La salida de OS X Lion 10.7, no solo ha traído cosas nuevas al nivel de interfaz, soporte multi-touch, APIs nuevas y la finalización del salto hacia código de 64bits. Otro de los cambios más importantes y interesantes tiene que ver con las mejoras que le ha traído Apple al nivel de su seguridad.
En un articulo de The Register, entrevistaron a los autores del libro “The Mac Hackers Handbook“, Dino Dai Zovi y Charlie Miller. Dino Dai Zovi tuvo la siguiente frase para resumir los cambios al nivel de seguridad en OS X 10.7:
Es una mejora significativa, y la mejor manera [sencilla] que he encontrado para describir el nivel de seguridad en Lion, es que es Windows 7, con más, y más. En general suelo recomendar a usuarios Mac que si se preocupan por la seguridad, deben actualizarse a Lion lo más antes posible, y lo mismo les digo a usuarios de Windows.
Es verdad que la versión Snow Leopard no trajó muchos cambios al nivel de seguridad en comparado con 10.5. Hablamos aquí al nivel bajo/básico de las fundaciones del sistema operativo. En 10.6 tuvimos que seguir con una implementación sin acabar de ASLR (Address space layout randomization) que Apple había traído en 10.5 (en iOS tenemos ASLR desde la versión 4.3). De hecho, ya en 2008, Windows Vista tenía una implementación de ASLR superior a la de Leopard.
Con OS X 10.7, tenemos una implementación digna de ASLR, unos años después de que Microsoft y Ubuntu hicieron las suyas. Aunque según ese mismo articulo del Register, parece que Lion ha ido algo mas lejos que su competencia:
[...] es más, el ASLR de Lion ha sido aumentado, por lo que si unos hackers llegan a saltarse esa protección, todavía tendrán que sobrepasar otras nuevas protecciones. Entre ellas se encuentra un diseño de sandbox que protege las partes más vulnerables y vitales de la computadora de los ataques. Safari, por ejemplo, ahora se ha dividido en dos procesos que separan la interfaz del navegador del usuario y otras funciones, de la parte que analiza el JavaScript, las imágenes y otros contenidos web.
Con prácticamente todos exploits de navegadores dirigidos a la forma en la cual analizan el contenido web, los ingenieros de Apple han cerrado el proceso, llamado Safari Web Content. El diseño está hecho para limitar el daño que se pueda hacer en el caso de que un atacante es capaz de explotar un desbordamiento del buffer o otro bicho en el navegador.
“Ahora, acabas dentro de este proceso restringido que sólo hace el parsing de páginas web, y no puede hacer otras cosas, que cómo atacante, le gustaría hacer, tales como escribir archivos o leer los documentos de una persona”, explicó Miller. ”Incluso en cuanto a la ejecución de código, ya no tienes las riendas sueltas para hacer lo que quieras. Solo se puede hacer lo que el sandbox le permite hacer.”
Fuente: The Register (aquí traducido por G).
Otro gran cambio en 10.7 es la nueva versión rediseñada de FileVault, de hecho ahora en Lion se llama FileVault 2. Permite encriptar la integralidad del disco duro de su Mac, y no solo la carpeta de una cuenta de usuario y sus contenidos. Si quereís saber un poco más sobre temas de seguridad en OS X Lion, les recomiendo empezar con esta página que proporciona Apple. Además de buenas costumbres de navegación, cortafuegos, bloqueo de pantalla con login y contraseña, etc.
Pero ojo, todo no es bonito bajo el sol de Lion. Una firma de seguridad llamada Passware acaba de publicar actualizaciones de herramientas de análisis forenses que aprovechan de lo que tiene que ser un agujero de seguridad en Snow Leopard 10.6 y Lion 10.7, y que les permite recuperar y descifrar todas las llaves y contraseñas almacenadas en el la aplicación Acceso a Llaveros de OS X. Tan solo hace falta conectar el Mac en modo reposo mediante Firewire para poder recuperar todos estos datos en un par de minutos. Aquí un extracto de la descripción de su software:
Passware Kit es el primer software comercial que recupera las contraseñas de acceso para los usuarios de Mac OS en cuestión de minutos. Es compatible con todas las versiones modernas de Mac OS, incluyendo 10.6 (Snow Leopard) y 10.7 (León), la última versión. El software adquiere la imagen de la memoria del equipo a través de FireWire, y luego analiza y extrae las contraseñas de acceso del sistema.
Fuente: Passware (aquí traducido por G).
