Яблочная оборона. Что нужно знать о безопасности macOS Big Sur

Журналист и IT-эксперт Станислав Жураковский рассмотрел как с точки зрения безопасности устроена новая macOS Big Sur и дал несколько универсальных рекомендаций.

Apple и безопасность

Презентации Apple для части фанатов — это настоящий праздник. И кроме железных новинок компания каждый год выпускает обновление своего ПО. Обычно эксперты по безопасности едва ли не уговаривают ставить обновления, хотя и существует мнение, что в новой версии пофиксят два старых бага и добавят три новых.

Это, конечно, старая шутка, но в ней только доля шутки. Попробуем разобраться с новой версией операционной системы от Apple, чем она отличается от предыдущих, что добавлено в безопасности, а какие пункты все еще лучше не нарушать.

У многих пользователей продукции Apple есть особенность (которую активно поддерживает сама компания) — это быстро обновляться на свежую ОС, будь то смартфон, планшет или компьютер. Это возможно благодаря производителю, который поддерживает относительно старое железо, и пользователям, которые привыкли обновлять все системы, и ждут исправления ошибок и новых функций.

По статистике, две трети пользователей сидят на актуальных ОС от Apple, другая треть более-менее равномерно распределяется по совсем старым компьютерам. Что это означает с точки зрения безопасности?

Во-первых, у платформы достаточно маленькая фрагментация. Если посмотреть на Windows или на Android, то там разброс версий операционных систем будет гораздо больше. Во-вторых, нужно обязательно сделать резервную копию перед обновлением. Казалось бы, что это очевидный совет. Но сколько же раз я наблюдал картину, когда пользователи или коллеги не делали резервных копий! По двум самым частым причинам: «да это же мак, ничего не случится» и «да у меня все в облаке».

В-третьих, стоит придерживаться правила регулярного обновления. Но следует знать одну важную особенность. Обновляться нужно быстро «в пределах третьей цифры», когда обновления минорные. И ждать чуть больше, если обновления крупные. Например, обновляться с версии 10.11.1 на 10.11.2 можно достаточно быстро. Как только выйдет официальный релиз. А вот апдейт с 10.12 на 10.13 лучше отложить на день-два, если будут какие-то крупные проблемы в новой ОС, то их относительно быстро починят, выпустив 10.13.1.

Давайте разберем оба момента. «Да это же Mac» — самое опасное заблуждение, которое приводит к потере данных. Уверенность в знании, что macOS написана на основе FreeBSD, «на которой ядерные ракеты управляются», начало проникать в пользовательскую среду с переходом от Mac OS 9 Classic к Mac OS X.

Тогда, в нулевых и начале десятых годов, относительная надежность Mac OS X контрастировала с Windows XP и Windows Vista. Но это совершенно не отменяло того, что программисты Apple ошибались, плодили баги в новой системе, увеличивали функциональность своих ОС при растущей сложности. Несмотря на все заверения в стиле «мы сделали самую лучшую в мире ОС, которая работает вдвое быстрее», последняя полностью беспроблемная Mac OS X — это Snow Leopard.

Вот и оказалось, что, например, вирусы под Mac OS X все же есть. И в большом количестве. За два года вредоносных программ для macOS стало больше в 4 раза, а компьютеры на этой ОС стали заражаться вдвое чаще компьютеров под управлением Windows 10.

Заодно количество шифровальщиков и других вредоносов также росло кратными темпами. Вот и оказывается, что в любой момент, открыв ссылку, ведущую на зараженный сайт, используя пиратское ПО или просто находясь в незащищенной Wi-Fi сети, можно лишиться всех своих данных.

«Но у меня же все в облаке, чего мне хранить» — этот тезис спорный по двум причинам. Во-первых, облака не защищают вас от шифровальщиков жестких дисков. Если поймаете такой вредонос, то как минимум придется надеяться на то, что облачные сервисы хранят копии ваших файлов, и немедленно стучаться в техническую поддержку. А если это, например, Google, то у вас даже не будет вариантов куда-то позвонить. Нужно писать и надеяться, что ответят сразу, а не через несколько рабочих дней.

Лично у меня однажды полностью рабочий Macbook Pro 2010 в рабочей командировке отказался загружаться, и спас только запасной бэкап на жестком диске в багаже. Причину сбоя выяснить так и не удалось.

Возможно, что делать бэкапы скучно. Но тогда стоит настроить автоматическое резервное копирование. В macOS это делается так:

• Необходимо открыть системные настройки и выбрать Time Machine;
  
  
  
• Проверить, что стоят галочки «Создавать резервные копии автоматически» и «Показывать Time Machine» в строке меню;
  
  
  
• Выбрать диск, на который можно будет делать резервные копии.

Тут возможны три варианта. Первый — когда у вас AirPort с Time Capsule, роутер от Apple. Все будет работать автоматически, как только ноутбук окажется в зоне действия роутера. Второй способ — подключить внешний жесткий диск, на который будут копироваться данные по проводу. Третий — подключить и настроить NAS или роутер с поддержкой резервного копирования для техники Apple.

Теперь нужно поговорить об изменениях. Давайте сначала разберемся с архитектурой и ключевыми обновлениями.

Под капотом Big Sur

Первый официальный анонс Big Sur появился 22 июня 2020 на WWDC 2020. По большей части журналисты и блогеры после анонса сконцентрировались на новом дизайне ОС, забыв, что в самой же Apple среди важнейших изменений отметили отказ от Kernel Extensions. Заодно окончательно произошло разделение на системный раздел read-only и перезаписываемого раздела для данных. Что это означает для пользователя?

Во-первых, не весь софт заработает так, как от него ожидаешь. Например, известный сторонний файрвол Little Snitch теперь не может заблокировать все соединения для всех программ. Если что-то находится в специальном списке Trusted у ОС Big Sur, то блокировать поток данных не сможет ни встроенная блокировка, ни сторонняя программа.

Во-вторых, данные компания Apple, все же собирает. И достаточно масштабно. Компания годами собирала все IP-адреса пользователей своих устройств, знала когда и кто запускает приложения. Обнаружили это в Big Sur, но оказалось, что такие данные компания собирает еще со времен ОС Mojave. А встроенные программы умеют обходить VPN и любой установленный файрвол. Но самое страшное, что делает это компания даже не по HTTPS, а по обычному и беззащитному HTTP. Такой сбор работает в фоновом режиме, а данные централизованно стекаются в службу Gatekeeper, которая, по злой иронии, отвечает за безопасность, пароли и приватные данные.

О чем это сигнализирует пользователю? Не использовать встроенные приложения и, по возможности, перенастроить Gatekeeper. Да, встроенные приложения работают быстро, часто быстрее сторонних, отлично взаимодействуют с iPhone, iPad и Apple Watch благодаря Handoff, но они открывают все двери для злоумышленников.

Отдельно важно упомянуть встроенный почтовый клиент Mail.app. Компания написала софт так, что вся почта хранится в незашифрованном файле на SSD компьютера. И любой незашифрованный жесткий диск может быть прочитан, включая всю вашу почту, контакты, календарь.

Из этого следует следующая рекомендация: использовать встроенное шифрование диска FileVault. С учетом того, как часто теряются ноутбуки, крадутся или банально считываются в офлайне — стоит позаботиться о дополнительной встроенной защите. Сама защита появилась достаточно давно в Mac OS X Lion. При шифровании используется алгоритм XTS-AES-128 с длиной ключа 256 бит. Если вдруг потеряете пароль, то можно восстановить вход, если заранее записать в надежном месте мастер-пароль и ввести его вместо основного. Еще один вариант вернуть себе данные — это через сервера Apple ввести данные от своего Apple ID. Что уже, конечно, не так безопасно, потому как у компании к серверам полный доступ и чем меньше нужно обращаться к удаленным доступам и выходам в интернет, тем лучше.

Как это сделать:

• Открыть Системные настройки, выбрать раздел «Защита и безопасность»;
  
  
  
• Перейти на вкладку FileVault, нажать на замок в левом нижнем углу, ввести пароль от компьютера;
  
  
  
• Нажать кнопку «Включить FileVault».

Еще одна важная часть безопасности, которая специфична в целом для русскоязычного пространства — это высокий уровень пиратства и взломанный софт. Большая часть приложений, украденных и взломанных, содержит специальную вставку, которая блокирует поход приложения на сервер активации, вшивает свой ключ, действуя незаметно для пользователя. То есть это уже модифицированное ПО, которое работает не совсем так, как задумал производитель.

Нет никаких гарантий, что пираты не зашили в нужную утилиту или программный комплекс тот же кейлоггер, который будет отправлять пиратам абсолютно все, что вы вводите с клавиатуры, скриншоты ваших экранов, удаленно записывать звуки. Или через пиратский софт может проникнуть шифровальщик. Стоит ли тогда работа этой взломанной утилиты такого риска? Как этого избежать?

Во-первых, использовать бесплатные аналоги. В систему уже встроены офисный пакет, приложения для редактирования мультимедиа и в App Store, и вне его есть бесплатный софт.

Во-вторых, посмотреть на подписную модель. Тот же SetApp, где за $100 в год можно получить большую часть нужных утилит. В-третьих, покупать софт на распродажах. Под Mac программы распродают постоянно, в англоязычных магазинах особенно популярны бандлы со скидкой. Когда продают 10 программ по цене 1-2, действительно полезных программ в наборе будет 3-4.

И еще одна важная часть безопасности — это платный VPN. Никаких бесплатных аналогов! К сожалению, полностью бесплатных продуктов не существует. Кто-то должен платить за серверы, за шифрование, за трафик. Бесплатные или сомнительные VPN в лучшем случае сливают ваши данные рекламодателям, в худшем просто воруют и используют в противоправных целях. Поэтому придется платить, ведь данные в Big Sur от встроенных приложений и так ходят в открытом виде, а публичные wi-fi сети не дают никакой защиты.

Рекомендации и краткие выводы

1. На Mac есть вирусы, поэтому придется защищаться;
2. Полноценного встроенного антивируса под macOS 11 нет. Необходимо использовать сторонние программы, например ESET NOD32 Cyber Security, он поможет закрыть основные «бреши» в безопасности;
3. Необходимо регулярно обновлять все ПО, включая саму систему;
4. Не используйте встроенные приложения. Они отправляют данные в незашифрованном виде;
5. Встроенное шифрование диска FileVault использовать нужно;
6. Пиратский софт не только лишит разработчиков заработка, но и вас ваших же данных. Используйте подписку, бесплатные альтернативы (но только проверенный и надежный, иногда бесплатное хуже вируса) или скидки;
7. Создавайте резервные копии системы, приложений, настроек, личных данных;
8. Хороший VPN — платный VPN.