Продовуємо розбирати 7 великих сюрпризів з безпеки у macOS 10.15 Catalina. Перша частина за посиланням.

Нотаризація

Одночасно із змінами у Gatekeer, як і очікувалося після додаткових змін, що спостерігаються під час оновлень macOS 10.14 Mojave, ноторизаіцє тепер є обов’язковою. Нотаріальне завірення — це набір автоматизованих сканувань, які відбуваються, коли розробник створює програму для розповсюдження. Зміни в Catalina означають, що розробники не зможуть створювати і поширювати програми для використання на 10.15 без попереднього засвідчення(нотаризації) їх.

Що це означає для підприємства:
Експертна спільнота все ще не впевнена у ефективності нотаризації. Хоча намір компанії Apple є гарним, відсутність прозорості щодо того, що на самом деле шукають автоматизовані сканування, означає, що дуже важко зрозуміти, скільки насправді, якщо взагалі може, нотаризація Apple фактично блокує. Ще гірше, оскільки нотаризовану програму можна легко оновлювати після встановлення, щоб підкинути шкідливий код, у розробників виникає відчуття, що ці додаткові посилання вражають “хороших хлопців” додатковими тягарями більше, ніж будь-що, щоб запобігти розробникам шкідливих програм. Можливо, зміни до Gatekeeper, які обіцяють періодичні повторні сканування, можуть служити для поліпшення цього, але побачимо як це відбудеться на практиці.

Підказки-діалоги всюди

У macOS Catalina Apple розширила кількість та діапазон підказок користувача, які можуть генеруватися при спробі коду отримати доступ до певних розташувань і функцій.

Щоб запобігти атакам, які дозволяють активувати FileVault секретним ключем через fdesetup, що також є можливим шляхом до ransomware-атак, Apple представила нову підказку, яка вимагає схвалення користувача до того, як FileVault можна використовувати для програмного шифрування диска.

Тепер програмний доступ до папок робочого столу та документів користувача також потребуватиме схвалення користувача, а також доступ до папки “Завантаження”, iCloud, монтованих томів і папок у хмарі, таких як Dropbox, OneDrive та інші. Як і у Mojave, список затверджених додатків можна переглядати та керувати ним в панелі конфіденційності System Preferences.

Запит має форму повідомлення “ЯкасьПрограма хотіла би отримати доступ до файлів у вашій папці робочого столу” з параметрами “Не дозволяти” і “ОК”; для цього схвалення не потрібний пароль.

Впроваджені також додаткові елементи керування, що застосовуються до інших каталогів, які зазвичай використовуються для цілей системного адміністрування, зокрема /usr/lib/crom (періодично використовуються adware для збереження своїх даних), /private/var/at та private/var/rc.

Спроба встановити нове завдання cron, наприклад, повинна створити попередження, яке повідомляє користувача про те, що програма намагається записати crontab і вимагає дозволу на адміністрування Mac.

% crontab: installing new crontab

Ця команда повинна генерувати запит користувача. Якщо користувач натискає “Не дозволяти”, команда повинна вийти з помилкою “операція не дозволена”.

% crontab: tmp/tmp.1095: Operation not permitted

Оскільки ми обговорюємо підказки, варто зазначити, що Safari також отримує додатковий запит, коли користувач намагається завантажити файл з будь-якого сайту, з якого він/вона раніше ніколи нічого не завантажували. Якщо користувач схвалює сайт, його додється до налаштувань веб-сайтів Safari під новим елементом “Завантаження” на бічній панелі.

Інші розділи, що підпадають під захист від читання TCC(“Transparency, Consent and Control”) в macOS Catalina

• /Library/DirectoryServices/PlugIns

• /Library/Preferences/DirectoryService/DirectoryService.plist

• /private/etc/passwd

• /private/etc/master.passwd

• /private/etc/auto_master
• /private/etc/exports

У системі 10.14 Mojave код, який намагається отримати доступ до камери або мікрофона користувача, викликає запит на згоду користувача. Цей механізм розширений в MacOS 10.15 Catalina для запису екрану або моніторингу введення з клавіатури. Зрозуміло, що тут мається на увазі додатковий контроль на шляху зловмисного програмного забезпечення, такого як клавіатурні шпигуни(keyloggers) та шпигунське програмне забезпечення(spyware).

Нарешті, повний доступ до диска (Full Disk Access) був розширений, щоб включати папки “Смітник”, створюючи ще одну підказку для програм або коду, який намагається перемістити або прочитати файли, які користувач викинув.

Що це означає для підприємства:
Приємно бачити, що Apple тут активно працює, блокуючи потенційні механізми збереження, як cron та at. Проте використання підказок користувача є недосконалим підходом. Як ми вказували в минулому, якщо користувачам постійно пропонується підтвердити доступ до звичайних файлів і папок, вони, швидше за все, розроблять бездумний «клік», що скоро перетвориться на «м’язову пам’ять».

Діалогове втома є справжньою проблемою тут і, можливо, підриває цінність захисту в першу чергу. Крім того, якщо ваше підприємство значною мірою залежить від багатьох скриптах автоматизації, очікуйте великих збоїв та необхідність переписати код при переході до 10.15. Для підприємств, які використовують MDM та керовані профілі, TCC whitelisting будуть пріоритетними речами, про які потрібно піклуватися.

Мови скриптування

Говорячи про скриптування. Якщо ви очікували, що Python 3 або нова версія Bash нарешті буде частиною macOS 10.15 — Apple має для вас сюрприз. У примітках бета-версії Apple говорить:

Мови скриптування, такі як Python, Ruby і Perl, включено до macOS для сумісності з застарілим програмним забезпеченням. Майбутні версії macOS за замовчуванням не включатимуть мови скриптування і можуть потребувати встановлення додаткових пакунків. Якщо ваше програмне забезпечення залежить від мов скриптування, вам рекомендується поєднати середовище виконання скрипта у самій програмі. (49764202)

 

Використання Python 2.7 не рекомендується, оскільки ця версія включена в macOS для сумісності з застарілим програмним забезпеченням. Майбутні версії macOS не включатимуть Python 2.7. Натомість рекомендується запустити python3 з терміналу. (51097165)

Ще один несподіваний крок полягає у тому, що Apple перемістила оболонку терміналу за замовчуванням з Bash на Zsh, хоча ви можете змінити типовий режим назад на Bash.

Що це означає для підприємства:
Якщо ви використовуєте Python на підприємстві, є ймовірність, що ви вже встановили власне середовище виконання Python 3 і самі керуєте цим. Хоча ми вважаємо, що соромно, що Apple просто не додала нове середовище за замовчанням, ми не вважаємо що ця зміна суттєво зашкодить у роботі. Що стосується переходу на zsh, це було несподівано, але, ймовірно, відображає не більше ніж улюблену оболонку за замовчуванням серед інженерів Apple.

Блокування активації та інші функції з безпеки

Є ще кілька змін у macOS Catalina, які заслуговують згадування. По-перше, 32-розрядні процеси загинули. Це була б значно більша  новина, якби Apple не попереджала нас про це протягом досить довгого часу. Як наслідок, ніхто (особливо розробники) не повинні дивуватися почувши це. Однак, якщо ви все ще залежите від 32-розрядних програм — єдиним варіантом є не оновлюватися на Catalina, доки ви не закінчите з використанням 32-розрядних програм.

Для комп’ютерів з Т2 блокування активації на Mac діє схожим чином як для iOS. Це дозволяє витерти (або повторно активувати) Mac, якщо він втрачений або вкрадений, що робить його непридатним для злодіїв та може бути відновлений лише вами. Аналогічно, нова функція FindMy дозволяє детектити Mac, використовуючи інші пристрої Apple розташовані поблизу, навіть якщо Мак не завантажений.

Ми також повинні швидко нагадати про пару змін, пов’язаних із безпекою у Mail — рідному поштовому клієнті Apple. У macOS 10.15 Catalina тепер можна заблокувати відправника, просто натиснувши ім’я відправника та вибравши “Блокувати контакт”. Ми вважаємо, що це відмінний спосіб зменшити корпоративний спам та іншу небажану пошту. Також скасування підписки на спам або надмірно активні списки розсилки стало трохи простішим, оскільки Mail тепер містить кнопку для автоматичного відправлення повідомлень “відписатися” на небажані списки.

Висновки

З macOS Catalina у Apple зробили деякі великі зрушення з точки зору безпеки. Ще занадто рано говорити про те, як відбуватимуться ці зміни або чи будуть вони створювати реальні перешкоди для авторів шкідливих програм. Ми підозрюємо, що, як і у Mojave, покладаючись на користувальницькі підказки, не вдасться заблокувати шкідливе програмне забезпечення. Наскільки ефективною буде нова політика Gatekeeper та Notarization багато в чому залежатиме їх реалізації. Будемо слідкувати далі.