Una nueva técnica le permite a los piratas que atacan el OS X de Apple cubrir sus rastros de forma más efectiva.
Los fanáticos de los ordenadores Apple suelen jactarse de la maror seguridad de estos ordenadores. Pero la popularidad que han ganado los Macs en los últimos años atrajo la atención de los hackers o piratas informáticos. Estga misma semana, en la conferencia de seguridad informática Black Hat DC en Washington D.C., un experto en seguridad revelará una técnica para atacar el sistema operativo del Mac – OS X – sin dejar rastros.
Durante años se han diirigido técnicas similares a los ordenadores tanto de Windows como de Linux. Éstas permiten que un pirata no sea descubierto, al eliminar pruebas vitales que un investigador podría utilizar para demostrar que una máquina ha sido rastreada; también podrían ayudar a que un investigador recopile detalles del incidente. Llevar la técnica a los Macs, sin embargo, requiere de un enfoque bastante más sofisticado.
La técnica que presentada en Black Hat DC permite a un pirata a eliminar virtualmentetodo rastro de un ataque contra OS X después de que éste haya rastreado el sistema utilizando otro mecanismo.
Vicenzo Iozzo, estudiante del Politécnico di Milano en Italia, explica que la técnica permite a un pirata introducirse en un ordenador sin dejar huella en su memoria permanente, por lo que la evidencia del ataque desaparecerá en cuanto se apague el ordenador de la víctima. Dicha técnica podría ser utilizada, por ejemplo, en combinación con otros software para remplazar una versión legítima de Safari Web, el browser de Apple, con uno “malicioso” que recibe la información sobre qué teclas pulsa el usuario y envía esta información al pirata.
Normalmente, cuando un usuario ejecuta una aplicación, el código funciona en varias zonas de la memoria del ordenador. En OS X, un formato de archivos llamado Mach-O se utiliza para especificar en qué parte de la memoria del ordenador deberían funcionar los procesos de las aplicaciones. La técnica identifica un proceso activo (tal como el de Safari) e inyecta un código malicioso dentro del espacio de la memoria donde está funcionando. Cuando el sistema lee del lugar esperado, ejecuta el código del pirata en vez del programa legítimo. Ya que la técnica no deja rastro, Izzo asegura que solo puede ser detectado cuando se usa un software que busca intrusiones en una red.
Predecir donde inyectar el código malicioso se hace más difícil gracias a una característica especial de seguridad en OS X que almacena las variables necesarias para mantener el ataque sin rastro alguno en ubicaciones al azar dentro de la memoria. Sin embargo, Izzo encontró una manera de anticipar donde se almacenarían esas variables basándose en pedazos de información que permanecen sin cambios.
Según Dino Dai Zovi, investigador independiente de seguridad especializado en Macs, esto es “muy interesante”, particularmente dadas ciertas dificultades que él tuvo que superar para hacer que funcionara esta técnica furtiva en OS X.
Dai Zovi agrega que, por ahora, existen pocos ataques a los Macs lo suficientemente sofisticados como para necesitar protección de este tipo. Pero asegura que la técnica podría ser una manera efectiva de engañar a avanzados software antivirus en el futuro.
Los piratas no se han centrado demasiado en el Mac hasta ahora porque su menor audiencia traaería menores beneficios. Pero Dai Zovi observa que esto está empezando a cambiar, y sostiene que investigar las vulnerabilidades del sistema ahora daría a los defensores el tiempo necesario para prepararse contra el “malware” del futuro.
Izzo explica que a Apple podría llevarle bastante tiempo responder a su técnica porque explota los elementos fundamentales de la estructura de operación del sistema que no pueden cambiarse con un simple parche de software. Y añade que podría necesitar de un “upgrade” o actualización más grande, tal como la introducción de una nueva versión de OS X, llamada Snow Leopard, cuyo lanzamiento al mercado está programado para 2010.
Mientras tanto, Izzo dice que los usuarios se pueden proteger al mantener sus sistemas actualizados con cualquier tipo de parche de seguridad para el OS X. Ya que la técnica confía en otros errores que un pirata podría aprovechar, los usuarios deberían centrarse en reducir lo máximo posible esas otras amenazas, concluye el científico.
Sin embargo, la técnica podría ser una amenaza para otro tipo de dispositivo dentro de poco. Izzo cuenta que actualmente se encuentra trabajando con otro investigador de seguridad para extender su técnica al iPhone.