Apple и безопасность
Презентации Apple для части фанатов — это настоящий праздник. И кроме железных новинок компания каждый год выпускает обновление своего ПО. Обычно эксперты по безопасности едва ли не уговаривают ставить обновления, хотя и существует мнение, что в новой версии пофиксят два старых бага и добавят три новых.Это, конечно, старая шутка, но в ней только доля шутки. Попробуем разобраться с новой версией операционной системы от Apple, чем она отличается от предыдущих, что добавлено в безопасности, а какие пункты все еще лучше не нарушать.
У многих пользователей продукции Apple есть особенность (которую активно поддерживает сама компания) — это быстро обновляться на свежую ОС, будь то смартфон, планшет или компьютер. Это возможно благодаря производителю, который поддерживает относительно старое железо, и пользователям, которые привыкли обновлять все системы, и ждут исправления ошибок и новых функций.
По статистике, две трети пользователей сидят на актуальных ОС от Apple, другая треть более-менее равномерно распределяется по совсем старым компьютерам. Что это означает с точки зрения безопасности?
Во-первых, у платформы достаточно маленькая фрагментация. Если посмотреть на Windows или на Android, то там разброс версий операционных систем будет гораздо больше. Во-вторых, нужно обязательно сделать резервную копию перед обновлением. Казалось бы, что это очевидный совет. Но сколько же раз я наблюдал картину, когда пользователи или коллеги не делали резервных копий! По двум самым частым причинам: «да это же мак, ничего не случится» и «да у меня все в облаке».
В-третьих, стоит придерживаться правила регулярного обновления. Но следует знать одну важную особенность. Обновляться нужно быстро «в пределах третьей цифры», когда обновления минорные. И ждать чуть больше, если обновления крупные. Например, обновляться с версии 10.11.1 на 10.11.2 можно достаточно быстро. Как только выйдет официальный релиз. А вот апдейт с 10.12 на 10.13 лучше отложить на день-два, если будут какие-то крупные проблемы в новой ОС, то их относительно быстро починят, выпустив 10.13.1.
Тогда, в нулевых и начале десятых годов, относительная надежность Mac OS X контрастировала с Windows XP и Windows Vista. Но это совершенно не отменяло того, что программисты Apple ошибались, плодили баги в новой системе, увеличивали функциональность своих ОС при растущей сложности. Несмотря на все заверения в стиле «мы сделали самую лучшую в мире ОС, которая работает вдвое быстрее», последняя полностью беспроблемная Mac OS X — это Snow Leopard.
Вот и оказалось, что, например, вирусы под Mac OS X все же есть. И в большом количестве. За два года вредоносных программ для macOS стало больше в 4 раза, а компьютеры на этой ОС стали заражаться вдвое чаще компьютеров под управлением Windows 10.
«Но у меня же все в облаке, чего мне хранить» — этот тезис спорный по двум причинам. Во-первых, облака не защищают вас от шифровальщиков жестких дисков. Если поймаете такой вредонос, то как минимум придется надеяться на то, что облачные сервисы хранят копии ваших файлов, и немедленно стучаться в техническую поддержку. А если это, например, Google, то у вас даже не будет вариантов куда-то позвонить. Нужно писать и надеяться, что ответят сразу, а не через несколько рабочих дней.
Лично у меня однажды полностью рабочий Macbook Pro 2010 в рабочей командировке отказался загружаться, и спас только запасной бэкап на жестком диске в багаже. Причину сбоя выяснить так и не удалось.
Возможно, что делать бэкапы скучно. Но тогда стоит настроить автоматическое резервное копирование. В macOS это делается так:
- Необходимо открыть системные настройки и выбрать Time Machine;
- Проверить, что стоят галочки «Создавать резервные копии автоматически» и «Показывать Time Machine» в строке меню;
- Выбрать диск, на который можно будет делать резервные копии.
Под капотом Big Sur
Первый официальный анонс Big Sur появился 22 июня 2020 на WWDC 2020. По большей части журналисты и блогеры после анонса сконцентрировались на новом дизайне ОС, забыв, что в самой же Apple среди важнейших изменений отметили отказ от Kernel Extensions. Заодно окончательно произошло разделение на системный раздел read-only и перезаписываемого раздела для данных. Что это означает для пользователя?Во-первых, не весь софт заработает так, как от него ожидаешь. Например, известный сторонний файрвол Little Snitch теперь не может заблокировать все соединения для всех программ. Если что-то находится в специальном списке Trusted у ОС Big Sur, то блокировать поток данных не сможет ни встроенная блокировка, ни сторонняя программа.
Во-вторых, данные компания Apple, все же собирает. И достаточно масштабно. Компания годами собирала все IP-адреса пользователей своих устройств, знала когда и кто запускает приложения. Обнаружили это в Big Sur, но оказалось, что такие данные компания собирает еще со времен ОС Mojave. А встроенные программы умеют обходить VPN и любой установленный файрвол. Но самое страшное, что делает это компания даже не по HTTPS, а по обычному и беззащитному HTTP. Такой сбор работает в фоновом режиме, а данные централизованно стекаются в службу Gatekeeper, которая, по злой иронии, отвечает за безопасность, пароли и приватные данные.
О чем это сигнализирует пользователю? Не использовать встроенные приложения и, по возможности, перенастроить Gatekeeper. Да, встроенные приложения работают быстро, часто быстрее сторонних, отлично взаимодействуют с iPhone, iPad и Apple Watch благодаря Handoff, но они открывают все двери для злоумышленников.
Отдельно важно упомянуть встроенный почтовый клиент Mail.app. Компания написала софт так, что вся почта хранится в незашифрованном файле на SSD компьютера. И любой незашифрованный жесткий диск может быть прочитан, включая всю вашу почту, контакты, календарь.
Из этого следует следующая рекомендация: использовать встроенное шифрование диска FileVault. С учетом того, как часто теряются ноутбуки, крадутся или банально считываются в офлайне — стоит позаботиться о дополнительной встроенной защите. Сама защита появилась достаточно давно в Mac OS X Lion. При шифровании используется алгоритм XTS-AES-128 с длиной ключа 256 бит. Если вдруг потеряете пароль, то можно восстановить вход, если заранее записать в надежном месте мастер-пароль и ввести его вместо основного. Еще один вариант вернуть себе данные — это через сервера Apple ввести данные от своего Apple ID. Что уже, конечно, не так безопасно, потому как у компании к серверам полный доступ и чем меньше нужно обращаться к удаленным доступам и выходам в интернет, тем лучше.
Как это сделать:
- Открыть Системные настройки, выбрать раздел «Защита и безопасность»;
- Перейти на вкладку FileVault, нажать на замок в левом нижнем углу, ввести пароль от компьютера;
- Нажать кнопку «Включить FileVault».
Нет никаких гарантий, что пираты не зашили в нужную утилиту или программный комплекс тот же кейлоггер, который будет отправлять пиратам абсолютно все, что вы вводите с клавиатуры, скриншоты ваших экранов, удаленно записывать звуки. Или через пиратский софт может проникнуть шифровальщик. Стоит ли тогда работа этой взломанной утилиты такого риска? Как этого избежать?
Во-первых, использовать бесплатные аналоги. В систему уже встроены офисный пакет, приложения для редактирования мультимедиа и в App Store, и вне его есть бесплатный софт.
Во-вторых, посмотреть на подписную модель. Тот же SetApp, где за $100 в год можно получить большую часть нужных утилит. В-третьих, покупать софт на распродажах. Под Mac программы распродают постоянно, в англоязычных магазинах особенно популярны бандлы со скидкой. Когда продают 10 программ по цене 1-2, действительно полезных программ в наборе будет 3-4.
И еще одна важная часть безопасности — это платный VPN. Никаких бесплатных аналогов! К сожалению, полностью бесплатных продуктов не существует. Кто-то должен платить за серверы, за шифрование, за трафик. Бесплатные или сомнительные VPN в лучшем случае сливают ваши данные рекламодателям, в худшем просто воруют и используют в противоправных целях. Поэтому придется платить, ведь данные в Big Sur от встроенных приложений и так ходят в открытом виде, а публичные wi-fi сети не дают никакой защиты.
Рекомендации и краткие выводы
- На Mac есть вирусы, поэтому придется защищаться;
- Полноценного встроенного антивируса под macOS 11 нет. Необходимо использовать сторонние программы, например ESET NOD32 Cyber Security, он поможет закрыть основные «бреши» в безопасности;
- Необходимо регулярно обновлять все ПО, включая саму систему;
- Не используйте встроенные приложения. Они отправляют данные в незашифрованном виде;
- Встроенное шифрование диска FileVault использовать нужно;
- Пиратский софт не только лишит разработчиков заработка, но и вас ваших же данных. Используйте подписку, бесплатные альтернативы (но только проверенный и надежный, иногда бесплатное хуже вируса) или скидки;
- Создавайте резервные копии системы, приложений, настроек, личных данных;
- Хороший VPN — платный VPN.
Комментарии