thumb_caparHoy en día, la vuelta del Mac a entornos corporativos hace especialmente interesante controlar uno de los mayores riesgos en ese terreno: el uso de dispositivos USB o Firewire para sacar (o introducir, o ejecutar) datos sin autorización.

Aunque existe una sensibilidad muy alta respecto a la seguridad "contra hackers" en las empresas, el mayor riesgo no viene desde fuera. La existencia de puertos USB en los ordenadores es una puerta abierta para comportamientos que pueden suponer un riesgo:

  • Uso de la conexión corporativa (más rápida que la de casa) para descargar música / archivos / aplicaciones, y trasladarlos cómodamente en un USB (o cargarlos en el MP3). Además de saturar la conexión, en la mayoría de las empresas se consideraría un mal uso del tiempo de trabajo… y un riesgo de infección evidente.
  • Copia no autorizada (y traslado a casa) de documentos confidenciales o propiedad intelectual de la empresa.
  • Introducción de software no autorizado en la red de la empresa, sea instalándolo desde el USB o ejecutándolo desde él. Esto puede ser simplemente irregular (instalar una aplicación que la empresa no proporciona), ilegal (instalar programas pirata) o peligroso (ejecución de programas capaces de causar, intencionadamente o no, daños en la red u otros equipos de la empresa).
  • Introducción de archivos infectados en la red, esquivando el antivirus que normalmente escanea los adjuntos al correo electrónico.

Esta "puerta" es mucho más amplia, en empresas en las que se siguen las buenas costumbres informáticas básicas, que la navegación web o el correo electrónico. Y en muchos casos, no se justifica su existencia: en la mayor parte de los puestos de trabajo no hay una necesidad operativa de grabar nada a volúmenes externos a la red. Sin embargo en la mayor parte de las redes no se hace nada por no incomodar a los trabajadores (o más bien, porque los propios trabajadores que deben tomar la decisión son con frecuencia los que más usan este tipo de gateras: los departamentos de IT de algunas empresas, universidades y administraciones harían palidecer al alcalde de Tortuga). Hasta que pasa algo, y entonces ya es tarde.

En redes de Macs, el problema se soluciona bastante deprisa. Como nos cuenta la mismísima NSA estadounidense, que se hizo eco del problema en Marzo de este año, para eliminar la capacidad de copiar a volúmenes externos USB y Firewire basta con retirar algunos archivos del Mac, usando un usuario administrador.

capar

1. Haz login con el usuario administrador (en directo o de forma remota).

2. Abre una ventana del finder y ve a la carpeta Sistema/Libraria/Extensions, en el volumen en el que esté instalado el sistema operativo.

3. Arrastra el archivo IOUSBMassStorageClass.kext a la papelera.

4. Arrastra el archivo IOFireWireSerialBusProtocolTransport.kext a la papelera (sí, estamos eliminando también la grabación a discos Firewire de propina…).

5. Repite el proceso en todos los volúmenes en los que haya instalada una copia de Mac OS X.

6. Vacía la papelera (de forma segura, si quieres exagerar un poco).

7. Reinicia. Acabas de impedir que el Mac grabe en volúmenes USB, sin tocar la funcionalidad de ratones y otros periféricos.

Evidentemente, si hemos permitido que los usuarios de los trabajadores que usan el Mac tengan privilegios de administrador… les estamos dejando la puerta abierta a recuperar el acceso a sus discos USB.

Y por supuesto, alguien realmente decidido sólo tiene que traerse un disco Ethernet, con su alimentador, y aprovechar la puerta que queda. O desmontar el disco del Mac para llevárselo a casa. O usar un site de filesharing que no tengas bloquedo…

Pero al menos habremos eliminado la mayor parte del riesgo al eliminar la mayor parte de la tentación.

 

Puedes comentar el artículo en los foros . ¿Qué otros trucos de administrador conoces para mejorar la seguridad de redes Mac?