20/11/2014

Funkcje bezpieczeństwa w Apple OS X Yosemite

Porady Technologie

Niedawno zadebiutował Apple OS X Yosemite (10.10), więc postanowiliśmy przyjrzeć się, co nowy system oferuje z punktu widzenia bezpieczeństwa. Firma uruchomiła specjalną stronę poświęconą bezpieczeństwu OS X-a, na której znajdują się artykuły zawierające przydatne informacje, napisane w sposób łatwy i przystępny. Niestety nie ma tam zbyt wielu informacji na temat nowych funkcji.

ios_protection

Po pierwsze, Apple oświadczył, że kwestie bezpieczeństwa były pierwszą myślą, a nie wnioskiem. To jest coś, czego nam teraz bardzo potrzeba. Właściwie zawsze tak było, ale nie każdy dostawca myślał o bezpieczeństwie jak o czymś, co należy rozpatrywać już na wstępie tworzenia oprogramowania. Apple robi to dobrze, albo przynajmniej tak mówi.

Większość zastosowanych narzędzi bezpieczeństwa ma specyficzne nazwy – Gatekeeper, FileVault itp. To dobry ruch z marketingowego punktu widzenia, ale ponadto pomaga w odgadnięciu przeznaczenia danego narzędzia. Przyjrzyjmy im się bliżej.

Gatekeeper

To znana już funkcja (była w wersji Mountain Lion 10.8 systemu OS X), która chroni Maki przed szkodliwym oprogramowaniem i „podejrzanie zachowującymi się aplikacjami pobieranymi z internetu”. Jego cel i sposób działania są analogiczne jak w przypadku kontroli konta użytkownika w systemie Windows (UAC). Mówiąc ogólnie, Gatekeeper sprawdza, czy aplikacja pobrana spoza sklepu Mac App Store posiada odpowiedni identyfikator dostawcy (Developer ID). Jeśli nie, nie uruchomi się, o ile użytkownik nie zmienił ustawień.

Zrzut ekranu 2014-11-20 o 15.39.45

Domyślnie Gatekeeper pozwala użytkownikowi pobierać aplikacje ze sklepu Mac App Store, jak również te, które posiadają identyfikator dostawcy (Developer ID). Pozostałe są blokowane, chociaż możliwe jest ręczne uruchamianie. Innymi opcjami są „Z dowolnego źródła” (najmniej bezpieczna) i „Mac App Store” (tylko ze sklepu; najwyższy stopień bezpieczeństwa).

FileVault 2

To narzędzie bezpieczeństwa szyfruje cały dysk, chroniąc dane szyfrowaniem XTS-AES 128. Apple mówi, że wstępne szyfrowanie jest szybkie i dyskretne. Może także szyfrować każdy nośnik wymienny, pomagając użytkownikowi bezpiecznie wykonywać kopie zapasowe Time Machine i ogólnie przechowywać informacje.

FileVault 2 umożliwia także użytkownikowi wymazanie wszystkich danych na dysku, a odbywa się to w dwóch etapach. Najpierw z komputera Mac usuwane są klucze szyfrowania, co – według Apple’a – ma sprawić, że danych „nie można odzyskać”. Następnie wymazywane są wszystkie dane z dysku. Zatem, jeśli ktoś chciałby z niego wszystko przywrócić, będzie musiał się nieco z tym „pobawić”. Jest to bardzo przydatny sposób na zabezpieczenie wrażliwych danych i uchronienie ich przed niepożądanymi osobami. Tak jak kolejne narzędzie o nazwie…

Remote Wipe

To narzędzie umożliwia użytkownikom usuwanie wszystkich danych osobistych i przywrócenie ustawień fabrycznych na Maku w sytuacji, gdy znienacka „zmieni się jego właściciel”. Łagodniejszą opcją jest ustawienie zdalnego blokowania hasłem.

iCloud.com i aplikacja Znajdź mój iPhone na urządzenia z iOS-em umożliwiają użytkownikom odnalezienie na mapie ich zagubionego sprzętu. Jeśli urządzenie jest w trybie offline, użytkownik otrzyma wiadomość po połączeniu z najbliższą siecią Wi-Fi. Istnieje także możliwość  wprowadzenia komunikatu wyświetlanego na ekranie, który będzie informował, jak można zwrócić zagubiony sprzęt.

Hasła

Przeglądarka Safari jest wyposażona w Generator haseł, który tworzy silne hasła do kont online. Jest także iCloud Keychain przechowujący loginy i hasła (jak również informacje o karcie kredytowej) wykorzystujący 256-bitowe szyfrowanie AES. Ponadto iCloud umożliwia użytkownikom synchronizację wszystkich nazw użytkownika i haseł między wszystkimi urządzeniami Apple – Mac, iPhone, iPad i iPod touch.

Przechwytywanie

Ta opcja autouzupełniania może być dla Ciebie niewygodna w jednej sytuacji: jeśli pod Twoją nieobecność ktoś potajemnie uzyska dostęp do Maka. Dlatego zalecamy włączenie opcji Wyłącz logowanie automatyczne w sekcji Bezpieczeństwo i prywatność.

Kontrola prywatności

Opcja ta umożliwia (albo uniemożliwia) pewnym aplikacjom pozyskiwanie danych o Twojej lokalizacji, a także wyjaśnia, jak Usługi lokalizacji mogą wpływać na prywatność. Niektóre zakładki w sekcji „Dostępność” umożliwiają użytkownikom zezwolenie danym aplikacjom na „kontrolę Twojego komputera” (odpowiednik funkcji w Windowsie – niektóre aplikacje, zazwyczaj legalne, do poprawnego działania wymagają ustawienia „Uruchom jako administrator”). Użytkownik decyduje, czy aplikacja otrzyma dane uprawnienie. Mimo że funkcja ta sama w sobie niekoniecznie wpływa na prywatność, jest warta wspomnienia jako dodatkowa funkcja zabezpieczająca.

 Apple mógł zrobić jeszcze jeden ruch na rzecz prywatności: wygląda na to, że w Yosemite wyszukiwarka Spotlight domyślnie przesyła obecną lokalizację użytkownika (miasto) oraz wszystkie jego zapytania w internecie do Apple’a i firm trzecich. Aby z tego zrezygnować, należy wyłączyć Sugestie Spotlight oraz Wyszukiwanie w Bing w menu Preferencje systemowe > Spotlight > Wyniki wyszukiwania. Oprócz tego w ustawieniach Safari należy wyłączyć Sugestie Spotlight.

Antyphishing

Dobre narzędzie (chociaż znamy je już od jakiegoś czasu) we właściwym miejscu. Powszechny i narastający problem – phishing – wymaga specjalnych środków zapobiegawczych i to dobrze, że Apple je dostarcza.

To podstawowe narzędzie, które umożliwia użytkownikom podjęcie decyzji o zaakceptowaniu połączeń przychodzących na Maka za pośrednictwem aplikacji. Jednak nie dostarcza ono zapory sieciowej dla ruchu wychodzącego, więc uzasadnione jest zainstalowanie czegoś bardziej zaawansowanego.

Piaskownica i ochrona na poziomie jądra

Piaskownica firmy Apple to funkcja zaprezentowana w systemie Mac OS X Lion 10.7; jest odizolowanym środowiskiem dla tych aplikacji, które  mogłyby stać się szkodliwe dla systemu. Co ciekawe, OS X dostarcza taką ochronę w Safari i umieszcza w piaskownicy wbudowaną przeglądarkę plików PDF oraz takie wtyczki jak: Adobe Flash Player, Silverlight, QuickTime oraz Oracle Java – czyli dokładnie to oprogramowanie, które należy do najbardziej dziurawego i wykorzystywanego przez cyberprzestępców.

Ale ponadto OS X umieszcza w piaskownicy także następujące aplikacje: Sklep, Wiadomości, Kalendarz, Kontakty, Słownik, Album z czcionkami, Photo Booth, Szybki podgląd, Notatki, Przypomnienia, Centrum gier, Mail czy FaceTime, więc żadna potencjalnie szkodliwa aplikacja nie przedostanie się do systemu.

Dostępna jest także ochrona czasu uruchamiania na poziomie jądra: jest to funkcja wbudowana w procesor (niemożliwa do wyłączenia), która „tworzy silny mur między pamięcią wykorzystywaną przez dane i pamięcią wykorzystywaną do poleceń wykonywalnych”. Według Apple chroni to przed szkodliwym oprogramowaniem, które sprawia, że Mac traktuje dane jak program, co z kolei mogłoby pozwolić na zhakowanie systemu.

Ponadto w pamięci wykorzystywanej przez jądro stosowany jest mechanizm losowego rozkładu przestrzeni adresowej (ASLR), który losowo lokuje obszary kluczowych danych każdego programu. W ten sposób przewidzenie adresu celu jest trudniejsze dla atakującego, co zwiększa ochronę przed pewnymi rodzajami ataków (np. przepełnienie bufora). Apple po raz pierwszy zastosował losowość dla bibliotek systemowych w wersji Leopard 10.5, a następnie zastosował ten mechanizm w całym systemie Mountain Lion 10.8 w lipcu 2012 r. Zatem metoda ta nie jest nowością.

Oceniając powyższe funkcje, można powiedzieć, że Apple napracował się przy zwiększaniu bezpieczeństwa systemu OS X i najwyraźniej będzie szedł tą drogą. Skierowanie większej uwagi na problemy związane z cyberbezpieczeństwem oraz zmniejszanie potencjalnych obszarów ataku poprzez zastosowanie wielu środków i narzędzi (zarówno klasycznych, jak i zaawansowanych) to dobry kierunek.

Jednak nie oznacza to, że jest to „absolutnie” chroniony system operacyjny – niestety nie ma takich. Co więcej, liczba zagrożeń wymierzonych zwłaszcza w OS X wzrasta, podobnie jak liczba użytkowników Maków. To z pewnością przyciąga uwagę cyberprzestępców, którzy wyszukują luki i czasem je znajdują.