Lion: nuevas características de seguridad

Si sois usuarios de Mac seguro que sabéis que esta semana Apple ha lanzado OS X Lion y que ya lo podéis encontrar en el App Store por 23,99 euros.

Lion aporta al Mac más de 250 nuevas características, incluyendo los nuevos gestos Multi-Touch, 'apps' a pantalla completa en todo el sistema, la innovadora vista 'Mission Control', la Mac App Store, el 'Launchpad' y una aplicación Mail completamente rediseñada entre otros.

Pero, ¿cuales son las mejoras de seguridad de esta versión?. Veamos a continuación las características más importantes, si bien muchas de ellas han de ser probadas masivamente por los usuarios:

Address Space Layout Randomization (ASLR)


ASLR no impide específicamente ninguna vulnerabilidad pero hace que explotar alguna de ellas sea mucho más difícil. Snow Leopard ya introdujo ASLR, pero limitado a las librerías y sin aleatorizar las pila y la cabecera.

Actualizaciones automáticas de seguridad

En Snow Leopard, al igual que en la mayoría de sistemas operativos, el usuario tenía que aprobar manualmente la instalación de las actualizaciones. En Lion se va a hacer automáticamente y habrá que ver si las actualizaciones llegan a afectar a algunas aplicaciones incompatibles.

Sandboxing

Sandboxing está diseñado para impedir que las aplicaciones puedan afectar a otras aplicaciones y al sistema subyacente. Particularmente para Safari será interesante ver cómo funciona y si prevendrá la explotación de algunas vulnerabilidades. Safari en si mismo es bastante modular y javascript y los plugins se ejecutarán en su propio sandbox.

Backups cifrados

Los backups periódicos (time machine backup) podrán ser ahora cifrados.

Air Drop

Air drop suena un poco peligroso: es un protocolo que permite compartir rápidamente ficheros en redes peer-to-peer. Sin embargo y según Apple, las transferencias serán cifradas por TLS y los usuarios se autenticarán con el ID de Apple (el cual pone a nuestra disposición un certificado de cliente). También viene con reglas de firewall apropiadas por lo que parece que han pensado en los aspectos más importantes desde el punto de vista de la seguridad. Sin embargo esta característica necesita probarse más en profundidad.

File Vault 2

En Snow Leopard sólo se cifraba el directorio home del usuario y existían problemas con las copias programadas. Ahora si tenemos previamente una partición de recuperación, File Vault 2 es capaz de cifrar particiones completas (no el disco entero como PGP) e implementa una serie de características adicionales. Por ejemplo, se puede "limpiar" el disco en un instante mediante la eliminación de la clave. Además, si un usuario tiene miedo de perder su clave, ésta puede ser custodiada por Apple. Las pruebas de rendimiento iniciales han sido bastante buenas.

Privacidad

Lion utiliza unas preferencias de privacidad refinadas, en particular limitando el acceso a la información de ubicación.

ID de Apple para autenticación

Al darnos de alta en Apple tendremos la posibilidad de obtener un certificado que podremos usar para la autenticación a la hora de compartir ficheros, en iChat y en Screen Sharing. Este certificado ya existía anteriormente y podía usarse en iChat, pero ahora puede ser utilizado además por otras características del sistema operativo.

Referencia:
http://isc.sans.edu/diary/Lion+What+is+new+in+Security/11245

pd. para más detalle os aconsejo echar un vistazo a las siguientes entradas del fantástico blog de Seguridad Apple:

Comentarios