Kako koristiti Sigurnost prilikom pokretanja na macOS-u kako biste zaštitili svoj Mac
Postoje nekoliko alata koje možete koristiti na svom Macu kako biste ga osigurali prilikom pokretanja.
Uvek imajte na umu da ne postoji savršena sigurnost
Evo kako da ih koristite kako biste sačuvali svoj Mac i podatke. Računarska sigurnost je važna tema u današnjem digitalnom svetu i većina elektronskih uređaja je u određenoj meri izložena riziku. Apple je uložio velike napore kako bi svoje platforme učinio sigurnim, ali još uvek postoje načini na koje napadači mogu provaliti, ukrasti podatke i ugroziti Apple sisteme.
Uvek imajte na umu da ne postoji savršena sigurnost. Najbolje što možete uraditi je smanjiti površinu napada uređaja ili sistema kako biste otežali pretnji da pristupi vašim sistemima. Od samog početka, Apple je napravio macOS veoma sigurnim. To je jedan od najsigurnijih operativnih sistema na svetu. iOS i tvOS uređaji su još sigurniji jer mogu učitati samo softver iz Apple-ovog kuriranog App Store-a – osim ako se sigurnost uređaja ne zaobiđe korišćenjem ilegalnog jailbreak softvera.
Vektori pokretanja
Jedna od najranjivijih tačaka za napad na računarski uređaj je kada uređaj prvi put počne sa radom. Većina računara, uključujući pametne telefone i tablete, prolazi kroz proces poznat kao boot-strapping prilikom uključivanja. Tokom ovog procesa, operativni sistem još nije učitan – i na uređaju se pokreće vrlo malo softvera. Upravo u ovom trenutku napadač može izvršiti razne napade kako bi zaobišao OS. Takođe mogu instalirati zlonamerni softver poput virusa, programa trojanskog konja i firmware-a kako bi omogućili pokretanje prilagođenog koda ili čak oštetili uređaj. U novijim iOS uređajima, Apple rešava ovaj problem pomoću Secure Enclave-a ili T2 Security čipa. Secure Enclave je zaštićeno područje hardvera u uređaju koje koristi i hardver i enkripciju kako bi osiguralo uređaj. Mac računari nisu baš toliko sigurni kao iOS uređaji iz istorijskih razloga, pa napadači mogu instalirati softver na ranije Mac-ove koji mogu ugroziti njihovu sigurnost. Kasniji Mac-ovi koji sadrže Intel CPU-ove uključuju T2 sigurnosni čip kako bi izbegli ove probleme. Apple Silicon Mac-ovi bazirani na M2 čipu i kasniji imaju ugrađeni Secure Enclave. Uređaj za skladištenje Mac-a koji sadrži T2 čip enkriptovan je ključevima vezanim za njegov hardver kako bi se pružili dodatni nivoi sigurnosti. To znači da je teško povratiti izgubljene ili oštećene datoteke na Mac-u sa T2 čipom. Svaki alat koji pokušava da povrati enkriptovani skladišni volumen mora znati kako koristiti sigurne ključeve vezane za hardver Mac-a.
To je nešto o čemu Apple ne objavljuje dokumentaciju iz očiglednih razloga. Na Apple Silicon Mac-ovima, svi macOS Startup Disk volumeni su enkriptovani. Apple ih naziva Signed System Volumes. Apple Silicon Mac-ovi neće izvršiti nijednu sistemsku datoteku na Signed System Volumes koje nemaju validan kriptografski potpis od strane Apple-a. To otežava manipulisanje macOS sistemskim datotekama i dalje ih pokretanje na Apple Silicon Mac-ovima.
Startup disk
Međutim, jedan od najvećih vektora napada na Mac-ove je sam Startup Disk. Kada se vaš Mac pokrene, prvo učitava malo firmware-a, Boot ROM, kako bi pokrenuo sve svoje interne sisteme. Zatim pokreće neki firmware kako bi inicijalizovao stvari, poput ekrana i mrežnih veza. Većina ovog koda sadržana je u hardveru samog Mac-a. Mac Boot ROM zatim prebacuje na dva dodatna firmware-a: LLB i iBoot. iBoot zapravo ima dva dela, i ako drugi deo potvrdi da je sve u redu, traži interni ili povezani uređaj za skladištenje kako bi učitao macOS kernel. Ovde mogu nastati sigurnosni problemi.
Možda najveći sigurnosni rizik prilikom pokretanja je činjenica da se dodatni uređaji za skladištenje mogu povezati sa Mac-om po želji – putem USB-a, Thunderbolt-a ili mrežnih priključaka. Signed System Volumes osiguravaju da se mogu pokrenuti samo validne verzije macOS-a. Ali i dalje postoji mogućnost da napadači ubace zlonamerni kod u ovom trenutku. Ali uvek imajte na umu da osim ako se sekvenca pokretanja vašeg Mac-a ne zaštiti, svaki napadač jednostavno može priključiti spoljni uređaj na njega, ponovo pokrenuti Mac i naterati ga da se pokrene sa tog uređaja.
Jednom pokrenuti na spoljni uređaj, napadači mogu kopirati i ukrasti datoteke, postaviti zlonamerni kod na vaš Mac, pa čak i koristiti ga kao daljinski terminal za izvođenje sajber ratovanja preko interneta. Mnoge kompanije, uključujući Apple, imale su ukradene poslovne tajne od strane industrijskih špijuna jednostavno kopiranjem datoteka na spoljne uređaje. Čak su i tajne Apple-ovog automobilskog projekta ukradene na ovaj način.
Osiguranje vašeg Mac-a
Postoji nekoliko načina na koje možete osigurati svoj Mac. Korišćenjem ugrađenog Apple softvera, možete:
- Koristiti Startups Security Utility
- Koristiti Secure Boot i External Boot
- Zabraniti pokretanje sa spoljnih uređaja
- Zaštititi lozinkom vaš Mac prilikom pokretanja
- Ograničiti korisnike i lozinke za prijavu
- Zaštititi lozinkom jedan ili više skladišnih uređaja
- Pokrenuti u Safe Mode
- Koristiti Lockdown Mode
- Daljinski zaključati Mac korišćenjem MDM-a
Startups Security Utility je aplikacija koju je Apple dodao u macOS počevši od Mac-ova koji uključuju T2 Security čip i novije modele. Na Mac-ovima sa ili bez T2 čipa, možete postaviti lozinku firmware-a, ako Mac to podržava. Lozinka firmware-a zaustavlja proces pokretanja i traži korisnika da unese lozinku pre učitavanja operativnog sistema. Korišćenjem Startups Security Utility možete postaviti lozinku firmware-a, omogućiti Secure Boot ili omogućiti/onemogućiti External Boot. Poslednje dve opcije zahtevaju T2 čip. Da biste pokrenuli Startup Security Utility na Intel Mac-u, uključite vaš Mac i pritisnite Command ()-R na tastaturi. To ulazi u macOS Recovery, posebnu aplikaciju koja se nalazi u firmware-u vašeg Mac-a i omogućava pristup delovima macOS-a poput instalatora, Disk Utility-ja, Terminala i Startup Security Utility-ja. Kada pritisnete Command ()-R na tastaturi, bootloader Mac-a preusmerava pokretanje u macOS Recovery umesto kopije macOS-a na vašem Startup Disk-u.
Jednom u macOS Recovery, ne možete ništa drugo uraditi osim pokretanja jednog od dostupnih programa ili Izlaska ili Ponovnog pokretanja. U macOS Recovery, unesite lozinku vašeg korisničkog admin naloga, a zatim izaberite Utilities->Startup Security Utility iz menija.U Startup Security Utility-ju možete postaviti lozinku firmware-a, postaviti nivo sigurnosti za korišćenje pri pokretanju (Secure Boot) i postaviti da li dozvoljavate pokretanje sa spoljnih medija (External Boot).
Opcija Full Security u Startup Security Utility-ju uzrokuje da firmware Mac-a daljinski proveri instaliranu verziju macOS-a kontaktirajući Apple-ove servere. Stoga će vam biti potrebna mrežna veza ako izaberete tu opciju.
Takođe možete potpuno isključiti Secure Boot – omogućavajući bilo koju instaliranu verziju macOS-a da se pokrene.
Apple Silicon Mac-ovi
Na Apple Silicon Mac-ovima, proces je samo malo drugačiji.
Prilikom pokretanja na Apple Silicon Mac-u, pritisnite i držite dugme za napajanje Mac-a dok se ne pojavi “Loading startup options”. Kliknite na Options, zatim kliknite Continue. Zatim izaberite Startup Disk i kliknite Next. Unesite lozinku admina, zatim kliknite Continue. U aplikaciji Recovery, izaberite Utilities->Startup Security Utility. Zatim izaberite sistem koji želite koristiti za postavljanje sigurnosne politike. Ako je odabrani skladišni volumen uključio FileVault, prvo ćete morati da ga otključate unoseći njegovu lozinku. Jednom u odeljku Security Policy u Startup Security Utility-ju, imate samo dve opcije: Full Security ili Reduced Security. Full Security dozvoljava samo vašu trenutnu verziju macOS-a da se pokrene. To takođe zahteva mrežnu vezu. Reduced Security dozvoljava bilo kojoj pouzdanoj, potpisanoj verziji macOS-a da se pokrene ako je Mac podržava. Pod Reduced Security možete takođe postaviti opcije za dozvolu i upravljanje legacy Kernel Extensions, ako želite da im dozvolite pokretanje. Kada postavite sve željene opcije, kliknite OK, zatim Ponovo pokrenite vaš Mac. Promene neće stupiti na snagu dok se ne Ponovo pokrene.
Lozinke za prijavljivanje
Lozinke za prijavljivanje korisnika su još jedan sigurnosni rizik. Prema zadanim postavkama, instalater macOS-a i aplikacija za podešavanje zahtevaju od korisnika da unese korisničko ime i lozinku prilikom prvog podešavanja Mac-a. Ali pretpostavljajući da je korisnik u pitanju admin korisnik, moguće je isključiti prijavljivanje korisnika uopšte u System Settings-u ne tražeći lozinku prilikom prijavljivanja korisnika. To je potpuno nesigurno jer će Mac pokrenuti Finder nakon uključivanja bez ikakve intervencije. Zato uvek treba zahtevati da se postave lozinke za korisnike.
U System Settings->Users & Groups je takođe moguće uključiti “Automatically log in as” – i postaviti ga da se prijavljuje kao bilo koji korisnik naveden na mašini. U okviru Users & Groups, može se omogućiti i Guest Users – kojima nije potrebna lozinka za prijavljivanje. Ako se nalazite u okruženju koje koristi Active Directory (AD) za upravljanje korisnicima, možete omogućiti korisnicima da se prijave dodavanjem njihovih AD akreditiva sačuvanih na AD serveru (ili u Microsoftovoj Entry ID cloud usluzi).
Takođe možete otvoriti skriveni aplikaciju Directory Utility macOS-a sa ovog panela (u Network Account Server panelu).
Zaštitite lozinkom volumene
U macOS-u, možete i lozinkom zaštititi pojedinačne skladišne volumene tako da se ne mogu montirati bez unosa lozinke korisnika. To znatno otežava pristup fajlovima na volumenu ako korisnik ne zna lozinku. Međutim, imajte na umu da da biste to uradili, prvo morate izbrisati i enkriptovati skladišni volumen koristeći Apple-ov Disk Utility app.
Da biste to uradili, prvo napravite sigurnosnu kopiju fajlova volumena za kasnije obnavljanje, a zatim pokrenite Disk Utility aplikaciju Apple-a u /Applications/Utilities folderu. U Disk Utility odaberite volumen koji želite da enkriptujete, kliknite na Erase u alatnoj traci, unesite ime volumena, odaberite GUID Partition Map, i izaberite format enkriptovanog fajl sistema iz padajućeg menija. Unesite i potvrdite lozinku za enkriptovani volumen, zatim kliknite na Choose. Kliknite na Erase, zatim na Done. Disk Utility će izbrisati volumen, enkriptovati ga, i obezbediti ga lozinkom koju ste uneli. Sledeći put kada ponovo pokrenete Mac ili priključite uređaj koji sadrži volumen na vaš Mac, bićete upitani da unesete lozinku kako biste ga montirali na Desktopu Finder-a. Takođe možete enkriptovati volumene u bilo kojem Finder prozoru u sidebaru bez brisanja tako što ćete desnim klikom na njega kliknuti na Encrypt iz popup menija.
Pokretanje u Safe Mode-u
macOS dozvoljava legacy Kernel extensions (KEXTs) koje su softverske komponente koje mogu proširiti funkcionalnost macOS Kernela sa prilagođenim kodom. U macOS 11 i kasnijim verzijama, Apple je dao prednost System Extensions u odnosu naKEXTs, koji se smatraju sigurnijim i manje sklonim rušenju macOS-a ako se kod ne izvršava pravilno. Prilikom pokretanja, macOS spaja sve KEXTs u Auxiliary Kernel Collection (AuxKC), a zatim pokreće neki od pomenutih firmware-a. Tek nakon što je većina procesa pokretanja firmware-a završena, AuxKC se učitava u Kernel gde su KEXTs dozvoljeni da se pokrenu. Korišćenjem Safe Mode-a u macOS-u, moguće je pokrenuti macOS ali isključiti AuxKC kako bi se spriječilo učitavanje KEXTs-a. Da biste pokrenuli vaš Mac u Safe Mode-u, pokrenite Recovery mode kao što je gore navedeno. Kada odaberete skladišni volumen koji želite koristiti, držite pritisnutu taster Shift, zatim nastavite sa koracima navedenim gore. Kada se Mac ponovo pokrene, učitaće macOS sa navedenog volumena ali će reći iBoot-u da ne učita AuxKC.
Lockdown Mode
Prema Apple-u, Lockdown Mode “pomaže zaštititi uređaje od izuzetno retkih i visoko sofisticiranih sajber napada.” Lockdown Mode suštinski ograničava funkcije dostupne u macOS-u kako bi smanjio površinu napada (načine na koje napadači mogu provaliti). Lockdown Mode je dostupan u macOS Ventura i kasnijim verzijama. Kada je Lockdown Mode uključen, macOS ne uključuje sve funkcije koje obično ima pod normalnim radom. Lockdown Mode ograničava određene mrežne aktivnosti kao što su prilozi u Message i FaceTime, neke web tehnologije, veze uređaja, i konfiguracione profile.
Pogledajte Apple-ov technote za punu listu restrikcija Lockdown Mode-a.
Možete uključiti Lockdown Mode u macOS-u u System Settings->Privacy & Security->Lockdown Mode.
MDM
Apple-ova Mobile Device Management (MDM) tehnologija omogućava sistemskim administratorima Macintosh-a da daljinski zaključaju Mac koristeći MDM servere. Da biste koristili MDM za daljinsko zaključavanje Mac-a, Mac mora biti upisan u MDM na MDM serveru, i administrator mora postaviti MDM uslove pod kojima će Mac biti zaključan. Jednom upisan u MDM, daljinsko zaključavanje je kontrolisano od strane servera i administratora servera. MDM se koristi od strane administratora da bi daljinski onemogućili Apple uređaje koji su možda postali pretnja organizacionim mrežama. Sigurnost je složena tema i postoji brojne načine na koje možete povećati sigurnost vaših Mac-ova.
Izvor: Appleinsider