Hace una semana se conoció la noticia de que había una botnet con 600.000 Macs infectadas en el mundo la noticia de que Apple pidio formalmente a Reggi.ru que un dominio de la empresa de seguridad que descubrió como usar el agujero de seguridad es… o ridícula por querer cerrar un dominio de investigadores o tonta, por no entender como funciona un Sinkhole
Para explicarlo simple, hay potencialmente 600.000 computadoras Apple que pueden ser controladas remotamente por un troyano llamado Flashback; para que ese troyano las “controle” debe existir un servidor de “command-and-control” desde donde el hacker envíe las órdenes a ser ejecutadas (desde robar información hasta usarlas como generadoras de SPAM)… pero para descubrir quienes están infectados el proceso que hacen los investigadores es doble:
- a) Dejan máquinas que naveguen por sitios maliciosos o abren cosas sospechosas (Honeypots)
- b) Analizando los “Honeypots” buscan de donde se mandan órdenes y recrean esos servidores de control (Sinkhole)
Si a eso le sumamos el hecho de que el parche original (liberado por Oracle) fue en Febrero y Apple recién lo aplicó en Abril… me parece que están haciendo las cosas mal porque es mucho más importante aplicar el parche lo antes posible que ponerse a cerrar dominios.
Y no, no es la primera vez que Apple la caga al meterse con su actitud en el mundo de la seguridad, ya revocaron licencias de desarrolladores que armaron pruebas de concepto y siguen sin arreglar la forma de hackear un iPhone usando variaciones de l1mera… con lo que, sinceramente, repito: no sé si Apple está haciendolo a propósito o si es un error de buena fe, pero para que una plataforma sea segura no se puede mantener a sus usuarios en la oscuridad.
Link: Como remover Flashback en tu mac