viernes, 12 de abril de 2013

Sin password en la BIOS estás perdido en Mac OS X

Por temas de trabajo me tocó hacer un curso de Mac OS X para implementar los sistemas de Apple con los servidores de Windows. Uno de los puntos fuertes para implementar estos sistemas con los de Windows es que tenían que cumplir con una Security Baseline lo más parecida a las políticas de la empresa que estaban establecidas para los equipos de Windows.
 Por las características de mi trabajo los equipos tienen unas medidas de seguridad bastante elevadas. Cifrado de disco, una sola cuenta con permisos de administrador, Carpeta de Aplicaciones restringida, unidades externas capadas, terminal sin acceso, etc, etc ...

Entre una de estas medidas de seguridad teníamos que establecer la password de la BIOS, que en cualquier otro equipo con arquitectura de PC no puede parecer tan importante tener contraseña en la BIOS ya que para poder "romper" la contraseña de la cuenta administrador, un usuario tendría que disponer de una herramienta tipo Live CD que se encargara de ello. Y eso ya es una tarea más "engorrosa" para llevar acabo, a parte de que es mucho más escandaloso ver a un usuario arrancando Kali Linux o Ophcrack en su ordenador.

¿Por qué digo esto? Sencillo, por defecto en las últimas versiones de Mac OS X (creo que es a partir de la 10.7) se implementa un sistema de Recovery. Un "mini" Mac OS X con algunas aplicaciones para poder particiones el disco, repararlo, añadir particioes, o descargar desde los propios servidores de Apple el sistema completo en caso de que el que tenemos instalado se ha haya dañado.
Pues bien,  si arrancamos el Mac en modo Recovery tenemos la posibilidad de abrir un terminal y escribiendo un comando que no recuerdo muy bien, pero creo que era algo así como "passwordreset" se abrirá una ventana en las que nos ofrecerá la posibilidad de elegir las cuentas de usuario que tiene el equipo y cambiar su password sin necesidad de se admin ni nada por el estilo. Simplemente elegimos la cuenta que queramos y le cambiamos la contraseña.

Hack & Security
Img 1: Menú para elegir el usuario al que queremos resetear la password
Por eso es de suma importancia en equipos con Mac OS X (sobre todo en entornos de empresa) que la BIOS tenga una password. Ya que sino cualquier usuario sabiendo esto podría tener cambiar la password del admin local casi sin darnos cuenta.