Las funcionalidades de la aplicación Utilidad de Seguridad de Arranque del chip T2

Todos los nuevos Macs tienen el chip T2 incorporado (del cual ya hemos hablado en este blog), que integra varios controles del ordenador como el SSD, audio, etc, y también tienen a su disposición una aplicación con varias funciones de arranque que veremos a continuación. Antes recordar que este chip T2 viene incorporado en los modelos iMac Pro (2017 en adelante) y los Mac mini, Macbook Air y Macbook Pro que se han entregado en 2018.

La aplicación Startup Security Utility o Utilidad de Seguridad de Arranque es accesible si reiniciamos el ordenador en modo seguro (Recovery), es decir, arrancar y pulsar Command (⌘) -R después de ver el logotipo de Apple. En las opciones de macOS, seleccionamos Utilidades y luego Utilidad de Seguridad de Arranque. Nos pedirá autenticación y a continuación ya veremos la pantalla de la aplicación:

Figura 1. Pantalla principal de la aplicación Utilidad de Seguridad de Arranque. Fuente.

La primera opción que podemos utilizar es "Activar contraseña de firmware", que nos permite asignar un password el cual sólo funcionará si se realiza un arranque desde el disco duro original (donde está el sistema operativo). Esto nos protege de alguien que conecte un disco externo para intentar arrancar desde él y de esta forma tenga acceso a la información almacenada en el disco.

La segunda opción, "Arranque seguro", nos certifica que el Mac sólo arrancará desde un sistema operativo "legítimo" o "fiable". Tiene tres niveles para asignar la seguridad, total (verifica el macOS y lo marca como fiable y único medio de arranque), media (podemos arrancar desde un Windows o un macOS sin verificar, es decir, sólo hará la comprobación si el sistema Windows o macOS está firmado por Microsoft o Apple) o sin seguridad (arrancaría desde cualquier sistema operativo compatible  instalado sin importar su origen).

Figura 2. Chip T2 en un Macbook Pro 2018. Fuente.

La tercera, "Arranque externo", bloquea la opción de arranque desde cualquier tipo de soporte conectado externamente al Mac, incluso bloquea el acceso desde un volumen de red. Por defecto los equipos con el chip T2 no permiten arrancar desde ningún medio externo. Si lo intentamos, aparecerá el menú de preferencias de arranque indicando que no se puede realizar y con instrucciones por si queremos habilitarlo.

Como hemos visto, los equipos Apple con el chip T2 ofrecen un nivel más de seguridad ante accesos físicos al equipo el cual es aconsejable activar si nuestro equipo lo tiene incorporado.

iOS 12 y watchOS 5, nuevas características y vulnerabilidades solucionadas

En la pasada Keynote de Apple, además de enseñar los nuevos dispositivos iPhone y Apple Watch, también se presentó la nueva versión de sus correspondientes sistemas operativos. Hace ya meses que sabemos las nuevas características, pero ahora ya son oficiales. También vamos a repasar las vulnerabilidades principales de seguridad que se han resuelto en estas nuevas versiones presentadas.

iOS 12 ofrece una mejora bastante significativa en rendimiento que incluso llega a dispositivos relativamente viejos como iPhone 5s y el iPad Air. Facetime y Messages también han sufrido una gran remodelación de sus características. ScreenTime es una nueva característica bastante interesante, ya que nos permite controlar y limitar el tiempo de uso al dispositivo (ideal para el control parental). Respecto a la realidad aumentada también se han implementado algunas características nuevas como por ejemplo el conocimiento 3D de objetos. 

Centrándonos en la seguridad, algunas vulnerabilidades importantes también han sido resueltas en esta versión. Los CVE-2018-4313 y CVE-2018-4307 afectaban a Safari, la primera es una la cual permitía ver los sitios web visitados y en la segunda un sitio web malicioso podía extraer información partiendo de los formularios de autorrelleno. Otras que afectaban a la WiFi, al kernel, etc también se han resulto, es posible consultarlas todas en este enlace.

Figura 1. Nuevos modelos iPhone con iOS 12. Fuente.

WatchOS 5 ofrece una mejora significativa en el entrenador personal añadiendo nuevas funciones como avisos del ritmo, cadencia, etc. Quizás la más llamativa de las nuevas características es WalkieTalkie. Esta función permite hablar con otro usuario que tenga la aplicación directamente, simplemente buscando el contacto y hablar. Aprovechando el nuevo modelo de pantalla de Apple Watch también se han mejorado las notificaciones mostradas en pantalla.

Figura 2. Nuevos modelos Apple Watch con WatchOS 5. Fuente.

Sobre la seguridad de esta nueva versión WatchOS 5, se han resuelto también algunas de las más conocidas como por ejemplo CVE-2018-4363, relacionada con Kernel que permitía leer datos de la memoria restringidas. Otra de las solucionadas es la CVE-2016-1777 relacionada con las vulnerabilidades detectadas en el algoritmo de cifrado RC4. El listado completo de las vulnerabilidades solucionadas se puede consultar en el siguiente enlace.

La evolución de las características de seguridad de Mac OS X y macOS (2 de 2)

Comenzamos la segunda parte de nuestro artículo que habla sobre las características de seguridad que Apple ha ido añadiendo a las diferentes versiones de Mac OS X. Esta vez continuaremos desde la versión OS X 10.9 Mavericks hasta la última versión macOS High Sierra, la cual será publicada este otoño. Es interesante conocer las medidas de seguridad que Apple aplica a sus sistemas operativos para así estar informados de qué protección disponemos de base.

OS X 10.9 Mavericks. Octubre 2013.

En esta versión Apple incluye iCloud Keychain, un password manager el cual permite sincronizar entre Mac y iOS y todo tipo de información como nombres de usuarios, contraseñas, tarjetas de crédito, redes WiFi, etc. Por otro lado también empieza a requerir firmas en el código para kexts (kernel extensions) instalados en /Library/Extensions para prevenir modificaciones en el kernel del sistema operativo por parte de desarrolladores no registrados. También se añade soporte SMB2 el cual se convertirá en el nuevo protocolo de compartición en vez de AFP (Apple Filing Protocol), añadiendo más seguridad.

Figura 1. Ejemplo de iCloud Keychain. Fuente.

OS X 10.10 Yosemite. Octubre 2014.

Se incluye Mail Drop, una función que permite enviar correos electrónicos con ficheros adjuntos de hasta 5GB de tamaño utilizando iCloud. Estos ficheros expiran a los 30 días después de haber enviado el correo electrónico, evitando que al acceder a una cuenta ajena se puedan visualizar los ficheros adjuntos de más de 30 días de antigüedad. En esta versión de OS X se añaden a Safari dos nuevas características. La primera elimina mostrar la URL completa desde la barra de direcciones, evitando que el usuario pueda confundir una web engañosa con la original (siempre se puede ver la URL completa pulsando en la barra de direcciones). La segunda permite la navegación anónima. Finalmente, Apple introduce Swift, un lenguaje de programación que tiene muchas ventajas de seguridad.

OS X 10.11 El Capitan. Septiembre 2015.

Apple presenta en esta versión System Integrity Protection, una función diseñada prevenir modificaciones en ficheros y carpetas críticas del sistema, evitando la inyección de código maligno. También se incluye ATS (App Transport Security), que incita a los desarrolladores a usar HTTPS y TLS 1.2. Tambié se actualiza XProtect (de forma retroactiva) para bloquear versiones vulnerables de Microsoft Silverligth.

Figura 2. Mensaje de SIP. Fuente.

macOS 10.12 Sierra. Junio 2016.

Se añade la función de auto desbloquear el ordenador utilizando Apple Watch, la cual para activarla obliga a tener doble factor de autenticación. También se elimina completamente el soporte para Flash dejando paso a HTML5. Una nueva característica que se añade en esta versión, aunque no sea directamente relacionada con la seguridad, es Universal Clipboard. Cualquier cosa que copiemos al portapapeles estará disponible en todos nuestros dispositivos. Por lo tanto, si tenemos que enviar información sensible entre ellos, podemos utilizar este método en vez de correo electrónicos o aplicaciones de terceros (la información se borra a los dos minutos después de copiarlo).  

macOS 10.13 High Sierra. Saldrá en Otoño de 2017.

De momento está en fase beta pero ya podemos asegurar que Apple introducirá APFS (Apple File System) con nuevas características de seguridad entre otras ventajas. También veremos la versión 11 de Safari la cual incluirá una mejora en la protección de privacidad (como por ejemplo eliminar la molesta publicidad o el autoplay en vídeos). También sabemos que si instalas esta versión, el Apple id utilizado será automáticamente actualizado para utilizar doble factor de autenticación.

La evolución de las características de seguridad de Mac OS X y macOS (1 de 2)

Apple ha ido mejorando y añadiendo características de seguridad desde su Mac OS X 10.4 Tiger, el cual salió al mercado en abril de 2005. Con la inclusión de estas nuevas funciones, Apple ha contribuido a crear un sistema operativo bastante seguro pero no infalible. Vamos a repasar cuales son esas características que se han ido incorporando a lo largo de los años de desarrollo del sistema operativo Mac OS X hasta su última versión macOS High Sierra.

Mac OS X 10.4 Tiger. Abril 2005.

En 2004 aparecieron algunos troyanos como Renepo (Opener) los cuales permitían abrir puertas traseras en en el ordenador. Apple tenía que solucionar este problema y para ello añadieron a esta versión una función llamada download validation, la cual validaba de forma automática el contenido descargado. El problema es que sólo analizaba ficheros concretos, pero daba como válido ficheros PDF, de audio, video, etc. También se añadió una característica al sistema de fichero llamada extended attributes, la cual mejoraba los atributos básicos asociados con ficheros y directorios. Otra característica añadida a esta versión fueron las ACLs o Access Control Lists,  una forma más flexible de controlar los permisos de ficheros sustituyendo el método clásico de UNIX.

Mac OS X 10.5 Leopard. Octubre 2007.

File Quarantine se añadió a esta versión la cual consistía en incluir un atributo extra (flag) a los ficheros descargados utilizando alguna aplicación de Apple (como Safari) o aquellas de otros fabricante que decidieran incluir esta función. Esto provoca que cada vez que abramos estos ficheros un mensaje aparecerá indicando que fue descargado así como la fecha, hora y desde donde se realizó la descarga. También se incluye la opción de incluir firmas para los desarrolladores de programas. Esta fue la última versión que soportaba microprocesadores PowerPC y no incluía la función classic enviroment, la cual ofrecía una retrocompatibilidad a los programas con otras versiones de Mac OS X como la 9. Esta decisión provocó que malware diseñado para versiones anteriores a esta versión de OS X no se pudieran ejecutar en un ordenador actualizado.

Figura 1. Mensaje de File Quarantine cada vez que abrimos un fichero desde una fuente no validada. Fuente.

Mac OS X 10.6 Snow Leopard. Agosto 2009

En esta versión se introduce XProtect, una funcionalidad antimalware o antivirus, ya que funciona más o menos como cualquier otro antivirus en otro sistema operativo (aunque por ejemplo, no tiene la función de escanear el ordenador). Este programa no tiene una interface como otros programas que se dedican a esta función de proteger el sistema operativo. Aparte de mostrar el mensaje mostrado también por File Quarantine que hemos hablado antes, XProtect comprueba siempre que abrimos un fichero, si este concuerda con alguna de las definiciones de malware almacenadas por este programa. Esta funcionalidad no es suficiente para proteger el sistema operativo, tal y como el mismo Apple afirmaba en su día, aunque si es de gran ayuda para detectar y evitar la infección a través de malware conocido.

Mac OS X 10.7 Lion. Julio 2011

Esta versión introduce FileVault2, una nueva versión de FileVault que incluye la opción de cifrado de todo el disco duro (las versiones anteriores sólo permitían cifrar cuentas individuales de usuarios). También se incluyen algunas mejoras de seguridad como ASLR (Address Space Layout Randomization).  Esta opción permite evitar ataques y vulnerabilidades relacionadas con la corrupción de memoria, asignando posiciones de memoria de forma aleatoria a las partes más importante de los programas. También se incluye App Sandbox, la cual permite limitar los privilegios de una aplicación al ser ejecutada evitando el acceso a otros recursos del sistema que no sean los únicos que necesita para funcionar.

Figura 2. Detalle del funcionamiento de App Sandboxing. Fuente.

Mac OS X 10.8 Mountain Lion. Julio 2012

Gatekeeper fue la implementación más importante de esta versión. Gatekeeper es una función que ayuda a prevenir la ejecución de programas sospechosos de malware. Añade las conocidas opciones en la configuración de seguridad que permiten ejecutar aplicaciones descargadas sólo desde la App Mac Store, Mac Store y desarrolladores validados o desde cualquier otra fuente. Otra función incluida en esta versión fue Location Services, la cual ofrece a las aplicaciones información geográfica y geolocacilización. También se incluyeron mejoras a App Sandbox. XProtect se actualizó para bloquear versiones no actualizadas de Flash Player y plugins de Java (esto también se aplicó a las versiones anteriores de OS X).