SEGURIDAD MAC OS

La seguridad del sistema MacOS está diseñada para que tanto el software como el hardware estén
seguros en todos los componentes centrales de cada Mac. Esta arquitectura es fundamental para la
seguridad en macOS y nunca interfiere con la facilidad de uso del dispositivo.

UNIX

El núcleo macOS, el corazón del sistema operativo, se basa en Berkeley Software Distribution
(BSD) y en el microkernel Mach. BSD proporciona un sistema de archivos básico y servicios de
red, un esquema de identificación de usuarios y grupos, y muchas otras capacidades
fundamentales. BSD también impone restricciones de acceso a los archivos y recursos del sistema
en función de las ID de usuarios y grupos.

Mach proporciona administración de memoria, control de hilos, abstracción de hardware y

comunicación entre procesos. Los puertos de Mach representan tareas y otros recursos, y Mach
impone el acceso a los puertos al controlar qué tareas pueden enviarles un mensaje. Las políticas
de seguridad de BSD y los permisos de acceso a Mach constituyen la base esencial de la seguridad
en macOS y son fundamentales para hacer cumplir la seguridad local.

La seguridad del núcleo es esencial para la seguridad de todo el sistema operativo. La firma de
código protege el kernel y las extensiones de kernel de terceros, así como otras bibliotecas de
sistemas y ejecutables desarrollados por Apple.

MODELO DE PERMISO DE USUARIO

Un aspecto importante de la seguridad de Mac es la concesión o denegación de permisos de acceso

(a veces llamados derechos de acceso). Un permiso es la capacidad de realizar una operación
específica, como obtener acceso a los datos o ejecutar código. Los permisos se otorgan a nivel de
carpetas, subcarpetas, archivos y aplicaciones, así como para datos específicos en archivos,
capacidades de aplicaciones y funciones administrativas. Las firmas digitales identifican los
derechos de acceso de las aplicaciones y los componentes del sistema.

MacOS controla los permisos en muchos niveles, incluidos los componentes Mach y BSD del
kernel. Para controlar los permisos de las aplicaciones en red, macOS utiliza protocolos de red.
CONTROLES DE ACCESO OBLIGATORIOS

MacOS también usa controles de acceso obligatorios, políticas que establecen restricciones de
seguridad creadas por el desarrollador, que no se pueden anular. Este enfoque es diferente de los
controles de acceso discrecional, que permiten a los usuarios anular las políticas de seguridad de
acuerdo con sus preferencias. Los controles de acceso obligatorios no son visibles para los
usuarios, pero son la tecnología subyacente que ayuda a habilitar varias características importantes,
como el sandboxing, los controles parentales, las preferencias administradas, las extensiones y la
protección de integridad del sistema.

PROTECCIÓN DE INTEGRIDAD DEL SISTEMA

OS X 10.11 o posterior incluye protección a nivel de sistema, llamada Protección de integridad

del sistema, que restringe los componentes a solo lectura en ubicaciones críticas específicas del
sistema de archivos para evitar que los códigos malintencionados los ejecuten o modifiquen. La
protección de integridad del sistema es una configuración específica de la computadora que está
activada de forma predeterminada cuando actualiza a OS X 10.11; deshabilitarlo elimina la
protección de todas las particiones en el dispositivo de almacenamiento físico. MacOS aplica esta
política de seguridad a todos los procesos que se ejecutan en el sistema, independientemente de si
se está ejecutando en un entorno aislado o con privilegios administrativos.

La protección de integridad del sistema es una tecnología de seguridad en OS X El Capitan y

versiones posteriores diseñada para impedir que software potencialmente malicioso modifique
carpetas y archivos protegidos en la Mac. La protección de integridad del sistema restringe
la cuenta de usuario raíz y limita las acciones que el usuario raíz puede llevar a cabo en las partes
protegidas del sistema operativo de la Mac.

Antes de que se incorporara la protección de integridad del sistema, el usuario raíz no tenía
restricciones de permiso, por lo que tenía acceso a todas las carpetas o apps del sistema en la Mac.
El software obtenía acceso a nivel de raíz cuando ingresabas tu nombre de administrador y
contraseña para instalarlo. Al hacer esto, se permitía que el software modificara o sobrescribiera
las carpetas o apps del sistema.
La protección de integridad del sistema brinda protección para las siguientes partes del sistema:

 /Sistema

 /usr

 /bin

 /sbin

 Apps previamente instaladas con OS X

Las apps y los instaladores de proveedores independientes pueden escribir a las siguientes rutas y
apps:

/Aplicaciones

/Biblioteca

/usr/local

La protección de integridad del sistema está diseñada para permitir modificaciones de estas partes
protegidas solo mediante los procesos firmados por Apple y que cuentan con autorizaciones
especiales para escribir a archivos del sistema, como las actualizaciones de software de Apple y
los instaladores de Apple. Las apps descargadas de Mac App Store ya funcionan con la protección
de integridad del sistema. Es posible que, si un software de proveedores independientes entra en
conflicto con la protección de integridad del sistema, se desestime cuando actualizas a
OS X El Capitan o versiones posteriores.

La protección de integridad del sistema también ayuda a impedir que cierto software seleccione
un disco de arranque. Para seleccionar un disco de arranque, selecciona Preferencias del Sistema
en el menú Apple y, a continuación, haz clic en Disco de arranque. O bien puedes mantener
presionada la tecla Option cuando reinicies la computadora y, luego, seleccionar un disco de
arranque de la lista.
EXTENSIONES DE KERNEL

MacOS proporciona un mecanismo de extensión del kernel para permitir la carga dinámica de
código en el kernel sin la necesidad de volver a compilarlo o volver a vincularlo. Debido a que
estas extensiones de kernel (KEXT) proporcionan modularidad y carga dinámica, son una opción
natural para cualquier servicio relativamente autónomo que requiera acceso a las interfaces
internas del kernel, como controladores de dispositivos de hardware o aplicaciones VPN.

Para mejorar la seguridad en Mac, se requiere el consentimiento del usuario para cargar las
extensiones de kernel instaladas con o después de instalar macOS High Sierra. Carga de extensión
de kernel aprobada por el usuario. Cualquier usuario puede aprobar una extensión del kernel,
incluso si no tiene privilegios de administrador.

Las extensiones del kernel no requieren autorización si:

Se instalaron en la Mac antes de actualizar a macOS High Sierra.

Están reemplazando extensiones previamente aprobadas.
Se les permite cargar sin el consentimiento del usuario utilizando el comando spctl
disponible cuando se inicia desde la partición de recuperación de macOS.
Se les permite cargar a través de la configuración de administración de dispositivos
móviles (MDM). A partir de macOS High Sierra 10.13.2, puede usar MDM para
especificar una lista de extensiones de kernel que se cargarán sin el consentimiento del
usuario. Esta opción requiere una Mac que ejecute macOS High Sierra 10.13.2 que esté
inscrita en MDM, ya sea a través del Programa de inscripción de dispositivos (DEP) o
mediante la inscripción MDM aprobada por el usuario.

CONTRASEÑA DE FIRMWARE

MacOS admite el uso de una contraseña para evitar modificaciones no deseadas de la

configuración del firmware en un sistema específico. Esta contraseña de firmware se utiliza para
evitar lo siguiente:

• Arranque desde un volumen de sistema no autorizado.

• Alteración del proceso de arranque, como el arranque en modo de usuario único.

• Acceso no autorizado a macOS Recovery.

• Acceso directo a memoria (DMA) a través de interfaces como Thunderbolt.

• Modo de disco de destino, que requiere DMA.

Nota: el chip Apple T2 en iMac Pro evita que los usuarios puedan restablecer la contraseña del
firmware, incluso si obtienen acceso físico a la Mac. En una Mac que no tenga el chip T2, se deben
tomar precauciones adicionales para evitar que los usuarios obtengan acceso físico a las partes
internas de la Mac.

RECUPERACIÓN DE INTERNET

Las computadoras Mac intentan iniciarse automáticamente desde MacOS Recovery a través de
Internet cuando no pueden iniciarse desde el sistema de recuperación integrado. Cuando eso
sucede, aparece un globo giratorio en lugar de un logotipo de Apple durante el inicio. La
recuperación de Internet permite a un usuario reinstalar la última versión de macOS o la versión
que se envió con su Mac. Las actualizaciones de macOS se distribuyen a través de la App Store y
las realiza el instalador de macOS, que aprovecha las firmas de código para garantizar la integridad
y autenticidad del instalador y sus paquetes antes de la instalación. De manera similar, el servicio
de recuperación de Internet es la fuente autorizada para el sistema operativo que se envió con una
Mac en particular.

CIFRADO Y PROTECCIÓN DE DATOS

SISTEMA DE ARCHIVOS DE APPLE

Apple File System (APFS) es un nuevo y moderno sistema de archivos para macOS, iOS, tvOS y
watchOS. Optimizado para almacenamiento Flash / SSD, cuenta con cifrado sólido, metadatos de
copia en escritura, espacio compartido, clonación de archivos y directorios, instantáneas, tamaño
rápido de directorios, primitivas de seguridad de almacenamiento atómico y fundamentos de
sistemas de archivos mejorados, así como también diseño exclusivo de copia y escritura que utiliza
la unión de E / S para ofrecer el máximo rendimiento y garantizar la fiabilidad de los datos.

APFS asigna espacio en disco a pedido. Cuando un solo contenedor de APFS tiene varios
volúmenes, el espacio libre del contenedor se comparte y puede asignarse a cualquiera de los
volúmenes individuales según sea necesario. Cada volumen utiliza solo una parte del contenedor
general, por lo que el espacio disponible es el tamaño total del contenedor, menos el espacio
utilizado en todos los volúmenes en el contenedor.

Para macOS High Sierra, un contenedor de APFS válido debe contener al menos tres volúmenes,
los dos primeros de los cuales están ocultos para el usuario:

• Volumen de prearranque: contiene los datos necesarios para iniciar cada volumen del sistema en
el contenedor.

• Volumen de recuperación: contiene el disco de recuperación.

• Volumen del sistema: contiene macOS y la carpeta de usuario.

FILEVAULT

Cada Mac proporciona una capacidad de cifrado incorporada, llamada FileVault, para asegurar
todos los datos en reposo. FileVault utiliza el cifrado de datos XTS-AES-128 para proteger los
datos en una Mac en reposo. Esto se puede aplicar a la protección total del volumen en dispositivos
de almacenamiento internos y extraíbles. Si un usuario ingresa un ID de Apple y una contraseña
durante el Asistente de configuración, el asistente sugiere habilitar FileVault y almacenar la clave
de recuperación en iCloud.

Se le pide a un usuario que habilita FileVault en una Mac que proporcione credenciales válidas
antes de continuar con el proceso de inicio y que obtenga acceso a modos de inicio especializados,
como el Modo de disco de destino. Sin credenciales de inicio de sesión válidas o una clave de
recuperación, todo el volumen permanece encriptado y está protegido contra el acceso no
autorizado, incluso si el dispositivo de almacenamiento físico se quita y se conecta a otra
computadora.

Para proteger los datos en una configuración empresarial, el departamento de TI debe definir y
hacer cumplir las políticas de configuración de FileVault a través de MDM. Las organizaciones
tienen varias opciones para administrar volúmenes encriptados, incluidas las claves de
recuperación institucional, las claves de recuperación personal (que se pueden almacenar
opcionalmente con MDM para la custodia) o una combinación de ambas. La rotación de claves
también se puede establecer como una política en MDM.
IMÁGENES DE DISCO ENCRIPTADAS.

En macOS, las imágenes de disco cifradas sirven como contenedores seguros en los que los
usuarios pueden almacenar o transferir documentos confidenciales y otros archivos. Las imágenes
de disco cifradas se crean usando la Utilidad de Disco, ubicada en / Aplicaciones / Utilidades /.
Las imágenes de disco se pueden cifrar utilizando el cifrado AES de 128 bits o de 256 bits. Debido
a que una imagen de disco montada se trata como un volumen local conectado a una Mac, los
usuarios pueden copiar, mover y abrir archivos y carpetas almacenados en ella. Al igual que con
FileVault, el contenido de una imagen de disco se cifra y descifra en tiempo real. Con las imágenes
de disco cifradas, los usuarios pueden intercambiar documentos, archivos y carpetas de manera
segura guardando una imagen de disco cifrada en un medio extraíble, enviándola como un archivo
adjunto de mensaje de correo o almacenándola en un servidor remoto.

GESTIÓN DE LA MEMORIA

Al igual que con la mayoría de los sistemas operativos modernos, Mach proporciona
direccionamiento a espacios de direcciones virtuales grandes y dispersos. El acceso en tiempo de
ejecución se realiza a través de direcciones virtuales que pueden no corresponder a ubicaciones en
la memoria física en el momento inicial del intento de acceso. Mach es responsable de tomar una
dirección virtual solicitada y asignarle una ubicación correspondiente en la memoria física. Lo
hace a través de la paginación por demanda.

Un rango de un espacio de direcciones virtuales se llena con datos cuando un objeto de memoria
se asigna a ese rango. Todos los datos en un espacio de direcciones se proporcionan finalmente a
través de objetos de memoria. Mach le pregunta al dueño de un objeto de memoria
(un buscapersonas) para el contenido de una página al establecerla en la memoria física y devuelve
los datos posiblemente modificados al buscapersonas antes de reclamar la página. OS X incluye
dos buscapersonas incorporados, el buscapersonas predeterminado y el vnode buscapersonas.

El paginador predeterminado maneja la memoria no persistente, conocida como memoria

anónima. La memoria anónima tiene cero inicializaciones y existe solo durante la vida de una
tarea. El paginador vnode asigna archivos a objetos de memoria. Mach exporta una interfaz a los
objetos de memoria para permitir que su contenido sea contribuido por tareas de modo de
usuario. Esta interfaz se conoce como la interfaz de administración de memoria externa, o EMMI.
El subsistema de gestión de memoria exporta identificadores de memoria virtual conocidos
como entradas con nombre o entradas de memoria con nombre. Como la mayoría de los recursos
del kernel, estos están denotados por puertos. Tener un identificador de entrada de memoria con
nombre permite al propietario asignar el objeto de memoria virtual subyacente o pasar el derecho
de asignar el objeto subyacente a otros. La asignación de una entrada con nombre en dos tareas
diferentes da como resultado una ventana de memoria compartida entre las dos tareas, lo que
proporciona un método flexible para establecer la memoria compartida.

A partir de OS X v10.1, la EMMIEl sistema fue mejorado para soportar EMMI "sin puerto". En la
EMMI tradicional, se crearon dos puertos Mach para cada región de memoria, y también dos
puertos para cada nodo en caché. La EMMI sin puerto, en su implementación inicial, reemplaza
esto con referencias de memoria directas (básicamente punteros). En una versión futura, los
puertos se utilizarán para la comunicación con buscapersonas fuera del kernel, mientras que se
usarán referencias directas para la comunicación con paginadores que residen en el espacio del
kernel. El resultado neto de estos cambios es que las versiones anteriores de EMMI sin puerto no
admiten paginadores que se ejecutan fuera del espacio del kernel. Se espera que este soporte se
restablezca en una versión futura.

Los rangos de direcciones del espacio de memoria virtual también se pueden completar mediante
la asignación directa (usando vm_allocate). El objeto de memoria virtual subyacente es anónimo
y está respaldado por el paginador predeterminado. Los rangos compartidos de un espacio de
direcciones también se pueden configurar a través de la herencia. Cuando se crean nuevas tareas,
se clonan de un padre. Esta clonación también pertenece al espacio de direcciones de memoria
subyacente. Las porciones asignadas de los objetos se pueden heredar como una copia, o como
compartidas, o no en absoluto, según los atributos asociados con las asignaciones. Mach practica
una forma de copia retrasada conocida como copia en escritura para optimizar el rendimiento de
las copias heredadas en la creación de tareas.

En lugar de copiar directamente el rango, la optimización de copia en escritura se logra mediante

intercambio protegido. Las dos tareas comparten la memoria a copiar, pero con acceso de solo
lectura. Cuando cualquiera de las tareas intenta modificar una parte del rango, esa parte se copia
en ese momento. Esta perezosa evaluación de copias en memoria es una optimización importante
que permite simplificaciones en varias áreas, en particular la APIs de mensajería.
Otra forma de compartir la proporciona Mach, a través de la exportación de regiones con
nombre. Una región con nombre es una forma de una entrada con nombre, pero en lugar de estar
respaldada por un objeto de memoria virtual, está respaldada por un fragmento de mapa
virtual. Este fragmento puede contener asignaciones a numerosos objetos de memoria virtual. Es
mapeable en otros mapas virtuales, proporcionando una forma de heredar no solo un grupo de
objetos de memoria virtual sino también sus relaciones de mapeo existentes. Esta función ofrece
una optimización significativa en la configuración de tareas, por ejemplo, al compartir una región
compleja del espacio de direcciones utilizado para bibliotecas compartidas

BIBLIOGRAFÍA

macOS Security Overview for IT. (2018) Recuperado de

https://www.apple.com/la/business/resources/docs/macOS_Security_Overview.pdf

Apple. (2013). Descripción general de Mach. Recuperado de

https://developer.apple.com/library/archive/documentation/Darwin/Conceptual/KernelPro
gramming/Mach/Mach.html