RESUMEN
Empezamos una serie de artículos del Blog dónde hablaremos de algunas aplicaciones interesantes para proteger tu Mac. Hoy día existen múltiples vectores de ataque que pueden afectar a la seguridad de nuestro ordenador Apple. MacOS es un sistema que incorpora ya de serie algunos mecanismos, sistemas y aplicaciones que intentan ayudarnos a mantener a salvo nuestros datos. Aún así, vamos a tratar de mostrar algunas aplicaciones de terceros que pueden ayudarnos en este cometido.
En esta primera entrega, hablaremos de BlockBlock, una app gratuita de Objective-See, que se encarga silenciosamente de supervisar las ubicaciones más comunes donde el Malware acostumbra a acomodarse para hacerse persistente en nuestros Macs.
El malware se instala de forma persistente para garantizar que se (re)ejecuta automáticamente. BlockBlock es una aplicación de seguridad para Mac que se encarga de detectar, alertar y prevenir cualquier intento de instalación de software malicioso en tu sistema. BlockBlock supervisa las ubicaciones de persistencia más comunes (Launch agents y Launch daemons) y lanza alertas cada vez que se agrega un componente persistente. Esta herramienta esencialmente monitorea de manera continua el sistema de archivos en busca de cualquier cambio en la configuración, archivos, carpetas y procesos del sistema, para prevenir y alertar sobre cualquier software malicioso que intente instalarse en su Mac.
Además, BlockBlock no solo detecta el malware, sino que también le proporciona información detallada sobre la ubicación y el comportamiento del mismo, lo que le permite tomar medidas preventivas para proteger tu mac y tus datos. De esta manera, BlockBlock no solo es una herramienta de detección, sino también una herramienta de prevención que te permite mantener su equipo seguro y protegido contra las amenazas en línea.
Otra característica importante de BlockBlock es su facilidad de uso. La aplicación es intuitiva y fácil de configurar, lo que hace que sea accesible para cualquier usuario, independientemente de su nivel de conocimiento técnico. Además, la aplicación se integra perfectamente con el sistema operativo de tu Mac, lo que le permite trabajar sin interrupciones mientras BlockBlock se encarga de proteger tu equipo en segundo plano.
Como hemos comentado, la app es gratuita y la puedes descargar desde la página web de Objective-See. Actualmente se encuentra en su versión 2.15 que es compatible con sistemas 10.15 y posteriores. Si además quieres ver su código fuente, puedes acceder a él en este repositorio de GitHub. Debido a que BlockBlock utiliza el nuevo Endpoint Security Framework de Apple (para supervisar la persistencia), requiere privilegios del sistema al instalarla.
Otro requisito del uso del Endpoint Security Framework (apalancado por Apple) es el «Acceso completo al disco». La primera vez que instale BlockBlock le indicará cómo dar manualmente a BlockBlock dicho acceso al disco:
- Haga clic en el botón «Abrir preferencias del sistema»
- En las Preferencias del Sistema, haz clic en el icono 🔒 (abajo a la izquierda) y vuelve a autentica
- En la tabla «Acceso completo al disco», seleccione la casilla de verificación junto a BlockBlock
Una vez instalado, BlockBlock comenzará a ejecutarse y ya estará listo para proteger tu Mac. Se iniciará automáticamente cada vez que se reinicie tu ordenador, proporcionando así una protección continua. Si algo instala un software persistente, BlockBlock tiene como objetivo detectarlo y mostrará una alerta informativa similar a esta:
La alerta contiene información como:
- El proceso responsable de la acción: Las alertas contienen el nombre del proceso, el pid, la ruta y los argumentos. También hay elementos en los que se puede hacer clic en la alerta para mostrar la información de firma de código del proceso, las detecciones de VirusTotal y la ascendencia del proceso.
- El elemento persistente que se instaló:La alerta muestra tanto el archivo que se modificó para lograr la persistencia como el elemento persistente que se agregó.
Si se confía en el proceso y en el elemento persistente, simplemente haga clic en «Permitir». Si no, haga clic en «Bloquear». Ambas acciones crearán una regla para recordar su selección (a menos que haya seleccionado la casilla de verificación «temporalmente»). Si decide bloquear un elemento, BlockBlock eliminará el elemento del sistema de archivos, bloqueando la persistencia.
La aplicación aparecerá como un icono en la barra de menús superior de MacOS desde donde podrás configurar un poco la aplicación. Podrás:
- Deshabilitarla
- Ver y revisar las reglas que se han ido generando sobre los diferentes procesos sospechosos.
- Acceder a las preferencias donde podrás cambiar su modo de alerta, modo de icono, modo de notarización y para deshabilitar las comprobaciones de actualización automáticas.
No todas las alertas que puede lanzar BlockBlock tienen que tratarse de un Malware, pero si nos permiten estar alerta y revisar que está ejecutándose en nuestro Mac. Por diseño, BlockBlock se esfuerza por alertarte cada vez que detecta que se ha añadido un componente persistente al sistema pero hay muchas razones legítimas por las que algo sería persistente y también benigno. Sin ir más lejos, BlockBlock se instala de forma persistente para que pueda proporcionar una protección continua! Si tienes inquietudes técnicas sobre las interioridades de macOS, puedes contactar y pedir información sobre nuestro curso de Soporte a dispositivos Apple.
En resumen, si buscas una herramienta de seguridad confiable y fácil de usar para proteger tu Mac contra las amenazas en línea, BlockBlock es una excelente opción. Con su capacidad de detección y prevención avanzadas, y su facilidad de uso, BlockBlock es una herramienta imprescindible para cualquier usuario preocupado por la seguridad de su equipo y sus datos.
Fuente: Objective-See.org
