¿FileVault protege contra ransomware?

Ya hice una pregunta sobre ransomware en OS X en general. Pero no pude obtener una respuesta sobre si FileVault protege contra eso. De eso se trata esta pregunta. También me interesa saber si las copias de seguridad cifradas de Time Machine están a salvo del ransomware.

Ransomware aquí se define como software malicioso que encripta los datos del usuario en contra de su voluntad/conocimiento y exige un rescate a cambio de la clave de encriptación.

Veremos tres ejemplos:

  1. El malware se ejecuta sin privilegios de superusuario. El usuario involuntario puede haber ejecutado una aplicación comprometida/maliciosa que creía que era otra cosa, y luego dejar que se ejecutara en segundo plano durante el tiempo suficiente para causar daños.

  2. El malware se ejecuta con privilegios de superusuario. El usuario, creyendo que el software es otra cosa, le ha otorgado acceso de root al proporcionar la contraseña de root. El usuario puede incluso haber instalado el software dando la contraseña de root.

  3. El usuario no ejecutó ninguna aplicación, el malware logró ejecutarse de alguna otra manera. (¿Es esto posible en OS X?)

En los casos 1 y 2, el usuario habría desactivado la configuración "solo fuentes confiables" de OS X. (Pregunta adicional: ¿Es posible verse afectado por ransomware mientras esta configuración está activada?)

Mirando 1., 2. y 3. por separado, el malware puede:

R: ¿Acceder a los datos protegidos de FileVault?

B: ¿Modificar/Eliminar datos protegidos de FileVault?

C: (Una combinación de A y B) ¿Cifrar los datos protegidos de FileVault y sobrescribir (eliminar de forma segura) los datos originales de FileVault)?

¿Hay alguna diferencia entre los datos protegidos de FileVault almacenados localmente y las copias de seguridad cifradas de Time Machine almacenadas en otra unidad? También estoy interesado en la respuesta con respecto a este último.

Respuestas (2)

El ransomware funciona seleccionando ciertos archivos (normalmente por tipo, como documentos, billeteras de bitcoin, etc.), cifrando esos archivos individuales y obligándote a pagar por una clave para descifrarlos.

FileVault protege sus datos en su Mac cifrando todo el disco. Cuando inicia su Mac, ingresa una contraseña que efectivamente "descifra" la unidad y permite que se ejecute tal cual. Dicho esto, una vez que haya puesto la llave en la cerradura, por así decirlo, FileVault no lo protegerá del ransomware. Seguiría siendo tan vulnerable como el ransomware que se ejecutaría después de desbloquear FileVault.

En cuanto a las copias de seguridad de Time Machine, esto es más complicado. Esas copias de seguridad se almacenan cifradas en reposo y solo se descifran cuando se accede a ellas. Esto significa que los archivos dentro de las copias de seguridad en sí no serían identificables individualmente para el ransomware que se estaba ejecutando; sin embargo, la copia de seguridad completa podría serlo. Entonces, el ransomware podría cifrar todo como una unidad, en lugar de solo los archivos individuales.

En cuanto a la configuración de "fuentes confiables" de OSX, ha habido múltiples vulnerabilidades contra esta función últimamente y no es tan confiable como parece. No podría decir con certeza que no te protegería, pero no contaría con eso.

Recomendaría algún tipo de copia de seguridad fuera de la computadora o basada en la nube si realmente desea proteger sus datos que se ejecutan a través de una aplicación de terceros. En otras palabras, no se conecte a una red compartida y haga una copia de seguridad de sus datos allí, use una aplicación para hacerlo. Es poco probable que el ransomware sea lo suficientemente sofisticado y específico para conocer aplicaciones de copia de seguridad específicas, cómo se conectan a su servicio de terceros y cómo cifrar los archivos en ese servicio. Dropbox es un ejemplo simple aquí si paga por su servicio de copia de seguridad en la nube; incluso si el ransomware cifró sus archivos en Dropbox, mantienen copias de seguridad de las versiones para que tenga algo a lo que volver.

Gran respuesta. En Windows, he oído hablar de la entrada de ransomware .docy otros archivos no ejecutables. ¿Es eso posible en OS X? ¿O tiene que ser a través de una aplicación ejecutable?
Además, ¿es diferente si la copia de seguridad de Time Machine está ubicada en una Time Capsule, conectada a través de WiFi pero no conectada físicamente a la Mac?
Realmente no hay una buena respuesta para eso. Diría que es menos probable a través de un .doc en OSX debido a la ausencia de cosas como vbscript en OSX, sin embargo, cualquier cosa que abra una aplicación podría explotar una debilidad de seguridad en esa aplicación e instalar algo malicioso. La mejor defensa es hacer una copia de seguridad de sus datos regularmente en algo que sea lo suficientemente complicado para que un atacante acceda. Tampoco mencioné: uso Arq para Mac para realizar copias de seguridad en Amazon S3. La probabilidad de que el ransomware se introduzca en eso creo que es muy pequeña.
Para responder a su otra pregunta, creo que OSX trata una máquina del tiempo de la cápsula del tiempo como una máquina local, por lo que no creo que haya una ventaja de una forma u otra. Cifrarlos en TC mantiene a otros usuarios de ese TC fuera de sus cosas (ya que potencialmente comparten una red), pero no ransomware.
Bien, gracias por la entrada. Vivo en la India rural y tengo una conexión a Internet muy limitada donde pago por MB, así que supongo que la mejor opción para mí es hacer una copia de seguridad en un disco duro externo que solo está conectado durante el proceso de copia de seguridad y permanece desconectado de lo contrario.
Vaya, qué situación tan interesante en la que no había pensado. Las copias de seguridad sin conexión son sin duda tu amigo. Podría tener varias unidades que girar, si tuviera algo tan crítico. tal vez 7 unidades, una para cada día de la semana. Por lo tanto, si sucede algo malo, tiene hasta 7 días de copia de seguridad y hasta 7 días para darse cuenta de que está infectado antes de que afecte potencialmente su última copia de seguridad.
Es una gran idea.

Una característica de macOS que puede ayudar contra el ransomware es la Protección de integridad del sistema (SIP). Esta función está habilitada de forma predeterminada en las nuevas versiones de macOS. SIP evita cambios en los archivos del sistema, incluso si es root. Para deshabilitar esto, debe ingresar a Recuperación de macOS (Reiniciar, luego Comando + R) y luego seleccionar Utilidades> Terminal. Una vez que estés en la Terminal, escribe csrutil disable. Para verificar el estado, csrutil status(puede verificar que el estado sea macOS). Para habilitar, csrutil enable(debe estar en macOS Recovery). Tenga en cuenta que en macOS Catalina (10.15 y superior), los archivos del sistema se almacenan en APFS Ready Only por separado, por lo que incluso si SIP está deshabilitado, no puede escribir en los archivos del sistema.

Esto no responde a la pregunta que se hace; se trata de FileVault . Sus primeras tres oraciones son correctas, pero no entiendo por qué describiría cómo deshabilitar la función que, como mínimo, no se pregunta y, sobre todo, lo expone a una tonelada de amenazas. Eche un vistazo a Cómo responder para obtener una guía sobre cómo escribir buenas respuestas.
¿FileVault protege contra ransomware?
RespuestasAquíPolítica de privacidad1y, 0v