sólo una semana después de la aparición de este troyano,
se hacía público la existencia de un segundo código indeseado para Mac
OS X. Igual de minoritario (puede ser considerado una prueba de
concepto), Inqtana-A sí puede ser llamado virus pues aprovecha una
vulnerabilidad en el componente Bluetooth de este sistema operativo para
ejecutarse y, teóricamente, la necesidad de una mano que lo ejecute es
mínima. Se replica de sistema vulnerable a sistema vulnerable a través
de Bluetooth, pero es casi seguro que encuentre pocos huéspedes que
puedan alojarlo, pues Apple publicó un parche para ese problema en mayo
de 2005, con lo que la mayoría de sistemas hoy día serán inmunes.
Los usuarios de Mac han permanecido durante muchos años ajenos a la
amenaza del malware, son confiados y la historia les avala. Desde que en
1982 apareciese Elk Cloner (creado por un quinceañero) e infectase a
sistemas Apple II (nada que ver con los Mac OS X actuales) a través de
disquetes, pocas han sido las oportunidades de bautizar a un virus. El
problema es que en dos semanas, han tenido que hacerlo en dos ocasiones.
Aunque Mac OS X es un excelente sistema operativo, seguro por diseño,
son siempre los usuarios que manejan cualquier máquina los que pueden
resultar realmente peligrosos. Si no ejecutan código no confiable y se
mantienen actualizados, no sufrirán a estos dos nuevos especímenes
encontrados. Aun así, no conviene bajar la guardia ante posibles
amenazas futuras más sofisticadas y propagadas que ocurrirán, según las
tendencias actuales, sólo y exclusivamente cuando la creación de malware
para este sistema operativo proporcione algún tipo de rentabilidad
significativa a sus creadores.
De hecho, de una encuesta promocionada por Sophos sobre 600 usuarios, el
79% pensaba que Apple será objetivo del malware en el futuro, aunque la
mitad pensara que nunca llegaría a suponer el problema que representa
para usuarios de Microsoft. Lo curioso de la encuesta, quizás, es ese
21% que se muestra confiado y no cree que el malware vaya a suponer
nunca un problema para su sistema operativo.
Esa confianza, se use el sistema operativo que se use, resulta mala
compañera y es bastante probable que haya impulsado, por ejemplo, a
muchos usuarios de Mac a ejecutar alegremente las supuestas y esperadas
imágenes del nuevo sistema operativo, sin preguntarse si eran realmente
imágenes, quién las enviaba y por qué. Esta prudencia básica, por
experiencia, es algo que ya muchos usuarios de Windows se plantean antes
de lanzar su ratón sobre archivos desconocidos, mientras que a usuarios
de Mac, también por propia experiencia, es probable que ni se les pase
por la cabeza.
Además de este debate abierto sobre el futuro del malware para Mac,
habrá que estar atento al potencial impacto que tendrá en la seguridad
la posibilidad de ejecutar el sistema operativo bajo microprocesadores
Intel.
ssantos@hispasec.com
Más información:
Intel doesn’t make Mac more vulnerable:
http://www.macnn.com/articles/06/01/30/intel.mac.vulnerability/&startNumber=10
OSX/Leap-A, OSX/Oomp-A:
http://www.sophos.com/virusinfo/analyses/osxleapa.html
http://securityresponse.symantec.com/avcenter/venc/data/osx.leap.a.html#technicaldetails
Mac OS X Virus/Trojan Summary:
http://www.macrumors.com/pages/2006/02/20060216234239.shtml
New Mac OS X worm spreads between Apple Macintosh computers via
Bluetooth vulnerability
http://www.securitypark.co.uk/article.asp?articleid=24983&Categoryid=1
Elk Cloner:
http://en.wikipedia.org/wiki/Elk_Cloner
Deja una respuesta