En ZDnet hablan de un proof-of-concept, esto es un borrador o una prueba de que es posible pero aún no se ha logrado, de una vulnerabilidad que afecta a las primeras tarjetas Airport utilizadas por Apple entre 1999 y 2003.
Según el autor de hack: “La vulnerabilidad en sí, sólo afecta a hardware antiguo y será difícil convertirlo en un exploit que permita ejecución de código remoto, pero es posible, sólo hace falta tiempo y motivación. Actualmente genera un kernel panic que obliga a reiniciar la máquina.”
¿Hay un exagerado interés en demostrar que los Mac son tan vulnerables como los PC o es que en el mundo Mac la seguridad no se toma en serio?
Hay mucha envidia en el mundo… Yo lo “sufro” todos los días en el instituto: la gente me ve usando el mac y empiezan con los típicos “aquí no funcionan los juegos”, “son más caros”, “Apple es de Microsoft”… Ya no me importan estos comentarios, es como si hubiera alcanzado el Nirvana: estoy en un nivel superior de conciencia y me importa una mierda lo que mis compañeros piensen de los mac, yo sé que son mejores y punto (que es lo que importa…)
Hay un interés estúpido en ese tipo de demostraciones, como esa que habla de un hacker con una palm con bluetooth que se hacerca a tu ordenador y lo controla. Vaya una vulnerabilidad más idiota.
Una prueba de concepto no significa que no se haya explotado la vulnerabilidad. Significa que se ha montado todo lo necesario para explorar una vulnerabilidad, pero no se difunde.
Juan no estoy de acuerdo contigo. Según la http://en.wikipedia.org/wiki/Proof_of_concept#In_security">Wikipedia:
“In both computer security and encryption, proof of concept refers to a demonstration that in principle shows how a system may be protected or compromised, without the necessity of building a complete working vehicle for that purpose.”
Además si lees las declaraciones del autor del hacks, verás que dice que no ha conseguido explotar código remoto, tan sólo colgar el Mac.
Se nota un poco el pique ridiculo que hay para encontrar vulnerabilidades cuando ves el nombre del script prueba: daringphucball, que es una versión despectiva de daringfireball, el sitio de John Gruber que mas caña les dio en el último.
Este exploit afecta específicamente a máquinas con airport normal (el que dejó de instalarse en ningún equipo de Apple desde 2003) y no a Airport Extreme, por cierto.
Hasta el momento es una prueba de concepto, lo cual significa que es replicable pero no existe ningún exploit suelto (o sea, no está aprovechado por ningún troyano, virus o programa conocido).
Las referencias a Ellch y Maynor ya de por sí dan mala espina, y el nombre del script termina demostrando que lo que se busca es a toda costa una forma de poder gritar “Veis! No es seguro el wifi en los macs!”.
Eso no evita, claro, que en las noticias veremos titulares de “Otro agujero de seguridad en MacOSX!!!!” y por el estilo.
Bueno, creo que al final estamos hablando de lo mismo, Oscar, según como cada uno entienda demostración. Para mí, una demostración debe ser empírica, no sólo teórica.
Respecto a lo de sólo colgar el Mac, es lógico, entre otras cosas porque los Macs vienen, por defecto, con el bit de ejecución desactivado para la pila.
Los malditos anglicismos :)
Estoy de acuerdo con Eduo sobre la intencionalidad de demostrar a toda costa la vulnerabilidad de los Macs, hasta el punto de buscar bugs en hardware ya obsoleto (aunque con presencia en el mercado, eso hay que reconocerlo).
Pero creo que también en el mundo Mac se peca un poco de cierto sentido de inmortalidad y de que la plataforma es segura al 100% y supongo que algún día nos pillará con el paso cambiado y lo pagaremos.
Oscar: Realmente mas que esto se peca de que “aún no han encontrado nada en nuestra plataforma, la cual utiliza de cimientos otra plataforma que históricamente ha sido muy segura”.
Lo que pasa es que es difícil que por mucho que nos concienciemos (?) no tengamos presente que, históricamente, tenemos poco de qué preocuparnos.
Por mucho que nos tomemos en serio los avisos y las llamadas de atención es imposible pedirle a la gente que se ponga como se ponen los usuarios de Windows (o del unix profundo) cuando se descubren vulnerabilidades. No hay forma de que podamos reaccionar igual (y sobre todo no podemos los que usamos las tres plataformas regularmente) porque sabemos, como un hecho, que no hay por el momento razón para preocuparse.
Otra cosa, y esa es cierta, es que mal está que nos burlemos o que insultemos a los que si experimentan estos problemas a diario. Siempre existe la Espada de Damocles colgando sobre cualquiera que se vea en una situación privilegiada y bien dicen que antes cae un hablador que un cojo (tengo más clichés y proverbios si quereis :).
La actitud que yo tomo es de silenciosa autocomplacencia. Cada vez que sale un nuevo agujero de seguridad en Windows (sea de Windows mismo, de IE, de MSN o de cualquier otro) me aseguro de proteger las maquinas bajo mi ala y emuladores/virtualizadores varios y mentalmente hago otra marca en mi lista cerebral de “Una más que no me toca a mí en casa”. Siempre teniendo presente que puede llegar el día en que me toque actualizar mis macs y los de mis amigos, familiares y switchers adoptados.
La actitud no debe ser “esto nunca me pasaría a mí porque uso un mac, ja ja ja” sino “ah, mira, dejame veo si esto sí ha sucedido en mac… Ah, no, bueno, una preocupación menos”.
No puedes pedirle a alguien que viva en Jamaica que no se sienta aliviado porque no tiene que experimentar una nevada descomunal y, de la misma forma, no puedes pedirle que se preocupe y esté preparado para cuando haya una. La posibilidad existe pero, hasta ahora, no es lo suficientemente fuerte para obligarle a actuar al respecto. En todo caso puedes pedirle que por si acaso tenga jerseys de lana guardados :)
Bueno que los sistemas Unix sean históricamente más seguros, no quiere decir que sean inexpugnables, si no no caerían servidores Unix/Linux como caen.
Muchas veces el problema no es tanto del software como de la persona a su cargo y ahí no hay opción. El crecimiento de la cuota de mercado de Apple traerá consigo un crecimiento en el interés entre los desarrolladores de software malicioso y como todo en el software, es cuestión de tiempo y empeño…
No abogo por la paranoia en estado extremo, pero sí creo que a veces nos relajamos de más y yo el primero.