Incident Response, Security and Forensics"

.

lunes, 24 de enero de 2011

Forensics Mac OSX. Mitos y realidades (I)



Hola lectores,

Hace días que no escribo y no es por otra cosa más que por falta de tiempo. Entre conferencia y conferencia y trabajo y trabajo apenas me queda tiempo de dedicarle tiempo al blog. Bueno espero que la situación empiece a cambiar y tenga algo más de tiempo para escribir.

Hoy vamos a hablar sobre Mac OSX en entornos forenses. Todo es debido a que hemos tenido un caso de lo más curioso que rompe los mitos de que 'mi mac es mas seguro que windows' o 'en mac no hace falta antivirus'. Nada más lejos de la realidad. También quiero explicar que con estos post no quiero polemizar ni crear un debate, tan solo pretende ser objetivo con un sistema operativo al cual me he tenido que enfrentar en ocasiones en diversos análisis forenses y compartirlo con ustedes los lectores.

El objeto de escribir este post viene dado a que hemos colaborado con una entidad financiera que ha recibido un ataque de denegación de servicio DDOS desde un olvidado Mac

En este post vamos a ver paso a paso que es y que se precisa para realizar un forense.

Los post que voy a escribir tratarán en mayor y menor medida el siguiente índice:

  • Forensics Mac OSX. Mitos y realidades (I)
  • Forensics Mac OSX. Carácteristicas de Mac OSX y requisitos para un forense (II)
  • Forensics Mac OSX. Analizando el sistema, herraimentas y utilidades (III)
  • Forensics Mac OSX. Un caso real, paso a paso (IV) (Como comentaba anteriormente una entidad financiera ha tenido un problema en sus servicios centrales dejando inoperativo el acceso a cajeros y servidores de la entidad y todo gracias a un mac.)
EMPEZAMOS

¿Pero que es OSX?

 OS X es un sistema operativo desarrollado y comercializado por Apple Inc. Está basado en UNIX, y se construyó sobre las tecnologías desarrolladas en NeX. El servidor Mac OSX incluye herramientas para administrar grupos de trabajo e incluyen un servidor de correo, un servidor Samba, un servidor LDAP y un servidor de dominio.

El Mac OS X posee una arquitectura modular que se construye a partir de cuatro componentes básicos: el sistema operativo central , un conjunto de estructuras de aplicaciones, sistemas de gráficos basados en estándares y la interfaz de usuario.

Mac OS X incorpora Cocoa que es un conjunto de estructuras orientadas a objetos que permite añadir interfaces de usuario gráficas al software UNIX existente y crear aplicaciones completamente nuevas desde cero. Java permite el desarrollo y la ejecución de programas multiplataforma Java 2 Edición Estándar en Mac OS X, incluidos los que están programados con Java Developer Kit (JDK) 1.4.1.

¿Es seguro mi MAC?

En materias de seguridad y según dice WIKIPEDIA:

"La arquitectura de seguridad integrada en el Mac OS X, al igual que en otros sistemas Unix, es una de las principales razones por las que los Mac están libres de malware." ¡¡FAIL!!. El autor de esta entrada o no está muy bien enterado o es un 'Mac abdupted'

Si nos vamos a la fuente de vulnerabilidades en SECUNIA podemos ver lo siguiente:



Es decir el pasado año 2010 se han contabilizado vulnerabilidades en Mac OSX y si lo comprobamos con la siguiente gráfica:

Es para tenerle miedo, mas si nos fijamos en que el 17% de vulnerabilidades quedarón sin parchear el pasado año, si además nos fijamos en la siguiente:


El 67% de vulnerabilidades son de nivel alto y en la siguiente:


Ya es para morirse el 83% son remotas y más viendo lo que se puede conseguir con esta última pantalla:


El 18% acceso al sistema y otro 18% de denegación de servicio,es decir como conclusiones, Mac OSX al igual que todos los sistemas operativos tienen fallos de seguridad y por lo tanto hay que tenerlo en cuenta en un entorno familiar o profesional.
¿Tienen virus y troyanos los Mac? 

Si. y aqui tenemos algunos ejemplos no muy lejanos (ejemplos sacados de Seguridad Apple pero que quiero volver a destacar):
- Virus en Mac OS X: De las primeras pruebas de concepto de virus en Mac OS X hay que hablar de Macarena, un virus que infectaba los ficheros de una carpeta y del que se alertó en Febrero del año 2006. Era inofensivo, pero dejaba claro que el malware estaba llegando a Mac OS X.

- Rootkits en Mac OS X: Dino Dai Zovi, conocido experto de seguridad de gran reputación, publicó en el año 2009 las Mac OS X Advanced Rootkit Tools. Estas herramientas las utilizó para demostrar como se pueden crear rootkits y malware avanzado en los sistemas Mac OS X en las conferencias Black Hat USA 2009, dentro de su presentación "Advanced Mac OS X Rootkits"

- Bootnets en Mac OS X: Utilizando uno de los caminos de infección más sencillos, La Piratería, en Abril del año 2009 se creo la primera botnet activa de equipos con Mac OS X. Para ello se modificó el paquete iWorks para meterlo troyanizado en las redes P2P. Los usuarios accedían a una copia modificada con malware de iWorks y Photoshop.


- Troyanos en Mac OS X: En Octubre del 2007 la firma Intengo alertaba de la existencia del troyano OSX.RSPlug.A, un malware que redirigía el tráfico de determinadas direcciones por medio de manipulaciones en el DNS, cambiando las direcciones de distintos dominios. Se colaba simulando ser un Codec que utilizaban los sitios de contenido adulto de pago para el visor de Quicktime.

¿Son seguras las aplicaciones?

Tanto como en tu Windows, depende de tu sentido común. Si te las bajas de tu Appstore o sitios de confianza son 'algo' mas seguras, pero como utilices P2P, pues ya sabes tienes un regalito como paso hace menos de un mes con la variante .F de Bookface, un gusano diseñado especialmente para convertirte en zombie. Aunque es algo antigua se ha proliferado de una forma especial mediante una infección original de los paquetes iWorks 09, photoshop y ahora en su nueva versión de safari.

Conclusiones

Todos  los sistemas operativos están desarrollados por personas y como tal somos humanos y como humanos cometemos fallos y el software por mucho que sea bonito, accesible, potente, robusto y escalable, lo hizo en algún momento un becario, programador junior, senior o jefe de proyecto y el que no se haya equivocado alguna vez en el desarrollo de un código que tire la primera primera piedra.

Insisto no se trata de inmolar a Mac, solo que cuando un iMac, o un Mac entra en la empresa, por solo ser uno o dos no lo metemos en las politicas de seguridad de la empresa y por lo tanto son libres de todo. Seamos consecuentes todo sistema operativo y/o aplicaciones han de pasar por un severo análisis y dejarnos de llevar por la complacencia de 'esto es seguro por que lo es' ¿?

El siguiente post 'Forensics Mac OSX. Carácteristicas de Mac OSX y requisitos para un forense (II)'

Saludos lectores :-)


4 comentarios:

Hola!

Pedro me ha gustado mucho este POST espero poder ver los siguientes

Un saludo

Enhorabuena por el blog. Últimamente mi Mac va lento y cuando lo arranco después de unos minutos suena una música en plan CHUNDA CHUNDA horripilante (esto pasa sin abrir ni itunes ni ninguna radio).Tienes alguna idea de porqué puede ser? será debido a un virus?

Mi mac también está andando rara, no se si es por los programas que le bajo o qué. Me dijeron que no hacía falta que le descargue un antivirus pero realmente no se que hacer..debería llevarlo al servicio técnico de Apple?

Que tal,

Los otros post, los tiene publicados en otra pagina?

ya que este, es excelente.

Saludos Cordiales,