.

.

miércoles, 27 de julio de 2016

Sistema de Protección de la Integridad (SIP) para OS X (El Capitan) y MacOS Sierra

En una de las anteriores entradas "K0SASP - Pentesting con Mac OS X" se pudo ver como debido a nuevas implementaciones en sus medidas de seguridad, los sistemas operativos de Apple (a partir de la versión de OS X "El Capitan" incluían SIP (System Integrity Protection)) restringen la cuenta root y limitan las acciones que el usuario root puede realizar en las partes protegidas de OS X o MacOS.
En este caso tuvimos que ver como saltar esta medida de protección para poder instalar la suite de herramientas de hacking "K0SASP".

Pero...¿Que es exactamente SIP?

 
Este Sistema de Protección de la Integridad, es diseñado por Apple con la intención de evitar la instalación de malware capaz de modificar archivos y carpetas protegidas. Y es que Apple reconoce no fiarse del usuario o administrador de un equipo, ya que primando por la seguridad de su sistema, admite que muchos de los problemas que surgen a nivel de malware, vienen dados por la forma de actuación de dichos usuarios y la instalación de software no verificado.
Por todo esto, apartir de OS X "El Capitán", Apple con su SIP restringe por primera vez el poder del todo poderoso usuario "root", limitando las acciones que podrá realizar en partes protegidas del sistema. Todo esto según la compañía para alcanzar un alto y óptimo nivel de seguridad.
SIP solo permitirá el acto de modificar partes protegidas a software firmado y certificado por Apple.

Directorios protegidos:
  • /System
  • /bin
  • /sbin
  • /usr (a excepción de /usr/local)
Enlaces simbólicos protegidos:
  • /etc
  • /tmp
  • /var
  • /private

Como saltarnos System Integrity Protection es fácil, ya que aunque Apple como afirma quiere llevar sus sistemas a un punto de alto nivel de seguridad, es consciente que algunos usuarios de alto nivel, como pueden ser desarrolladores, hackers, etc., necesitarán en algún momento modificar estos directorios a priori protegidos, por lo que deja una ventana abierta.
Esta ventana viene en forma de herramienta y se llama "Csrutil". Con esta herramienta se puede habilitar y deshabilitar SIP (también denominado Rootless) y permitir la modificación de los ficheros protegidos.

Antes de pasar a deshabilitar el sistema de protección, seamos conscientes de su labor.
Si accedemos a una de las carpetas protegidas...




...por ejemplo "System" e intentamos crear un archivo o directorio dentro de ella, al estar protegida nos dirá:










Evidentemente no permite esta operación.

Para poder hacer esto sin restricción hay que hacer uso de "csrutil" y como ya vimos, para que sea efectivo hay que hacerlo a través del terminal pero en el modo "Recovery" del sistema, o lo que es lo mismo el modo de recuperación de sistema tanto para OS X como MacOS Sierra.
A través del modo Recovery pueden realizarse funciones como:
  • Restaurar tu Mac a partir de una copia de seguridad de Time Machine.
  • Comprobar y reparar unidades conectadas mediante Utilidad de Discos.
  • Instalar o reinstalar OS X.
Pero también se puede tener acceso a utilidades como el terminal del sistema.
De este modo, para acceder al modo "Recovery" solo hay que reiniciar el sistema.

Después de que el Mac se reinicie y se escuche el sonido de arranque, mantener pulsadas las teclas Comando y R.







Veremos que el sistema operativo empezará a cargar como de costumbre, pero arrancará en un entorno diferente.

 
Una vez arrancado el equipo en modo Recovery, abrimos el terminal (podemos encontrarlo en Utilidades en la barra de menú superior).

Dentro del terminal solo hay que lanzar el comando: csrutil disable

 Reiniciamos el equipo nuevamente y ya tendremos desabilitado "System Integrity Protection".
(Esto no nos provocará el mínimo problema ni repercusión, ya que si en algún momento queremos volver a activarlo, solo tenemos que realizar el comando de activación: csrutil enable).
 
Con Rootless deshabilitado vamos a realizar la misma acción de antes, a ver con que nos encontramos.
Entramos en el terminal y accedemos a "System".

Como se puede ver, el contenido es solo "Library". Después, mediante el comando "mkdir" decimos que queremos crear el directorio PruebaKoox, nos pide la password de administrador y lo crea sin problemas, en el mismo sitio que anteriormente no nos había permitido.

Como ya se ha indicado, para volver a activar SIP solo habría que realizar la misma operación, con la diferencia que en el terminal meteriamos el comando: "csrutil enable".

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.