Thunderstrike: El Primer Bootkit de Mac OS X

El descubrimiento del primer bootkit conocido en Mac OS X fue anunciado el mes pasado durante la trigésima primer conferencia de Chaos Computer Club en Hamburgo, Alemania. El investigador de seguridad Trammel

El descubrimiento del primer bootkit conocido en Mac OS X fue anunciado el mes pasado durante la trigésima primer conferencia de Chaos Computer Club en Hamburgo, Alemania.

El investigador de seguridad Trammel Hudson fue quien desarrolló el bootkit que explota una vulnerabilidad alojada en las profundidades del núcleo del OS X de Mac y lo nombró Thunderstrike. Este malware, explica el experto, afecta al sistema operativo en su totalidad. Hudson contactó a Apple y la compañía ya resolvió la falla en todos los dispositivos afectados, exceptuando Macbook.

No hay lugar aquí para la duda: Thunderstrike, como todos los bootkits y rootkits, es una grave amenaza que podría arrebatar el control total de la computadora de un usuario. Para que entiendas la gravedad de esta vulnerabilidad, Thunderstrike sería como el Ébola de las computadoras: contagiarse con esta “enfermedad” traería consecuencias devastadoras, aunque la probabilidad de contraer este mal es relativamente baja.

Los bootkits son un tipo de rootkit que afectan los procesos de arranque de los sistemas operativos. Debido a esto, una computadora infectada podría perder el control completo de los comandos del sistema. Según Hudson, Thunderstrike afecta el proceso que se ejecuta antes de que el SO se inicie. Por esta razón, incluso si borraras tu sistema operativo, el bootkit permanecería. Los bootkits son muy difíciles de encontrar y de eliminar. No obstante, las soluciones antivirus avanzadas pueden combatir algunas de estas amenazas.

Thunderstrike sólo puede ser instalado en una Mac accediendo directamente al hardware o a través de una conexión thunderbolt. En el primer caso, la infección resulta bastante improbable, dado que o bien el rootkit tendría que ser instalado por el fabricador o atacante tendría que tomar la Macbook del usuario e instalarlo por su cuenta.

El segundo caso –la infección por thunderbolt- es la más viable. A este tipo de ataques se los conoce como “evil maid”. Usualmente se trata de ataques auspiciados por los Estados, que en general tienen lugar durante la confiscación de laptops en los aeropuertos y en las fronteras de un país.

De esta forma, al igual que el Ébola, este malware sólo se transmite por contacto directo. Es decir, que tu máquina sólo podría ser afectada por este bootkit si alguien pudiera acceder físicamente a ella.

Thunderstrike no puede ser removido mediante un software, dado que controla las firmas y las rutinas de actualización. A su vez, la desinstalación del sistema operativo o el reemplazo del disco duro tampoco funcionarían, ya que el malware no se aloja en las unidades de almacenamiento

Existen otras piezas de malware que son menos impactantes, pero que tienen mucho mayores tasas de transmisibilidad. Para completar la metáfora de la enfermedad, el resfriado, por ejemplo, se contagia a través del aire y plantea un riesgo mucho mayor para el público en general que el Ébola, a pesar de que, en la mayoría de los casos, el resfriado no es terminal. Del mismo modo, una pieza de malware diseñado para robar recursos y utilizarlos para alimentar una botnet no es tan temible como Thunderstrike, pero debido a que puede infectar tu equipo de muchísimas formas (a través de la web, por un correo electrónico malicioso o un archivo descargado infectado), resulta una molestia pública mayor.

“dado que Thunderstrike es el primer bootkit conocido en OS X, todavía no existe ninguna tecnología que pueda identificar su presencia”, explica Hudson. “Thunderstike controla el sistema desde la primera instrucción, lo cual le permite registrar keystrokes, crear llaves de cifrado y establecer puertas traseras en el kernel de Mac OS X. No puede ser removido mediante un software, dado que el bootkit controla las firmas y las rutinas de actualización. A su vez, la desinstalación del sistema operativo o el reemplazo del disco duro tampoco funcionarían, ya que el malware no se aloja en las unidades de almacenamiento”.

La mejor forma de protegerte contra Thunderstrike es asegurarte de que nadie acceda a tu Macbook más que tú. En otras palabras, mientras nadie se lleve tu máquina lejos de tu vista, estarás bien.

Mientras tanto, disfruta de AC/DC

 

Traducido por: Guillermo Vidal Quinteiro

Consejos