¿Cuándo se Tomará la Seguridad en Serio Apple?

Mi reciente referencia a Apple en un discurso en el CeBIT de Australia ha desencadenado la polémica en conversaciones y publicaciones respecto a la política de seguridad de la empresa. Las medidas de seguridad de Apple parece ser un tema popular en los últimos años (desde Flashfake), y creo que es un momento oportuno para entrar en razón sobre este tema.

Como sabrás, hoy en día nosotros vemos una brecha cada vez mayor entre, por un lado, lo que la compañía Apple alegó durante mucho tiempo “Los Macs son invencibles al Malware”, y por el otro –la realidad, es decir, que Apple está… perdiendo credibilidad, por decirlo suavemente. Entonces,  ¿Los usuarios tendrán la capacidad de entender lo que realmente está sucediendo, a pesar de lo que Apple sigue diciendo? ¿Qué hay de malo en el enfoque de seguridad de Apple? ¿Apple puede aprender algo de Microsoft y otros fabricantes en términos de seguridad?

Hace una década, los gusanos como Blaster y Sasser causaron estragos en las plataformas de Microsoft Windows, obligando a la empresa a tomar algunas decisiones difíciles y “caras”. La más importante fue la creación de la iniciativa Trustworthy Computing, una directiva ejecutiva que realizó una importante revisión de Windows XP SP2, una respuesta de seguridad mejorada (Martes de Parches, avisos de seguridad), y la obligada SDL (Security Development Lifecycle), el programa que hizo al sistema de operaciones más resistente a los ataques de los hackers.

El reciente incidente de Flashback botnet en Mac OS X es la versión “Apple” de la era de los gusanos de red. Esto es una llamada de atención para una empresa que tradicionalmente ignoró la seguridad.

Para entender realmente el trasfondo de la negligencia de seguridad de Apple, tenemos que retroceder al año 2006 y al famoso anuncio “Mac vs PC”,  en el que el PC parece ‘estornudar’ por la infección de un virus y el Mac pasa el virus al PC con un ‘pañuelo de papel’, mientras descarta cualquier necesidad de seguridad, ya que el virus no representa una amenaza para Mac OS.

El anuncio fue a la vez inteligente y divertido, pero engañoso. Esto ayudó a consolidar la falsa sensación de seguridad entre los fieles de Mac y se hizo más fuerte la idea de que la seguridad no era necesaria –porque los Macs son invencibles y no se contagian de virus.

Esta creencia causó, y continúa causando, retrasos inadmisiblemente largos en la aplicación de parches de seguridad para agujeros críticos y en la respuesta a los ataques ‘salvajes’.

No nos equivoquemos, el iBotnet (Flashback / Flashfake infectó a más de 700.000 Macs) fue completamente culpa de Apple. El parche de Java (CVE-2012-0507) que arregló la vulnerabilidad se lanzó para Windows el 14 de febrero de 2012. Esta misma vulnerabilidad también afectó a Mac OS X pero ¡Apple no proporcionó ninguna solución hasta el 03 de abril de 2012! Apple dejó a sus usuarios expuestos durante 49 días, proporcionando una gran oportunidad a los creadores de malware para construir un botnet. Imperdonable.

Piensa en esto: casi un  millón de Macs en la red de botnet con fines lucrativos propiedad de los cibercriminales. En cuanto a la cuota del mercado representa (el porcentaje de usuarios de Mac infectados), ésta es la versión Mac del Conficker en Windows. Éste es el primer ataque masivo de malware en Mac OS X con un importante número de víctimas, y además, la confirmación del aumento de la cuota de mercado de Mac provoca un mayor incentivo en los atacantes.

Flashback es particularmente desagradable porque se propaga a través de drive-by downloads –sin interacción del usuario, sin clics adicionales, no se requiere contraseña de administrador. Basta con un sitio web hackeado, y el malware se instala ‘automáticamente’. Las variantes conocidas fueron usadas para el “fraude por clics”, pero podía haber sido aún más peligroso debido al componente troyano-downloader que permitía a los atacantes instalar malware adicional en los equipos infectados.

Está claro que nosotros hemos llegado a un punto en el que la participación en el mercado de Mac OS es suficiente para motivar los ataques masivos de malware. La regla general es: si la cuota de Mercado es lo suficientemente alta, los cibercriminales tendrán motivaciones para invertir en los ataques. Los creadores del malware se han introducido en el pasado en Mac OS con ataques a los cambiadores de DNS, ataques scareware (falso antivirus) y con las operaciones habituales de phising, pero teniendo en cuenta todo lo anterior, es evidente que estamos entrando en una nueva fase.

El hecho de que los usuarios de Apple hayan sido sometidos a una especie de ‘lavado de cerebro’ para ignorar las amenazas de seguridad, significa que las aplicaciones vulnerables seguirán estando sin parchear y siempre habrá un gran número de víctimas esperando a ser infectadas.

Si se deja un coche caro sin cerrar toda la noche en la calle y lo roban, la culpa la tiene quien debería haberlo cerrado –no hay duda. Del mismo modo, Apple tiene la culpa de su situación actual. La compañía siempre llega tarde con la creación de parches para los problemas de seguridad conocidos. El Java para Mac es sólo un ejemplo  pero, si te fijas en todos las acciones de Apple, te darás cuenta de que Apple llega constantemente tarde con las soluciones, especialmente para los componentes de código abierto. WebKit y Safari son pesadillas permanentes para la seguridad.

Entonces nosotros tenemos un “velo de secretismo” sobre esto. Apple siempre ignora todas las preguntas de los medios sobre problemas de seguridad. Cada vez que hay una amenaza legítima, los usuarios no obtienen ningún tipo de información por parte de Apple. No hay avisos de pre-parches con actualización para los usuarios. Cuando hay un indicio, los usuarios de Mac tienen que depender de recomendaciones ajenas, en lugar de recibir ayuda directamente de Apple. ¡Magnifico respeto al usuario!

Lo curioso es que Apple puede aprender mucho de Microsoft sobre seguridad. De hecho, pienso que Apple debería copiar simplemente el manual de actuaciones de Microsoft, palabra por palabra, cuando se trata de las respuestas a la seguridad. Apple necesita un proceso de SDL para que a los desarrolladores les resulte seguro construir sistemas de seguridad en cada etapa del proceso de desarrollo del software. SCADA, los proveedores de redes inteligentes, e incluso el gobierno de la India ya han adoptado procesos SDL de Microsoft, con lo que se prueba que Microsoft está ahora a la vanguardia en seguridad del software.

A la gente marketing de Apple no les gustará, pero no hay nada de vergonzoso en que Apple aprenda de Mircrosoft; por lo menos, no debería serlo. Apple debería copiar de Microsoft el programa de alertas de seguridad para que los usuarios estén bien informados cuando haya una amenaza de seguridad comprobada.

Si los usuarios de Mac tienen que esperar años para un parche, Apple debería ofrecer soluciones temporales. ¿Qué tal programar un Día de Parche? Esto ayudaría a los administradores de Sistemas a prepararse para el desarrollo de parches en lugar de ser sorprendidos por las actualizaciones ad hoc de Mac OS X. Cuando se trata de respuestas de seguridad, Apple se ha quedado estancado en la década de los 90.

Hace diez años, “Trustworthy Computing” efectivamente rescató a la plataforma de Windows del Armagedón de malware.  La postura de seguridad del sistema operativo Windows ha mejorado y la respuesta de seguridad de Microsoft es ahora el modelo que otros –como Adobe– está copiando.

Ahora es el turno de Apple. La compañía debería ayudarse a sí misma –y a sus usuarios– utilizando el ataque Flashback como prueba real de la necesidad de mejorar la seguridad y abandonar el enfoque de seguridad basado en notas de prensa que tanto han provocado el desinterés por la seguridad de los usuarios de Apple.

Apple tiene que tomarse en serio el juego de la seguridad. Ya no estamos en 2006 cuando Mac se consideraba a salvo de ataques y los maravillosos anuncios se podían utilizar para remarcar un sistema operativo “superior”. Flashback es el primer gran botnet de Mac, pero puedes apostar que habrá más. Apple no puede permitirse el lujo de ignorar la lección de Flashback.

Estimado y respetado Apple, ¿Me estás escuchando?

LEER COMENTARIOS 0
Deja una nota