appletalk:the journey is the reward / appletalk:el camino es la recompensa

El otro día alguien me reñía en una lista por explicar a alguien como activar el usuario root, pese a que advertí en un correo previo que eso era un riesgo y en el segundo insistía en el tema del riesgo, pero era una posible solución a un problema determinado. El que me reñía proponía forzar el lanzamiento de un programa como root desde el terminal, sin necesidad de activarlo. En fin, cosas de las listas. De hecho, el que me llamó la atención es amigo ;-)

El caso es que hoy me he encontrado con este enlace en Mac Fix It y quería compartirlo: About the root user in Activity Monitor

En él, nos explican que el sistema de multi-usuario cuando se inicia, arranca algunos procesos desde el root, aunque se desaconseja interactuar como root  salvo contadas excepciones. Pero aunque no se arranque como root algunos procesos corren en el sistema bajo este usuario, como podemos ver en Monitor de Actividad (Aplicaciones–>Utilidades):

OS X is a multiuser environment in which besides standard user and administrative accounts there are a number of hidden or background accounts that are reserved for system-level tasks. One of these is the commonly referenced “root” user, which is the main and fully unrestricted administrator account on the system.

Because the root user has unrestricted access to all aspects of the system, running it interactively can pose a security risk as well as result in inadvertent system alterations. …

… In truth, the account’s disabled status only means users are prevented from using this account interactively (i.e., logging in). For other uses the account is very much active and enabled. …

Read more: http://reviews.cnet.com/8301-13727_7-20030921-263.html#ixzz1DMhkYISg

El resto del articulo explica la jerarquía de usuarios, la organización de procesos y el uso en “la trasera” del usuario root, porqué prevenir la activación del root como un usuario con el que iniciar sesión y las alternativas para acceder como root si de verdad te resulta necesario, iniciando como usuario único (single user ==> comando+s al iniciar) o desde el terminal con el comando “sudo” siempre que seas un usuario administrador.

Estaría bien. Vía Mac Daily News:

“Two years ago, Apple was in the news for patenting a range of biometric ID tools for the iPhone, such as a voice recognition system, a retinal scanner that uses the phone’s camera or, most likely, a system that uses the screen to scan fingerprints,” Elgan reports. “Last year, Apple hired an expert in Near Field Communication, or NFC, to head up the company’s Mobile Commerce department. NFC is technology that enables the transfer of data over distances of just a few inches — a model that’s far more secure and reliable than, say, Bluetooth. Other inside sources have been quoted as saying that Apple plans to build NFC into the iPhone 5. Apple has also recently advertised three job openings related to payment platforms and short-range wireless data transfers. And Apple has been granted NFC-related patents.”

El artículo completo en ComputerWorld:

“Imagine sitting down at a public PC, surfing the Web, visiting Facebook, checking your online bank account and buying something on Amazon.com — all without entering passwords or credit card information.

It gets better. You get up and leave without even logging out. Some shady criminal type sits down at the same PC and finds his attempts at cracking your password foiled at every turn. Your accounts can’t be accessed because your phone is no longer on the desk.

It gets better still. Hop in your car and press the “Start” button — no key necessary. The car knows it’s you after you wave your phone over the dashboard, and it adjusts the driver’s seat and steering wheel just for you.

On your way to work, you swing by Starbucks to grab a Trenta Iced Cafe Mocha with whip. To pay, you wave your phone over a terminal on the counter, grab your drink and head for work.

Arriving at the office, you sail past security with doors unlocking automatically as you approach them. When you walk into your office, the lights and PC come on auto-magically.”

En la entrada hablan además de Google, como otro jugador que quiere hacer desaparecer las contraseñas y el camino es similar al de la charla de seguridad del martes en la que estuve, donde hablaban de esa misma técnica en las nuevas soluciones de Microsoft (Live e IE9).

La granja de servidores, soluciones remotas como las de Aquaconnect … las personas de carácter más técnico seguro que pueden ir atando cabos y empezar a ver el futuro.

Los chicos de Seguridad Apple ponen en marcha la edición 2011 de su gira Up to Secure, que vistará 10 ciudades de nuestra geografía, y contará este año con una sesión sobre Mac OS X y malware. Los lugares y fechas:

- 11 de Enero: Pamplona

- 12 de Enero: Zaragoza

- 13 de Enero: Barcelona

- 18 de Enero: Valladolid

- 19 de Enero: Vigo

- 20 de Enero: A  Coruña

- 25 de Enero: Valencia

- 26 de Enero: Madrid

- 27 de Enero: Tenerife

- Febrero: Sevilla

Me gusta su blog y me han hablado bien de ellos gente que los conoce personalmente, pero no me entusiasma que unos expertos en seguridad utilicen Windows Live para toda la gestión de los eventos. Me he tenido que crear una cuenta WIndows Live ID y desde Safari me ha dado unos cuantos problemas … también desde Firefox.

Les he pedido a ellos que me registren   ;-)

El site para el registro en el evento de Valencia.

Programa?

09:00 – 09:30 Registro

09:30 – 10:15 Mac OS X & Malware en tu empresa

10:15 – 11:00 Protege tus teléfonos móviles… forever!

11:00 – 11:45 Café

11:45 – 12:30 Quest Software: ¿Son seguras las soluciones en “la Nube”?

12:30 – 13:15 La seguridad Sí importa: Windows Live & IE9

13:15 – 13:30 Preguntas & Respuestas

Una interesantísima entrada de Seguridad Apple.

“Como bien sabéis, los sistemas Mac OS X traen incorporado por defecto un firewall personal. Si no lo conoces, puedes acceder a él en la siguiente ruta: Preferencias del sistema / Seguridad / Firewall. Sin embargo, el panel de administración con interfaz gráfico de este firewall personal deja mucho que desear, ya que únicamente nos permite ‘bloquear todas las conexiones entrantes’ o‘permitir todas las conexiones entrantes’ de las aplicaciones que seleccionemos.”

WaterRoof.

Mejor ;-)

Leo en The Mac Observer que Charlie Miller, el experto en seguridad que hizo que Safari  pudiera ejecutar código malicioso en el concurso CanSecWest Pwn2Own, no difundirá la vunerabilidad como había amenazado. Tampoco lo hará con las vulnerebilidades descubiertas en software de Adobe y Microsoft.

Y en todas partes cuecen habas, leo en Mac Security que otros sistemas también son vulnerables (incluyendo nuestros iPhones).

Seguras y, supuestamente, fáciles de recordar. Con una aplicación de código abierto. Pwgen for Mac, un interfaz gráfico para el popular comando unix “pwgen” para generar contraseñas…

Vía Mac OS X Hints.

No he podido postear y tengo cosas desde la pasada semana. Vamos con ellas:

Desde el fin de semana pasado pendiente de publicar que Jobs fue nombrado CEO de la década por la revista Fortune.

Apple actualizó Mac OS X a 10.6.2 y Safari a 4.0.4. Además ha sido noticia que al VP de “retail físico” se le ha metido en la cabeza que las tiendas son pequeñas y Apple va a cambiar su estrategia a tiendas más grandes y en edificios significativos. Algo más así:

Por cierto Ron Johnson dijo que el próximo año se abrirán unas 50 tiendas (adding stores all over Europe, like the UK, Paris and two in Shanghai getting those “significant stores).

Mientras, algunos expertos en seguridad que usan Mac, niegan hacerlo porque sea más seguro. Así que lo hacen porque es más inseguro ¿no? NO, usan Mac porque son cool (o quieren parecerlo ;-) ) y porque es menos desastre que Windows y más fácil y cómodo que Linux. Secure Computing Magazine trae el asunto a colación. La cita más interesante: Mac users are just as vulnerable to social engineering, so the operating system is irrelevant. Como Apple sabe muy bien cuando nos habla de la seguridad de Mac OS X (haz scroll hasta abajo!!).

El desarrollador de FaceBook responsable de Facebook for iPhone abandona dicho desarrollo, alegando tiranía de Apple en el sistema de elección de aplicaciones. Rápidamente desde FaceBook un VP explica que esa es la opinión personal de un desarrollador y que la posición oficial de FB es de gran compromiso hacia la plataforma iPhone. Como decía el desarrollador que abandonó: “pese a todo, este es un tren imparable”. Todo vía TechCrunch.

En Barrapunto nos comentan que Google ha desarrollado su propio lenguaje de programación, Google Go. Además los chicos de Google tienen prácticamente preparado su Google Chrome para Mac, por fin. No lo voy a cambiar por mi Safari, pero, oye, siempre está bien saber que lo tienes ahí ;-)

Sí, por 9 Euros comprándolo vía web si has comprado un Mac con Leopard desde el 8 de junio o por 29 Euros si tienes Leopard pero tu equipo es anterior a esa fecha.

Pero no seas “rata” y cómpralo, no te lo bajes de vete a saber dónde costando lo poca que cuesta, porque resulta que según leí en IT Pro existen por ahí (en el mundo de los Torrents y similares) versiones de Mac OS X 10.6 con un troyano dentro.

Y ya sabes que está en tu Premium Reseller más cercano… dónde podrás verlo antes de comprarlo ;-)

Lo leí hace ya casi un mes en Mac User UK … y quería compartir el artículo de Alan Stonebridge.

Simplemente necesitas Utilidad de Discos (Disk Utility) que viene con el sistema (Aplicaciones->Utilidades) y TrueCrypt, un software de códio abierto y gratuito.

Los pasos vienen a ser, más o menos:

-preparas el disco con Utilidad de Discos el disco USB cpn partición GUID o Master Boot

-instala truecrypt

-crea un volumen desde truecrypt

-conviértelo en un volumen oculto

-elige el disco a encriptar

-elige el método de encriptación

-crea y protege con contraseña el volumen resultante

-genera claves de encriptación aleatorias

-crea y protege el volumen oculto

-formatéalo

-monta el volumen

Aquí tenéis el tutorial completo con cada paso detallado:

Página 1

Página 2

Al final Time Machine va a ser un gran invemto… por si lo dudabais. Puede que ya lo supiérais, y yo mismo había recuperado archivos en alguna ocasión, pero nunca había restaurado todo un sistema … alucinante.

El Jueves Santo el HD del MacBook de mi mujer murió, un equipo que en diciembre cumplió un año y  que se utiliza para el “negocio en casa” cada día desde hace 3 meses (antes se utilizaba más de bien los fines de semana). Así que el martes fui a comprar un nuevo HD de (320 GBs en lugar de 120 GBs) y tras instalarlo (increíblemente sencillo en un MacBook de policarbonato) procedí a la reinstalación del sistema, no sin antes preguntar como tenía que hacerlo (en el APR donde compre el HD).

Ya me advirtieron en la tienda: formatea el HD y elige “restaurar desde copia de seguridad” en el DVD de Leopard. Funcionó perfectamente. Nunca me había fijado (o quizá sí, había visto sin ver) que después de elegir el idioma, en las utilidades, además de utilidad de disco, disco de arranque, etc, existe “restaurar desde copia de seguridad”.

Así que ahí fui yo, formateé, le digo restaurar desde copia y me pregunta de qué cpia, que enchufe el HD, lo hago y me dice las últimas copias para que elija desde cual, me pregunta dónde instala  (si en el HD interno o en la otra partición del externo –porque lo tengo con partición–), elijo, dejo pasar un par de horas (estaba en un puerto USB el HD de BackUp) y asunto resuelto :))

Vaya, si el jueves por la mañana no es festivo y encuentro el disco igual de rápido, el jueves por la tarde a las 16:00 horas estaba mi mujer trabajando. Productividad a tope. Para que luego digan. Anda que no he tenido yo conocidos usuarios de windows (avanzados o no) que me han dicho: “mándame el mail, es que tuve que formatear y lo perdí todo”. Con Windows, claro, y sin copia de seguridad.

En honor a la verdad y para que todo el mundo lo sepa, este blog pretende también ayudar, sólo tuve que tener cuidado con una cosa -de hecho tuve que llamar a la tienda por ello (gracias de nuevo, Dani)-:

Mi disco de Leopard, la versión de sistema que te permite esta opción de restaurar desde un copia de seguridad, era de actualización (venía en el MacBook en modo “DVD-drop-in” que te ponen en la caja porque el equipo salió de fábrica con 10.4.10 pero tú lo compras bien en marcha 10.5). Esas actualizaciones necesitan un Tiger instalado para funcionar y si no lo encuentran … no se instalan. 

Así que si bien me dejaba formatear y elegir restaurar, a la hora de la verdad no me dejaba instalar en el HD recién formateado, no “lo encontraba”, lo que fue un momento de terror al pensar que igual estaba mal. Pero no, cuando saqué el disco original del MacBook, formateé con su utilidad de disco e instalé el sistema básico más básico de 10.4.x que me dejaba el DVD (por rapidez), reinicié (con el usuario que creé y todo) y metí el DVD de Leopard, ya sin pegas reinicié, elegí idioma y en utilidades restaurar, desde qué disco (Time Machine), qué copia de Time Machine a qué disco (ya me salía el HD interno), una advertencia de “borro el HD”, OK y a esperar. Se ve que aunque sea para restaurar un Leopard desde Leopard, el “Upgrade DVD” pide la preexistencia de Tiger. Curioso.

Y todo funcionando, creo que no hemos perdido ni un solo dato. No estuvo nada mal.

El lector de RSSs de Safari (para Windows y Leopard) tiene una vulnerabilidad que, de acuerdo con el experto en seguridad Brian Mastenbrook, puede afectarte aunque no lo uses, mientras tengas como lector de RSSs el Safari, lo que ocurre si no lo cambias ex-profeso, pues es la cofiguración por defecto. La vulnerabilidad podría revelar el contenido de un archivo (mensajes de correo electrónico, contraseñas en las cookies del navegador, etc.) a través de la visita a un sitio web malicioso.

Afortunadamente el asunto puede resolverse, según TidBITS, de modo relativamente fácil: dejando de usar Safari en windows hasta que se publique un parche que lo resuelva, o si utilizas Leopard siguiendo las instrucciones de Brian Mastenbrook, 

Otra manera de arreglarlo (anda que no tardo en publicar mis entradas) es aplicando la solución que ya publicó Apple en su Security Update 2009-001. En el enlace indicado de Mastenbrook se encuentran también enlaces al área de actualizaciones de seguridad de la web de Apple y a otra entrada del propio Mastenbrook con más amplia información sobre el alcance del error y la solución.

No recuerdo dónde encontré este enlace a MacWorld USA sobre prácticas de seguridad con tu Mac. Pero es de la de primer nivel, la que podemos hacer todos, simplemente sin dejar las cosas como vienen por defecto.

Los temas que trata son:
Utilizar cuentas de administrador sólo para administración
No compartir cuentas de usuario
Activar la petición de contraseñas donde sea posible
Encriptar los archivos “sensibles”
Ponerle un cable de seguridad (para que llevárselo físicamente sea más costoso)

A estudiar!!