5 votos

El Tiempo De Endurecimiento De La Máquina De Seguridad

En la cara de la noticia de que ahora hay un ransomware para mac en la naturaleza pensé acerca de la seguridad de mi tiempo-máquina de copias de seguridad.

Permisos

En primer lugar, eché un vistazo a los permisos de los archivos que residen en mi timecapsule, que son las siguientes:

Directorio De Datos

Usuario (desconocido) Leer Y Escribir

Grupo (todos) Leer Y Escribir

Individual Sparsebundles por respaldados equipo dentro del Directorio de Datos

Usuario (desconocido) Leer Y Escribir

Grupo (personal) Leer Y Escribir

Grupo (todos) Leer Y Escribir

Parece que hay espacio para mejorar en este sentido. En primer lugar, no entiendo por qué un usuario Desconocido está en la lista. ¿Hay alguna razón para esto o puedo eliminar este elemento? Segundo, ¿hay alguna necesidad de dar Permisos de Lectura y Escritura a "todos" y "personal"?

Si entiendo correctamente, la Máquina del Tiempo de las Copias de seguridad están a cargo de la backupd proceso, que, en mi ordenador, se ejecuta como usuario root. Así que parece que sólo la root se requiere que el usuario tiene acceso de Lectura Y Escritura. Es eso correcto? Puedo eliminar los permisos existentes y agregar usuario "root" con la Lectura Y Escritura de los permisos?

Por último, sería este cambio ofrecerá una nueva línea de defensa contra el ransomware? Si un ransomware se ejecuta como un usuario normal X y no la ganancia de la root, se podría cifrar todos los archivos a los que X tiene acceso de escritura, pero no podía cifrar máquina del tiempo de las copias de seguridad, ya que sólo root tiene acceso a ellos. Es esta línea de razonamiento correcto?

Correr OSX El Capitan, 10.11.3.

2voto

Philipp Puntos 66

Actualización después de la discusión con bmike (ver más abajo)

Durante un Tiempo real de Copia de seguridad de Máquina, backupd monta dos acciones. /Volúmenes/Lo que sea y /Volúmenes/Máquina del Tiempo de las Copias de seguridad. Mientras que el primero no se puede acceder por un usuario no-root, el último. De hecho, es posible borrar las Acl de los archivos y sobrescribir ellos posteriormente. Así que el tema de la seguridad es muy abierta.

Respuesta Original

Pensando un poco más acerca del sistema de montaje, se me vino a la vista de que mi pregunta original contenía una equivocada suposición, la eliminación de lo que quizás hace que la cuestión obsoleta. Me he decidido a escribir una respuesta en lugar de la eliminación de la pregunta para el beneficio de la igualmente equivocada.

Cuando revisé los permisos de mi sparsebundle archivos, yo manualmente montado en la Cápsula de Tiempo de disco. Ya he montado el disco como un usuario normal, este usuario se convirtió en el propietario del punto de montaje (comprobación en el terminal, puedo ver que mi cuenta de usuario es el propietario del punto de montaje, "personal" siendo el grupo).

Ahora mi hipótesis (que no era transparente para mí) fue que si el Tiempo de la Máquina se monta el disco durante una sesión de copia de seguridad, que estaría presente en el sistema como si lo montado manualmente. Pero esto es incorrecto. Desde backupd se ejecuta como root, el punto de montaje pertenece a la root (comprobación en la terminal, el propietario es "root", el grupo "la rueda", el grupo y el mundo a no tener derechos.) y por lo tanto un proceso que pertenece a un usuario normal no sería capaz de cifrar los archivos en una Máquina del Tiempo Disco montado por backupd.

Por lo tanto, en una Cápsula de Tiempo, el programa de instalación no parece ser, por el momento, un peligro de un ransomware para cifrar la copia de seguridad. Sin embargo, podría ser diferente con un local externo conectado disco duro. Yo recuerdo vagamente que cuando yo todavía utiliza un disco duro externo, pude ver la Máquina del Tiempo partición montada en el Finder (algo que yo no se ahora) y por lo tanto puede ser montado con derechos de usuario. No puedo probar esto, como no tengo un tiempo externo de la máquina de disco duro, pero tal vez alguien puede decir algo sobre esto.

2voto

Oskar Puntos 1242

Máquina del tiempo de las copias de seguridad son principalmente protegidos por ACL negar la autorización para que cualquiera pueda escribir en un archivo.

$ ls -le /Volumes/Whatever/Backups.backupdb/Mac/Latest/Macintosh\ HD/Users/me/Desktop/file.text 
-rw-r--r--@ 1 me    staff  - 14 Mar  8 11:54 /Volumes/Whatever/Backups.backupdb/Mac/Latest/Macintosh\ HD/Users/me/Desktop/file.text
0: group:everyone deny write,delete,append,writeattr,writeextattr,chown

Para un programa malicioso para cambiar un archivo en la copia de seguridad del subsistema, es necesario en primer lugar, leer y eliminar cualquier ACL y, a continuación, sería capaz de hacer un cambio en un archivo de eso se almacenan en la Máquina del Tiempo de directorio.

$ chmod -a# 0 /Volumes/Whatever/Backups.backupdb/Mac/Latest/Macintosh\ HD/Users/me/Desktop/file.text 

Después de que el comando anterior, el archivo está abierto a modificaciones, o incluso la eliminación.

El código del programa no necesita ningún acceso de root - sólo que se corrió bajo una normal de usuario de administrador para realizar este cambio y, a continuación, ser capaz de escribir en los archivos.

Ni esta ni la Integridad del Sistema de Protección detener cualquier proceso malicioso que se ejecuta como administrador de cifrado/modificar/borrar archivos de datos de usuario en una unidad de copia de seguridad que se montable (unidades de red) o conectado y ya está montado.

Para endurecer tus copias de seguridad, usted tendría que tener una copia sin conexión de alguna manera u otra suponiendo que el mal actor sabe para comprobar y modificar/eliminar ACL antes de pisón.

Me gustaría ver más opciones de cifrado para proteger algunos archivos que usted no puede permitirse un azar del programa de cono con opcionales y no almacenar su clave de cifrado para una segunda copia de seguridad de volumen en su llavero.

De esa manera, el primer destino de copia de seguridad podría ejecutar a menudo, pero ser vulnerables al malware. El segundo destino te pediría cada dos semanas o así que es fuera de fecha, si usted no tiene que montar y lanzar un manual de más de copia de seguridad.

No es lo ideal, pero he de suponer que Apple podría volver a diseñar el sistema si este riesgo potencial se convierte en más de un riesgo real de que a lo largo del tiempo en OS X. La única gracia salvadora acerca de portero y firmado de código es que la más ampliamente distribuida malware es, más probable es que Apple, con la prohibición de que se ejecutan en máquinas que participar en el Portero de protección. En este caso, parece que tardó menos de 48 horas desde el anuncio público de la amenaza para el remedio para desactivarlo está disponible de Apple.

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by: