Conocer a qué se conecta un equipo y por qué lo hace es algo más que necesario en un buen número de ocasiones. Desde una necesidad puramente técnica para configurar correctamente un servicio o protocolo hasta la más dolorosa sospecha de tener un malware en el equipo que se está conectando remotamente. Es por ello que es útil conocer cómo revisar las conexiones que son legítimas para encontrar las maliciosas.
Lista de conexiones y puertos en uso en Mac OS X e iOS (iPad, iPhone e iPod Touch)
Lista de conexiones y puertos en uso en Mac OS X e iOS (iPad, iPhone e iPod Touch)
En los equipos Mac OS X vimos cómo se podía utilizar el comando netstat para saber a qué se está conectando en un determinado instante de tiempo el sistema operativo. Con él, es posible acceder a la lista de puertos que están activos en un momento dado, tal y como se puede ver en la imagen siguiente.
Figura 1: Listado de conexiones y puertos en Mac OS X obtenida con netstat |
En los terminales iPad, iPod Touch o iPhone existen multitud de herramientas, o directamente utilizando la terminal, para realizar esta misión. En este ejemplo se ha hecho uso de la utilidad System Status, para obtener la lista de conexiones de red.
Figura 2: Listado de conexiones obtenido en iPad con System Status |
Analizando las conexiones
Sin embargo, una vez obtenida esta lista llega la dura tarea de discernir entre conexiones legítimas y conexiones sospechosas. Para hacer mucho más fácil esta tarea, Apple tiene publicado un artículo en el que recoge todos los protocolos y puertos que utilizan sus servicios en los sistemas operativos Mac OS X e iOS.
Así, en el ejemplo de iPad, donde se puede ver que aparecen los puertos 5223 y 5353, consultando la lista de servicios de Apple obtenemos que son utilizados por los servicios de mensajería sobre SSL (5223) que usan las notificaciones de Apple, y los servicios de DNS-Multicast (5353) utilizado por, entre otros, el servicio Bonjour.
Figura 3: Listado de conexiones utilizadas por Apple |
Analizando la dirección IP del servidor
En cualquier caso, si aún quedase alguna sospecha referente a una conexión, se podría consultar la base de datos de direcciones IP, desde RIPE se pueden consultar todos los registradores, para conocer quién es el dueño del servidor al que se está conectando nuestro equipo. En este caso, la dirección IP de la conexión es de Apple, lo que parece bastante lógico.
Evidentemente, los más conocedores del mundo el malware saben que la información que se obtiene en los listados de conexiones puede ser manipulada, de hecho los rootkits [rootkits en Mac OS X y rootkits en iOS] ha sido un tipo de malware muy especializado en este tipo de acciones, por lo que habría que usar algún detector de rootkits [Antirooktis en Mac OS X] para estar más seguro, pero para el malware KISS (Keep It Simple, Stupid), muy utilizado por script kiddies y botnets famosas, suele ser bastante funcional esta revisión.
No hay comentarios:
Publicar un comentario