No son virus, ¡son concept!

Muy buen hilo Cyberser, buena idea la de FM y que hayas arrancado por acá..

Siguiendo con el tema de PoC, aporto un ejemplo. Se trata de un código PoC referente a una serie de ataques a TCP sobre los cuales ha escrito un ingeniero argentino llamado Fernando Gont. El año pasado me tocó estudiar estos ataques y usamos este código Proof Of Concept para hacer una demo de cómo afectaban los ataques a los stacks TCP de varios sistemas operativos de PC y appliances.

Acá está el código en particular:
http://seclists.org/bugtraq/2005/Apr/0292.html

Lo compilé en Linux con gcc y en Windows con Visual C++ y anduvo "as advertised"

Permite mostrar los efectos de los ataques: Blind Connection-Reset, Blind Performance-Degrading y Blind  throughput-reduction, todos realizables con sencillos paquetes ICMP, en algunos casos basta con un solo paquete ICMP para liquidar una conexión TCP.

Gont es miembro de la la IETF, y la RFC correspondiente a estos ataques ya está en draft, incluso creo que ya pasó la etapa de draft. Por acá la pueden leer quien guste: http://www.gont.com.ar/drafts/icmp-attacks/draft-ietf-tcpm-icmp-attacks-01.pdf

Si alguien tiene interés en leer algo más resumido en español me manda un mail y le envío el trabajo que hicimos para la facultad en un PDF.

Fa, que linda forma que viene tomando esto.

Como se viene diciendo los concept tiene el fin de probar una teoría, por lo que muchas veces carecen de 'poder de ataque' lo que permite a las empresas afectadas por la falla de seguridad, apoyarse en esto para quitar trascendencia al problema. En ocasiones se aprovecha el tiempo ganado 'mediáticamente' para solucionar el problema y en otras simplemente se desatiende asumiendo que el problema no será explotado o será aplastado publicitariamente. Esto depende de los objetivos de la empresa y el poder de manipulación que tiene sobre su público. Como ejemplo, Phenoelit crea sus propios PoC con el fin de estudiar las vulnerabilidades de las empresas de su grupo y luego publica los resultados para que todo el mercado esté al tanto de las posibles fallas. Sin ir más lejos se les atribuye la creación, a comienzos de este años, de algunos Poc que demuestran las vulnerabilidades del uso sin verificación del código de barras ( si, algo tan choto como eso puede hacer perder millones ). En el caso de grupos de este estilo es claro que el cometido es entender el problema y repararlo ( ellos son sus propios clientes ), pero empresas como Microsoft y Apple tiene políticas muy distintas.

Yendo a los datos oficiales ( extraídos de la National Vulnerability Database ) y no a suposiciones, de 2003 a 2005 los descubrimientos de vulnerabilidades en productos Apple creció de 45 a 143 ( 218% ) mientras que Microsoft paso de 92 a 159 (73%), demostrando, no solo, que ya por aquellos días las fallas de seguridad en productos Apple aumentaban considerablemente, sino también que ya estaba a la par de la competencia en cuanto al número de fallas. Sin embargo el clima general era de tranquilidad entre los usuarios de la manzana ( incluso lo es hasta el día de hoy ). Como se aprecia los datos 'frios' tiran por tierra por si solos la ilusión de invulnerabilidad y los PoC hicieron su trabajo demostrando los peligros de estas fallas. Mientra empresas como Microsoft, tras sufrir verdaderas pesadillas luego de burlarse de PoC como el WM/Concept, decidieron cambiar su política de seguridad ( con relativa eficacia ), Apple ( que es la que nos interesa a los Macacos en particular ) decidió no hacer conciencia y repetir la historia, por lo que al lanzamiento de Leap en 2006, ya se habían catalogado 74 virus para Mac OS. Es verdad que la empresa respondió en su momento reparando los agujeros de seguridad utilizados por estos virus, pero la negativa de la empresa a reconocer la existencia o categoría de estos virus no hizo más que alimentar la falta de información con que cuenta el usuario dejándolo desprevenido para futuros ataques.

El tema de los futuros ataques, no es nada trivial, el estar en sobre aviso permite anteponerse a un atacante incluso desconociendo gran parte de la técnica a utilizar. Esto es más importante aún cuando se constata la falta de respuesta rápida de la empresa a reparar los fallos en seguridad ( otrora el mayor fuerte que tenía Apple ). Leap, por ejemplo, se aprovecho de esta ingenuidad del usuario para propagarse presentándoce como un conjunto de screenshot de Leopard ( aún en desarrollo por aquellos tiempos ) y provenía de la maquina de contactos conocidos del iChat y MSN. Afortunadamente no contenía payload, pero cumplía todas las condiciones para infectar, asegurar su permanencia, reactivarse y reproducirse. Al día siguiente de su descubrimiento, ya estaba disponible Inqutana, con la particularidad que puede usar directory traversal para colocarse en carpeta con permisos especiales y transferirse a través de bluetooth. Si bien estos virus ( específicos para Mac OSX ) son detectables por los antivirus actuales, fácilmente se puede constatar que la mayoría de los usuarios no los usa, ajenos a la realidad y al peligro que suponen estas amenazas. Estos virus son catalogados por las empresas de seguridad como de baja peligrosidad con observaciones, en estas últimas aclaran que si bien son de peligrosidad baja, esto se debe a que el código original no incluye acciones que pongan en riesgo la integridad del sistema o la información en él. En relación a esto algunos informe continúan: 'sin embargo, el autor del código podría haber sido capaz de realizar cambios en el sistema.'.  Con lo que todo queda en manos de que intenciones tenga el atacante y cuan protegida este la victima.

Quiero hacer notar que en lenguaje técnico en seguridad y defensa ( muchos provenientes de la jerga militar ) los términos no cumplen con el sentido coloquial que se les da, entiendase que una ojiva nuclear desactivada, también es catalogada de 'peligrosidad baja' o 'segura' ya que los riesgos que se corre de accidente son mínimos ( una de las causa por la que son usadas en armamento táctico ), pero no creo que nadie quiera ser atacado con un proyectil que contenga una activa

@macpotok: Como bien comentas hay tres factores claves en juego; el poco y especifico mercado que tiene Apple, el poco impacto ( y por lo tanto desestimación de peligro ) de las herramientas de prueba y por último el desconocimiento de los usuarios de las mismas.

Sobre el primer punto hay mucho escrito y los principales argumentos para considerarlo un punto básico es, en primer lugar, que por tratarse de una escasa cuota de mercado los ataques virulentos son absurdos. Cuando el objetivo es atacar redes masivas ( característica principal de la producción de malware actual ), no es rentable ni lógico tomar de base un sector marginal del target. Para ser claros, si el negocio es robar direcciones de correo electrónico para generar spam y no importar que tipo de maquina use, sino cuales son sus costumbres, no vale la pena generar un código que solo corra en una plataforma específica que no sea la más expandida. Por otro lado tenemos una cuestión práctica y es la 'propagación'. Si tenemos dos sistema, un con 20% del mercado y otro con 40%, la segunda tiene el doble de posibilidades de propagarse ( pensando en ataques 100% efectivos ) en primer contacto, pero dado que los ataques son exponenciales el cuarto salto tenemos que las victimas de la primera superan 16 a 1 a su competidor y en el décimo el segundo infecta mil veces más maquinas que el primero. Con relaciones 1/4/94,5 es claro en cual sistema enfocar los esfuerzos.

Si hablamos de malware y demás, excluyendo los ataques dirigidos, históricamente viene detrás de los concept. Afortunadamente muchos PoC sirvieron para solucionar problemas y que las fallas no fueran explotados con fines dañinos. El problema actual de Apple es que al entrar en un mercado competitivo, como lo está haciendo, los tiempo de prueba y depuración se acortan. Incluso se solapan depuración de antiguos y desarrollo de nuevos elementos. Viendo en detalle las distintas vulnerabilidades y la respuesta de las empresas actuales ( incluyendo a Microsoft y Apple ) tiende a minimizar los tiempos dedicados al 'parcheado' y remplazar íntegramente la sección afectada en la siguiente versión. Esto ha llevado en algunos caso al ridículo de encontrar en códigos 'nuevos' problemas que ya se habían solucionado anteriormente, aplicando el principio de 'menos malo' ( no arreglamos los problemas del anterior, no arreglamos los problemas de el nuevo.. pongamos el que sea menos malo mientras diseñamos la siguiente ) con un bonito skin que le de aspecto a nuevo.

En cuanto al último punto, es el que me motiva a escribir en hilos como este. Mantener a los usuarios ignorantes de los peligros es una política poco ética, pero sobre todo irresponsable. Nadie en su sano juicio utilizaría un macPro con OSX para controlar el sistema de lanzamientos de misiles de un portaaviones, pero ante la creencia que ese equipo es invulnerable un usuario incauto podría poner en riesgo información sensible o equipos de terceros. Como digo siempre, no es mi intención ni cascotear a la empresa, ni sembrar el terror entre los usuarios, sino demostrar que la invulneravilidad de los Mac OS y su estatus de 'libres de virus' no es más que un elemento folklórico carente de cualquier sostén real. Y tratar con eso que cada uno pueda tomar los recaudo que considere pertinentes. Como se dice habitualmente.. la información es poder

--------------
Modificado: la relación 1 / 4 / 94,5  ( linux / Mac OS / windows ) responde a los datos proporcionados por XiTi Monitor sobre SO de los internautas para Abril de 2008 ( publicados el 29/5...  los más frescos que conseguí hasta hoy )

gracias Nano por el 'cuack'.. aveces nos podemos colgar con post larguísimos y demasiado técnicos que nos hace olvidar que el fin es que todos entendamos. Para traer un poco a tierra todo esto quiero contar un ejemplo de 'falsa seguridad' que viene muy a tema respecto a falacias del estilo  'no veo -> no existe' ( el principio de percepción se postula: si se percibe A entonces A existe. La proposición inversa es falsa ) ( acá un lindo off-topic al respecto )

El hecho es que para probar un PoC sobre seguridad en Windows y su sin número de herramientas de protección una amiga mía accedió a que usara su maquina de 'victima'. Tenía un equipo PC standar con WinXP, un antivirus de una empresa muy respetada y diversas aplicaciones firewall y sysmonitor. Lo tenía conectado a un servicio comercial de banda ancha con IP rotativa. Un equipo robusto al que se debía dar más de una vuelta para entrar. Llevaba 'limpio' 4 meses desde que se había implantado todo a cero y se jactaba de 'por fin tener un sistema seguro'. Lo interesante del caso no es el resultado del PoC sino que una vez estudiada la maquina, tenia 14 troyanos, no pertenecientes a nuestra prueba. Sip, ya me habían ganado de mano y peor aún.. ella nunca se entero.

A que voy con esto? Que cuando se usa el principio de percepción en seguridad, se debe de tener cuidado de no caer en un falacia. Cuando se dice: 'si un equipo esta andando lento o actúa de forma anómala, puede tener un virus' no significa que para tener un virus sea necesario sentir esos síntomas. Por algo en medicina síndrome y enfermedad son términos distintos que pueden no estar relacionados.

Los infectados con Leap no se enteraban de su contagio si no usaban un antivirus que lo detecte ( al menos que recibieran la versión que desplegaba "Welcome to Darwin!" en la consola ) y su contagio duró, a lo sumo, hasta el pasaje a Mac OS 10.4.6 ( ya que el mismo solo opera en 10.4 a 10.4.4 ). Por lo que queda claro por que no es serio usar la experiencia personal en cuanto a 'no infecciones', pues en muchos casos siquiera es un dato real.

Estoy de acuerdo contigo en cuanto a la diferencia en la cuantía de amenazas e incidentes de ambas plataformas, así como en la conclusión de que ( al momento ) no se está bajo 'amenaza constante' como si le sucede a quien tiene copado casi todo el mercado informático. También hay que destacar que tu postura cauta no es representativa de la comunidad de usuarios de equipos Apple, la cual suele creer que la plataforma esta libre de virus y otros peligro y muchas veces incluso desconoce la existencia de vulnerabilidades importantes ( razón que motivó este hilo ).

Lo importante es estar prevenidos y al tanto de la situación y no cerrar los ojos y creerse inmunes. Ya no son solo vulnerabilidades detectadas y PoCs, sino que como quedó claro a finales del año pasado las amenazas son reales y todavía se estudia el alcance que tuvo la explotación a la vulnerabilidad de QuickTime luego de los ataques del 2 de diciembre.

En ocasiones es bueno salir de la 'chacrita' y mirar que pasa al rededor, por ejemplo PS3 se encuentran trabajando atentos a una falla de seguridad comprobada en el reproductor de flash de Wii que podría ser explotada para realizar ataques a internautas. Recordemos que PS3 es la plataforma elegida para navegar por el 0,3% de los internautas, ocupando el cuarto lugar de plataformas para tal propósito y se encuentra al momento carentes de vulnerabilidades explotables a diferencia de lo que ocurre con los Mac OS. Sin embargo no solo esta atenta Sony, sino también sus usuarios y hasta existe un antivirus para la consola fabricado por Trend Micro.

Repito que es importante el conocer y estar atentos, la delincuencia informática tiene un alto componente social. El mayor virus informático esta al teclado de los equipos y no dentro de ellos y hasta que no se haga consciencia de eso las posibilidades de ser atacado aumentan. Y en ese punto la comunidad Mac esta en pañales, lo que explica como un niño de 11 años hace un simple script para iPhone y el impacto es tan importante que se debe operar el aparato legar para cerrar el sitio desde donde se descargaba el hack. .. ya los script-kiddies no son monopolio de Microsoft

Respecto a la certificación MSCE, por mi parte hice dos cursos (el de Network Services y el de planificación de A.D.), y la verdad PoohMac que no me parecieron la gran cosa, son bien cursos envasados con su librito, su CD y un exámen de múltiple opción. No me parece que evalúe demasiado si estás en condiciones de administrar un sistema más o menos bien. Tal vez en el paquete de hacerlos todos sacás algún valor agregado, pero no me parece que haya un antes y un después de hacer esa certificación. Y mirá que yo soy partidiario de que es necesario formarse adecuadamente para laburar bien, no es bueno tocar de oído cuandos se trata de seguridad de información.

Respecto a lo último que comentás es muy real, muchas veces por hacer todo accesible a cualquier usuario se resiente la seguridad. Esto es clásico con los preciosos routers que se venden en cualquier supermercado hoy en día, que con dos "siguiente siguiente" los configura cualquier usuario y las consecuencias pueden ser nefastas.

Convengamos que si en los routers no estuviera ese "siguiente siguiente" para configurarlos poca gente tendría redes funcionando. Si no estudiaste redes o te encanta el tema como para enroscarte con eso, sos boleta, no configurás un router ni en broma.

De hecho creo que la mayoría (y no se si me quedo corto) de los instaladores de ADSL no sabe configurar un router más allá de setear el PPPoE.

Sin dudas Coyote, Freeflier y Cyberser, sin dudas. Si no fuera así mucha gente sería incapaz de configurarse su propio router, es lo que decía Cyberser respecto a funcionalidad vs. seguridad, Ahora, si quisiera tener segura la red de mi empresa, por chica que sea, y no se un joraca de redes ni de seguridad, conviene toda la vida contratar a alguien que sepa para que configure un router u otros temas antes que tocar de oído con confianza porque soy asíduo lector de PC USERS. Para el hogar, cada uno sabrá el tipo de información que compromete y si vale la pena.