2 votos

Fiksdal avatar

¿Protege FileVault contra el ransomware?

Preguntado el 13 de Abril, 2016
Cuando se hizo la pregunta
239 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Ya he pedido una pregunta sobre el ransomware en OS X en general. Pero no he obtenido respuesta sobre si FileVault protege contra ello. A eso se refiere esta pregunta. También me interesa saber si encriptado Las copias de seguridad de Time Machine están a salvo del ransomware.

El ransomware se define aquí como un software malicioso que cifra los datos del usuario en contra de su voluntad/conocimiento y exige un rescate a cambio de la clave de cifrado.

Veremos tres ejemplos:

  1. El malware se está ejecutando sin privilegios de superusuario. El usuario involuntario puede haber ejecutado un aplicación comprometida/maliciosa que creían que era otra cosa, y luego lo dejaban correr en segundo plano el tiempo suficiente para hacer daño.

  2. El malware se está ejecutando con privilegios de superusuario. El usuario, creyendo que el software es otra cosa, le ha concedido acceso Root dando la contraseña Root. El usuario puede incluso haber instalado el software dando la contraseña Root.

  3. El usuario no ejecutó ninguna aplicación, el malware se las arregló para ejecutarse de alguna otra manera. (¿Es esto posible en OS X?)

En los casos 1 y 2, el usuario habría desactivado la configuración de "sólo fuentes de confianza" de OS X. (Pregunta al margen: ¿Es posible ser afectado por un ransomware mientras esta configuración está activada?)

Considerando 1., 2. y 3. por separado, ¿puede el malware

R: ¿Acceder a los datos protegidos por FileVault?

B: ¿Modificar/borrar datos protegidos por FileVault?

C: (Una combinación de A y B) ¿Encriptar los datos protegidos por FileVault y sobrescribir (eliminar de forma segura) los datos originales de FileVault)?

¿Hay alguna diferencia entre los datos protegidos por FileVault almacenados localmente y encriptado ¿Las copias de seguridad de Time Machine se guardan en otra unidad? También me interesa la respuesta sobre esto último.

Preguntado el 13 de Abril, 2016 por Fiksdal

Respuestas

¿Demasiados anuncios?

2voto

Nathan avatar
Nathan Puntos 93

El ransomware funciona seleccionando ciertos archivos (normalmente por tipo - como documentos, monederos de bitcoin, etc), encriptando esos archivos individuales y obligando a pagar por una clave para desencriptarlos.

FileVault protege los datos de tu Mac cifrando todo el disco. Cuando arrancas tu Mac, pones una contraseña que efectivamente "desencripta" el disco y le permite funcionar tal cual. Dicho esto, una vez que hayas metido la llave en la cerradura, por así decirlo, FileVault no te protegería del ransomware. Seguirías siendo tan vulnerable como el ransomware. después de FileVault había sido desbloqueado.

En cuanto a las copias de seguridad de Time Machine, esto es más complicado. Esas copias de seguridad se almacenan encriptadas en reposo, y sólo se descifran cuando se accede a ellas. Esto significa que los archivos dentro de las copias de seguridad en sí no serían identificables individualmente para el ransomware que se está ejecutando - sin embargo, toda la copia de seguridad podría ser. Por lo tanto, el ransomware podría cifrar toda la copia de seguridad como una unidad, en lugar de sólo los archivos individuales.

En cuanto a la configuración de "fuentes de confianza" de OSX, ha habido múltiples exploits contra esta característica últimamente y no es tan fiable como parece. No podría decir con seguridad que no te protegería, pero no contaría con ello.

Yo recomendaría algún tipo de copia de seguridad en la nube o fuera del ordenador si realmente quieres proteger tus datos que se ejecutan a través de una aplicación de terceros. En otras palabras, no te conectes a un recurso compartido de red y hagas una copia de seguridad de tus datos allí, utiliza una aplicación para hacerlo. Es poco probable que el ransomware sea lo suficientemente sofisticado y específico como para conocer las aplicaciones de copia de seguridad específicas, cómo se conectan a su servicio de terceros y cómo cifrar los archivos en ese servicio. Dropbox es un ejemplo sencillo aquí si pagas por su servicio de copia de seguridad en la nube - incluso si el ransomware encriptara tus archivos en Dropbox, ellos mantienen versiones de copia de seguridad para que tengas algo a lo que volver.

Respondido el 13 de Abril, 2016 por Nathan (93 Puntos )

0 votos

Avatar de Fiksdal

Gran respuesta. En Windows, he oído hablar de ransomware que entra a través de .doc y otros archivos no ejecutables. ¿Es eso posible en OS X? ¿O tiene que ser a través de una aplicación ejecutable?

Comentado el 13 de Abril, 2016 por Fiksdal

0 votos

Avatar de Fiksdal

Además, ¿hay alguna diferencia si la copia de seguridad de Time Machine se encuentra en una Time Capsule, conectada a través de WiFi pero no conectada físicamente al Mac?

Comentado el 13 de Abril, 2016 por Fiksdal

0 votos

Avatar de Nathan

No hay una buena respuesta a eso. Yo diría que es menos probable a través de un .doc en OSX debido a la ausencia de cosas como vbscript en OSX, sin embargo cualquier cosa que sea abierta por una aplicación podría potencialmente explotar una debilidad de seguridad en esa aplicación e instalar algo malicioso. La mejor defensa es hacer una copia de seguridad de tus datos regularmente en algo que sea lo suficientemente complicado para que un atacante pueda acceder. Tampoco lo he mencionado: yo uso Arq para Mac para hacer copias de seguridad en Amazon S3. La probabilidad de que un ransomware se abra camino en eso creo que es muy pequeña.

Comentado el 13 de Abril, 2016 por Nathan
Mostrar 4 comentarios más

0voto

Usuario no registrado avatar
Usuario no registrado Puntos 0

Una característica de MacOS que puede ayudar contra el ransomware es la Protección de la Integridad del Sistema (SIP). Esta función está activada por defecto en las nuevas versiones de MacOS. La SIP impide que se realicen cambios en los archivos del sistema incluso si eres Root. Para desactivarla, tienes que ir a la recuperación de macOS (reiniciar y luego Comando + R) y luego seleccionar Utilidades > Terminal. Una vez que estés en la Terminal, escribe csrutil disable . Para comprobar el estado, csrutil status (puedes comprobar el estado es el propio MacOS). Para habilitarlo, csrutil enable (es necesario estar en Recuperación de MacOS). Tenga en cuenta que en MacOS Catalina (10.15 y superior), los archivos del sistema se almacenan en un APFS separado Ready Only, por lo que incluso si SIP está desactivado, no se puede escribir en los archivos del sistema.

Respondido el 31 de Marzo, 2020 por Usuario no registrado (0 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X