lunes, junio 14, 2004

Los troyanos y el Mac OS X

Hace poco más de dos meses, se publicó un alerta de seguridad para el Mac OS X causado por el troyano (o Trojan Horse en inglés) identificado como AS.MW2004.Trojan. Este troyano, proveniente de una de las redes de intercambio de archivos, es un programa compilado en AppleScript de 108KB y con un icono parecido a un instalador de la versión para el Mac OS X del Microsoft Office 2004. Si se lo abre, el AppleScript encubierto activa un comando Unix que borra archivos sin presentar ningún mensaje, diálogo o alerta. Una vez que el usuario hace doble clic sobre el troyano, toda su Home desaparece para siempre.

Es importante resaltar que un troyano es una aplicación encubierta que no se auto-activa al bajarse, sólo el usuario puede activarlo.


Cómo no ser víctimas de un troyano

En general, hay dos grandes medidas de precaución (no excluyentes entre sí). La primera, que hasta cierto punto es impracticable en el mundo de los negocios, consiste en bajar solamente archivos de lugares conocidos y confiables, como editores de software bien conocidos, revendedores autorizados u otros distribuidores conocidos. Una precaución adicional es instalar un anti-virus para verificar todos los archivos antes de instalarlos, pero en el Mac OS X me resulta poco práctica.

Cuando no es posible controlar la bajada de archivos - por ejemplo, porque los clientes envían archivos para su revisión, procesamiento, etc. -, habrá que recurrir a la segunda gran medida de precaución, es decir, la inspección de los archivos sospechosos.


Cómo identificar a un troyano

Ante todo, siempre es recomendable tomar precauciones extras cuando se abre un archivo de origen desconocido, más aún si llega sin que medie aviso alguno a nuestro correo electrónico, como si se lo bajó de Internet. Y, en especial, cuando se trata de aplicaciones.

Es en el Finder donde se puede inspeccionar un archivo sospechoso. El método más simple es seleccionar el archivo en el desktop o en una ventana del Finder y activar el comando Obtener Información (Comando-I) para averiguar la Clase (o Kind en inglés) del archivo. En cambio, cuando se usa la vista por columnas en el Finder, el archivo seleccionado muestra esta información automáticamente en la columna siguiente. Si la Clase del archivo seleccionado no es la esperada, es muy posible que haya un troyano entre manos. Por lo tanto, no hay que abrir impulsivamente el archivo.

Ahora bien, cuando se tienen dudas acerca de la Clase que un documento debe tener, se lo puede comparar con documentos que ya se tienen de esa Clase. También se puede abrir una aplicación, crear un nuevo documento de ese tipo y guardarlo. Luego, mediante Obtener Información se muestra la Clase de este o aquellos documentos, y se la compara con la Clase del documento recibido o bajado.

Para referencia, hay varios tipos de Clase que identifican a las aplicaciones y, por lo tanto, a un posible troyano:

  1. Application
  2. Classic Application
  3. Unix Executable File
  4. Script
  5. TerminalShellScript
  6. Jar Launcher Document

Si se ha instalado software de terceras partes, habrá que verificar en la documentación si esos archivos pueden incluir macros, lenguajes de scripts o código ejecutable. Si toman esa característica, entonces también los archivos de esa Clase son especialmente peligrosos.

Otra manera de comprobar si un archivo es una aplicación encubierta es hacer Control-clic en él para que se muestre el menú de atajos, y seleccionar el comando Abrir con. Si no existe el comando Abrir con en el menú de atajos (sólo aparece Abrir), entonces el archivo es una aplicación y no un documento. Claro está, no hay que abrir ese archivo. Cuando Abrir con aparece, también se debe comprobar si las aplicaciones que aparecen en ese submenú son las que uno esperaría ver para esa clase de documento.

Nota: Si la lista mostrada con el Abrir con incluye Terminal o Jar Launcher, la aplicación podría ser particularmente peligrosa (un script, un script de la Shell del Terminal, o una aplicación desarrollada en Java).


Medidas de seguridad en Mail y en Safari

Cuando se abre un archivo adjunto en Mail y, en vez de un documento, éste resulta ser una aplicación encubierta, Mail mostrará un alerta y se debería cancelar la operación si se tienen dudas acerca del archivo. Si se guardó el archivo adjunto o se arrastró a una carpeta, se puede usar el Finder para inspeccionarlo, como se describió antes.

Por otro lado, si un archivo que se bajó con Safari es, en realidad, una aplicación, ésta no se abrirá automáticamente. Se podrá inspeccionar el archivo bajado en el Finder.


Enlace (en inglés)