El jueves por la tarde, los usuarios de Mac de todo el mundo comenzaron a quejarse de una desaceleración paralizante al abrir aplicaciones. La causa: comprobaciones de certificados en línea que Apple realiza cada vez que un usuario abre una aplicación que no se ha descargado de la App Store. La actualización masiva a Big Sur, al parecer, provocó que los servidores de Apple responsables de estas comprobaciones se ralentizaran.
Apple arregló rápidamente la desaceleración, pero las preocupaciones sobre las Mac paralizadas pronto fueron reemplazadas por una preocupación aún mayor: la gran cantidad de datos personales que Apple, y posiblemente otros, pueden obtener de las Mac que realizan verificaciones de certificados cada vez que un usuario abre una aplicación que no lo hizo. provienen de la App Store.
Para las personas que entendían lo que estaba sucediendo detrás de escena, había pocas razones para ver las verificaciones de certificados como un robo de privacidad. Sin embargo, para estar seguro, Apple publicó el lunes un artículo de soporte eso debería calmar cualquier preocupación persistente. Más sobre eso más adelante. Primero, retrocedamos y proporcionemos algunos antecedentes.
Conoce OCSP
Antes de que Apple permita que una aplicación entre en la App Store, primero debe pasar una revisión que compruebe su seguridad. Los usuarios pueden configurar la función macOS conocida como Gatekeeper para permitir solo estas aplicaciones aprobadas, o pueden elegir una configuración que también permita la instalación de aplicaciones de terceros, siempre que estas aplicaciones estén firmadas con un certificado de desarrollador emitido por Apple. Para asegurarse de que el certificado no haya sido revocado, macOS usa OCSP, abreviatura del estándar de la industria Protocolo de estado de certificado en línea
Verificar la validez de un certificado —cualquier certificado— para autenticar un sitio web o un software parece bastante simple, pero durante mucho tiempo ha presentado problemas en toda la industria que no son fáciles de resolver. El medio inicial fue el uso de listas de revocación de certificados, pero a medida que las listas crecieron, su tamaño les impidió trabajar con eficacia. CRL dio paso a OCSP, que realizó la verificación en servidores remotos.
Resultó que OCSP tenía sus propios inconvenientes. Los servidores a veces se caen y, cuando lo hacen, las interrupciones del servidor OCSP tienen el potencial de paralizar a millones de personas que intentan hacer cosas como visitar sitios, instalar aplicaciones y consultar el correo electrónico. Para protegerse contra este peligro, OCSP utiliza de forma predeterminada lo que se llama un “fallo suave”. En lugar de bloquear el sitio web o el software que se está comprobando, OCSP actuará como si el certificado fuera válido en caso de que el servidor no responda.
De alguna manera, la cantidad masiva de personas que se actualizaron a Big Sur el jueves parece haber causado que los servidores de ocsp.apple.com se sobrecarguen pero no se caigan por completo. El servidor no pudo proporcionar todo claro, pero tampoco devolvió un error que desencadenaría la falla suave. El resultado fue que un gran número de usuarios de Mac quedó en el limbo.
Apple solucionó el problema con la disponibilidad de ocsp.apple.com, presumiblemente agregando más capacidad al servidor. Normalmente, ese habría sido el final del problema, pero no fue así. Pronto, las redes sociales se llenaron de afirmaciones de que el proceso de verificación de aplicaciones de macOS estaba convirtiendo a Apple en un Gran Hermano que rastreaba la hora y la ubicación cada vez que los usuarios abren o vuelven a abrir cualquier aplicación que no se haya descargado de la App Store.
La paranoia golpea profundo
El cargo Tu computadora no es tuya fue uno de los catalizadores de la preocupación masiva. Observó que las solicitudes de obtención de HTML simples realizadas por OCSP no estaban encriptadas. Eso significaba que Apple no solo pudo crear perfiles basados en nuestro uso de Mac minuto a minuto, sino también los ISP o cualquier otra persona que pudiera ver el tráfico que pasa por la red. (Para evitar caer en un bucle de autenticación infinito, prácticamente todo el tráfico OCSP no está encriptado, aunque las respuestas están firmadas digitalmente).
Afortunadamente, publicaciones menos alarmistas como éste proporcionó antecedentes más útiles. Los hash que se transmitían no eran exclusivos de la aplicación en sí, sino del certificado de desarrollador emitido por Apple. Eso aún permitía a las personas inferir cuándo se estaba utilizando una aplicación como Tor, Signal, Firefox o Thunderbird, pero aún era menos granular de lo que muchas personas asumieron al principio.
El punto más importante fue que, en la mayoría de los aspectos, la recopilación de datos por ocsp.apple.com no fue muy diferente de la información que ya se transmite en tiempo real a través de OCSP cada vez que visitamos un sitio web. Sin duda, existen algunas diferencias. Apple ve solicitudes OCSP para todas las aplicaciones de Mac que no se descargan de la App Store, que presumiblemente es una gran cantidad. Las solicitudes de OCSP para otro software firmado digitalmente van a cientos o miles de autoridades de certificación diferentes y, por lo general, se envían solo cuando se instala la aplicación.
En resumen, sin embargo, la conclusión fue la misma: la posible pérdida de privacidad de OCSP es una compensación que hacemos en un esfuerzo por verificar la validez del certificado que autentica un sitio web que queremos visitar o un software que queremos Instalar en pc.
Apple habla
En un intento de asegurar aún más a los usuarios de Mac, Apple publicó el lunes esta publicación. Explica lo que hace y no hace la empresa con la información recopilada a través de Gatekeeper y una función separada conocida como notarización, que verifica la seguridad incluso de las aplicaciones que no pertenecen a la App Store. La publicación dice:
Gatekeeper realiza comprobaciones en línea para verificar si una aplicación contiene malware conocido y si el certificado de firma del desarrollador está revocado. Nunca hemos combinado los datos de estos controles con información sobre los usuarios de Apple o sus dispositivos. No utilizamos los datos de estas comprobaciones para saber qué usuarios individuales están iniciando o ejecutando en sus dispositivos.
La notarización verifica si la aplicación contiene malware conocido utilizando una conexión cifrada que sea resistente a fallas del servidor.
Estos controles de seguridad nunca han incluido el ID de Apple del usuario o la identidad de su dispositivo. Para proteger aún más la privacidad, hemos dejado de registrar las direcciones IP asociadas con las verificaciones del certificado de ID de desarrollador y nos aseguraremos de que todas las direcciones IP recopiladas se eliminen de los registros.
La publicación continuó diciendo que en el próximo año, Apple proporcionará un nuevo protocolo para verificar si los certificados de desarrollador han sido revocados, brindará “protecciones sólidas contra fallas del servidor” y presentará una nueva configuración del sistema operativo para los usuarios que deseen optar por no participar. todo esto.
La controversia sobre el comportamiento que ha estado haciendo macOS desde que se introdujo al menos la versión de Catalina en octubre pasado subraya el compromiso que a veces se produce entre seguridad y privacidad. Gatekeeper está diseñado para facilitar que los usuarios menos experimentados se mantengan alejados de las aplicaciones que se sabe que son maliciosas. Para hacer uso de Gatekeeper, los usuarios deben enviar cierta cantidad de información a Apple.
No es que Apple esté completamente libre de culpa. Por un lado, los desarrolladores no han proporcionado una manera fácil de excluirse de las verificaciones OCSP. Eso ha hecho que bloquear el acceso a ocsp.apple.com sea la única forma de hacerlo, y para los usuarios de Mac con menos experiencia, eso es demasiado difícil.
El otro error es confiar en OCSP. Debido a su diseño de falla suave, la protección puede ser anulada, en algunos casos intencionalmente por un atacante o simplemente debido a una falla en la red. Apple, sin embargo, no es el único que confía en OCSP. Un método de revocación conocido como CRLite puede, en última instancia, proporcionar una solución a este error.
Las personas que no confían en las comprobaciones OCSP para aplicaciones de Mac pueden desactivarlas editar el archivo de hosts de Mac. Todos los demás pueden seguir adelante.