Jump to content

! CUIDADO ! con los MP3


Recommended Posts

  • Replies 88
  • Created
  • Last Reply

Top Posters In This Topic

Uh oh :rolleyes:

 

 

Aquí hay una "prueba de concepto" del mecanismo del virus, y algún considerando acompañante:

 

From: Bo Lindbergh (blgl@hagernas.com)

Subject: Re: Sorta-RFC-ish: Virus in MP3? (was Re: mp3 flood uploads)

 

Proof of concept: <http://www.scoop.se/~blgl/virus.mp3.sit> (52 KB)

 

Download and unstuff to get a Carbon/CFM application that runs on both

Mac OS 9 and Mac OS X. The PowerPC code fragment is stored as a general

encapsulated object inside the ID3 information. It tries to locate iTunes

and tell it to open the file as audio, displays an alert, and then quits.

(If you're paranoid, create a throwaway account to test it with.)

 

Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on

Mac OS X both ignore file types; they will open the file, taste it,

find valid ID3 information followed by an MPEG data stream, and happily

proceed to play it.

Edited by Juan
Link to post
Share on other sites

Cuidado con crear pánico!

 

Por empezar, este troyano es un "proof-of-concept", es decir, una prueba de lo que se puede hacer. Pero tiene sus limitaciones...

 

Una es que siendo una aplicación Carbon, no puede propagarse en PCs, ya que el archivo tiene tipo AAPL (aplicación) en su resource fork, el cual se pierde en un formato de disco que no reconozca este tipo de metadata. Al perderse esta metadata, ya no puede abrirse como aplicación, por lo que sólo lo reconocería como MP3, e iTunes eliminaría la información inválida de los tags ID3.

 

Quienes sean viejos usuarios de Mac recordarán que las aplicaciones se distribuían por la red sin comprimir, pero codificadas en el formato .hqx, ya que esto permitía que la metadata no se perdiera al ponerla en un servidor PC o Unix.

 

A lo sumo, habrá que ser muy cuidadosos si se reciben uno o varios MP3 comprimidos en StuffIt, sería aconsejable obtener la información (Comando-i) de cada archivo desde el Finder (aparece como "Aplicación", y no como "Archivo de audio MP3").

 

Otra es no bajar música de redes P2P, que además es una actividad ilegal.

 

Aquí pueden leer sobre el tema y bajarse un ejemplo de este troyano.

Edited by gfer
Link to post
Share on other sites

Eso me recuerda a algo que se me ocurrió hace unos años (para el viejo Mac OS).

 

Crear por ejemplo un script maligno (con el tipo APPL de aplicación), ponerle de terminación .jpg (por ejemplo), pegarle un icono de alguna aplicación de gráficos (Graphic Converter), sería algo aparentemente inofensivo, pero...

 

Esto viene a ser lo mismo, ¿no?... quizás algo más sutil, pero... ha sido algo posible desde siempre.

Edited by PapanatasPiuPiu
Link to post
Share on other sites

Pero tampoco hay que ser complacientes: ya hemos visto la "mutabilidad" de los virus peceros, y la gran agilidad demostrada por sus programadores para aprovechar rápidamente agujeros de seguridad. Aparte, ¿avisará Apple a bombo y platillo a sus usuarios de que han de tomar las precauciones que señalas, destruyendo su imagen de invulnerabilidad? ¿Cuántos de sus usuarios estarán al quite? Como indica Intego, pueden hacerse fácilmente versiones más destructivas.

 

Vivimos tiempos interesantes...

 

Una pregunta: aun siendo código ejecutable Carbon, el hecho de que esté situado en los tags del Mp3, no permite entonces que sea propagado por cualquier medio, PCs incluidos? A no ser que lo guardado en los tags sea un apuntador a un fragmento de código en la horquilla de turno.

 

 

Esto es ir en plan puntilloso, pero... :unsure: En las condiciones habituales en que se produce (copia personal sin ánimo de lucro), la descarga de mp3 en redes p2p no es delito en España, según se ha mostrado en ocasiones en www.internautas.org , al consultar a la policía.

 

Y puede ser un Mp3 perfectamente legal, pero que haya sido infectado por un troyano...

Edited by Juan
Link to post
Share on other sites

Dice en el link de intego:

 

exploits a weakness in Mac OS X where applications can appear to be  other types of files

 

"Aprovecha una debilidad en Mac OS X donde las aplicaciones parecen ser otros tipos de archivos"

 

¿Debilidad del Mac OS X? y del 9, el 8, el 7... siempre ha sido posible hacerlo... son los metadatos, como se ha dicho antes... y el juego que permite eso es una de las grandes ventajas del Mac OS: entre otras cosas definir la aplicación con la que abrir un archivo en concreto (me refiero al concepto de Creador/Tipo, por ejemplo).

Edited by PapanatasPiuPiu
Link to post
Share on other sites

Y el tema es muy serio, porque puede ser cualquier tipo de archivo... hasta un aparentemente inofensivo .txt puede ser peligroso...

 

Aunque la solución puede ser fácil: conque no se pueda ejecutar una aplicación carbon (con tipo APPL) con una extensión que no sea .app (aunque no sé si las carbon tienen esa terminación), creo que sería bastante.

Edited by PapanatasPiuPiu
Link to post
Share on other sites

En el foro Mac de arstechnica (Macintoshian Achaia) están comentándolo. Si lo entiendo bien, lo que ocurre es que el Finder de Mac OS X ya no respeta ciertas cosas, como el bit que indica que un archivo es un ejecutable o no. Aparte, la política de identificación de tipo de archivo y creador, en estos momentos, es un poco un lío.

 

Además, muchos otros formatos aparte de Mp3 tienen metadatos, como los JPEGs de las cámaras de fotos digitales, etc. Si Apple está haciendo un tratamiento especial de ciertos tipos de archivos de cara a mejorar ciertos funcionamientos tipo iLife, va a tener que ser especialmente cuidadosa.

 

Un tertuliano del Ars echa pestes de que el sistema no exija contraseña la primera vez que se ejecuta un programa nuevo. Ese sería un sistema muy fácil de cazar ejecutables disfrazados.

 

Bueno, supongo que mañana, cuando en USA todos los interesados se hayan explayado esta noche, nos enteraremos de las verdaderas implicaciones de todo esto.

Link to post
Share on other sites

Y, hablando de Mp3: ¿hay alguna manera de forzar a Mac OS X a que, cuando le digas que un tipo de archivo se abra con una aplicación determinada, el ajuste se quede para siempre? Porque yo prefiero abrir los Mp3 con Quicktime Player y, por más que lo ajusto y reajusto para todos, siempre tiene que llegar un nuevo Mp3 que no haga ni puñetero caso <_<

Link to post
Share on other sites

Por ahora Google no sabe nada de "MP3Virus.Gen"

 

Vamos a ver si lo entiendo. Hasta ahora lo que se de los archivos de documento con virus es que el virus propiamente dicho no es ejecutado por el sistema, sino por la aplicación que lo trata.

 

Por ejemplo, un virus para Word no es ejecutado por el S.O. sino por el entorno de desarrollo de Word (Visual Basic) si abrimos ese documento en una aplicación que no contemple la ejecución de macros y/o aplicaciones en dicho formato no afectara al sistema.

 

Lo que no entiendo es; por mucho metadato que sea esta información es interpretada por la aplicación en cuestión y no se que hace iTunes ejecutando codigo, si nisiquiera tiene soporte de scripts (o al menos no tiene ese menú)

 

Hace poco oí algo parecido, afectaba a Winamp y solo a determinadas versiones, así que, aunque sea cierto, una actualización y fiesta.

 

De todo esto hay dos cosas a tener en cuenta; la primera es que la empresa que lo ha publicado es una empresa de seguridad, así que intentara convencernos de que sus servicios son muy necesarios y segundo es que los ejecutables (sobre todo en Mac) se puede esconder de muchas formas por que:

 

1. El sistema (igual que W95) oculta las extensiones por defecto, pero sabemos que los archivos pueden mostrarla independientemente, esto quiere decir que si las tengo ocultas y veo un archivo con extensión es normal, así que es más difícil ver las dobles extensiones que en Windows, que si las tengo desactivadas y veo un "archivo.txt" se que no tiene por que ser un ".txt"

 

2. La gente esta acostumbrada a que los archivos puedan tener cualquier icono, no como Windows que todos tienen el mismo (esto quiere decir que si en Windows cambio el icono por defecto de Word todos los archivos tendrán ese icono y si me llega una aplicación con nombre de documento sospechare por su icono estándar)

 

3. Los archivos se pueden configurar para abrirse con una aplicación determinada. Puedo distribuir varios mp3 en un ZIP con un programa y configurarlos para que se habrán con él.

 

Y existe un peligro potencial, el hecho de que mucha gente cree (igual que en Linux) que su sistema es inmune a los virus. Ningún sistema lo es, un virus es una aplicación que añade su código a otras aplicaciones, y si hablamos de troyanos o bombas lógicas, gusanos y demás son solo programas malignos "malware" así que con un entorno de desarrollo y mala baba podemos hacerselo pasar mal a cualquier usuario (y con, por ejemplo, Real Basic, podemos hacerlo a usuarios de Windows, Macintosh y Linux a la vez)

 

Posible solución a estos problemas: programas firmados digitalmente, que el sistema avise cuando lo intente ejecutar si hay problemas con la firma. Debería existir la posibilidad de conseguir (y gratis) una firma, de forma que los desarrolladores pudiésemos tener la nuestra y ponerla a disposición de la gente para que, si confía en nosotros la pueda a añadir a su llavero y ejecutar nuestros programas sin problemas (si alguien ve un parecido a Palladium remarco el hecho de que el sistema no bloquea y que cualquiera puede firmar sus aplicaciones) también se debería poder configurar el nivel de alerta y por ejemplo, bloquearlo a usuarios normales.

 

¡Y cuidado con los que abrimos! :ph34r: :ph34r:

 

<MODE_PARANIOA>

 

A lo peor todo esto es un montaje de Steve para desprestigiar al MP3 y potenciar su AAC y la iTMS...

 

</MODE_PARANOIA>

 

Naaaa... si esto fuera Windows me lo podría esperar de Bill, pero ¿de Steve? ya se lo preguntare cuando le vea...

Link to post
Share on other sites

En Información del archivo, seleccionas la aplicación con que quieres que se abra a partir de ahora y pulsas en "Cambiar Todo"...

 

Yo me he pasado por Slashdot, y el tema está caliente, también... aunque por lo que he leido no será un riesgo tan grande como se pudiera pensar... como dices, de aquí a unos días veremos que dicen los grandes cerebros...

Link to post
Share on other sites

Me he bajado el anterior archivo y veo que no es más que un programa disfrazado de mp3, como he comentado Windows tiene unas pequeñas desventajas que ayudan a la detección de esta basura frente a Mac, que explicare con este ejemplo:

 

1. En Windows las extensiones se muestran o no. Si las tienes ocultas y ves un "cancion.mp3" sospechas por que no debería aparecer (¿es que alguien va a llamar a sus archivos "cancion.mp3.mp3"?) y si lo tiene para que las muestre le aparecerá "cancion.mp3.exe". Pero en Mac OS, aun en caso de tener la opción "mostrar siempre las extensiones" el archivo aparecerá como "cancion.mp3" y no como "cancion.mp3.app", esto debe de ser por que Mac OS no muestra la extensión de las aplicaciones NUNCA (así queda más bonita la carpeta aplicaciones)

 

2. En Windows los iconos se asignan a los tipos de archivo, no a los archivos individualmente, si los tenemos personalizados y vemos en archivo mp3 con el icono estándar es que no es un mp3, esto no pasa con Mac OS. (esto es algo superfluo comparado con lo anterior)

 

Solución: Que Mac OS permita el mostrar las extensiones de TODOS los archivos, y de paso que este activada por defecto (vale, aceptamos que en la carpeta Aplicaciones no lo hagan, si lo hemos metido ahi ya sabemos que es un programa y confiamos en él)

 

De todas formas me preocupa más el hecho de que en un ZIP pueda haber oculta una aplicación y que los archivos se habrán con la misma...

 

(Por lo menos no es como Windows, que se infecta sin ejecutar, descargar o abrir nada!)

Edited by DonkeyG5
Link to post
Share on other sites
1. En Windows las extensiones se muestran o no. Si las tienes ocultas y ves un "cancion.mp3" sospechas por que no debería aparecer (¿es que alguien va a llamar a sus archivos "cancion.mp3.mp3"?) y si lo tiene para que las muestre le aparecerá "cancion.mp3.exe". Pero en Mac OS, aun en caso de tener la opción "mostrar siempre las extensiones" el archivo aparecerá como "cancion.mp3" y no como "cancion.mp3.app", esto debe de ser por que Mac OS no muestra la extensión de las aplicaciones NUNCA (así queda más bonita la carpeta aplicaciones)

El problema es que las aplicaciones Carbon no tienen el sufijo .app, que corresponde a las aplicaciones Cocoa. Por los tanto, es inútil que se active la opción "mostrar siempre las extensiones" cuando este troyano es una aplicación Carbon.

 

Ya que no se pueden propagar por las PCs, ya que pierde el tipo "APPS", y no es reconocido por el Finder como una aplicación, lo que se puede hacer es abrir los MP3s que vengan comprimidos como .sit con StuffIt Deluxe, que lo mostrará con ícono de aplicación y no de archivo.

 

Otra opción es utilizar la vista por columnas, que nos da la información sin necesidad de utilizar el comando "Obtener Información" del Finder, y así veremos si se trata de un MP3 o de una aplicación. Para muestra, una imagen... que vale más que mil palabras:

 

676785_390_367.jpg

 

La verdad es que no hay nada de qué preocuparse si los archivos son recibidos de fuentes confiables. De hecho, esto no es nada nuevo: En la época del Mac OS 8.x, he conocido gente que había descargado supuestos cracks de aplicaciones de Hotline, que resultaban ser scripts para borrar información del disco duro. Ya que era imposible que dejaran de piratear, les recomendé utilizar el método del StuffIt Deluxe, y nunca más tuvieron problemas, porque pudieron detectar varios de ellos antes de hacerles doble click.

Edited by gfer
Link to post
Share on other sites

Creo que lo que está siendo novedoso de este experimento, en resumidas cuentas, es que, hasta ahora, cuando te daban una aplicación maliciosa disfrazada de Mp3, si intentabas hacer sonar el archivo en un reproductor como iTunes enseguida te dabas cuenta de que aquello no tenía música. Pues esta prueba de concepto muestra cómo construirlo de forma que sea a la vez un Mp3 genuino con música y un ejecutable malicioso, lo que hace mucho más fácil pasarlo por alto (que es la clave de todo troyano que se precie).

 

Así que, en parte, sí: se ha desproporcionado el asunto (y yo he colaborado :rolleyes: ). Pero, en parte, no: somos demasiado confiados, y ahora han demostrado que aún sería más fácil colárnosla. Cuando vemos en un mensaje de correo el típico "chistegracioso.jpg.pif", sonreimos por lo ingenuo que parece el truco, pero cuando veamos "chiquito.mp3", nos creeremos seguros, y...

 

 

En Información del archivo, seleccionas la aplicación con que quieres que se abra a partir de ahora y pulsas en "Cambiar Todo"...

Sí, pero sólo afecta a los archivos que ya estaban. Yo quiero que afecte a los que lleguen nuevos, aunque sus tipos y creadores digan lo contrario.

 

Está visto que todo el tema tipo-creador-extensión-"olisqueadores de tipos de archivo" necesita una revisión. Eso y ciertas medidas de seguridad adicionales, como esa propuesta de que todo ejecutable nuevo que aterrice en nuestros sistemas requiera contraseña la primera vez que se lanza.

Link to post
Share on other sites

La causa de esta vulnerabilidad es un comportamiento incoherente del Finder, y Apple debería corregirlo cuanto antes.

 

El problema, básicamente, es que el Finder muestra un archivo de una manera, pero al abrirlo realiza una acción incoherente con lo que muestra: ejecutarlo.

 

La raíz del problema es bien conocida: en Mac OS X se utilizan dos métodos diferentes para identificar el tipo de un archivo y su creador: los recursos TIPO y CREADOR por una parte, y por otra la extensión. Es comprensible, ya que se trata de mantener la compatibilidad con las aplicaciones Carbon CFM, pero el Finder tiene que ser coherente y mostrar la realidad. Para ello caben dos opciones:

1) si un archivo contiene una aplicación, ha de ser mostrado como tal, independientemente de lo que indique su extensión.

2) si un archivo se muestra de cierta manera, ha de ser manipulado como tal, de modo que si su extensión es .mp3 (o lo que sea), por mucho que tenga recursos propios de una aplicación ha de ser abierto con un reproductor MP3 (o con lo que sea).

 

Otro problema adicional, como ya ha indicado alguien antes, es que el sistema no requiere el permiso de ejecución para poder ejecutar una aplicación Carbon CFM.

 

Apple tiene que aprender una lección fundamental de lo que le ha ocurrido a Microsoft: nunca se deben sacrificar aspectos básicos de la seguridad del sistema en aras de una mayor facilidad de uso.

 

Nota: CFM significa "Code Fragment Manager", y es el formato de las ejecutables binarios del Mac OS "clásico". Mac OS X soporta dos formatos de ejecutables: Mach-O (nativo de UNIX) y CFM.

Edited by Dæmon
Link to post
Share on other sites

 

En Información del archivo, seleccionas la aplicación con que quieres que se abra a partir de ahora y pulsas en "Cambiar Todo"...

Sí, pero sólo afecta a los archivos que ya estaban. Yo quiero que afecte a los que lleguen nuevos, aunque sus tipos y creadores digan lo contrario.

 

Pues hazlo cada vez que te llegue uno de una aplicación "nueva". Verás como el mensaje que te saldrá se refiere a los archivos asignados a esa aplicación. Desde ese momento se abrirán todos con la que elijas. Y no hay tantas aplicaciones de .mp3 para el Classic, no es mucho trabajo.

Link to post
Share on other sites

Otra forma de detectarlo es teniendo activada la opción de "mostrar información" en las opciones de visualización del Finder, lo cual nos mostrará la duración del archivo. En caso de que sea un ejecutable, 00'01.

 

Por cierto, Highlander debe estar de vacaciones.... :lol: :lol:

Link to post
Share on other sites
Otra forma de detectarlo es teniendo activada la opción de "mostrar información" en las opciones de visualización del Finder, lo cual nos mostrará la duración del archivo. En caso de que sea un ejecutable, 00'01.

 

Yo lo que he entendido es que el "virus" viene dentro de los datos de mp3 reales, o sea que si suenan y tienen duración no? Por lo tanto con mostrar información no se soluciona no? Habría que hacer manzana+I para ver que se trate de una App o no... al menos eso he entendido yo.

 

Ejemplo:

Recibo un mp3, lo abro y empieza a sonar un requiem mientras se me borra la carpeta de usuario.

 

Es eso?

 

Es así como funciona?

Link to post
Share on other sites

Teddy Bautista estará encantado, de hecho si tuviera dos dedos de frente hasta él mismo hubiera pagado por crear este virus... pero no creo que se le haya ocurrido a el solito.

Juan, disimula un poco hijo, que se te nota mucho.

Link to post
Share on other sites

Gracias a todos por la nformación :) :) :)

 

A mí personalmente me es algo indeferente, ya que no descargo música en sitios P2P. etc. Por otra parte, todos los MP3s descargados "a pelo" sin estar comprimidos con el Stuffit, no serían malignos, ya que se perdería la información Resource Fork y el tipo APPL.

 

Por lo que yo he entendido, se trata de una aplicación que tiene el tipo APPL pero con extensión ".mp3", pero que además se podrían escuchar con un reproductor MP3.

 

O sea, que si haces doble clic en su icono no abriría iTunes, sino que se ejecutaría el módulo Aplicación que empezaría a borrar ficheros ;) .

 

Pero si lo arrastras hacia el icono del iTunes, no se ejecutaría la Aplicación, sino que se oiría el contenido MP3.

 

La mejor manera es desconfiar de los ".mp3.sit" ya que son bastante extraños, y si se descarga de la Red un fichero ".mp3" a pelo se perdería el tipo APPL y el Resource Fork ;) .

 

Y lo del ".app" que decís algunos, es lo que dice gfer, el ".app" es la extensión de los Paquetes Aplicaciones Cocoa, que en realidad son carpetas que se pueden ver con "mostrar el contenido del paquete". Los Carbon no necesitan extensión, se guían por el type APPL, y al darle a Mostrar Información se vería claramente "Tipo: Aplicación" ;) .

 

:ph34r:

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.