miércoles, 23 de junio de 2010

Pero... ¿seguro que Mac OS X es seguro?

Últimamente parece existir un sospechoso interés en airear exageradamente los supuestos agujeros de seguridad de Mac OS X, y de poner en duda de forma demasiado insistente la mítica invulnerabilidad de los Mac. Por supuesto, esos agujeros existen y tal invulnerabilidad es exactamente eso: un mito.
Pero sin embargo, los usuarios de Mac no perciben todo esto como una amenaza real. Sin duda debe haberlos, pero no conozco a ningún usuario de Mac OS X que se haya visto afectado por malware de ningún tipo. Por contra, no conozco ningún PC con Windows libre de malware de algún tipo, y la mayoría han sufrido problemas graves.

Sólo haya que asomarse a los foros de usuarios de Windows para constatar que una parte importante de las consultas y demandas de ayuda son para desinfectar ordenadores, que no son nunca puestas en duda y que son contestadas con profusas explicaciones y recomendaciones de utilidades de limpieza.

Sin embargo, si el tema "virus" es planteado en un foro de "maqueros", se da por supuesto que el atribulado usuario es un "switcher" novato que "aún no ha cambiado el chip" y que por tanto atribuye a un virus lo que en realidad son errores del sistema o de aplicaciones posiblemente causados por su inexperiencia. ¿Carecen los usuarios de Mac de una objetiva capacidad de percepción del riesgo?
Es posible, y tal vez por eso, los fabricantes de antivirus para Mac tienen la amabilidad de advertirnos periódicamente de la aparición de nuevos troyanos y aprovechan la ocasión para recordarnos la capacidad que tiene para prevenirlos la última versión de su software.

Algunos sitios, como SecureMac o ZDnet consiguen que perdamos el sueño si leemos atentamente y como mac-condríacos los listados y descripciones.

En Secunia dicen haber encontrado en diferentes sistemas operativos el siguiente número de "vulnerabilidades":
- 36 agujeros en Mac OS X
- 46 agujeros en Windows XP Professional
- 48 Suse Linux Enterprise Server
- 50 agujeros en Red Hat Server (Linux)
- 60 agujeros en Solaris 9
Según esto, que parece un test de calidad de una fábrica de Gruyere, Mac OS X tiene menos agujeros que Windows, pero éste tiene menos… ¡que Linux y Solaris!

De vez en cuando, un super-estrella de la seguridad consigue que sus opiniones tengan la suficiente repercusión para que corran como la pólvora por la red. Para la mayoría de periodistas, combinar "Apple" y "seguridad" es tan atractivo como "sexo/famoso" o "político/corrupción", aunque no entiendan absolutamente nada del tema.

Así, el poco dado a la discreción Charlie Miller aprovecha eventos como el Show de la Conferencia de Seguridad Digital Canadiense (lo de "show" lo ponen ellos, no yo) para proclamarse descubridor de docenas de nuevos agujeros en la manzana, hackear Safari embolsándose los 10.000$ de premio, y para hacer este símil:
"Mac OS X es como vivir en una granja sin cerraduras en el campo, y Windows es como vivir en una casa con rejas en las ventanas en el peor barrio de la ciudad". Para algunos es una comparación acertada, pero no se da cuenta de que favorece la asociación "Mac/entorno-bucólico" frente a un "Windows/barrio-conflictivo". Personalmente, aunque acabe poniendo rejas y comprando un perro, prefiero quedarme en el campo.

Efectivamente, si se reta a un experto en seguridad informática a acceder por red y sin firewall ("pequeño detalle") por medio, a romper la seguridad de ordenadores con Mac OS X, Windows 7, y alguna distribución de Linux, el primero en caer suele ser precisamente el Mac.
Pero ojo, estamos hablando de un "fuera de serie" atacando despiadada y concienzudamente a un ordenador concreto y del cual conoce el más mínimo entresijo y debilidades de su sistema operativo. Esto podría preocupar a entidades bancarias, centros de datos, servidores web importantes, etc… Y de hecho es muy raro que este tipo de ordenadores corra Mac OS X. Incluso un "gurú" de Mac OS X en España como Alberto Lozano (si, el "Admin" del estupendo Mac-Club) asegura que es preferible para esto recurrir a FreeBSD, sistema que implementa en los servidores que el utiliza... y que por cierto no hemos visto en la lista de Secunia.

Y últimamente, Sophos, empresa especializada en protección de datos y seguridad informática ha descubierto un Antí-Malware incorporado en la reciente actualización de Mac OS X. 10.6.4 que ofrece protección frente al troyano OSX/Pinhead-B Trojan que los hackers podrían utilizar para obtner todo tipo de información o a compañía especializada en protección de datos y seguridad informáticaenviar Spam a través del correo electrónico, e incluso hacerse con el control del ordenador”.

Por algún extraño motivo esos agujeros y vulnerabilidades, que sin duda existen, no son explotados como cabría esperar, aunque los malvados hackers no lo tienen tan difícil ya que pueden recurrir por ejemplo, a manuales como "The Shellcoder's Handbook - Discovering and Exploiting Security Holes" u otros.
Un argumento repetido constantemente es el de que como Mac es una plataforma menos extendida que Windows, no resulta de interés para los creadores de virus. Esto es una verdad a medias. Existen millón y medio de virus para Windows y apenas dos docenas (de troyanos-con-intervención-de-usuario) para Mac. Esto no se corresponde en absoluto con la proporción de veinte a uno en cuanto a uso de ambos sistemas. Además a los usuarios de Mac se les supone un mayor poder adquisitivo y mayor tendencia a la compra online, y además desde casa, lo cual los haría mas vulnerables e interesantes.
Por otro lado, es característica la vanidad de las creadores de malware, y ante la cada vez mayor popularidad de Mac OS X, debiera haber muchas más intentonas de proclamarse "el creador del primer virus para Mac".

Pero un usuario "normal", que utiliza Mac OS X en su casa o pequeña empresa, no debiera preocuparse del supuesto de que alguien especialmente habilidoso y formado le tomara ojeriza precisamente a él. Si dispone de la protección que le puede ofrecer el firewall integrado de su router en casa, o el firewall de mejores prestaciones de su empresa, y tiene su sistema operativo al día en cuanto a actualizaciones, no debe preocuparse ante este tipo de "agresiones".

Esto en cuanto a un "ataque directo y malintencionado"que explota las famosas vulnerabilidades. ¿Y con respecto a virus y demás bichitos? (sobre los que hablo en esta otra entrada en este mismo blog).
Aquí es muy importante distinguir entre las formas de contagio, que podemos diferenciar entre aquellas en las cuales es necesaria la intervención activa del usuario, y aquellos en los cuales la propagación o instalación del virus, gusano, o como queramos llamarlo, se hace de forma automática, transparente, y sin que podamos evitarlo.

Pongamos como caso práctico cierto troyano que fue incluido dentro de un paquete de instalación de iWorks que se podía descargar desde sitios sospechosos. El paquete de instalación de iWorks, al igual que muchos de Apple, contiene a su vez de otros instaladores. A cierto individuo o grupito de individuos se les ocurrió añadir al conjunto de instaladores dentro del paquete de iWorks, el instalador de un troyano. Solo era necesario hacer circular por la red para su descarga el instalador "tuneado". Cuando el usuario descargaba tal paquete, y el sistema operativo solicitaba la contraseña de administrador para hacer la instalación, la víctima la tecleaba alegremente, autorizando la instalación de todos los instaladores contenidos en el paquete, incluido el troyano.
Algo parecido puede ocurrir con supuestos instaladores de "codecs" necesarios para ver cierto tipo de vídeos. Si uno es tan inconsciente para teclear su contraseña y autorizar la instalación de algo que no sabe muy bien que es… que apechugue con las consecuencias.

Este es el procedimiento de todas las formas de infección conocidas hasta ahora en Mac OS X. Mac OS X, al igual que UNIX (del que deriva) o Linux, solicita una contraseña de administrador del sistema para instalar o hacer cambios importantes en el sistema operativo. Windows se limita a preguntar si damos permiso para ello, lo cual me parece inútil como sistema de seguridad. Recuerdo que yo mismo he recurrido (para hacer funcionar ciertos servicios de sincronización de Outlook) a una pequeña utilidad gratuita llamad ClickYes, que se limita a "hacer clic automáticamente" cada vez que aparece una ventana mostrando el botón "Aceptar". Para mi es evidente que cualquier virus para Windows que se precie incluye esta función.

Parece mucho más fácil crear bichitos que se cuelen en Windows automáticamente. Además, aparte de los problemas de seguridad de la propia arquitectura del sistema, he llegado a leer sobre "kits" para la creación fácil de virus de cierta complejidad.

Lo más escalofriante que he visto, es un simple enlace que hace cierto tiempo facilitaba ex-profeso la página "Alerta Antivirus" (ahora INTECO-CERT), con el fin de demostrar lo peligroso que podía ser el hacer simplemente clic sobre un determinado link. Sólo era necesario hacer clic desde Explorer para que se abriese automáticamente la consola con el cursor parpadeando detrás del "Delete C".

Ahora, conseguir que determinado "malware" se autoinstale por las buenas en un Mac es harina de otro costal y mucho más complicado. Existe cierta página web en la que aparece a modo de proyecto y se debate de forma abierta entre "geeks" (probablemente gente sin novia) las posibles formas de conseguir hacer esto en un Mac. Supongo que en Apple debe haber gente dedicada a seguir fervorosamente el tema. De momento, no han tenido éxito (los geeks, no los de Apple), y como no soy un experto en el tema no puedo opinar de si llegaran ha hacerlo alguna vez.

Claro que toda la robustez de Mac OS X queda comprometida si instalamos software de terceros, por ejemplo, Adobe Reader, a través de cuyas problemas de seguridad puede verse afectado el Mac.

Y concluyo: desde hace casi 20 años soy administrador de redes de una empresa en la que hemos llegado a utilizar más de 40 Macs (y otros tantos PC), tambíen hago estas funciones en empresas asociadas, y de rebote (y a mi pesar) doy soporte a conocidos, amigos y familiares; mantengo contacto constante con un centro educativo que utiliza docenas de Macs, hablo regularmente con conocidos de tiendas que venden Macs y tengo amigos en un Apple Premium Reseller... Nunca nadie me ha confirmado haber visto un virus o similar en Mac OS X. Eso si, hace al menos 10 años, y utilizando Mac OS 9, se nos coló en la red un troyano "muy contagioso" conocido como AutoStart que ralentizaba enormememente el acceso a la red. Al menos puedo decir que si, "que una vez vi un virus para Mac". Pero OS 9, no es que fuera diferente, es que no tenía nada que ver con Mac OS X. De hecho, "murió y fue oficialmente enterrado".

A pesar de haber trabajado durante casi veinte años con docenas de Macs, tanto de sobremesa como servidores, mantener contacto con centros educativos con docenas de Macs, con "tiendas Apple" y de dar soporte (a mi pesar) a conocidos, amigos y familiares, nunca nadie me ha confirmado haber visto hasta ahora, un virus o similar en Mac OS X. Eso si, hace al menos diez años, y utilizando Mac OS 9, se nos coló en la red un troyano "muy contagioso" conocido como "AutoStart" que ralentizaba enormememente el acceso a la red. Al menos puedo decir que si, "que una vez vi un virus para Mac". Pero OS 9, no es que fuera diferente, es que no tenía nada que ver con el Mac OS X actual. De hecho, "murió y fue oficialmente enterrado".

(Dedico otra entrada al tema de los virus en este mismo blog.)

lunes, 14 de junio de 2010

Automator: "ese gran desconocido"


A pesar de que Automator viene incluido en Mac OS X desde la versión 10.4 o "Tiger", la mayoría de usuarios desconocen su utilidad o incluso su existencia, y es una lástima, ya su potencial es enorme.
Automator permite automatizar ciertas tareas o funciones en nuestro Mac y crear "workflows" o flujos de trabajo.

Dicho de modo sencillo: podemos "programar" …sin saber programar. Por ejemplo, podríamos crear nosotros mismos una aplicación que busque fotos, cambie su tamaño a unas dimensiones que predefinamos y las renombre y numere según el criterio que queramos. Estas fotos las podría añadir automáticamente a un mensaje de correo. Pero también podemos automatizar ciertas acciones de iTunes, iPhoto, o copiar y mover archivos, renombrarlos, conectar con servidores, capturar video, gestionar URLs, etc. Las posibilidades son casi infinitas.

A algunos "les sonará el concepto" por haber utilizado los macros de Word. Automator, sin embargo, no trabaja dentro de una aplicación sino con el sistema operativo, e interactúa con diferentes aplicaciones y utilidades. Tampoco es comparable con VisualBasic de Windows, entre otras cosas porque Automator es mucho más sencillo de utilizar (¿Maaass…? dirá algún "geek pecero").

Automator dispone de una sencilla interfaz gráfica que nos muestra una serie de "módulos" o acciones clasificados por categorías (archivos, correo, calendario, PDF, etc…) que podemos combinar de forma encadenada para que se cree un flujo o conjunto de acciones que incluso podemos guardar como una aplicación para ser usada cuando lo necesitemos.

Por supuesto, debemos seguir cierta lógica, y no podemos por ejemplo combinar acciones del tipo "Añadir fotos al álbum" ("categoría fotos") y encadenarla a una acción del tipo "texto".

Cada acción o eslabón de la cadena, Requiere por tanto ciertas condiciones, de tal modo que ante una determinada Entrada pueda ofrecer un Resultado. Este Resultado puede ser pasado a la acción siguiente, que a su vez puede pasarlo a otra, creándose el flujo que mencionábamos antes.

Lo mejor es experimentar con carpetas y archivos creados ex-profeso para ello (no vayamos a dañar o eliminar documentos de trabajo), y tras algunos intentos de prueba y error, y algo de lógica, acabaremos entendiendo "la filosofía" del asunto. Esto nos permitirá empezar a automatizar tediosos procesos que antes hacíamos manualmente, y veremos que nuestro Mac es capaz de hacer mucho más de lo que creíamos. Y para algunos, lo más tentador: llegar a casa de un amigo y decirle: "Mira, te he traído un programita que he hecho yo, que sirve para…."


Veamos un ejemplo:
vamos a crear un flujo de trabajo que nos permita seleccionar diferentes archivos y carpetas para trasladarlos automáticamente a una carpeta concreta. Puesto que se trata de trabajar con archivos y carpetas seleccionaremos en la Biblioteca de acciones de Automator "Solicitar ítems del Finder" y lo arrastraremos al panel de la derecha. Puesto que una vez seleccionados, queremos moverlos a una carpeta, elegiremos ahora en la Bliblioteca la acción "Trasladar ítems del Finder". Arrastraremos también esta acción al panel derecho. Veremos que en la parte inferior del panel de la primera acción hay una flecha o punta que encaja con el panel de la siguiente acción. Esto indica que Automator "ve posible" encadenar estas dos acciones y crear un flujo entre las dos.
Dentro del panel "Solicitar ítems del Finder" podemos elegir en el menú "Tipo" la opción "Archivos y carpetas" y debiéramos activar la casilla de verificación "Permitir selección múltiple" para que podamos elegir varios ítems a la vez.
En el segundo panel "Trasladar ítems del Finder" seleccionaríamos la carpeta de destino que habríamos creado previamente.

El botón "Ejecutar" (arriba; derecha) nos permite ejecutar el flujo para "testear" su funcionamiento aunque no hayamos guardado aún nada.
El botón "Paso", ejecuta las acciones de una en una, paso a paso. Es posible que encadenemos acciones erróneamente, o que las opciones de éstas estén mal definidas. En este caso obtendremos mensajes de error o de advertencia.

Si pulsamos el botón "Ejecutar" veremos cómo se nos solicita que seleccionemos los ítems a guardar y como éstos son trasladados automáticamente a la carpeta predefinida. Pero si en la segunda acción activamos la casilla "Mostrar esta acción al ejecutar el flujo", cuando volvamos a ejecutar éste aparecerá una ventana que nos ofrece la opción de elegir otra ruta de destino. El uso de esta casilla puede ser muy interesante en ciertos flujos de Automator.

Podemos crear una variante
que, de forma completamente automática, seleccione todo el contenido de una carpeta ("origen") y lo traslade a otra ("destino"). Esto serviría, por ejemplo, para seleccionar todos los archivos y carpetas sueltos que tenemos en el Escritorio y meterlos en una carpeta que ya hayamos creado.
Para especificar de qué carpeta queremos obtener su contenido utilizaríamos:
"Obtener los ítems del Finder especificados", y en el botón "Añadir…" seleccionaríamos el Escritorio.
Una vez definida la carpeta, para seleccionar todo el contenido de ésta arrastraríamos la acción:
"Obtener contenido de la carpeta". Este contenido quedará disponible para la siguiente acción:
"Trasladar ítems del Finder", en el que especificaríamos cuál es la carpeta de destino.

¿Y si quisiéramos que sólo trasladase a la carpeta "de destino" los documentos que hemos creado hoy? En este caso insertaríamos entre "Obtener contenido de la carpeta" y "Trasladar ítems del Finder" el flujo
"Filtrar ítems del Finder". Aquí especificaríamos que buscara solamente los archivos en los que la "Última modificación" "es hoy".

Podría ser muy interesante que, en vez de mover los archivos a una carpeta, los copiara en otra, dentro de un llavero USB o disco externo. Sólo tendríamos que reemplazar el flujo "Trasladar ítems del Finder" por:
"Copiar ítems del Finder", pudiendo ser conveniente en este caso activar la casilla "Mostrar esta acción al ejecutar el flujo" para que nos permitiese seleccionar otra carpeta de destino diferente, y decidir si queremos reemplazar los archivos ya existentes.

Si no hubiésemos creado previamente la carpeta de destino dentro del llavero USB, podríamos sustituir la última acción ("Trasladar ítems del Finder") por "Carpeta nueva". Esta acción crea automáticamente una carpeta nueva y copia en ella los ítems derivados de la acción anterior.

Automator nos permite renombrar automática y simultáneamente varios archivos y carpetas, sin necesidad de recurrir para ellos a utilidades de terceras partes. Sería tan sencillo como utilizar de nuevo la acción
"Solicitar ítems del Finder" en la podemos elegir en el menú "Tipo" la opción "Archivos y carpetas" y debemos activar la casilla de verificación "Permitir selección múltiple". A continuación sólo hay que "derivar" el resultado a la siguiente acción:
"Añadir fecha u hora a los nombres de los ítems del Finder". Recordemos activar la casilla "Mostrar esta acción al ejecutar el flujo".


Los ejemplos anteriores ya nos hacen intuir el potencial de Automator para trabajar con archivos y carpetas. pero ya habréis visto en la "Biblioteca", y ya hemos comentado al principio, la enorme variedad de acciones existentes para las aplicaciones de Apple, como Música e iTunes, Fotos e iPhoto, correo y Mail, PDFs, etc… y que también podemos programar copias de seguridad, controlar las grabaciones de la webcam, las presentaciones… Tampoco se os habrán escapado las posibilidades que ofrece integrar todo esto con el Calendario.

Por si fuera poco, hay cada vez más aplicaciones de terceras partes compatibles con Automator, como Microsoft Office, Graphic Converter y otras.

domingo, 6 de junio de 2010

Ordenadores para listos.



- Oiga, por favor, este ordenador, ¿qué capacidad tiene? Bueno, yo es que de esto no entiendo…

- Ahá… y usted… ¿tiene ya ordenador en casa?

- Si, uno que compré hace tres años, pero está ya el pobre… tarda muchísimo en arrancar y se queda como colgado cada dos por tres. No sé si se me ha metido algún virus de esos. Creo que es mejor cambiar ya de ordenador .

- Si, claro; además la informática evoluciona muy deprisa; los nuevos modelos son mucho más potentes y vienen con Windows 7 que es mucho más estable y seguro.
¿Tiene usted ya una idea de lo que necesita?

- No sé… para internet y el Powerpoint, y que se puedan bajar películas y eso. El viejo se lo pasaré al niño, para que vaya haciendo cositas y juegue…

- ¿Qué le parece este portátil?: Core i5, 500 GB de disco duro, 4GB de RAM, WIndows 7 Home Basic Edition…

- Tiene buena pinta… ¿este, ya viene con todo?

- Bueno, Windows viene ya de serie con lo más necesario, pero usted puede instalarle lo que desee.

- Bueno, y si no, ya le diré a mi cuñado, que entiende mucho de esto, que le ponga todo eso que el sabe… Viene ya con maletín y todo eso, ¿no?

- No, el maletín viene aparte pero tenemos éste que sale muy bien.

- Vale...

- ¿Efectivo o tarjeta?



Esta es una de las conversaciones reales que he escuchado entre un cliente y el dependiente de un establecimiento muy conocido al que solo acude gente "que no se considera tonta".
La conversación, para mi, es risible y deprimente a partes iguales, y supongo que para el lector de este post también.

Y es que los hechos son los que son: la gran mayoría de usuarios considera el ordenador como un electrodoméstico complicado, no sabe la diferencia entre software y hardware, desconoce la existencia de diferentes sistemas operativos y cree que Windows es un componente más del hardware del ordenador. Supone que los PC se desgastan con la edad como ocurre con los coches o las lavadoras, y que lo normal es que transcurrido cierto tiempo empiecen a surgir problemas de los cuales ignoran causa y solución, pero que esto se soluciona comprando un nuevo ordenador. Solo si el PC ha sido comprado recientemente o su economía no está muy boyante, intentará que sea reparado.

El vendedor no suele saber mucho más. En todo caso, como es evidente y como vendedor que es, no intentará sacarlo de su error: efectivamente, si el ordenador tiene un par de años, ya es hora de comprar uno nuevo. El cliente, que no ha leído los manuales ni los entendería, nunca sabrá que es muy posible que reinstalando o restaurando el sistema operativo el ordenador puede quedar como salido de fábrica. Y queda completamente fuera de su comprensión la idea de dar nueva vida al viejo PC instalando Ubuntu u otra distro de Linux.

Si le sorprenderá que su hijo pretenda instalar los juegos en el ordenador nuevo y rechace airosamente utilizar el antiguo. Su cuñado criticará la compra y le hablará de gigas y megas, para acabar atiborrando el disco duro de aplicaciones y utilidades de todo tipo y de procedencia dudosa. En pocos meses, más o menos coincidiendo con la caducidad de la licencia de prueba del antivirus (que será ignorada) el hasta ahora flamante y moderno PC empezará a sufrir los primeros problemas.

Y hay que aceptar que a esa mayoría de usuarios sólo le interesa el ordenador -como decía antes- como electrodoméstico, y que no tiene ni ganas ni intenciones de hacer el mínimo esfuerzo para aprender algo sobre su uso y mantenimiento. No tengo duda alguna de que los dispositivos como el iPad o productos similares que vayan apareciendo en el mercado tienen un gran futuro.