Средства безопасности Mac OS X Yosemite

Бизнес

Вышла новая версия операционной системы Mac OS X — Yosemite (10.10). Давайте посмотрим, что она может нам предложить нам в плане безопасности.

Компания Apple создала специальную страницу, посвященную безопасности Mac OS X; текста там много, но он вполне хорошо структурирован и достаточно легко читается. Другое дело, что там почти нет данных о том, какие именно возможности появились в новом релизе.

Apple в первую очередь указывает, что безопасность была первоочередной задачей. Разработчики не в последнюю очередь ей руководствовались. Такой подход сегодня можно только приветствовать. На самом деле этот подход был необходим всегда, но не каждый разработчик заботился об обеспечении безопасности с нуля. Apple, делает все правильно (на словах, как минимум).

Большинство инструментов безопасности носят конкретные имена — Gatekeeper, FileVault. Это маркетинговый подход, но он также помогает разъяснить, что за что отвечает.

Итак, давайте рассмотрим их.

Gatekeeper

Это старая (представлена ещё в Mac OS X Mountain Lion 10.8) функция защиты Mac от вредоносного ПО и «неподобающих приложений, загруженных из интернета».

Функция по своим целям и поведению напоминает контроль учетных записей Windows (UAC). В двух словах, Gatekeeper проверяет наличие ID разработчика у приложения, скачанного откуда-либо еще, кроме Mac App tore. Если ID нет, программа не запустится, если не поменять установки вручную.

По умолчанию (в отличие от OS X Lion v 10.7.5, например) Gatekeeper позволяет загружать приложения из Mac App Store и программы, подписанные ID разработчика.

Другие опции включают «Anywhere» (наименее безопасную) и «Mac App Store» (и ничего кроме; это установка высокого уровня безопасности).

wide1

FileVault 2

Еще один инструмент безопасности. Он шифрует весь диск на Mac, защищая данные шифрованием XTS-AES 128. Apple утверждает, что первичное шифрование осуществляется быстро и ненавязчиво. Оно также может закодировать любой съемный диск, помогая пользователю обеспечить резервное копирование Time Machine или на других внешних накопителях.

FileVault 2 также позволяет стереть все данные на диске, делается это в два этапа. Во-первых, программа убивает ключи шифрования от Mac, что сделает данные «полностью недоступными», как полагают в Apple. Затем происходит тщательное стирание всех данных с диска. Так что у тех, кто задумает восстановить что-либо с этого диска, будет много «веселья». Для того, чтобы оградить конфиденциальные данные от попадания в чужие руки, это очень полезно. Как и…

RemoteWipe

Эта функция позволяет удалить все личные данные и восстановить заводские настройки Mac, если компьютер «сменил владельца» без согласия последнего. Есть опция и помягче, с удаленной установкой пароля доступа.

iCloud.com и приложение Find My iPhone на устройствах iOS позволяют определить местонахождение пропавшего Mac на карте. А если он отключен, то вы получите сообщение, как только компьютер установит беспроводное соединение. Существует также вариант отображения сообщения на экране с информацией о том, как вернуть пропавший компьютер владельцу.

Пароли

Браузер Safari оснащен генератором паролей, который создает надежные комбинации для интернет-аккаунтов.

Еще есть iCloud Keychain, который хранит логины и пароли (вместе с данными кредитной карты) с использованием 256-битного шифрования AES. iCloud также позволяет синхронизировать все имена пользователей и пароли между выпущенными Apple устройствами — Mac, iPhone, iPad и iPod Touch.

У автозаполнения всего один недостаток: если некто недружественный получает шанс воспользоваться Mac в отсутствие владельца, то возможны осложения. Так что настоятельно рекомендуется отключить автоматическое залогинивание в настройках безопасности и конфиденциальности.

Управление конфиденциальностью

Данные опции позволяют (или запрещают) определенным приложениям запрашивать данные о вашем местоположении, при этом даются объяснения того, как Location Services могут навредить личной жизни.

Существуют также некие вкладки «Доступности», которые позволяют разрешать определенным приложениям «управлять компьютером» (очевидная аналогия с Windows, где некоторые приложения, особенно вторичные, запрашивают установку «Выполнить от имени администратора» перед запуском). Пользователю решать самому, какие приложения получат привилегии. Притом что это не затрагивает конфиденциальность как таковую, в качестве дополнительной функции безопасности ее, безусловно, стоит упомянуть.

На самом деле в Apple могли бы уделить и больше внимания конфиденциальности. Оказывается, что Spotlight на Yosemite по умолчанию фиксирует и передает местоположение пользователя (на уровне города) со всеми поисковыми запросами в Apple и третьим сторонам. Чтобы избавиться от этого, рекомендации Spotlight и веб-поиск Bing надо отключать в «Системные настройки > Spotlight > Результаты поиска». Рекомендации Spotlight также требуют отдельного отключения в настройках Safari.

Антифишинг

Такой инструмент (фактически введен уже некоторое время назад) сегодня просто необходим. Проблема постепенно усугубляется, так как фишинг требует специальных контрмер, и хорошо, что Apple их предлагает.

Брандмауэр

Это основной инструмент, который позволяет принять или отклонить входящие соединения на Mac с помощью приложения.

Однако этот брандмауэр не обеспечивает исходящей защиты, поэтому было бы разумно установить нечто серьезнее.

«Песочница» и защита на уровне ядра

«Песочница» (Sandbox) представлена еще в Mac OS X Lion 10.7. Это изолированная среда для приложений, которые могут навредить системе. Интересно, что OS X обеспечивает «защиту песочницей» в Safari, изолируя встроенный просмотрщик PDF и плагины вроде Adobe Flash Player, Silverlight, QuickTime и Oracle Java – то самое программное обеспечение, которое относится к самым уязвимым и эксплуатируемым.

Но OS X также держит в «песочнице» приложения вроде Mac App Store, Messages, Calendar, Contacts, Dictionary, FontBook, PhotoBooth, Quick Look Previews, Notes, Reminders, GameCenter, Mail и FaceTime, так что ничто потенциально вредное не просочится.

Имеется также защита в реальном времени на уровне ядра: встроенная в процессор функция XD (выполнить/отключить), которая «создает мощную преграду между используемой для данных памятью и памятью для исполняемых инструкций». Согласно описанию Apple, это защищает от вредоносных программ, пытающихся обмануть Mac, заставив компьютер поступать с данными тем же образом, что и с программами, для того чтобы скомпрометировать систему.

Address Space Layout Randomization (ASLR) также используется для памяти, используемой ядром, путем случайного выстраивания местоположения ключевых областей данных каждой программы. Этот метод защищает от некоторых атак (например, переполнения буфера), усложняя задачу злоумышленнику, вынужденному подбирать адреса для целеуказания.

Apple ввела рандомизацию для системных библиотек еще в Mac OS X Leopard 10.5 и расширил ее на всю систему, начиная с Mountain Lion 10.8 в июле 2012 года. Так что теперь она уже прочно закрепилась.

Судя по функциям, перечисленным выше, Apple попыталась сделать Mac OS X безопасной и, по-видимому, будет продолжать над этим работать и дальше. Это говорит о том, что Apple движется в верном направлении, решая проблемы кибербезопасности и сокращая возможную площадь атаки с помощью различных средств и инструментов, как базовых, так и продвинутых.

Это не означает, однако, что Mac OS X — «абсолютно» защищенная операционная система. Нет таких систем, к сожалению. Более того, число угроз, направленных против Mac OS X, в частности, растет, как и количество пользователей Mac. Новшества, конечно, уже привлекли внимание преступников, которые ищут в уязвимости и порой их находят.