Troià a MacOsX

Doncs si, aquesta setmana s'ha trobat un troià que estava infectant
una burrada de Macs i que ha fet un atac distribuit contra una plana
web.

Podeu trobar més informació aqui:
http://www.macworld.com/article/138380/iworktrojan.html

El problema esta en què el troià venia dins de la versió crackejada de
l'iWorks que corre pel Torrent. No entenc perquè la gent es descarrega
un iWorks pirata quan pot tenir un NeoOffice o un OpenOffice de gorra.
Son lliures, no duen troians i fan la mateixa feina. Potser l'entorn
no és tant maco, però coi... tampoc no passa de 150€ l'iWorks, no és
un software car.

En qualsevol cas, la conclussió és que cada cop més els
desenvolupadors de troians i virus es fixen en les plataformes
no-windows, i això significa que no pararan fins trobar formes de
colar virus/troians de forma automàtica en aquests sistemes que fins
ara semblaven invulnerables. El principal problema amb el que es
troben es passar a root (el superusuari unix que té permissos per tot
a unix, linux i macosx), i, a les distribucions de linux, que el
software s'acostuma a instal·lar amb programes de gestió integrats a
la distribució, i no poden fer que l'usuari instal·li software
infectat. Per fer-ho, haurien de hackejar un servidor mestre d'una
distribució, introduir paquets modificats i que ningú se n'adonés.
Recordem que no fa gaire RedHat / Fedora van haver de refer totes les
claus dels seus servidors doncs havien estat atacats i sospitaven que
el motiu de l'atac fos distribuir paquets infectats.

Una altre possibilitat que tindria un possible desenvolupador de
malware seria crear repositoris de programes "alternatius" que no
venen a les distribucions i introduir-hi el seu codi maliciós, això ja
ha passat, més o menys, amb wordpress, on un component de tercers que no era a la pàgina oficial va infectar milers de llocs web (bé, de fet
van ser els webmasters d'aquests llocs webs qui van autoinfectar-los,
al instal·lar un component que no provenia d'una font fiable)

En resum, que mai ha existit un sistema 100% segur, bàsicament perquè
els fem servir humans. I ara la cosa està pitjor, doncs hi ha
intencionalitat d'atacar a qualsevol plataforma, sigui minoritaria o
no. Per tant, jo humilment us proposo que tingueu en compte les
següents consideracions:

Per totes les plataformes:

- No fer servir software crackejat: abans els grups que feien els
cracks ho feien per orgull o per la pasta de distribuir còpies abans
que ningú. Ara molts d'ells fan cracks amb la intenció de posar-hi
malware dintre, doncs diverses màfies els hi paguen per PC infectat
(no és conya). Tingueu en compte que per definició el software
crackejat prové de fonts no confiables.

- En cas que es faci servir software crackejat: fer servir antivirus,
i que sigui original: és molt important això últim, un antivirus
crackejat possiblement sigui un antivirus "alterat". No seria el
primer Norton Internet Security que em trobo amb trojà. Una
subscripció anual de nod32 costa uns 40€ anuals, i si no teniu el AVG
free, que va prou bé, a http://free.grisoft.com ; Per macosX hi ha
antivirus també, i per totes les plataformes teniu el ClamAV, que si
bé no té versió resident, és lliure i us permet escanejar el que us
baixeu abans de que ho obriu.

- Actualitzacions de sistema operatiu: Avui en dia tots els sistemes
operatius tenen avís automàtic d'actualitzacions de seguretat, és
força important que tant ràpid com el sistema us notifiqui de què hi
ha actualitzacions, les descarregueu i les apliqueu, són dos clics i
us poden estalviar molts mals de cap.

- Actualitzacions de navegadors: el navegador web s'està convertint en
una de les principals portes que tenen els desenvolupadors de Malware
per col·lar programari no dessitjat a les nostres màquines. És tant o
més important tenir-los al dia com tenir al dia el sistema operatiu.

Per windows:

- Un netejador de malware al sistema no és mala idea: L'Spybot Search
and Destroy és gratuit per ús personal i a sobre, està traduït a molts
idiomes. Feu un escaneig mensual com a mínim per a determinar si esteu
infectats.

- Anàlisi mensual d'antivirus: tampoc és exagerat fer un escanejat
complert al sistema amb l'antivirus un cop al mes. Pot ser que hi hagi
algun troià amagat en algun .zip esperant a ser instal·lat o algun
programa descarregat podria tenir una sorpresa.

- Reaccionar devant d'anormalitats: no és normal que s'obri un pop-up
d'un web de tons de mòbil perquè si. No és normal que es canvïi la
pàgina d'inici sense la nostre intervenció i no és normal que
www.google.es trigui més de 15 segons a obrir-se. Tampoc és normal que
l'antivirus deixi de funcionar o d'actualitzar-se perquè si. Molts
d'aquests símptomes són indicadors de que hi ha malware fent de les
seves al sistema.

- No fer servir Ares: Ares és molt popular. No ho entenc. Tots els
ordinadors d'amics que he vist amb Ares eren caldo de coltiu. No és
que el programa porti troians o virus, és que no actualitzen el client
i els hi colen merda per tot arreu a base d'errades de seguretat. Un
client de Torrent com el uTorrent és molt més segur i no és gens
complicat de fer anar. També al ser Ares una eina popular entre la
majoria de gent hi ha més contingut infectat polulant.

- Fer servir Internet Explorer el menys possible: passa el mateix que
amb Ares, no és que sigui un programa que porta virus, però és
objectiu d'infinits atacs i per tant, és molt més possible que et
colin un troià a través d'una web si fas servir Internet Explorer que
si fas servir Mozilla Firefox o Opera.

Per MacOSX:

- Les actualitzacions: Apple triga molt a treure parches, moltes
vegades, massa i tot. És molt important que quan surt una, per molt
que pesi 300 megues, s'apliqui.

- Firewall: els firewalls de Tiger i Leopard són més que suficients i
ens permeten detectar si alguna aplicació fa coses rares.
- Mot de pas d'administrador: Si un instal·lador demana que introduim
el mot de pas d'instal·lador, hem de pensar dues vegades abans de
posar-ho, sobretot si l'aplicació prové de fonts no fiables.

- No fer servir software crackejat: si no tens pasta o no la vols
gastar, per a la majoria del software propietari existeix alternativa
lliure(de fet és al inrevès moltes vegades). Per Mac pots conèixer
aquests programes a www.opensourcemac.org.

Per Linux:

- Repositoris: només confiar en repositoris del proveïdor de la
distribució, en el cas de repositoris de tercers, només confiar en
aquells que el proveïdor de la distribució confia (DAG en el cas de
Redhat i RPMForge -antic livna- en el cas de fedora)

- Mot de pas d'administrador: Si un instal·lador demana que introduim
el mot de pas d'instal·lador, hem de pensar dues vegades abans de
posar-ho, sobretot si l'aplicació prové de fonts no fiables.

Per Firefox:

- Al tanto amb les extensions: Firefox és un navegador, més o menys
segur, però té un problema, accepta extensions. No confieu en cap
extensió que no vingui de https://addons.mozilla.org. Possiblement
tingui quelcom amagat. Si teniu dubtes de si una extensió és fiable o
no, no l'instal·leu.

Per acabar:

He sentit gent dir que "bé, és igual si tinc un virus, formato quan no
aguanti mai i llestos", i coses similars. Tornem al que he dit sobre
els cracks: abans aquest tipus de programes els feia gent pel fet de
fer-los, per la popularitat, per reivindicar, per motius més bé
poètics, per demostrar fallides tècniques... però ara, la gran
majoria, ho fan per pasta. Hi ha la notícia del jove programador rus
assasinat per la màfia rusa perquè li va vendre el malware a la
competència, per exemple, que ho demostra. Un malware que s'instal·la
un PC no ho fa per obrir-te i tancar-te l'unitat de CD. Ho fa per
col·leccionar informació i enviar-la a gent que preferiries que no la
tingues. I no envien quines webs visites, envien usuaris i mot de pas
de webs, contingut del portapapers... ah, que fas servir banca online?
ja t'ho he dit tot ;)

No és una broma, la industria del malware mou molta pasta i "a mi no
me passarà" no és una afirmació vàlida.