¿Protege FileVault contra el ransomware?

Navega tus respuestas
3

Ya pregunté una pregunta sobre ransomware en OS X en general. Pero no conseguí una respuesta con respecto a si FileVault protege contra ella. De eso se trata esta pregunta. También me interesa saber si las copias de seguridad de Time Machine cifradas están a salvo del ransomware.

El ransomware aquí se define como un software malicioso que cifra los datos del usuario en contra de su voluntad / conocimiento y exige un rescate a cambio de la clave de cifrado.

Veremos tres ejemplos:

  1. El malware se está ejecutando sin los privilegios de superusuario. El usuario involuntario puede haber ejecutado un la aplicación comprometida / maliciosa que creían que era otra cosa, y luego dejar que se ejecute en segundo plano el tiempo suficiente para hacer daño.

  2. El malware se está ejecutando con privilegios de superusuario. El usuario, creyendo que el software es otra cosa, le ha otorgado acceso de root dando la contraseña de root. El usuario puede incluso haber instalado el software dando la contraseña de root.

  3. El usuario no ejecutó ninguna aplicación, el malware logró ejecutarse de alguna otra manera. (¿Es esto posible en OS X?)

En los casos 1 y 2, el usuario habría desactivado la configuración "solo fuentes confiables" de OS X. (Pregunta secundaria: ¿Es posible que el ransomware lo afecte mientras esta configuración está activada?)

Mirando a 1., 2. y 3. por separado, ¿puede el malware:

A: ¿Acceder a datos protegidos con FileVault?

B: ¿Modificar / Eliminar los datos protegidos de FileVault?

C: (una combinación de A y B) ¿Cifrar datos protegidos con FileVault y sobrescribir (eliminar de forma segura) los datos originales de FileVault)?

¿Hay alguna diferencia entre los datos protegidos con FileVault almacenados localmente y los encriptados de las copias de seguridad de Time Machine almacenadas en otra unidad? También estoy interesado en la respuesta con respecto a este último.

    
pregunta Revetahw 13.04.2016 - 17:36

1 respuesta

2

El ransomware funciona al seleccionar ciertos archivos (normalmente por tipo, como documentos, carteras de bitcoin, etc.), cifrando esos archivos individuales y obligándote a pagar una clave para descifrarlos.

FileVault protege sus datos en su Mac al cifrar todo el disco. Cuando inicia su Mac, ingresa una contraseña que efectivamente "descifra" la unidad y permite que se ejecute como está. Dicho esto, una vez que hayas puesto la llave en la cerradura, por así decirlo, FileVault no te protegerá del ransomware. Aún sería tan vulnerable como el ransomware se ejecutaría después de que FileVault haya sido desbloqueado.

En cuanto a las copias de seguridad de Time Machine, esto es más complicado. Esas copias de seguridad se almacenan cifradas en reposo, y solo se descifran cuando se accede a ellas. Esto significa que los archivos dentro de las copias de seguridad en sí mismos no serían identificables individualmente para el ransomware que se estaba ejecutando, sin embargo, la copia de seguridad completa podría serlo. Así que el ransomware podría cifrar todo el conjunto como una unidad, en lugar de solo los archivos individuales.

En cuanto a la configuración de "fuentes confiables" de OSX, últimamente se han producido múltiples ataques contra esta característica y no es tan confiable como parece. No podría decir con certeza que no te protegería, pero no contaría con ello.

Recomendaría algún tipo de copia de seguridad basada en la nube o fuera de la computadora si realmente desea proteger sus datos que se ejecutan a través de una aplicación de terceros. En otras palabras, no se conecte a un recurso compartido de red y haga una copia de seguridad de sus datos allí, use una aplicación para hacerlo. Es poco probable que el ransomware sea lo suficientemente sofisticado y específico para conocer aplicaciones específicas de copia de seguridad, cómo se conectan a su servicio de terceros y cómo cifrar los archivos en ese servicio. Dropbox es un ejemplo simple aquí si pagas por su servicio de copia de seguridad en la nube, incluso si el ransomware cifró tus archivos en Dropbox, mantendrán una copia de seguridad de las versiones para que tengas algo para volver.     

respondido por el jimmy0x52 13.04.2016 - 18:00

Lea otras preguntas en las etiquetas

Ejecutar nrpe en el arranque sin un usuario registrado ¿Aparece una partición misteriosa de "EFI Boot" al inicio?