Apple ha visto aprobada por el organismo competente una nueva patente para una arquitectura de sistema diseñada para evitar que las vulnerabilidad de los programas que se interrelacionan con internet puedan acceder a la memoria general de almacenamiento, una idea que no es nueva, pero que ofrece una interesante alternativa a los actuales modelos de aislamiento de memoria existentes.
La patente, concedida el 5 de febrero y con referencia RE 43.987 basada en una solicitud hecha en 2011, justo aproximadamente en las fechas en las que el Troyano OS X Flashback empezó a amenazar la integridad de los ordenadores de la compañía, se diferencia de las actuales tecnologías existentes según Apple porque el problema básico de las actuales tecnologías antivirus es que todos los archivos ejecutables deben utilizar procesador principal del ordenador para que ejecuten su tarea. Una vez residentes en el procesador, es factible para los atacantes el acceder a la memoria no volátil u otros componentes básicos de la estructura del ordenador. El malware se aprovecha de este problema de arquitectura para infiltrarse y comprometer los ordenadores infectados según Apple.
Otra de las debilidades de estos sistemas antivirus es que no son efectivos contra los problemas de software de las aplicaciones (vulnerabilidad), pero para Apple el mayor problema es de arquitectura, de cómo los programas comparten memoria de almacenamiento, particularmente cuando se trata de aplicaciones que se ejecutan en el navegador y ejecutan código descargado desde internet, como applets de Java o archivos ejecutables.
Los programas con acceso a internet, como los navegadores, se sitúan en el mismo procesador como el sistema operativo y otros programas confiables, y si los desarrolladores de malware puede circunvalar las medidas de seguridad pueden corromper archivos o acceder a la memoria del ordenador.
Para Apple la solución es sencilla: aislar este tipo de programas con acceso a internet de forma que no puedan intercambiar información dentro del núcleo de almacenamiento principal donde residen todos los programas, incluyendo el sistema operativo. Para ello en la patente Apple defiende un sistema de memoria aislado del resto del ordenador, protegido, que impida el acceso al resto del sistema.
Si en un momento determinado ocurriera una infección de cualquier tipo, un usuario podría simplemente deshacerse de esa infección desde el ordenador usando diferentes acercamientos, como por ejemplo borrando todos los archivos de esa área de memoria protegida para ejecutar después una restauración desde una imagen residente en el área de memoria principal, por ejemplo.
Aunque la idea que Apple describe en la patente es interesante, no es nueva y se parece a proyectos como Qubes OS según el investigador de seguridad Claudio Guarnieri de Rapid7.
Según este investigador, “la idea básica es hacer cada proceso crítico, que Apple describe como conectado a la red, ciego al resto de los otros recursos” que ha añadido que “teóricamente, el aislamiento de recursos es un concepto nuevo, pero su implementación nativa en el sistema operativo podría ser un gran paso adelante para la seguridad de los productos de Apple“. Vía Zdnet
Vamos que Apple planea “cerrarse” más e implementar algo parecido al Sandbox de iOS en OSX. En cuanto a iOS, los que nunca acabamos de perder la esperanza de que Apple, con el tiempo, a medida que cogiese confianza, implementase una carpeta común tipo “Mis Documentos” podemos abandonar toda esperanza.
Apple sigue teniendo esa basura de “abrir archivos seguros al descargar” marcado por defecto en las preferencias de Safari y ahora va y se le ocurre esto. A Apple cada vez le patina más la mandarina.