Еще недавно считалось, что компьютеры Mac значительно безопасней персональных компьютеров под управлением Windows и что пользователи Mac намного реже подвергаются воздействию вредоносных программ и кибератакам. Однако события последних лет заставили многих пользователей задаться вопросом, действительно ли компьютеры Mac так безопасны.

Как сравнить безопасность платформ Mac и Microsoft?

До определенной степени имеющийся уровень безопасности зависит от версии используемой операционной системы Mac OS X или Windows. Для объективности лучше всего сравнивать самые последние версии (со всеми исправлениями) операционных систем.

В настоящее время действительно существует меньше вредоносных программ для Mac OS X, чем для Windows. Однако это не означает, что компьютеры Mac полностью безопасны. По приблизительной оценке 700 000 компьютеров пользователей Mac OS X были заражены троянцем Flashback. Пользователи, которые были уверены, что им не нужно антивирусное ПО (потому что у них компьютеры Mac), обнаружили, что из-за ложного чувства безопасности они оказались совершенно незащищенными перед этой атакой.

Как быстро производители стараются помочь своим пользователям?

Оценка уровня безопасности — а также степени ущерба и возможных неудобств в результате заражения — это вопрос не только количества вредоносных объектов, нацеленных на ту или иную платформу. Скорость, с которой производители реагируют на проблемы, также может иметь решающее значение для работы компьютеров.

Для выпуска патча для уязвимостей, использованных вирусом Flashback, компании Apple понадобилось почти 50 дней, и обновление было доступно только для операционных систем OS X Snow Leopard и OS X Lion. Это заставило некоторых людей заговорить о том, что использование уязвимости вредоносной программой и последующая значительная задержка в получении обновления могут оказать крайне негативное влияние на безопасность компьютера.

Как и ПК, компьютерам Mac требуется программное обеспечение для обеспечения безопасности в интернете.

Таким образом, несмотря на то, что вредоносных программ для атак Mac OS X меньше, многие пользователи Mac теперь сходятся во мнении, что им следует быть более подготовленными, чем раньше. Пользователи Mac теперь предпринимают шаги по укреплению защиты своих компьютеров и устанавливают антивирусы для борьбы с вредоносными программами, как это делали пользователи ПК многие годы.

Приложения, подписанные надежным центром сертификации, автоматически добавляются в список разрешенных, не требуя подтверждения от пользователя. Приложения, входящие в состав OS X, подписаны компанией Apple. Они могут принимать входящие подключения, если этот параметр включен. Например, приложению iTunes по умолчанию разрешено принимать входящие подключения через брандмауэр, поскольку оно уже подписано компанией Apple.

При запуске приложения, у которого нет цифровой подписи и которое не включено в список брандмауэра, открывается диалоговое окно, где для него можно разрешить или запретить подключения. Если нажать кнопку «Разрешить», OS X подпишет приложение и автоматически добавит его в список брандмауэра. Если нажать кнопку «Отказать», OS X добавит это приложение в список, но будет отклонять для него входящие подключения.

Чтобы заблокировать входящие подключения для приложения с цифровой подписью, необходимо добавить его в список, а затем настроить для него блокировку.

Некоторые приложения, в которых не используется цифровая подпись для кода, при запуске выполняют самопроверку. Если брандмауэр распознает такое приложение, он его не подписывает. Вместо этого при каждом последующем запуске приложения будет отображаться диалоговое окно с запросом на разрешение или отклонение входящих подключений. Эта проблема устраняется путем обновления приложения до версии, подписанной разработчиком.

Сборник советов по обеспечению безопасности современных компьютеров Mac от Apple на базе операционной системы macOS (ранее OS X) 10.12 «Sierra». А также шаги по повышению конфиденциальности в интернете.

Этот гид предназначен для опытных пользователей, желающих следовать корпоративным стандартам безопасности. Но данное руководство подходит и для начинающих пользователей заинтересованных в улучшении их конфиденциальности и безопасности при работе на Mac.

Система будет безопасна настолько, насколько ее администраторы способны это сделать. И это не какая-то единственная техноголия, программное обеспечение или особенная техника, которая гарантирует превосходную безопасность компьютера. Современный компьютер и операционная система очень сложны и требуют многочисленных последовательных шагов для значительного улучшения безопасности и конфиденциальности.

Автор не несет ответственности если какой-то из пунктов приведет к выходу из строя вашего Mac.

Прим. переводчика: но если у вас возникли проблемы с вашим компьютером, то мы сможем помочь 🙂

Если у вас есть замечание или улучшение одного из пунктов руководства, то напишите об этом в комментарии.

Основные рекомендации

• Определите источник угроз
  • Что пытаетесь защитить и от кого? Ваш неприятель именуется из трех букв (если так, то можете рассмотреть использование OpenBSD), является сторонним сетевым наблюдателем или представляет постоянную угрозу для вас?
  • Изучайте, распознавайте угрозы, а также уменьшайте количество уязвимых мест для них.
• Установите новейшие обновления
  • Установите новейшие обновления для операционной системы и программного обеспечения
  • Обновление macOS могут быть установлены через приложение AppStore. Можно установить обновления через командную строку — введите команду softwareupdate. В обоих случаях создавать аккаунт не требуется.
  • Подпишитесь на рассылку новостей от программного обеспечения, которое часто используете. Например, Apple security-announce.
• Зашифруйте конфиденциальный данные
  • В дополнению к общему шифрованию данных на диске, создайте один или несколько зашифрованных контейнеров для хранения ключей, паролей, документов и других данных. Это позволит снизить ущерб в случае компрометации данных или их утечки.
• Периодически делайте резервные копии системы
  • Регулярно создавайте резервные копии данных и будьте готовы восстановить систему после компрометации данных.
  • Всегда шифруйте резервные копии перед копированием их на носитель или облачный сервис.
  • Проверяйте работоспособность резервных копий. Например, через доступ к некоторым файлам.
• Не запускайте сомнительные программы
  • В конце концов, безопасность системы может быть снижена его администратором.
  • Устанавливайте новое и незнакомое программное обеспечение с осторожностью. Это относится также к бесплатным и «open-source» программам.

Прошивка

Установка пароля прошивки (пароль EFI) предотвращает загрузку вашего Mac с любого другого устройства кроме загрузочного диска. Он также может быть необходим при каждом запуске.

Этот пороль будет полезен если ваш компьютер потерян или украден и для защиты против непосредственного доступа к памяти (DIrect Memory Access), который может прочитать ваш пароль FileVault и ввести изменения в ядро модулей, таких как pcileech. Единственный способ сбросить пароль прошивки через Apple Store или с помощью SPI-программатора, таких как Bus Pirate или другой IC-флэш программатор.

1. Запустите компьютер удерживая Command + R для входа в режим восстановления (Recovery Mode)
2. Когда появится окно восстановления, выбираем Firmware Password Utility из меню Utilities.
3. В окне Firmware Utility выбираем пункт Turn On Firmware Password.
4. Вводим пароль. Затем вводим пароль повторно, подтверждая его.
5. Выбираем Set Password.
6. Выбираем Quit Firmware Utility, чтобы закрыть Firmware Password Utility.
7. Переходим в меню Apple и выбираем Restart or Shutdown.

Пароль прошивки активируется при следующем запуске. Для подтверждения пароля, удерживайте Alt во время запуска — вам будет предложено ввести пароль.

Управлять паролем прошивки можно через утилиту firmwarepasswd из загруженной операционной системы. Например, для запроса прошивки при попытке загрузиться с другого устройства:

$ sudo firmwarepasswd -setpasswd -setmode command

Введите пароль и перезапустите Mac.

Использование Dediprog SF600 для удаления пароля прошивки. Смотри HT204455, LongSoft/UEFITool и chipsec/chipsec для дополнительной информации.

Подготовка и установка macOS

Есть несколько способов установить систему macOS.

Самый простой способ запустить MacBook в режиме восстановления (Recovery Mode). Для этого необходимо после включения компьютера удерживать кнопки Command + R. Образ системы может быть загружен и использован непосредственно от Apple. Однако данный метод открывает доступ к серийному номеру и другой идентификационной информацию передаваемой по сети в виде обычого текста, которую может быть нежелательно открывать по соображениям безопасности.

Альтернативный вариант установки macOS это предвариетльное скачивание системы из App Store или другого источника и создание образа инсталируемой системы.

Проверка целостности установки

Приложение для установки macOS имеет кодовую подпись, которая должна быть подтверждена, чтобы убедиться в подлинности копии. Для этого можно использовать команды pkgutil —check-signature или codesign -dvv.

Ниже представлены два примера проверки кодовой подписи и целостности установочного пакета macOS :

$ pkgutil —check-signature /Applications/Install\ macOS\ Sierra.app Package «Install macOS Sierra.app»: Status: signed by a certificate trusted by Mac OS X Certificate Chain: 1. Apple Mac OS Application Signing SHA1 fingerprint: B9 3B DA AA F1 A8 84 6B 34 BA 32 33 26 35 CB 2B 84 85 3D A8 —————————————————————————— 2. Apple Worldwide Developer Relations Certification Authority SHA1 fingerprint: FF 67 97 79 3A 3C D7 98 DC 5B 2A BE F5 6F 73 ED C9 F8 3A 64 —————————————————————————— 3. Apple Root CA SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Также можно использовать команду codesign для проверки кодовой подписи приложения:

$ codesign -dvv /Applications/Install\ macOS\ Sierra.app Executable=/Applications/Install macOS Sierra.app/Contents/MacOS/InstallAssistant Identifier=com.apple.InstallAssistant.Sierra Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20200 size=297 flags=0x200(kill) hashes=5+5 location=embedded Signature size=4167 Authority=Apple Mac OS Application Signing Authority=Apple Worldwide Developer Relations Certification Authority Authority=Apple Root CA Info.plist entries=30 TeamIdentifier=K36BKF7T3D Sealed Resources version=2 rules=7 files=137 Internal requirements count=1 size=124