Patrick Wardle
Los cortafuegos no son solo para redes corporativas. Un gran número de personas preocupadas por la seguridad o la privacidad también las utilizan para filtrar o redirigir el tráfico que entra y sale de sus ordenadores. Apple realizó recientemente un cambio importante en macOS que frustra estos esfuerzos.
Comenzando con macOS Catalina lanzado el año pasado, Apple agregó una lista de 50 aplicaciones y procesos específicos de Apple que debían estar exentos de firewalls como Little Snitch y Lulu. La exención para indocumentados, que no entró en vigor hasta que se reescribieron los firewalls para implementar cambios en Big Sur, salió a la luz por primera vez. en octubre. Patrick Wardle, investigador de seguridad de Jamf, desarrollador empresarial de Mac y iOS, documentó aún más el nuevo comportamiento durante el fin de semana.
En Big Sur, Apple decidió eximir a muchas de sus aplicaciones de ser enrutadas a través de los marcos que ahora requieren firewalls de terceros para usar (LuLu, Little Snitch, etc.) 🧐
P: ¿Podría ser (ab) utilizado por malware para eludir también dichos firewalls? 🤔
R: Aparentemente sí, y trivialmente 😬😱😭 pic.twitter.com/CCNcnGPFIB
– patrick wardle (@patrickwardle) 14 de noviembre de 2020
“100% ciego”
Para demostrar los riesgos que conlleva este movimiento, Wardle, un ex pirata informático de la NSA, demostró cómo los desarrolladores de malware podían aprovechar el cambio para poner fin a una medida de seguridad probada y verda dera. Configuró a Lulu y Little Snitch para bloquear todo el tráfico saliente en una Mac que ejecutaba Big Sur y luego ejecutó un pequeño script de programación que tenía un código de explotación que interactuaba con una de las aplicaciones que Apple eximió. La secuencia de comandos de Python no tuvo problemas para llegar a un servidor de comando y control que configuró para simular uno comúnmente utilizado por el malware para filtrar datos confidenciales.
“Le pidió amablemente (¿coaccionar?) A uno de los elementos confiables de Apple que generara tráfico de red a un servidor controlado por un atacante y podría (ab) usar esto para exfiltrar archivos”, me dijo Wardle, refiriéndose al guión. “Básicamente, ‘Oiga, Sr. Apple Item, ¿podría enviar este archivo al servidor remoto de Patrick?’ Y estaría de acuerdo. Y dado que el tráfico provenía del elemento confiable, nunca se enrutaría a través del firewall … lo que significa que el firewall es 100% ciego “.
Wardle tuiteó una parte de un informe de error que envió a Apple durante la fase beta de Big Sur. Advierte específicamente que “las herramientas de seguridad esenciales, como los firewalls, son ineficaces” con el cambio.
Apple aún tiene que explicar el motivo del cambio. Las configuraciones incorrectas del firewall suelen ser la causa de que el software no funcione correctamente. Una posibilidad es que Apple implementó la medida para reducir la cantidad de solicitudes de soporte que recibe y mejorar la experiencia de Mac para las personas que no están preparadas para establecer reglas de firewall efectivas. No es inusual que los firewalls eximan su propio tráfico. Apple puede estar aplicando el mismo razonamiento.
Pero la incapacidad de anular la configuración viola un principio básico de que las personas deberían poder restringir selectivamente el tráfico que fluye desde sus propias computadoras. En el caso de que una Mac se infecte, el cambio también brinda a los piratas informáticos una forma de evitar lo que para muchos es una mitigación efectiva contra tales ataques.
“El problema que veo es que abre la puerta para hacer exactamente lo que Patrick demostró … los autores de malware pueden usar esto para infiltrar datos en un firewall”, dijo Thomas Reed, director de Mac y ofertas móviles de la firma de seguridad Malwarebytes. “Además, siempre existe la posibilidad de que alguien tenga una necesidad legítima de bloquear parte del tráfico de Apple por alguna razón, pero esto elimina esa capacidad sin usar algún tipo de filtro de red de hardware fuera de Mac”.
Las personas que quieran saber qué aplicaciones y procesos están exentos pueden abrir el terminal macOS e ingresar sudo defaults read /System/Library/Frameworks/NetworkExtension.framework/Resources/Info.plist ContentFilterExclusionList.
NKEs
El cambio se produjo cuando Apple desaprobó las extensiones del kernel de macOS, que los desarrolladores de software usaban para hacer que las aplicaciones interactuaran directamente con el sistema operativo. La desaprobación incluyó NKEs, abreviatura de extensiones de kernel de red, que los productos de firewall de terceros usaban para monitorear el tráfico entrante y saliente.
En lugar de NKEs, Apple introdujo un nuevo marco de modo de usuario llamado el Marco de extensión de red. Para ejecutarse en Big Sur, todos los firewalls de terceros que usaban NKE debían reescribirse para usar el nuevo marco.
Los representantes de Apple no respondieron a las preguntas enviadas por correo electrónico sobre este cambio. Esta publicación se actualizará si responden más tarde. Mientras tanto, las personas que quieran anular esta nueva exención deberán buscar alternativas. Como Reed señaló anteriormente, una opción es confiar en un filtro de red que se ejecuta desde fuera de su Mac. Otra posibilidad es confiar en PF, o Firewall de filtro de paquetes integrado en macOS.