Originalmente presentado con OS X El Capitan, la Protección de Integridad del Sistema, generalmente conocida como SIP, es una característica de seguridad incorporada en el sistema operativo Mac diseñada para proteger la mayoría de las ubicaciones del sistema, procesos del sistema y extensiones Kernel contra escritura, modificación o reemplazado.

SIP y las protecciones de seguridad relacionadas en el sistema operativo Mac han sufrido cambios con cada versión del sistema operativo, pero los conceptos básicos de cómo funciona el sistema SIP siguen siendo los mismos, incluyendo cómo SIP puede habilitarse, deshabilitarse y tener su estado actual activado .

Sin root, más o menos
OS X El Capitán fue la primera versión del sistema operativo Mac que incorporó SIP, así como la idea de que el sistema operativo Mac ahora no tenía ningún root ; es decir, ya no existía una cuenta raíz, la cuenta principal todopoderosa que tenía acceso a casi todo el sistema. Pero resulta que el concepto de que la Mac está desarraigada era más un truco de marketing de seguridad que un hecho real. Todavía había una cuenta de root; la diferencia es que, cuando está habilitado, SIP presenta restricciones adicionales en la cuenta raíz, bloqueando el acceso de ciertas partes del sistema por una cuenta con privilegios de nivel raíz.

El aislamiento adicional de los componentes del sistema de las cuentas con privilegios de administrador ayuda a evitar que el malware pueda obtener acceso al sistema, donde podría incrustarse y aprovechar todos los servicios del sistema que se ejecutan en una Mac.

Protección de Integridad del Sistema (SIP)
Mientras que "sin root" era principalmente marketing, SIP en realidad endureció la Mac al evitar modificaciones a las siguientes ubicaciones:

  • /Sistem
  • /usr
  • /bin
  • /sbin
  • Todas las aplicaciones preinstaladas por Apple

Las excepciones a la regla son aplicaciones o procesos que han sido firmados por Apple y tienen autorización especial para escribir en los archivos del sistema. Esto incluye instaladores de Apple y servicios de actualización de software de Apple.

SIP es eficaz para impedir que las aplicaciones y servicios de terceros escriban las ubicaciones del sistema. Solo los procesos del sistema firmado por Apple pueden escribir en las ubicaciones del sistema.

Los procesos del sistema no se pueden adjuntar. Esto evita la inyección de código o la conexión en tiempo de ejecución a los procesos del sistema, técnicas que a menudo utiliza el malware para obligar a los procesos con privilegios a ejecutar el código de malware.

Las extensiones de Kernel deben estar firmadas con un ID de Desarrollador de Apple que permita específicamente certificados Kext (extensiones de kernel) firmados. Esto puede evitar que las extensiones del kernel sean reemplazadas o modificadas por malware, así como también evitar que se instalen nuevas extensiones del kernel sin firmar.

SIP en macOS Mojave
Apple incluye una serie de nuevas actualizaciones relacionadas con la seguridad en Mojave , pero para SIP, el gran cambio es que se amplió para abarcar aplicaciones de terceros y no solo las suministradas por Apple. Esto debería evitar que las aplicaciones de terceros sean manipuladas, que se les inyecte código o que se les adjunten procesos, todas las técnicas comunes para obtener el control de una aplicación o sus servicios.

¿SIP es una buena cosa?
Sin lugar a dudas, SIP ayuda a mantener su Mac segura al evitar que muchos vectores de ataque de malware se ejecuten con éxito. Pero como todo lo que trae restricciones a tu Mac, habrá algunas consecuencias.

En el caso de SIP, el problema que se cita con más frecuencia es el fracaso de una aplicación legítima para instalarse correctamente o que una aplicación tenga algunos problemas una vez instalada.

En su mayor parte, estos problemas específicos de la aplicación fueron un problema cuando El Capitan salió a la luz y ahora son mucho menos problemáticos ahora que los desarrolladores han tenido tiempo para resolver los problemas y crear nuevas formas para que sus aplicaciones funcionen con restricciones SIP.

El beneficio para todos los usuarios es que la Mac es una plataforma más difícil para que el malware tome el control , aunque de ninguna manera es una tarea imposible. Los desarrolladores de malware siempre encontrarán nuevas formas de atacar una plataforma.

Controlando SIP
Aunque Apple quisiera que siempre mantuviese SIP encendido, puede habilitarse y deshabilitarse según sea necesario. En los primeros días de El Capitán, no era raro inhabilitar SIP para permitir que una aplicación específica instalara con éxito los componentes necesarios en las diversas carpetas del sistema protegido. Una vez que se completó la instalación, SIP se podría volver a encender para proteger su Mac.

(Puede verificar el estado actual de SIP en cualquier momento usando la aplicación Terminal. Sin embargo, solo puede cambiar la configuración de SIP cuando arranca desde el volumen de Recuperación).

Este SIP habilita y deshabilita la danza se ha quedado en el camino ya que los desarrolladores encontraron formas de trabajar con el sistema SIP. Sin embargo, si tiene una necesidad específica de desactivar, habilitar o verificar el estado del sistema SIP, puede hacerlo con estas instrucciones.

Verifique el estado SIP actual :

Abra Terminal , ubicado en / Applicationes / Utilidades.

En el indicador de Terminal, ingrese lo siguiente:

csrutil status

Presiona Enter o Return.

El terminal debe responder con uno de los siguientes mensajes: "Estado de protección de integridad del sistema: habilitado" o "Estado de protección de integridad del sistema: deshabilitado".

Habilitar o deshabilitar SIP:

SIP no se puede habilitar ni deshabilitar directamente desde la versión del sistema operativo Mac en ejecución; en su lugar, el volumen de Recuperación se usa para agregar un argumento de inicio a la NVRAM de su Mac que controla el sistema SIP.

Debido a que SIP se controla a través de la NVRAM de Mac, habilitar o deshabilitar SIP afecta a todas las versiones del sistema operativo Mac que ha instalado. Si deshabilita SIP para permitir que se instale una aplicación en OS X El Capitan, SIP también se desactivará si debe iniciar en macOS Mojave que instaló en otro volumen. SIP es una configuración global que afecta a todos los sistemas instalados en su Mac.

(Una vez que la Mac arranca desde el volumen de Recuperación, puede usar la aplicación Terminal para manipular la configuración de SIP).

Para habilitar o deshabilitar SIP, deberá reiniciar su Mac utilizando el volumen de Recuperación. Asegúrate de haber cerrado todas las aplicaciones abiertas y luego sigue estas instrucciones:

Reinicia tu Mac. Una vez que su Mac haya terminado de apagarse, mantenga presionada la tecla de opción mientras su Mac se inicia.

Aparecerá el administrador de arranque de Mac, que enumera todos los volúmenes de arranque desde los que puede comenzar.

Use las teclas de flecha para resaltar el volumen de Recuperación, luego presione regresar o ingrese en su teclado.

Su Mac arrancará desde el volumen de Recuperación y mostrará la ventana de la Utilidad de Recuperación.

Seleccione Terminal del menú Utilidades.

La ventana del Terminal se abrirá.

En el indicador de Terminal, ingrese:

csrutil disable

para desactivar SIP o:

csrutil enable

para activar SIP

Después de ingresar uno de los comandos anteriores, presione enter o return en el teclado.

El terminal responderá diciéndole que ha desactivado o habilitado SIP.

(El comando csrutil se usa para habilitar o deshabilitar SIP).

Para que los cambios surtan efecto, debe reiniciar su Mac.

Cierre la Terminal seleccionando Salir de Terminal desde el menú Terminal.

En el menú Apple, selecciona Reiniciar.

Su Mac se reiniciará con SIP configurado para ser habilitado o deshabilitado, dependiendo de qué comando haya usado.

Mejores prácticas de SIP
La mayoría de las aplicaciones modernas y sus instaladores se han convertido en buenos ciudadanos SIP, y no requieren que deshabilite SIP para realizar una instalación. Existen, por supuesto, excepciones, especialmente con algunos sistemas Mac populares y utilidades de archivos que requieren que se realicen cambios en varias ubicaciones del sistema que SIP protege.

Para poder instalar este tipo de aplicaciones, SIP tendrá que estar deshabilitado, la Mac reiniciada, la aplicación instalada, Sip habilitado y la Mac reiniciada.

Encontrarás todas las instrucciones que necesitas para realizar estas tareas en este artículo, arriba. Pero antes de continuar, asegúrese de lo siguiente:

Realmente necesitas la aplicación en cuestión. ¿Hay alguna versión más reciente o una aplicación similar que no requiera modificaciones en el sistema o que deshabilite la instalación de SIP?

Si debe instalar una aplicación que necesita SIP deshabilitada, asegúrese de haber adquirido la aplicación de una fuente segura; directo del desarrollador es generalmente el método preferido. Recuerde que las aplicaciones que requieren la desactivación de SIP serán un objetivo para los distribuidores de malware que se utilizarán como un caballo de Troya para esconderse, de modo que puedan infectar su Mac mientras SIP está desactivado.

Antes de instalar una aplicación que necesita que SIP esté deshabilitada, asegúrese de tener una copia de seguridad del sistema actual o un clon que pueda usarse para restaurar desde allí donde sea necesario.

Después de que la aplicación esté instalada, habilite SIP inmediatamente. Haz esto antes de usar la aplicación recién instalada.

Disfruta de tu nueva aplicación.

Una última nota : las actualizaciones futuras del sistema operativo Mac pueden restaurar los archivos del sistema y las ubicaciones al estado esperado por Apple, lo que hace que las aplicaciones que no presenten quejas SIP sean marcadas como no compatibles y posiblemente eliminadas por una actualización del sistema.

Es posible que deba ponerse en contacto con el desarrollador de la aplicación para obtener una versión más reciente para reinstalar. Con suerte, habrán actualizado la aplicación para que funcione dentro de los nuevos marcos de seguridad de la Mac.

Fuente: https://blog.macsales.com/45473-we-explain-what-system-integrity-protection-on-mac-is-and-how-to-control-it