Ya hice una pregunta sobre ransomware en OS X en general. Pero no pude obtener una respuesta sobre si FileVault protege contra eso. De eso se trata esta pregunta. También me interesa saber si las copias de seguridad cifradas de Time Machine están a salvo del ransomware.
Ransomware aquí se define como software malicioso que encripta los datos del usuario en contra de su voluntad/conocimiento y exige un rescate a cambio de la clave de encriptación.
Veremos tres ejemplos:
El malware se ejecuta sin privilegios de superusuario. El usuario involuntario puede haber ejecutado una aplicación comprometida/maliciosa que creía que era otra cosa, y luego dejar que se ejecutara en segundo plano durante el tiempo suficiente para causar daños.
El malware se ejecuta con privilegios de superusuario. El usuario, creyendo que el software es otra cosa, le ha otorgado acceso de root al proporcionar la contraseña de root. El usuario puede incluso haber instalado el software dando la contraseña de root.
El usuario no ejecutó ninguna aplicación, el malware logró ejecutarse de alguna otra manera. (¿Es esto posible en OS X?)
En los casos 1 y 2, el usuario habría desactivado la configuración "solo fuentes confiables" de OS X. (Pregunta adicional: ¿Es posible verse afectado por ransomware mientras esta configuración está activada?)
Mirando 1., 2. y 3. por separado, el malware puede:
R: ¿Acceder a los datos protegidos de FileVault?
B: ¿Modificar/Eliminar datos protegidos de FileVault?
C: (Una combinación de A y B) ¿Cifrar los datos protegidos de FileVault y sobrescribir (eliminar de forma segura) los datos originales de FileVault)?
¿Hay alguna diferencia entre los datos protegidos de FileVault almacenados localmente y las copias de seguridad cifradas de Time Machine almacenadas en otra unidad? También estoy interesado en la respuesta con respecto a este último.
El ransomware funciona seleccionando ciertos archivos (normalmente por tipo, como documentos, billeteras de bitcoin, etc.), cifrando esos archivos individuales y obligándote a pagar por una clave para descifrarlos.
FileVault protege sus datos en su Mac cifrando todo el disco. Cuando inicia su Mac, ingresa una contraseña que efectivamente "descifra" la unidad y permite que se ejecute tal cual. Dicho esto, una vez que haya puesto la llave en la cerradura, por así decirlo, FileVault no lo protegerá del ransomware. Seguiría siendo tan vulnerable como el ransomware que se ejecutaría después de desbloquear FileVault.
En cuanto a las copias de seguridad de Time Machine, esto es más complicado. Esas copias de seguridad se almacenan cifradas en reposo y solo se descifran cuando se accede a ellas. Esto significa que los archivos dentro de las copias de seguridad en sí no serían identificables individualmente para el ransomware que se estaba ejecutando; sin embargo, la copia de seguridad completa podría serlo. Entonces, el ransomware podría cifrar todo como una unidad, en lugar de solo los archivos individuales.
En cuanto a la configuración de "fuentes confiables" de OSX, ha habido múltiples vulnerabilidades contra esta función últimamente y no es tan confiable como parece. No podría decir con certeza que no te protegería, pero no contaría con eso.
Recomendaría algún tipo de copia de seguridad fuera de la computadora o basada en la nube si realmente desea proteger sus datos que se ejecutan a través de una aplicación de terceros. En otras palabras, no se conecte a una red compartida y haga una copia de seguridad de sus datos allí, use una aplicación para hacerlo. Es poco probable que el ransomware sea lo suficientemente sofisticado y específico para conocer aplicaciones de copia de seguridad específicas, cómo se conectan a su servicio de terceros y cómo cifrar los archivos en ese servicio. Dropbox es un ejemplo simple aquí si paga por su servicio de copia de seguridad en la nube; incluso si el ransomware cifró sus archivos en Dropbox, mantienen copias de seguridad de las versiones para que tenga algo a lo que volver.
Una característica de macOS que puede ayudar contra el ransomware es la Protección de integridad del sistema (SIP). Esta función está habilitada de forma predeterminada en las nuevas versiones de macOS. SIP evita cambios en los archivos del sistema, incluso si es root. Para deshabilitar esto, debe ingresar a Recuperación de macOS (Reiniciar, luego Comando + R) y luego seleccionar Utilidades> Terminal. Una vez que estés en la Terminal, escribe csrutil disable
. Para verificar el estado, csrutil status
(puede verificar que el estado sea macOS). Para habilitar, csrutil enable
(debe estar en macOS Recovery). Tenga en cuenta que en macOS Catalina (10.15 y superior), los archivos del sistema se almacenan en APFS Ready Only por separado, por lo que incluso si SIP está deshabilitado, no puede escribir en los archivos del sistema.
Fiksdal
.doc
y otros archivos no ejecutables. ¿Es eso posible en OS X? ¿O tiene que ser a través de una aplicación ejecutable?Fiksdal
jimmy mooney
jimmy mooney
Fiksdal
jimmy mooney
Fiksdal