Як і очікувалося, WWDC 2019 розпочала місяць великими анонсами про наступну версію операційної системи настільної операційної системи Apple, MacOS 10.15 Catalina. Враховуючи проблеми безпеки, що виникли протягом останніх кількох релізів — від карколомних багів до повторних обходів вбудованих засобів безпеки Mac — не дивно, що Catalina отримала багато уваги від інженерів Apple на фронті безпеки. У 10.15 ми бачимо деякі важливі розробки, які торкнуться як компаній-користувачів, так і розробників рішень безпеки. У цій статті ми обговоримо те, що було оголошенео, і пояснимо, як це може вплинути на вас.

macOS 10.15 Catalina

macOS 10.15 Catalina

Прощавайте Kext, привіт SystemExtensions

Починаючи з MacOS 10.15 Catalina, розробникам рішень з безпеки пропонується перейти до нових фреймворків EndpointSecurity і SystemExtensions, та відходити від kernel extensions, які тепер формально застаріли. У Catalina Apple запровадила системні розширення(system extensions) для заміни розширень ядра(kernel extensions). Ідея полягає в тому, щоб надавати розробникам подібну функціональність під час виконання коду повністю в просторі користувача, а не безпосередньо в ядрі.

Важливо відзначити, що подібно до того, як Apple змінила розширення Safari у минулому році, розширення системи повинні бути частиною головного додатка — автономні розширення системи не будуть дозволені. Це має серйозну перевагу — жоден інсталятор або пакет не буде необхідним як системне розширення. Аналогічно, видалення має бути більш зручним, оскільки просто перенесення програми до Кошику деактивує системне розширення, вважаючи, що видалений додаток є останньою або єдиною копією на комп’ютері.

Однією з важливих змін, яка негайно набуває чинності і яка можуть вплинути на робочі процеси підприємства, зокрема на парк техніки під управлінням MDM або керованих профілів, є те, що в той час, як розширення ядра(kernel extensions) залишаються функціональними на macOS Catalina, встановлення будь-яких нових kexts тепер вимагає перезавантаження.

З знеціненням kexts пов’язаний новий API FileProvider для постачальників хмарних сховищ (Google, Dropbox, OneDrive, BoxDrive тощо).

Цей новий API допоможе провайдерам хмарних сховищ відійти від розширень ядра(kernel extensions) але все ще інтегрувати свої служби в Finder. Без необхідності kernel extensions ці постачальники тепер зможуть доставляти свої програми через Mac App Store.

Що це означає для підприємства:
Відхід від kernel extensions — це велика зміна, але, ймовірно, хороша в довгостроковій перспективі і більш болюча для розробників, ніж підприємств, якщо тільки ви не запускаєте свої власні kernel extensions. Для тих, хто в даний час покладається на kexts для доставки сервісів, у вас все ще є достатній пристойний період, щоб розпочати відхід і дізнатися про нові фреймворки EndpointSecurity та SystemExtensions. Давайте сподіватися, що ця нова технологія, яку Apple дає нам настільки ж потужна, як і технологія яку Apple замінює.

Не один, але два розділи

У macOS Catalina компанія Apple представила нову архітектуру розділення файлової системи. В одному розділі є виділений, “тільки для читання” системний том, що містить саму macOS. Це повністю відокремлено від усіх даних користувача, і — окрім підписаного Apple коду, такого як оновлення — не може перезаписати файли операційної системи. Це здебільшого System Integrity Protection (SIP), перенесений на наступний рівень. Замість того, щоб захищати місця в незахищеній секції, весь розділ закривається.

Очикуємо деяку плутанину на початку, оскільки шляхи монтування розділів вже не такі очевидні. Де розташовані дані користувача? Традиційно це було б у /Users /<username>. У Catalina, дані користувача знаходяться в /System/Volumes/Data/Users/< username >. Старий добрий root, /  тепер буде лише як системний том.
Що це означає для підприємства:
Звикнути до альтернативних схем іменування шляхів може бути трохи незручним спочатку, але в принципі чітке розмежування між розділами для системних і користувацьких даних є відмінним кроком, який повинен зробити відновлення системи і резервне копіювання ще більш простою процедурою. Попереджуючі зауваження Apple свідчать про те, що MacOS Recovery буде легше відновлюватися зі знімків/іміджів(snapshots), якщо щось піде не так після встановлення оновлення від третьої сторони — функція, яка спирається нову схему розділення диска.

Gatekeeper

Gatekeeper був посилений щоб забезпечити більше, ніж просто перевірку джерела програми. У macOS 10.14 і раніше, Gatekeeper відстежував завантаження відповідно до джерел, які розрізняють тільки App Store і App Store і визначених розробників. У macOS Catalina ці функції залишаються (з додатковим варіантом, доступним через командний рядок для запуску додатків з будь-якого джерела), але Gatekeeper тепер також виконуватиме сканування шкідливого контенту і перевірку підпису час від часу, щоб перевірити, що код не було підроблено.
Gatekeeper

Gatekeeper

Важливо. Apple каже, що все програмне забезпечення, будь то карантин чи ні, буде перевірятися на наявність шкідливого вмісту. Це стосується коду, який не запускається з пакетів (наприклад, скриптів і бінарних файлів, завантажених, скажімо, через Curl). Але деталі щодо того, як саме працює ця перевірка, і що вона насправді сканує, доведеться чекати аж до публічного випуску Catalina в кінці цього року. Чи буде вона більш надійною, ніж анемічна Xprotect? Ми, звичайно, сподіваємося що буде.
Що це означає для підприємства:
Посилення Gatekeeper, звичайно, вітається. Ми довго скаржилися, що його легко обійти. Чого б нам дійсно дуже хотілося б бачити — це привілеї адміністратора, які застосовуються до видалення софта у карантині, на який спирається Gatekeeper, але поки що ця опція не згадується про це в початковому релізі бета-версії. Для тих, кого хвилює потреба у запуску непідписаного коду, Apple наполягає на тому, що вони не мають планів (поки що) заборонтяи запуск непідписаного коду на macOS, якщо користувачі цього бажають.
Про наступні сюрпризи macOS 10.15 для підприємств читайте у продовженні матеріалу.
0