Механизмы защиты macOS

macOS

Уже мно­го лет macOS — отличный выбор как для пов­седнев­ной работы, так и для твор­чес­тва и для мно­гих видов раз­работ­ки. Но как обстоят дела с безопасностью? В этой статье рассмотрим механизмы защиты macOS и ответим на этот вопрос.

Еще по теме: Проксирование и перехват трафика приложений macOS

Механизмы защиты macOS

SIP

Рань­ше на «маках» поль­зователь с при­виле­гиями адми­нис­тра­тора имел все те же воз­можнос­ти, что и root — «кор­невой» поль­зователь в Unix. Под­твер­див коман­ду вво­дом пароля, он мог, к при­меру, изме­нять или уда­лять любые фай­лы в сис­теме.

Это оставля­ло лазей­ку для вре­донос­ного ПО: если уба­юкать осто­рож­ность поль­зовате­ля и зас­тавить его ввес­ти пароль, то даль­ше мож­но скрыт­но тво­рить что угод­но.

В OS X 10.11 El Capitan появи­лась сис­тема System Integrity Protection (SIP) — «защита целос­тнос­ти сис­темы». На прак­тике это реали­зован­ный на уров­не ядра целый ком­плекс мер, который не дает зат­рагивать работу сис­темы даже адми­нис­тра­тору.

Сис­темные фай­лы и катало­ги теперь под защитой — это реали­зова­но как спе­циаль­ный рас­ширен­ный атри­бут у фай­ла; зап­рещена инъ­екция кода в про­цес­сы, при­чем не толь­ко сис­темные, но и дру­гие; зап­рещена заг­рузка в ядро непод­писан­ных рас­ширений.

Ко­неч­но, быва­ют слу­чаи, ког­да SIP меша­ет сде­лать что‑то нуж­ное. Как любитель покопать­ся в сис­теме, я спо­тыка­юсь об эту защиту регуляр­но с момен­та ее появ­ления.

От­клю­чить SIP воз­можно. Для это­го нуж­но перезаг­рузить компь­ютер в режиме вос­ста­нов­ления, открыть тер­минал и исполь­зовать ути­литу csrutil. Затем еще одна перезаг­рузка, и еще две — что­бы потом вклю­чить SIP обратно (что все же рекомен­дует­ся делать).

Gatekeeper

Еще один механизм, приз­ванный защитить «мак» от вирусов, называ­ется Gatekeeper. Это сис­тема, которая, опи­раясь на базы дан­ных Apple, рас­позна­ет потен­циаль­но вре­донос­ные фай­лы и пре­пятс­тву­ет их запус­ку.

Ра­бота­ет это вот как. Каж­дый ска­чан­ный файл помеща­ется в каран­тин, получая соот­ветс­тву­ющий рас­ширен­ный атри­бут. При попыт­ке запус­тить исполня­емый файл, сто­ящий на каран­тине, сис­тема про­веря­ет, не находит­ся ли он в чер­ном спис­ке, есть ли у него под­пись сер­тифици­рован­ного раз­работ­чика, и если да, то не изме­нено ли содер­жимое фай­ла.

В зависи­мос­ти от резуль­татов про­вер­ки сис­тема либо сра­зу запус­кает файл, либо отка­зыва­ется это делать. Если проб­лема в отсутс­твии под­писи, то это лег­ко обой­ти — дос­таточ­но открыть файл через кон­текс­тное меню, а не двой­ным кли­ком.

Механизмы защиты macOS Gatekeeper
Механизмы защиты macOS Gatekeeper

Gatekeeper при желании мож­но пол­ностью отклю­чить одной коман­дой, при­чем не тре­бует­ся даже перезаг­рузка. Хоть это и облегчит жизнь, делать так не рекомен­дует­ся. Прог­раммы прос­то так не попада­ют в чер­ные спис­ки!

Secure Enclave

В «маках» с чипами серии M либо с про­цес­сорами Intel и допол­нитель­ными чипами серии T исполь­зует­ся спе­циаль­ное аппа­рат­ное решение для надеж­ного хра­нения и под­твержде­ния клю­чей шиф­рования и биомет­ричес­кой информа­ции — Secure Enclave.

Поль­зовате­лю Secure Enclave не виден, вза­имо­дей­ство­вать с ним нап­рямую никак нель­зя. Зато сис­тема обща­ется с ним каж­дый раз, ког­да ты под­твержда­ешь пла­теж или ввод пароля отпе­чат­ком паль­ца или раз­бло­киру­ешь компь­ютер при помощи Apple Watch.

App Sandbox

От­дель­но от SIP и Gatekeeper сущес­тву­ет механизм App Sandbox, который кон­тро­лиру­ет дос­туп сто­рон­них при­ложе­ний к поль­зователь­ским и сис­темным фай­лам и пап­кам. Точ­нее, поз­воля­ет раз­работ­чикам самим огра­ничи­вать воз­можнос­ти при­ложе­ний! Для прог­рамм, рас­простра­няемых через App Store, это необ­ходимое усло­вие, для заг­ружа­емых дру­гими спо­соба­ми — опци­ональ­ное.

Механизм защиты macOS App Sandbox
Нас­трой­ка App Sandbox в Xcode

Под­клю­чив App Sandbox в Xcode при сбор­ке про­екта, раз­работ­чик выбира­ет, какие фун­кции могут понадо­бить­ся при­ложе­нию: дос­туп к опре­делен­ным пап­кам, сетевым про­токо­лам, воз­можнос­тям вро­де Apple Pay. При­ложе­ние при работе будет про­сить поль­зовате­ля под­твер­дить, что он раз­реша­ет исполь­зовать тот или иной ресурс.

РЕКОМЕНДУЕМ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий