Seguridad

Guía de Seguridad en macOS (Parte 2)

En este segundo post continuamos detallando todos los elementos referentes a la seguridad de nuestro Mac. En el artículo anterior hablamos sobre la seguridad del núcleo del sistema, el almacenamiento de claves y credenciales y la autenticación mediante contraseñas o certificados digitales, en esta ocasión nos centraremos en cifrado y los mecanismos que se aplican para fortificar las aplicaciones de terceros instaladas en macOS.


Cifrado y protección de la información
Apple cuenta con diversas herramientas y servicios para garantizar el cifrado de la información de sus dispositivos y dispositivos externos. Para ello, cuenta con diversas certificaciones que acreditan las buenas prácticas en materia de seguridad, como la certificación ISO 27001 y la 27018 sobre sus diversos productos, además, cada versión de macOS liberada pasa la validación de los Estándares Federales de Procesado de Información (FIPS) para asegurar la integridad de las operaciones criptográficas. 

APFS (Apple File System)
Apple File System (APFS) es el nuevo sistema de archivos de Apple. Este sistema está optimizado para el almacenamiento Flash/SSD, cuenta con un cifrado fuerte, copia-en-escritura de metadatos, espacio compartido, clonado de archivos y directorios, instantáneas, primitivas de salvaguarda atómicas y un diseño de copia-en-escritura que usa la coalescencia de la entrada/salida para proveer de un mayor rendimiento mientras asegura la fiabilidad de los datos.
En macOS High Sierra, un contenedor APFS válido debe contener al menos tres volúmenes, dos de ellos ocultos al usuario:

  • Volumen de prearranque: Contiene la información necesaria para arrancar cada volumen del sistema en el contenedor.
  • Volumen de recuperación: Contiene el disco de recuperación.
  • Volumen del sistema: Contiene macOS y la carpeta del Usuario. 

Figura 1: Apple File System
Cifrado de Imágenes del Disco
En macOS, las imágenes del disco cifradas sirven como contenedores seguros en los que los usuarios pueden almacenar o transferir documentos sensibles y otros archivos. Las imágenes del disco pueden ser cifradas usando AES 128-bit o AES 256. 
Debido a que una imagen del disco montada es tratada como un volumen local conectada a un Mac, un usuario puede copiar, mover y abrir archivos y carpetas almacenadas en ello. Si estos volúmenes están cifrados FileVault se encargara de cifrar y descifrar los archivos en tiempo real.

FileVault
Todos los Macs poseen una herramienta interna de cifrado llamada FileVault para  asegurar todos los datos del sistema. FileVault usa  el cifrado de datos XTS-AES-128 para asegurar la información. Este cifrado puede aplicarse tanto al volumen interno como a dispositivos de almacenamiento externos.
Al habilitar FileVault en un Mac, el usuario necesita proporcionar credenciales válidas para continuar con el proceso de arranque y poder llegar a modos de arranque más avanzados, como “Target Disk Mode”

Seguridad de las aplicaciones
macOS incluye tecnología que permite verificar que solo puedan instalarse en el sistema aplicaciones de confianza y así ayudad a defender al sistema contra malware. Además de esto el sistema cuenta con protección en tiempo de ejecución y firma de aplicaciones.

Gatekeeper
Para controlar las fuentes desde las cuales se pueden instalar aplicaciones, macOS tiene una herramienta del sistema llamada Gatekeeper. Gatekeeper permite controlar el nivel de seguridad al instalar aplicaciones, dividido en dos capas, con la más restrictiva solo es posible instalar aplicaciones desde la App Store, mientras que con la segunda pueden instalarse además aplicaciones de terceros firmadas con una cuenta de Desarrollador de  Apple. Esta firma indica que las aplicaciones fueron firmadas con un certificado emitido por Apple y que no han sido modificadas desde entonces. Por otro lado el usuario si lo desea es capaz de instalar aplicaciones sin firmar, pero es necesario su consentimiento expreso.
Además de esto, Gatekeeper aplica aleatorización de rutas en algunos casos, como por ejemplo para aplicaciones ejecutadas desde una imagen del disco sin firmar o aplicaciones ejecutadas en la misma ruta donde fueron descargadas. Esto hace que las aplicaciones sean lanzadas en zonas de solo lectura para evitar ejecución de código malicioso. Una vez movida la aplicación a la carpeta de aplicaciones, esta aleatorización desaparece.

XProtect
macOS cuenta con tecnología para la detección de malware a través de firmas. Apple monitoriza la aparición de nuevas infecciones por malware y actualiza las firmas de XProtect automáticamente (independientemente de actualizaciones del sistema) para aportar una capa de protección extra al Mac. Al detectar una infección malware, XProtect automáticamente bloquea la instalación del software malicioso.

Herramienta de Eliminación del Malware
Si después de todo esto el malware consigue instalarse en un Mac, macOS también incluye tecnología para remediar infecciones. Además de actualizar XProtect, Apple actualiza macOS para eliminar malware de cualquier sistema infectado que esté configurado para recibir actualizaciones de seguridad automáticas. Una vez recibida esta actualización, el malware será eliminado en el siguiente reinicio de la máquina.

Actualizaciones de Seguridad Automáticas
Todas las actualizaciones antes mencionadas son expedidas por Apple, y macOS por defecto consulta una vez al día en busca de nuevas entradas.

Protección en Tiempo de Ejecución
Todos los archivos del sistema, recursos y kernel están protegidos del espacio de una aplicación de usuario. Todas las aplicaciones descargadas desde la App Store se ejecutan dentro de un sandbox para restringir el acceso a estos recursos y a datos sensibles de otras aplicaciones. Si una aplicación necesita acceder a los datos de otra o a recursos del sistema, solo lo puede realizar a través de las APIs y servicios provistos por macOS

Firma Obligatoria de Aplicaciones de Terceros

Todas las aplicaciones del App Store están firmadas por Apple para asegurar que no han sido manipuladas o alteradas. Además de esto, muchos desarrolladores que distribuyen sus aplicaciones fuera de la tienda firman sus aplicaciones con un certificado de Desarrollador de Apple, que en conjunto con una clave privada permiten que la aplicación pueda ser ejecutada dentro de los parámetros de Gatekeeper. Esto permite también comprobar que la aplicación externa no ha sido comprometida antes de su instalación.
No olvidéis que todavía queda una parte más de esta serie de artículos, donde seguiremos hablando de los elementos restantes de la seguridad de macOS.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.