Securizar MacOS X (Parte 1)

Como reciente poseedor de un flamante Macbook Pro, explico los pasos que he seguido para que sea un poco más seguro, todo a nivel de SSOO, con opciones o aplicaciones que vienen con nuestro equipo nada más adquirirlo.

  • Usar siempre una cuenta de usuario sin privilegios, usemos la de administración sólo cuando sea necesario. Será bueno también deshabilitar las cuentas por defecto (invitado).
Cuenta de usuario
  •  En las opciones de arranque, deshabilitamos el inicio de sesión automático, y para la autenticación, introducimos nombre de usuario y contraseña.
Opciones de arranque
  • Configurar la búsqueda de actualizaciones del sistema diariamente. Para sistemas no conectados a internet, se pueden descargar desde aquí. Se puede comprobar que lo que se descarga es realmente lo que dice, comprobando el hash asociado al fichero con el comando /usr/bin/openssl sha1 <fichero descargado>
Buscar actualizaciones
  • En la opción de seguridad en las preferencias del sistema, tenemos varias opciones. En la pestaña General son muy claras, no necesitan explicación. Filevault es una utilidad de MacOS para el cifrado del directorio /home del usuario y sus ficheros. Yo personalmente no lo uso, ya os explicaré el porqué, en la segunda parte de este artículo. Por último tenemos el Firewall, IMPRESCINDIBLE tenerlo habilitado. En las opciones avanzadas se puede dar permiso a aplicaciones para que admitan conexiones externas. Para gestionar de una manera mucho más profunda el firewall, una magnífica interfaz la proporciona WaterRoof, hablaremos de él en otro artículo, ya que en verdad no usa el firewall de aplicación, que es el que se muestra ahora, sino el ipfw 😉
Seguridad – General
Seguridad – Filevault
Seguridad – Firewall
Seguridad – Firewall 1
  • Deshabilitar todos los servicios no vitales o necesarios para el uso del equipo. Se pueden encontrar en el directorio /System/Library/LaunchDaemons. Para hacerlo se ejecutará el comando sudo launchctl unload -w <ruta completa al servicio y su nombre>. En la siguiente tabla se puede ver el nombre del servicio y a qué función corresponde. La segunda tabla se corresponde con los agentes de algunas aplicaciones, lo único que cambia es la ruta /System/Library/LaunchAgents
Servicios 1
Servicios 2
  • Deshabilitar SetUID y SetGID. El bit SetUID es necesario para que algunos programas del sistema puedan realizar la tarea que les corresponde. Bugs en este tipo de aplicaciones pueden originar una escalada de privilegios en el sistema, por lo que donde no es estrictamente necesario, mejor tenerlo deshabilitado. En mi caso concreto, no lo tengo activo en el ping (primera captura). Se puede comprobar tecleando en el terminal ls -l /sbin/ping. La diferencia es la s en el campo de permisos (segunda captura), que indica que está efectivamente activo. Hay aproximadamente unos 75 programas en Snow Leopard con ese bit activo. Por lo general es necesario para su correcto funcionamiento, pero en ocasiones, no es necesario para nuestro uso particular del equipo, por lo que mejor deshabilitarlo. Para encontrar los programas se puede teclear en un terminal find / -perm -04000 -ls (SetUID) y find / -perm -02000 -ls (SetGID). Para deshabilitar el bit se debe usar lo siguiente chmod ug-s <nombre del programa>. Como en el anterior punto, tenéis una tabla con los programas y su función, para que decidáis si es necesario o no tenerlo.
Captura 1
Captura 2
SetUID 1
SetUID 2
  • Si no se están usando, mejor deshabilitar los servicios de redes inalámbricas y bluetooth, para incrementar la duración de la batería por un lado, y evitar su uso no autorizado por otro. Si se quieren deshabilitar de forma definitiva, se pueden borrar (o renombrar) los siguientes ficheros del directorio /System/Library/Extensions/IOBluetoothFamily.kext y IOBluetoothHIDDriver.kext para el Bluetooth y IO80211Family.kext para la red inalámbrica.
  • Al igual que con los servicios anteriores se puede actuar con el iSight y el micrófono interno del equipo. Para el primero, la mejor forma de evitar que algunos programas hagan uso de la cámara es renombrar o borrar el fichero /System/Library/Quicktime/QuicktimeUSBVDCDigitalizer.component. Para el micrófono, siempre se puede bajar el volumen a cero en las propiedades del dispositivo, borraremos o renombraremos el fichero IOAudioFamily.kext en el directorio /System/Library/Extensions.
  • En lo que respecta al navegador por defecto de MacOS, Safari, evitaremos que se abran los ficheros nada más ser descargados, en la pestaña general, e indicaremos que no se guarde el historial más de un día, es lo mínimo que nos permite el navegador para hacerlo de forma automática (increíble que considere seguros todos esos tipos de ficheros :-|). En la de Seguridad, deshabilitaremos la ejecución de código Java, disminuyendo las posibilidades de ataque. Deshabilitar Javascript también es una buena opción, pero se debe ser consciente de que la gran mayoría de páginas WEB no funcionarán de forma correcta
Safari 1
Safari 2
  • Bonjour, es un protocolo para el descubrimiento de servicios en la red. Aunque útil en algunos casos, desde la perspectiva de la seguridad hace el equipo visible en la red, generando tráfico no necesario en la red. Para deshabilitar los mensajes multicast se ejecutará el siguiente comando: sudo defaults write /System/Library/DaemonsLaunch/com.apple.mDNSResponderProgramArguments -array-add “-NoMulticastAdvertisements”.
  • Continuemos deshabilitando servicios, como por ejemplo, el de compartir ficheros, impresoras, acceso remoto…
Servicios 3
  • Otra herramienta por defecto que viene con el sistema operativo es iTunes, como gestor de ficheros multimedia. Vamos a deshabilitar el servicio de compartir de la aplicación, que nos puede dar algún que otro disgusto.
iTunes

Esto es todo por ahora, en la siguiente parte hablaremos más, comentando alguna opción más dada por el propio SSOO y metiéndonos en algunas aplicaciones que nos ayudarán a que nuestro equipo sea algo más seguro.

Para la redacción de este artículo me he basado principalmente en la Guía de seguridad de Snow Leopard de Apple y unos consejos publicados por la NSA Hardering Tips for Mac OS X 10.6 Snow Leopard.

Hasta la próxima 🙂

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s