2008 ha sido un año repleto de noticias en lo referente a la seguridad y el software malicioso en el Mac, con diversas amenazas dirigidas a equipos Mac, desde troyanos a “scareware”, pasando por fallos de seguridad en los navegadores y vulnerabilidades en el sistema Mac OS X. Este documento es un resumen de las cuestiones relacionadas con la seguridad que afectaron a los Macs a lo largo del año. Las notas a pie de página incluyen enlaces a artículos del blog de Intego acerca de la seguridad en el Mac: Intego Mac Security Blog (http://blog.intego.com) donde se amplía la información acerca de estas cuestiones.

Intego descubrió el troyano RSPlug en octubre de 20071, y desde entonces, se han hallado diversas variantes en circulación y un número creciente de Macs se han visto infectados por estos programas maliciosos.

En abril de este año, Intego alertó2 acerca de varias versiones de este troyano detectadas. La mayoría no eran variantes sino simplemente imágenes de disco con nombres distintos del original. (Una empresa desarrolladora de antivirus declaró haber descubierto más de treinta de estas variantes pero al parecer no se tomó la molestia de examinar el código para comprobar que en realidad eran todas la misma.)

Otras dos variantes sí presentaban código distinto, pero algunas aparentaban instalar software con otro nombre. El troyano RSPlug original instalaba un “software” denominado MacCodec; los instaladores de otras versiones decían instalar MacVideo o Porn4Mac. Los contenedores (las imágenes de disco en las que se incluían los instaladores) también eran distintos. La primera versión se encontró en una serie de imágenes de disco cuyo nombre eran cuatro dígitos seguidos de la extensión de las imágenes de disco: por ejemplo, 1023.dmg. Otras tenían nombres como operacodec1234.dmg, nitroticket2018.dmg, uincodec4264.dmg, ixcodec1292.dmg y xerocodec1292.dmg. (Puede haber variaciones en los números de estos nombres, y en los nombres en sí.)

En Junio, Intego detectó3 un troyano nuevo para Mac OS X: OSX.Trojan.PokerStealer. Al ejecutarse, el troyano activa ssh en el Mac en cuestión, y a continuación envía el hash del nombre de usuario y la contraseña, junto con la dirección IP del Mac, a un servidor. Después de mostrar el mensaje de que se ha detectado un archivo de preferencias dañado y debe repararse (A corrupt preference file has been detected and must be repaired.), solicita que se introduzca una contraseña de administrador. Introducir dicha contraseña permite al programa llevar a cabo las tareas para las que está programado. Tras obtener el acceso ssh a un Mac, usuarios malintencionados pueden intentar tomar el control del mismo, borrar archivos, dañar el sistema y muchas cosas más.

En noviembre, Intego descubrió otra variante del troyano RSPlug, con un nuevo giro en su forma de actuar4. Aunque esta nueva variante realizaba las mismas acciones que el RSPlug.A, su instalador era diferente: se trataba de un programa de descarga, que contactaba con un servidor remoto para descargar los archivos que instalaba. Esto quiere decir que, en el futuro, el programa de descarga puede instalar otros contenidos que no son los que instala ahora.

Cuando creíamos haber visto suficientes variantes del RSPlug, apareció otra en diciembre, esta vez con el nombre de Intego en ella5. Esta nueva variante, RSPlug.E, era parecida al troyano RSPlug.D, pero con algunas diferencias interesantes con respecto a las versiones anteriores. Las muestras examinadas por Intego (FlashPlayer.v3.348.dmg y FlashPlayer.v..dmg) contenían código con referencias a Intego. El código malicioso en sí está codificado (utilizando una rutina estándar llamada uuencode) y cuando se descodifica, aparece una línea de código con el comando: “begin 666 intego”. Esta orden le indica al sistema que cree un archivo con permisos de lectura y escritura (666 es un atajo de los permisos de Unix, nada que ver con el “número de la bestia”), y que cree un archivo, el que contendrá el código malicioso, con el nombre “intego”. Evidentemente Intego no tuvo nada que ver en la creación de este código. Entendemos que la elección del nombre del archivo fue probablemente una provocación del creador del “malware”.

En noviembre, Intego publicó una nota de seguridad acerca de una herramienta de piratería informática que podía emplearse para la creación de troyanos6. Habían circulado algunos informes acerca de un nuevo “malware” o troyano para Mac, habitualmente bajo el nombre “OSX.Lamzev.A”, que según se afirmaba abría una puerta trasera en los equipos Mac OS X atacados. Intego descubrió esta herramienta en agosto de 2008 y concluyó que no constituía una amenaza seria. A diferencia de otros programas maliciosos y troyanos, esta herramienta, a la que llamamos OSX.TrojanKit.Malez, requiere que un pirata informático tenga acceso ya previamente a un Mac para poder instalar el código. A fecha de hoy, no se han detectado troyanos ni otros medios de réplica en circulación que hagan uso de esta herramienta. Contrariamente a los que se afirma en ciertos informes de otras empresas de seguridad, no representa una amenaza seria para los Macintosh.

Esta herramienta de piratería informática puede utilizarse para crear una “puerta trasera” en un ordenador Mac OS X. Dicha puerta da al hacker acceso remoto al ordenador. El código se añade a una aplicación sin firmar de terceros que se instala manualmente en un Mac y cuando la aplicación se ejecuta, la puerta trasera se activa. Crea un archivo llamado com.apple.DockSettings en ~/Librería/LaunchAgents, y la puerta trasera se abre en cada inicio de sesión. El binario de la aplicación original se coloca en Nombre_de_la_Aplicación.app/Contents/MacOS/2, y el de la puerta trasera, en Nombre_de_la_Aplicación.app/Contents/MacOS/1. La herramienta modifica el archivo info.plist de la aplicación para que apunte hacia la última ubicación.

Sólo hay, pues, dos modos de transmisión de esta herramienta de piratería: la primera es mediante el envío a otro usuario de una aplicación infectada, ya sea en un archivo .zip o como imagen de disco, y la segunda es si un pirata informático obtiene acceso de red a un Mac y sustituye una aplicación existente por una versión infectada.

El año empezó con un intento descarado de estafar a los usuarios de Mac en enero, por parte de una empresa que comercializaba un programa llamado Macsweeper, que afirmaba ser capaz de detectar yeliminar todos los archivos inservibles del ordenador para recuperar espacio desperdiciado (el mensaje aparecía en inglés y era el siguiente: “The imbibed set of features locates all the junk and useless data on your computer and deletes them to reclaim the wasted space.”7). Fue uno de los varios programas de “scareware” para Mac que se vieron en 2008, cuya finalidad era asustar a los usuarios para después venderles un software de seguridad falso.

Un clon de este programa, llamado iMunizator, se detectó en marzo; era el mismo programa (exactamente la misma interfaz, funciones y código) pero con otro nombre. La web del programa tenía el mismo diseño y la misma descripción que Macsweeper.8

Otro programa de “seguridad” falso para Mac se descubrió en octubre9. MacGuard, que es como se llama, afirmaba lo siguiente:
“El explorador de sistema de alta tecnología de MacGuard analiza el disco duro en busca de objetos maliciosos, como software espía, “adware” o troyanos y limpia los archivos, eliminando las amenazas y garantizando la privacidad en cuestión de minutos. Su protección inteligente en tiempo real garantiza además que las nuevas amenazas ni siquiera lleguen al ordenador.”

No hace falta decir que se trataba de la versión para Mac de una estafa habitual en Windows: vender software que afirma proteger la seguridad del usuario, siendo en realidad un timo. Si alguien es lo bastante ingenuo como para comprar este software de una empresa de la que nunca ha tenido noticia antes, sin ninguna referencia y con una web vaga e imprecisa, es probable que poco después descubra otros cobros en su tarjeta de crédito. Una web10informó de que más de 30 millones de personas habían sido estafadas con este tipo de software.

Aunque la mayor parte de los informes de prensa sobre problemas de seguridad se centran en el software malicioso —virus, troyanos y similares—algunas de las amenazas más serias hoy día están relacionadas con fallos en el software y en los sistemas operativos. Mac OS X, aun siendo más seguro que Windows, presenta también fallos de seguridad, y Apple debe trabajar sin tregua para generar más de una veintena de actualizaciones de seguridad al año, para Mac OS X en general y también para partes concretas del sistema que suelen presentar vulnerabilidades. Apple no es el único fabricante que debe publicar actualizaciones de seguridad: en el blog de seguridad de Intego, hacemos un seguimiento de programas populares como Microsoft Office, Adobe Acrobat y Flash, y navegadores como Firefox y Opera.

En junio, Intego alertó a los usuarios de Mac acerca de una amenaza crítica en el software Apple Remote Desktope11, en un módulo que se instala en todos los Macs. Se descubrió una vulnerabilidad que permitía que programas malintencionados ejecutaran código como ‘root’ al ejecutarse localmente o a través de una conexión remota en ordenadores con Mac OS X 10.4 y 10.5. Esta vulnerabilidad se aprovechaba de que ARDAgent, un elemento del componente Remote Management de Mac OS X 10.4 y 10.5, tenía asignado un parámetro setuid. Cualquier usuario que utilizara un ejecutable de este tipo obtenía los privilegios del usuario propietario del ejecutable. En este caso, ARDAgent tenía como propietario a ‘root’, de manera que, al ejecutar código a través del ejecutable ARDAgent, el código se ejecutaba como ‘root’, sin que fuera necesaria contraseña. El riesgo directo provenía de la capacidad de ARDAgent para ejecutar AppleScripts que, a su vez, podían contener comandos de script de shell.

Apple no publicó un parche para este problema hasta agosto12, en una de las diversas ocasiones en 2008 en las que Apple tardó un tiempo que muchos comentaristas y estudiosos consideraron excesivo para publicar soluciones a distintos problemas de seguridad. (Otro ejemplo fue la demora de varios meses en un parche para un problema de envenenamiento de la cache DNS13 que otros fabricantes habían corregidos meses antes.)

En septiembre14, se descubrió un fallo grave en QuickTime que podía allanar el terreno para futuros ataques. La etiqueta “<? quicktime type= ?>” tenía problemas para gestionar cadenas de texto largas, lo que podía provocar desbordamientos de pila en QuickTime Player, iTunes o cualquier programa que intentara visualizar contenidos mediante un módulo de QuickTime. Podía tratarse de un navegador, como Safari de Apple, Internet Explorer de Microsoft o Mozilla Firefox, o bien, en Mac OS X, de cualquier programa que mostrara gráficos o películas en el propio programa, como Mail o incluso el Finder si un usuario intentaba ver un archivo con Vista rápida. Por ahora, lo archivos que contienen cadenas de texto no válidas hacen que los programas que intentan visualizarlas se bloqueen, pero cabe la posibilidad de que en el futuro se añada código malintencionado a esos archivos de forma que éste se ejecute sin que el usuario haga nada más que intentar visualizar un archivo.

Apple publicó una actualización de seguridad para Safari en noviembre15, que añadía una nueva función contra phishing, denominada por Apple protección contra “sitios fraudulentos”. Safari muestra un mensaje de alerta cuando cree detectar un sitio destinado al phishing (o robo de datos).

Apple generó cierta confusión a finales de noviembre16 cuando actualizó un documento en el que sugería que los Macs debían tener instalados programas antivirus. La nota decía así: “Apple alienta el uso generalizado de diversas utilidades antivirus a fin de que los programadores de virus tengan que superar la protección de más de una aplicación, dificultando así todo el proceso de desarrollo de virus.” La nota mencionaba tres programas antivirus, con Intego VirusBarrier X5 en primer lugar.

Sin embargo, Apple no tardó en retirar el documento, después de que muchos medios publicaran la información dando a entender que Mac OS X era vulnerable al software malicioso (cosa que es cierta, por supuesto), algo que va contra el discurso de marketing de Apple.

Finalmente, a lo largo de 2008, Apple publicó 35 actualizaciones de seguridad17, para Mac OS X, QuickTime, Safari, Apple TV, iPhoto, iLife, iPhone y iPod touch y un largo etcétera. Esto representa varios gigabytes de archivos que descargar y sólo un ligero descenso respecto a las 38 actualizaciones de seguridad que publicó en 2007, ambos años muy por encima de las 22 y 23 actualizaciones publicadas en 2006 y en 2005, respectivamente. En los dos últimos años se han dado muchos más problemas de seguridad que en años anteriores, lo que hace que los usuarios de Mac deban tomar más precauciones que nunca para garantizar que sus ordenadores están protegidos y a salvo.

inicio | contacto