Privacidad paranoica en Mac OS X

Todos aquellos que nuestro trabajo se basa en el buen funcionamiento de un ordenador portátil, en el que almacenamos contenido que es una buena parte de nuestra vida profesional (agenda de contactos, correo, calendario,....) sabemos los riesgos que asumimos si en un momento dado perdemos o nos roban nuestro dispositivo.

Eso nosotros, pobres mortales, que manejamos información sensible, pero de un grado limitado o acotado a nuestra vida privada (fotos, videos, cookies, navegación en internet, contraseñas, etc,...) o nuestra empresa (bases de datos de clientes, secretos industriales y de propiedad intelectual, desarrollos, ideas, etc....) 

No quiero ni hablar de aquellos que nos gobiernan, que manejan información super sensible a nivel de pais. Me refiero a ministros, senadores, "asesores" y altos cargos varios, en los que la pérdida de la información de sus portátiles puede tener carácter de emergencia nacional!

Por ello siempre recomendamos que el disco duro y los USBs que conectemos estén cifrados. En el caso de Windows tenemos de forma nativa BitLocker, en Linux contamos con LUKS y en Mac con Filevault. 

Al ser mi dispositivo de escritorio un chisme de los de la manzana, me voy a centrar en éstos hoy.

Como recordaréis, Filevault ha sido protagonista de varias vulnerabilidades, que permitían descifrar los datos en una hora o la versión de Mac OS X 10.7.3 en la que era posible verse en texto claro la contraseña introducida del usuario en un fichero de log. Por otra parte, lo de fiarse que el cifrado nativo no tiene puertas traseras, que alguna organización gubernamental americana (NSAs, CIAs, FBIs y demás…) que puedan disponer del código fuente de los sistemas operativos y de forma pactada y secreta -modo paranoico = ON- hayan introducido sus propias claves maestras o mecanismos alternativos de descifrado.

Así que para evitar confiar únicamente en un sistema de cifrado, en mi caso he querido combinarlo con Truecrypt, solución libre de cifrado, que incluso al FBI le ha dado bastante guerra en vidas pasadas. Como sabéis existe versión para Windows, Linux y Mac. En el caso de Windows ya explicamos cómo hacer para cifrar el disco completo con una password de pre-boot. Sin embargo en Mac no es posible hacer este tipo de integración. Por esto vamos a utilizar un contenedor cifrado en el que mantendremos todos nuestros datos privados y que tendremos que montar manualmente, cada vez que arranquemos la máquina desde un estado apagado.

El problema es que el directorio del usuario que arranca no podremos guardarlos en el contenedor cifrado, ya que no sería capaz el sistema de leer varios parámetros predefinidos para cada usuario. Es decir, que sólo podremos guardar aquellos datos que no sean necesarios para el arranque.

Para ello, supongamos que montamos nuestro contenedor cifrado y queda en /Volumes/Crypted. Aparte de tener la estructura de directorios que queramos para almacenar nuestros datos privados, máquinas virtuales, etc,… recomiendo mover (ojo, mi consejo de "mover", es copiar y luego borrar) lo siguiente a este directorio, haciendo enlaces dinámicos de la localización cifrada a la localización original con el mismo nombre.

Os recomiendo poner en la partición cifrada lo siguiente:

/Users/Lawrence/Documents -> si la utilizais para almacenar vuestros documentos

/Users/Lawrence/Pictures -> si la utilizais para almacenar vuestras fotos

/Users/Lawrence/Downloads -> si la utilizais para almacenar vuestras descargas

/Users/Lawrence/DropBox -> Si usais aplicación Dropbox. Tened cuidado porque si la tenéis configurada al arranque de vuestro Mac, dará problemas

/Users/Lawrence/Library/Safari

/Users/Lawrence/Library/Thunderbird

/Users/Lawrence/Library/Mail

/Users/Lawrence/Library/Calendars

/Users/Lawrence/Library/Caches

/Users/Lawrence/Library/Keychains

/Users/Lawrence/Library/Cookies

/Users/Lawrence/Library/Containers/com.apple.Notes/Data/Library/CoreData -> Mis Notas

/Users/Lawrence/Library/openvpn -> tunnelblick

/Users/Lawrence/Library/Application Support/AddressBook

/Users/Lawrence/Library/Application Support/Adium 2.0/Users -> Si usais Adium como cliente de mensajería

/Users/Lawrence/Library/Application Support/Google -> Si usais Chrome

/Users/Lawrence/Library/Application Support/Firefox -> Si usais Firefox

/Users/Lawrence/Library/Application Support/Skype -> Si usais Skype

/Users/Lawrence/Library/Application Support/NetNewsWire -> Lector RSS

Por supuesto, sustituid "Lawrence" por vuestro propio usuario. Igualmente es interesante elegir desde el propio iPhoto, una fototeca almacenada en el contenedor cifrado, como podéis ver en la siguiente imagen

Para hacer esto, mi consejo es reiniciar el Mac y, únicamente, montar la partición cifrada, evitando así que haya programas abiertos o procesos perdidos que aún estén manejando información que queremos proteger. 

Por supuesto, estos cambios pueden darte problemas si no tienes en la cabeza que lo primero que has de hacer al arrancar tu Mac es montar el contenedor cifrado.

Esto es lo que yo mantengo cifrado, pero como habéis visto en la lista, depende totalmente del software utilizado, así que acepto en los comentarios cualquier sugerencia que queráis compartir con nuestros lectores.

Los que preguntéis por el rendimiento de la máquina con tanto cifrado, en mi caso tengo un disco de estado sólido o SSD, por lo que esto no me afecta. Desconozco cómo será con discos duros mecánicos normales y corrientes, pero como siempre decimos, hay que hacer un balance entre seguridad y usabilidad. En mi caso apenas noto la diferencia entre cifrado y sin cifrar… y por supuesto, prefiero cifrado! 

Etiquetas: cifrado , hardening , Mac OS X , privacidad