Hace 3 años escribimos un post en el que hablábamos de Filezilla y como esta aplicación que permite conectarnos por FTP, SFTP, SSH, FTPS o FTPES no garantizaba la confidencialidad en nuestro disco duro. Es cierto que el atacante debe tener acceso a nuestros archivos, pero hoy día existen cientos de formas de lograrlo. Hoy hablamos de Cyberduck, un cliente similar a Filezilla, que está disponible en la Mac App Store y que cuando probamos como almacena la aplicación las credenciales nos encontramos que almacena las credenciales en el llavero de claves, keychain, del sistema.
Ésta es una de las mejores formas que se tiene en OS X para almacenar las credenciales y garantizar la confidencialidad de los datos sensibles que las aplicaciones manejen diariamente. ¿Cómo se almacena la información? Al acceder al llavero a través, por ejemplo, de spotlight disponemos de las credenciales que utiliza, tanto el sistema como las aplicaciones. Para acceder al llavero deberemos introducir nuestras credenciales, teniendo permiso para acceder a nuestro llavero. En la imagen se puede ver
Ésta es una de las mejores formas que se tiene en OS X para almacenar las credenciales y garantizar la confidencialidad de los datos sensibles que las aplicaciones manejen diariamente. ¿Cómo se almacena la información? Al acceder al llavero a través, por ejemplo, de spotlight disponemos de las credenciales que utiliza, tanto el sistema como las aplicaciones. Para acceder al llavero deberemos introducir nuestras credenciales, teniendo permiso para acceder a nuestro llavero. En la imagen se puede ver
 |
| Figura 1: Credenciales de Cyberduck en el llavero del sistema |
Es recomendable tener el disco duro cifrado para cuando el equipo esté apagado proteger dichos ficheros XML o plist, que herramientas como Filezilla no tenían protegido. Es cierto también que los ficheros quedan protegidos de otros usuarios por permisos, pero siempre se puede tener un descuido o una intrusión que accede a la información en plano. Si utilizas herramientas como Cyberduck puedes estar un poco más tranquilo, ya que realiza una gestión de claves más segura que otras aplicaciones similares.
 |
| Figura 2: Mostrar contraseña de Cyberduck en el llavero del sistema |
Otra posibilidad es configurar Latch en el servidor FTP para evitar que se puedan ejecutar órdenes o iniciar sesión. Pero algo está claro, y es que este tipo de configuraciones ponen en riesgo la seguridad de todos los servidores, ya que si un equipo robado o que se pierde cuyos datos no están cifrados, tendremos un grave problema de seguridad que se extiende a los servidores remotos. Por esta razón se recomienda, como se comentó anteriormente, tener el disco cifrado, por ejemplo mediante el uso de FileVault.
No hay comentarios:
Publicar un comentario