El jueves pasado por la tarde, los usuarios de Mac de todo el mundo comenzaron a quejarse de una ralentización paralizante al abrir aplicaciones. La causa: las verificaciones de certificados en línea que Apple realiza cada vez que un usuario abre una aplicación que no se descargó de la App Store. La actualización masiva a Big Sur, al parecer, hizo que los servidores de Apple responsables de estas comprobaciones se ralentizaran a paso de tortuga.
Apple corrigió rápidamente la ralentización, pero las preocupaciones sobre las Mac paralizadas pronto fueron reemplazadas por una preocupación aún mayor: la gran cantidad de datos personales que Apple, y posiblemente otros, pueden obtener de las Mac que realizan verificaciones de certificados cada vez que un usuario abre una aplicación que no lo hizo. vienen de la tienda de aplicaciones.
Para las personas que entendían lo que estaba sucediendo detrás de escena, había pocas razones para ver las verificaciones de certificados como una captura de privacidad. Sin embargo, solo para estar seguros, Apple publicó el lunes un artículo de soporte que debería calmar cualquier preocupación persistente. Más sobre eso más adelante: primero, retrocedamos y brindemos algunos antecedentes.
Conozca a OCSP
Antes de que Apple permita que una aplicación ingrese a la App Store, primero debe pasar una revisión que verifique su seguridad. Los usuarios pueden configurar la función de macOS conocida como Gatekeeper para permitir solo estas aplicaciones aprobadas, o pueden elegir una configuración que también permita la instalación de aplicaciones de terceros, siempre que estas aplicaciones estén firmadas con un certificado de desarrollador emitido por Apple. Para asegurarse de que el certificado no haya sido revocado, macOS usa OCSP (abreviatura de Protocolo de estado de certificado en línea estándar de la industria) para verificar su validez.
Verificar la validez de un certificado (cualquier certificado), autenticar un sitio web o una pieza de software suena bastante simple, pero durante mucho tiempo ha presentado problemas en toda la industria que no son fáciles de resolver. El medio inicial fue el uso de listas de revocación de certificados, pero a medida que las listas crecieron, su tamaño impidió que funcionaran de manera efectiva. CRL dio paso a OCSP, que realizó la verificación en servidores remotos.
Resultó que OCSP tenía sus propios inconvenientes. Los servidores a veces se caen y, cuando lo hacen, las interrupciones del servidor OCSP tienen el potencial de paralizar a millones de personas que intentan hacer cosas como visitar sitios, instalar aplicaciones y consultar el correo electrónico. Para protegerse contra este peligro, OCSP utiliza de manera predeterminada lo que se denomina una «falla leve». En lugar de bloquear el sitio web o el software que se está comprobando, OCSP actuará como si el certificado fuera válido en caso de que el servidor no responda.
De alguna manera, la gran cantidad de personas que se actualizaron a Big Sur el jueves parece haber causado que los servidores en ocsp.apple.com se sobrecarguen pero no se caigan por completo. El servidor no pudo proporcionar el visto bueno, pero tampoco devolvió un error que desencadenaría la falla leve. El resultado fue que un gran número de usuarios de Mac quedaron en el limbo.
Apple solucionó el problema con la disponibilidad de ocsp.apple.com, presumiblemente agregando más capacidad de servidor. Normalmente, ese habría sido el final del problema, pero no lo fue. Pronto, las redes sociales se inundaron de afirmaciones de que el proceso de verificación de aplicaciones de macOS estaba convirtiendo a Apple en un Gran Hermano que rastreaba la hora y la ubicación cada vez que los usuarios abrían o volvían a abrir cualquier aplicación no descargada de la App Store.
La paranoia golpea profundamente
La publicación Tu computadora no es tuya fue uno de los catalizadores de la preocupación masiva. Señaló que las solicitudes de obtención de HTML simples realizadas por OCSP no estaban cifradas. Eso significaba que Apple no solo podía crear perfiles basados en nuestro uso de Mac minuto a minuto, sino también los ISP o cualquier otra persona que pudiera ver el tráfico que pasaba por la red. (Para evitar caer en un bucle de autenticación infinito, prácticamente todo el tráfico OCSP no está cifrado, aunque las respuestas están firmadas digitalmente).
Afortunadamente, publicaciones menos alarmistas como esta proporcionaron antecedentes más útiles. Los hashes que se transmitían no eran exclusivos de la aplicación en sí, sino del certificado de desarrollador emitido por Apple. Eso aún permitía a las personas inferir cuándo se usaba una aplicación como Tor, Signal, Firefox o Thunderbird, pero aún era menos granular de lo que muchas personas supusieron en un principio.
El punto más importante fue que, en la mayoría de los aspectos, la recopilación de datos por parte de ocsp.apple.com no era muy diferente de la información que ya se transmite en tiempo real a través de OCSP cada vez que visitamos un sitio web. Sin duda, hay algunas diferencias. Apple ve solicitudes OCSP para todas las aplicaciones de Mac que no se descargan de la App Store, lo que presumiblemente es una gran cantidad. Las solicitudes de OCSP para otro software firmado digitalmente se envían a cientos o miles de autoridades de certificación diferentes y, por lo general, solo se envían cuando se instala la aplicación.
Sin embargo, en resumen, la conclusión fue la misma: la posible pérdida de privacidad de OCSP es una compensación que hacemos en un esfuerzo por verificar la validez del certificado que autentica un sitio web que queremos visitar o una pieza de software que queremos Instalar en pc.
manzana habla
En un intento de tranquilizar aún más a los usuarios de Mac, Apple publicó el lunes esta publicación. Explica qué hace y qué no hace la empresa con la información recopilada a través de Gatekeeper y una característica separada conocida como certificación notarial, que verifica la seguridad incluso de las aplicaciones que no son de la App Store. La publicación dice:
Gatekeeper realiza verificaciones en línea para verificar si una aplicación contiene malware conocido y si el certificado de firma del desarrollador está revocado. Nunca hemos combinado los datos de estos controles con información sobre los usuarios de Apple o sus dispositivos. No utilizamos los datos de estas comprobaciones para saber qué inician o ejecutan los usuarios individuales en sus dispositivos.
La certificación notarial verifica si la aplicación contiene malware conocido mediante una conexión cifrada resistente a las fallas del servidor.
Estas comprobaciones de seguridad nunca han incluido el ID de Apple del usuario ni la identidad de su dispositivo. Para proteger aún más la privacidad, hemos dejado de registrar las direcciones IP asociadas con las verificaciones de certificados de ID de desarrollador y nos aseguraremos de que todas las direcciones IP recopiladas se eliminen de los registros.
La publicación continuó diciendo que en el próximo año, Apple proporcionará un nuevo protocolo para verificar si los certificados de desarrollador han sido revocados, brindará «fuertes protecciones contra fallas del servidor» y presentará una nueva configuración de sistema operativo para los usuarios que deseen optar por no participar. todo esto.
La controversia sobre el comportamiento que ha estado teniendo macOS desde que se presentó al menos la versión de Catalina en octubre pasado subraya la compensación que a veces se produce entre la seguridad y la privacidad. Gatekeeper está diseñado para facilitar que los usuarios menos experimentados se mantengan alejados de las aplicaciones que se sabe que son maliciosas. Para hacer uso de Gatekeeper, los usuarios deben enviar cierta cantidad de información a Apple.
No es que Apple esté completamente libre de culpa. Por un lado, los desarrolladores no han proporcionado una manera fácil de optar por no participar en las comprobaciones de OCSP. Eso ha hecho que bloquear el acceso a ocsp.apple.com sea la única forma de hacerlo, y para los usuarios de Mac con menos experiencia, eso es demasiado difícil.
El otro error es confiar en OCSP en absoluto. Debido a su diseño de falla suave, la protección puede anularse, en algunos casos deliberadamente por un atacante o simplemente debido a una falla en la red. Sin embargo, Apple no es el único que confía en OCSP. Un método de revocación conocido como CRLite puede, en última instancia, brindar una solución a esta falla.
Las personas que no confían en las comprobaciones de OCSP para las aplicaciones de Mac pueden desactivarlas editando el archivo de hosts de Mac. Todos los demás pueden avanzar.
