El informe de Duo Security puede considerarse desde el primer momento como sesgado y hay una frase que rápidamente identifica en qué se ha basado el estudio para identificar dónde está el problema y cómo las malas prácticas de los departamentos de IT son las causantes de este problema.
La frase del estudio es esta:
We then gathered OS version, build number, Mac model version, and EFI firmware version from over 73,000 real-world Mac systems deployed in organizations across a number of industry verticals….
Para empezar, el estudio está basado en flotas de Mac de empresa, no en Macs de consumo. Esto es muy importante porque el trabajo con flotas de Mac a nivel técnico difiere del trabajo con Macs de consumo, como el tuyo. Así, como usuario de Mac de consumo, con tu/s Macs personales, no tienes ningún problema y el caso de las flotas de Mac que explica el informe de Duo está basado en una premisa equivocada: culpa a Apple del problema cuando se trata de una mala práctica de los departamentos de IT. Pero vamos paso a paso.
Cuando se actualiza un Mac, tanto a una versión nueva del sistema como una actualización[note]En inglés, existen dos palabras para este proceso: release, que es una versión nueva de una aplicación y update, que es una actualización de la actual versión[/note], el proceso implica una descarga de cualquiera de ambas versiones. Con esa descarga, tanto en macOS 10.13 High Sierra donde se ha hecho más evidente, como en versiones anteriores, se descarga una actualización de firmware que se aplica antes de realizar la actualización para luego, instalar el software. De hecho, por eso es necesario reiniciar el Mac y se produce un doble reinicio: la actualización de firmware se descarga en la famosa partición EFI de 200 Mb, se aplica desde allí, se elimina y luego se procede a la actualización del software. Hasta aquí todo perfecto, este es el proceso bueno y tú, como usuario de consumo que descarga las actualizaciones desde la Mac App Store no tienes ningún problema con los firmware, porque siguiendo este sistema de actualización se instala el correspondiente firmware y listo.
¿Qué ocurre en las empresas? Bueno, esto es mucho más complicado. Para evitar tener que actualizar uno a uno cada Mac, tarea que no es práctica, muchas empresas establecen sistemas de instalación y actualización basados en imágenes monolíticas. La imagen de disco, que incluye el software del sistema, ajustes específicos para la empresa y software preinstalado, se inyecta en los Mac de empresa utilizando diferentes métodos y de hecho esta es una táctica frecuentemente utilizada por los usuarios de consumo más avanzados: lo llamamos clonar a otro Mac, pero básicamente es lo mismo.
¿Qué ocurre con el firmware? Bueno, como el método de imágenes monolíticas no es una actualización propiamente dicha, no incluye la correspondiente actualización de firmware. Generalmente el Mac es lo bastante inteligente para trabajar con un firmware desactualizado y el nuevo sistema, de forma que todo parece funcionar correctamente y listo[note]Cosa que no ocurre con macOS 10.13 High Sierra porque la introducción de APFS requiere sí o sí una actualización de firmware[/note].
¿Por qué pasa esto? La entrada masiva de Macs en las empresas es un hecho relativamente reciente, y los departamentos de IT de las mismas, acostumbrados a otros sistemas operativos, han adoptado sistemas rápidos de gestión, pero muchas veces el personal no tiene la formación adecuada porque desconocen la plataforma con la misma profundidad como conocen, por ejemplo, los PC con Windows. Pregúntale a un especialista de IT sobre una BIOS/EFI militarizada para un PC y te dará explicaciones. Pídele la misma información para un Mac y no lo tendrá tan claro.[note]O generalmente, no tienen ni idea[/note]
Algunos departamentos de IT[note]Pocos, la verdad.[/note] han solucionado este problema de una forma inteligente: preparan una imagen monolítica con la anterior versión[note]update, no release[/note] del sistema e instalan las flotas de Mac. Sin embargo, han evaluado la versión actual/más reciente para que funcione perfectamente con el software de empresa preinstalado y cuando el empleado recibe el Mac, se le recomienda que actualice a la última versión del sistema a través de la Mac App Store. Como se incluyen los nuevos firmware con las actualizaciones, el firmware se descarga con la actualización, se instala y el problema está resuelto. Esto es una buena práctica.
Sin embargo, hay departamentos de IT que bloquean la instalación de actualizaciones del sistema hasta evaluarlas para que todo funcione correctamente, y esta es una opción correcta, salvo cuando simplemente, para evitarse problemas, congelan esos Mac en el tiempo con una versión específica del sistema y no permiten actualizaciones para evitarse trabajo con las nuevas versiones porque “si funciona, oye, no lo toques”.
Y aquí, claro, es donde está la mala práctica: un Mac congelado en el tiempo, sin acceso a actualizaciones y un departamento de IT que para evitar trabajo y problemas, bloquea las mismas dejando el ordenador vulnerable a futuros problemas de seguridad y como se ha usado un sistema de imágenes monolíticas para la instalación, sin la última versión de firmware instalada y sin acceso a la instalación de nuevas versiones de firmware.
El informe de Duo, cuando habla de cómo afrontar este problema, lo hace desde la perspectiva de usuario de consumo, cuando el problema está en los métodos y procedimientos de empresa al respecto de flotas de Macs gestionadas. De nuevo, la perspectiva y enfoque de la empresa de seguridad es incorrecta sobre todo porque directamente soluciona el problema sacando esos Macs sin actualización de software de la flota en lugar de actualizarlos con un flujo de trabajo inteligente y buenas prácticas en el departamento de IT y seguir trabajando con ellos porque no han sabido determinar dónde está el problema de la actualización, en el uso de imágenes monolíticas y no en un correcto flujo de trabajo para las actualizaciones.
Y una cosa más: al final, para tanto ruido, solo el 4,2% de los Macs revisados por la empresa tienen problemas de Firmware.
On average, 4.2% of real-world Macs used in the production environments analyzed are running an EFI firmware version that’s diferent from what they should be running, based on the hardware model, the OS version, and the EFI version released with that OS version.
¯\_(ツ)_/¯
Muchas gracias por la información, Carlos, pero te has dejado lo más importante: ¿y como se actualiza el firmware SIN actualizar el SO? ¿Qué pasa si inicio la instalación de HS y, tras la actualización del firmware cancelo la instalación del SO?
Porque no siempre se necesita o, peor aún, no siempre el nuevo SO trae más ventajas que inconvenientes.
El informe hace referencia a versiones viejas de firmware que pueden ser atacadas por Thunderstrike. Apple solucionó estos problemas con OS X 10.11 El Capitan, así que cualquier Mac que lleve este sistema cuando lo compraste o ha sido actualizado a esta versión o posteriores está protegido.
https://www.faq-mac.com/2015/10/apple-soluciona-los-problemas-de-thunderstrike-en-os-x-10-11-el-capitan/