La famosa frase debería ser más bien "hay una mosca en mi oreja", y es que es increíble la histeria desatada cada vez que alguien descubre que un desaprensivo puede, después de todo, hacer cosas malas en Mac OS X.
Primero fue la histeria con el famoso y devastador troyano, destapada ¡cómo no! por una compañía autoproclamada "experta en seguridad", Intego. Resulta que a un espabilado se le había ocurrido compartir en una red P2P un programa disfrazado de Office de Microsoft, que en realidad resultaba ser un troyano. ¿Y?
El último ataque de histeria colectiva ha sido provocado por el estremecedor descubrimiento de otro peligrosísimo gusano (sí, así lo llaman los de Sophos ).
Para tratar en lo posible de desmontar un poco la histeria y, al mismo tiempo, evitar que nadie se duerma en los laureles, voy a organizar esto como una especie de P&R (Q&A, que dicen los ingleses). Espero que después de leerlo todo el mundo se quede más tranquilo y no haga demasiadas tonterías.
1 - ¿Es el Renepo-A un gusano o un virus?
No es ni lo uno ni lo otro. Lo más peligroso de un gusano o virus es su capacidad para atacar la máquina de un usuario y propagarse a partir de ésta de forma más o menos automática, sin conocimiento del usuario.
Por la descripción que he visto del programita de marras, se trata de un "kit de herramientas" para atacantes o de un troyano. Si está diseñado para ser ejecutado por un intruso pertenece al primer tipo, y si se ofrece al usuario para que lo ejecute prometiéndole fama y fortuna, al segundo.
Los mencionados kits son empleados a menudo por desaprensivos con pocos conocimientos, y sirven para ayudarles a evitar cometer errores. A la hora de entrar en una máquina, en lugar de hacer un montón de operaciones mecánicas y aburridas a mano, el intruso ejecuta uno de estos programas.
Existe una categoría especial llamada "rootkit" (o sea, juego de herramientas para root, el nombre del superusuario en Unix y Mac OS X) que además tratan de esconder la presencia del intruso, en muchos casos instalando versiones modificadas de comandos del sistema. Por ejemplo, el comando "ps" sirve para ver la lista de procesos en ejecución. Si el intruso ha instalado un programa llamado "malomaloso" que se está ejecutando, la versión modificada de "ps" evitaría mostrar "malomaloso" en la lista de tareas en ejecución.
2 - ¿Qué diferencia a un gusano o un virus de otro programa malicioso?
Como ya he comentado más arriba, el mayor peligro de un gusano o virus (y lo que de verdad trae de cabeza a los usuarios de Windows) es su capacidad para propagarse automáticamente, bien enviando correo electrónico o lanzando ataques contra otras máquinas.
Sirva como ejemplo el tristemente famoso "Sasser", que tanto éxito tuvo en abril. Aprovechaba un problema de seguridad de Windows, y se introducía en las máquinas simplemente estableciendo una conexión con ellas. Una vez en marcha, la máquina atacada atacaba a su vez a otras máquinas.
Pero, para que esto ocurra, tiene que ser posible la propagación automática sin intervención del usuario. Bien porque su programa de correo y/o navegador tiene la molesta costumbre de "abrir" todo lo que se mueve (como el caso del Internet Explorer y el Outlook) o porque el sistema operativo tiene un servicio vulnerable accesible.
3 - ¿Cómo puede entrar Renepo-A en una máquina?
Dejando de lado el que exista una vulnerabilidad desconocida, en cuyo caso habría más gente afectada, sin duda ha sido ejecutado por alguien. Lo más probable es que haya sido involuntario, y que se trate de una "sorpresa" añadida a algún programa "crackeado" descargado de una red P2P.
Por supuesto, podría haber entrado aprovechando alguna vulnerabilidad de las que ha sufrido Mac OS X recientemente en las librerías de manejo de imágenes o Quicktime, pero en ese caso habría mucha más gente afectada.
4 - Entonces, ¿somos los usuarios de Mac invulnerables?
No, de ninguna manera. Es extraordinariamente difícil diseñar un sistema operativo con un nivel de seguridad perfectamente garantizado, y completamente imposible hacerlo proporcionando además todas las funcionalidades que exigimos a nuestros sistemas. Es un problema de complejidad irresoluble.
Dicho esto, tampoco todos los sistemas operativos son iguales, ni mucho menos. Gran parte de los problemas de seguridad de Windows se deben a un diseño deficiente, ignorando en los años 90 lecciones aprendidas con sangre en los 80. Los clientes de Microsoft deberían realmente pedir responsabilidades por atrocidades como ActiveX, que palidece en comparación con dos diseños de la época, Inferno y Java. Claro, estos dos últimos diseños proceden, respectivamente, de los Laboratorios Bell y Sun Microsystems, sitios donde sí se investiga en serio.
Precisamente es gracias a ActiveX que los usuarios de Windows se benefician del enorme acervo de software gratuito que se instala automáticamente por visitar una página web o leer un mensaje de correo. Hablo, cómo no, del inefable spyware.
Para entendernos, existen dos tipos de fallos de seguridad: los despistes y los fallos de diseño. A la primera categoría pertenecen los clásicos fallos en las librerías de imágenes, en Quicktime, etc. Dichos fallos son generalmente muy fáciles de resolver una vez localizados, porque suelen deberse precisamente a un despiste del programador.
Los fallos de diseño, sin embargo, son fallos fundamentales, y arreglarlos no es ninguna broma. Por ejemplo, los fallos de ActiveX son fallos de diseño. Si arreglaran del todo dichos problemas, muchas aplicaciones dejarían de funcionar. ¿Nadie se pregunta por qué muchos programas de Windows XP fallan miserablemente tras la instalación del Service Pack 2? Han hecho cambios profundos.
En Mac OS X por el momento solamente se ha descubierto un fallo grave de diseño, el del "launcher" que tanta cola trajo; ese fallo era de los realmente peligrosos, y además fácil de explotar. Para colmo, había que tomar una serie de decisiones difíciles, y por ese motivo Apple tardó tanto en arreglarlo. Pero creo que hicieron bien su trabajo dadas las circunstancias.
Por resumir lo dicho, la vulnerabilidad de una plataforma depende de la cantidad de vectores disponibles. No es necesariamente función, tampoco, del número de boletines de seguridad emitidos por el fabricante, como Microsoft se esfuerza en repetir a voz en grito. Un paciente con una fractura, una torcedura, un resfriado y un grano en el culo no está peor que uno con cáncer de colon, a pesar de que éste último solamente tiene una cosa.
Y lo que realmente representa un riesgo son los vectores que permiten la ejecución automática, algo que abunda en Windows y no así en Mac OS X.
5 - Si no somos invulnerables, ¿qué precauciones debemos tomar?
Ante todo, hay que emplear el sentido común. El mayor riesgo que acecha a los usuarios de Mac ahora mismo es el software procedente de fuentes sospechosas. Las redes P2P están llenas de programas "crackeados". ¿Quién se dedica a eliminar estas protecciones? ¿Quizás una ONG de crackeadores sin fronteras? ¿Hermanitas de la caridad? O, más bien, ¿alguien que pretende obtener algo a cambio?
Una parte de los programas piratas para Windows que circulan por las redes P2P (no olvidemos que para quitar una protección hay que _modificar_ el programa) tiene añadido algún "parásito". Y en ese caso no se pueden hacer milagros. Si el usuario decide instalar y ejecutar un programa procedente de una red P2P, ni el mejor sistema de seguridad podrá evitar los daños.
Ejecutar un programa en nuestro ordenador es un ejercicio de confianza similar a comernos algo o permitir entrar a alguien en nuestra casa. ¿Te comerías un pastelillo (o un bocata de jamón) que encontraras tirado en plena calle? ¿Dejarías entrar a tu casa a cualquier extraño que solamente quiere mandar un email desde tu ordenador o necesita ver el telediario en tu televisor? Pues haz lo mismo con tu ordenador.
Los antivirus son de poca ayuda. Para empezar, cada vez hay más "bishos" que no pueden detectar (ver en el siguiente punto lo que son los bots), y, por otra parte, un antivirus para Mac no va a detectar algo que se desconoce. Los más agresivos, que interceptan servicios del sistema, pueden provocar como mínimo problemas de rendimiento a usuarios de aplicaciones exigentes, como cualquier aplicación de audio o vídeo, y como máximo fenónemos paranormales como errores, cuelgues de aplicaciones, archivos o mensajes de correo electrónico que se evaporan misteriosamente, etc.
Como veremos en el siguiente punto, sí hay quien tiene mucho interés en propagar estas cosas.
6 - ¿Quién y por qué está haciendo estos virus?
Lo de los criajos haciendo virus para pasar el rato y salir en las portadas de los periódicos ha pasado a la historia. Ahora los más importantes están hechos a medida para mafias que se dedican a la extorsión (o pagas o te tumbamos la red con miles de peticiones), a enviar spam, o a robar claves de acceso a servicios de banca electrónica, números de tarjetas de crédito, etc.
Lo que está de moda ahora no son virus o gusanos, sino algo más sofisticado: los llamados BOT (abreviatura de robot). Estos programas pueden utilizar múltiples métodos de ataque, y además se controlan remotamente. El autor de un bot, una vez se ha extendido, puede hacerse con el control de, por ejemplo, 5000 máquinas, y ordenarles (previo pago por parte de un spammer) que envíen miles de spams durante horas. Se puede ver algo más amplio (en inglés) en:
Bots
No dispongo de datos, pero probablemente una buena parte de los bots que se instalan actualmente están integrados en programas "crackeados" que se distribuyen a través de las redes P2P. Se trata de un método de distribución genial, porque el propio usuario ejecutará sin duda la copia desprotegida de Logic (por ejemplo) y dará el password de superusuario cuando haga falta. Dado que, además, el programa estará obviamente modificado, ningún chequeo de integridad (compararlo con una copia original, etc) servirá absolutamente para nada.
7 - Si la situación con los Mac no es tan seria, ¿por qué demonios intentan convencerme de que el cielo va a caer sobre mi cabeza?
Esta sí que es una buena pregunta. Actualmente hay varios problemas: el primero de ellos es que hay millones de personas a las que han vendido un software pésimamente diseñado, y sus ordenadores son (literalmente) carne de cañón(1).
Por otra parte, hay tal monocultivo que la mayor parte de los usuarios es incapaz de concebir que "ordenador" no sea un sinónimo de "PC", y "sistema operativo" no sea lo mismo que decir "Windows". Esto ha hecho que la existencia de virus, gusanos, spyware, bots y otras hierbas se haya convertido en un fenómeno natural. La mayor parte de los usuarios dice "tengo un virus en el ordenador" con la misma naturalidad con la que dice que tiene un resfriado; parecen todos corderos anestesiados camino del matadero.
Ante esta situación, prácticamente nadie concibe que sea posible que un sistema operativo esté mejor diseñado que otro. "¡Ah! Pero... ¿Existe otro sistema operativo?" dirá más de un "experto".
Por si esto fuera poco, hay muchos intereses detrás de la campaña de desinformación salvaje que surge una de éstas noticias. Algún día veremos el titular "¡APPLE, ACUSADA DE TERRORISMO BIOLÓGICO!" como un periodista vea estornudar a un usuario de Macintosh. ¿Qué pasará si mucha gente se da cuenta de que le han tomado el pelo con el Windows? Hace poco tiempo el mismísimo Caudillo de Microsoft, Bill Gates, reconoció, tras el tercer o cuarto ridículo en materia de seguridad, que "aún están aprendiendo". Lo curioso es que nadie se escandalizó fuera del mundillo de la seguridad. ¿Esos son los profesionales? Si es así, ¡que dios nos asista!
No hay que olvidar, además, que existe toda una corte de falsos expertos que vive de este fenómeno. En las páginas de Sophos aparece una descripción del ya mentado "bisho", donde lo califican de "gusano":
Renepo-A
A pesar de la confusión existente, está muy claro que no se trata de un gusano. Ante semejante disparate, se me ocurren dos posibilidades:
a) No saben lo que es un gusano o un rootkit. En este caso, tienen de expertos lo que servidor de sex-symbol. No sería raro, me han hablado de casos de prestigiosos expertos incapaces de analizar el tráfico de una red, e incluso de casos peores.
b) Lo saben muy bien, pero les interesa esparcir el miedo. ¿Cómo se les califica en este caso? Prefiero no escoger el término por si me meto en un lío legal; que cada cual escoja el término que considere adecuado.
Incluso parece que cuando salta una noticia de éstas se ven reacciones de júbilo ("ellos tampoco se libran") o lujuria monetaria ("nuevo mercado para vender antivirus") o incluso de alivio ("si el Mac sigue creciendo en cuota de merdado no voy a perder clientes para mis artefactos de seguridad" o "menos mal, no me equivoqué escogiendo Windows después de todo"). Inmediatamente, la prensa del mundillo del PC se lanza a celebrarlo, y seguro que más de uno descorcha una botella de cava.
CONCLUSIÓN:
Espero que hayas podido llegar hasta aquí. Aunque todos los sistemas operativos tienen (y tendrán) problemas de seguridad, no todos son iguales, ni mucho menos. Pero un poco de sentido común combinado con un sistema operativo bien diseñado, aunque debería en realidad decir "no mal diseñado", dado que en la historia solamente Microsoft ha perpetrado semejante chapuza, hará que nuestra "experiencia de usuario" sea más agradable y con menos sobresaltos, que no tengamos que perder tanto tiempo con fenónemos paranormales, y que nuestra privacidad, un derecho fundamental, esté debidamente protegida.
(1) Más de una vez un avispado (?) usuario de Windows me ha dicho que usa Windows desde hace muchos años y nunca ha tenido problemas. A no ser que me presente pruebas y de que sepa a ciencia cierta que esa persona es capaz de auditar su actividad de red, analizar su tráfico y hacer comprobaciones a ese nivel, francamente no me lo creo.
