28 de marzo de 2008

Mac OS X cae primero...¿o fue Safari?

Apple ha caido en el concurso de hacking en el que se conectaban a la red tres máquinas con Mac OS X, Vista y Ubuntu, para ver quien era capaz de hackear una de ellas primero. El año pasado la máquina con Apple tambien fue hackeada, pero el año anterior el concurso no incluía a otros sistemas operativos, solo a máquinas Apple que uno se llevaba a casa si las hackeaba.

Sin embargo, el concurso de este año no ha sido tan rápido como podría dar a pensar el titular de la noticia. En realidad, la máquina Apple ha caido en el segundo día, porque en el primero nadie consiguió nada. Y si en el segundo día han conseguido han conseguido hackearla es porque, tras ver que nadie era capaz de hackear nada, los organizadores han modificado ligeramente el concurso: El aspirante puede comunicar una URL o mandar un email, y los organizadores se acercan a la máquina, introducen la URL o abren el email que debería hackear la máquina. Es decir, se ha hecho necesaria la participación activa de alguien.

Esto, sin embargo, tiene una consecuencia. El concurso ya no consiste en ver quien es capaz de hackear un sistema operativo, sino en ver quien es capaz de hackear un navegador. Tanto en esta ocasión como en la del año anterior, se han utilizado exploits de fallos de Safari, y es de imaginar que quienes están intentando hackear Vista y Ubuntu han intentado lo mismo, pero con fallos de IE y Firefox. No es que el concurso sea inválido, pero para mi gusto pierde bastante interés. Continuamente se encuentran fallos de seguridad en todos los navegadores y con google y algo de suerte no creo que sea imposible encontrar algún fallo que no esté corregido en las últimas versiones de ninguno de los tres.

Esto nos conduce a las técnicas de seguridad que protegen al sistema operativo del código malicioso que podría ejecutarse en el navegador. Vista + IE 7 se lleva la palma: En ese sistema operativo, IE7 se ejecuta en una especie de sandbox (basado en Mandatory Integrity Control) que en caso de sufrir un ataque exitoso, aisla al sistema operativo de forma bastante efectiva. Mac OS X tambien dispone de una tecnología de sandboxing (basada en Mandatory Access Control) derivada del TrustedBSD del mundo BSD. El problema para Apple es que esa tecnología en 10.5 cubre a Bonjour, Quick Look, Spotlight, NTP......pero aun no a Safari. Por lo tanto, en caso de hackeo del navegador Vista está bastante más protegido que Mac OS X. En cuanto a Linux, tenemos un sistema de seguridad absolutamente acojonante desde mucho antes que Microsoft o Apple, SELinux, que se lleva utilizando desde hace años en entornos de servidor para proteger a Apache y compañía, y que nos ha dado una buena ventaja competitiva frente a Windows Server y demás compañía...pero en el escritorio, nuestro punto más débil, no se ha hecho nada. Absolutamente nada. Asi que Ubuntu está indefenso frente a los hackeos de Firefox, porque a Firefox no se le aplican políticas SELinux en una instalación de Ubuntu normal y corriente. Por todo ello, es lógico que en un concurso centrado en hackear el navegador Vista tenga más oportunidades de triunfar, y Ubuntu y Mac OS X no. Así están las cosas, me temo.

2 comentarios:

  1. Anónimo4:29 p. m.

    Desconozco las condiciones del concurso, pero yo diferenciaría crackear el navegador, es decir, conseguir por ejemplo acceder al sistema de ficheros (algo que en principio no debería permitir un navegador web), de crackear el sistema operativo, es decir, conseguir modificar la configuración del sistema, ganar permisos de administración, etc.

    Por supuesto lo primero puede conducir a lo segundo, pero son cosas diferentes.

    ResponderEliminar
  2. no se si sabeis que esto solo es un rumor ... y que aun no se ha verificado su veracidad.

    Ademas ... linux podria ser hackeado de la misma forma, ya que los procesos supuestamente usados tambien son los mismos que controla linux al basarse tambien en UNIX.

    ResponderEliminar