Ataques Mac más sigilosos

Los fanáticos de las computadoras Apple a menudo se jactan de una seguridad superior. Pero a medida que las Mac han ganado popularidad en los últimos años, esto ha atraído mucha más atención por parte de los piratas informáticos. En una presentación programada para hoy en el Sombrero negro DC conferencia sobre seguridad informática en Washington, DC, un experto en seguridad revelará una técnica para atacar el sistema operativo Mac, OS X, sin dejar rastro.





Técnicas similares se han dirigido tanto a máquinas Windows como Linux durante varios años. Permiten que un atacante cubra su rastro, eliminando evidencia vital que un investigador normalmente podría usar para probar que una máquina ha sido comprometida; también pueden permitir que el investigador recopile los detalles del incidente. Sin embargo, llevar la técnica a Mac requirió un enfoque significativamente más sofisticado.

La técnica que se describirá en Black Hat DC permite a un atacante eliminar prácticamente todo rastro de un ataque contra OS X, después de comprometer el sistema con otro exploit.

Vincenzo Iozzo , un estudiante del Politecnico di Milano, en Italia, explica que la técnica permite a un atacante irrumpir en una máquina sin dejar rastro en su memoria permanente, lo que significa que la evidencia del ataque desaparecerá tan pronto como se encienda la computadora de la víctima. apagado. Esta técnica podría usarse, por ejemplo, en combinación con otra falla de software para reemplazar de manera encubierta una versión legítima del navegador web Safari de Apple por una maliciosa que registra las pulsaciones de teclas del usuario y las envía al atacante.



Normalmente, cuando un usuario ejecuta una aplicación, el código se ejecuta en varias partes de la memoria de la computadora. En OS X, se usa un formato de archivo llamado Mach-O para especificar en qué parte de la memoria de la computadora deben ejecutarse los procesos de la aplicación. Iozzo estudió el formato de archivo Mach-O para predecir de antemano dónde se podrían encontrar estos procesos. La técnica identifica un proceso activo (como el de Safari) e inyecta código malicioso en el espacio de la memoria donde se ejecuta. Cuando el sistema lee desde la ubicación esperada, ejecuta el código del atacante en lugar del programa legítimo. Dado que la técnica no deja rastro, Iozzo dice que solo se puede detectar utilizando un software que observe si hay intrusiones en una red.

Predecir dónde inyectar el código malicioso se vuelve más difícil debido a una característica de seguridad en OS X que almacena las variables necesarias para mantener el ataque imposible de rastrear en ubicaciones aleatorias dentro de la memoria. Sin embargo, Iozzo descubrió una forma de anticipar dónde se almacenarían las variables basándose en piezas de información que permanecen sin cambios.

Llamada Dino Dai , un investigador de seguridad independiente que se especializa en Mac, dice que el trabajo de Iozzo es muy interesante, particularmente dadas las dificultades que tuvo que superar para hacer que la técnica sigilosa funcione en OS X.



Dai Zovi dice que, por ahora, hay pocos ataques de Mac lo suficientemente sofisticados como para necesitar protección de este tipo. Pero agrega que la técnica podría resultar una forma efectiva de superar el software antivirus avanzado en el futuro.

Los atacantes no se han centrado mucho en Mac hasta la fecha porque su audiencia más pequeña significa ganancias potenciales menores. Pero Dai Zovi señala que esto está comenzando a cambiar, y dice que investigar las vulnerabilidades del sistema ahora debería darles a los defensores tiempo para prepararse para futuros programas maliciosos.

Iozzo dice que Apple puede tardar un tiempo en responder a su técnica porque explota elementos fundamentales de la estructura del sistema operativo que no se pueden cambiar con un simple parche de software. Él dice que puede requerir una actualización mayor, como la introducción de la nueva versión de OS X, llamada Leopardo de nieve , que está programado para enviarse en 2010.



Mientras tanto, Iozzo dice que los usuarios pueden protegerse manteniendo sus sistemas actualizados con los parches de seguridad lanzados para OS X. Dado que la técnica se basa en otras fallas que un atacante podría explotar, los usuarios deben enfocarse en reducir esas otras amenazas tanto. como sea posible, dice.

Sin embargo, la técnica pronto podría representar una amenaza para otro tipo de dispositivo. Iozzo dice que actualmente está trabajando con otro investigador de seguridad para extender su técnica al iPhone.

esconder