Записки маковода: Безопасность данных в macOS

Автор: Сергій Макаренко, 08 августа 2017, 11:44

С каждым годом всё больше и больше людей используют компьютер в первую очередь для хранения информации. Как личной так и рабочей. От фотографий, данных кредитных карт до секретов, от которых зависит наш бизнес. Всё это обязывает нас более ответственно относиться к сохранности персональных данных, тем более, что поводов для этого в последнее время более чем достаточно. К сожалению, даже самая совершенная ОС не в состоянии гарантировать полную сохранность данных, потому что управляет компьютером человек.

В этой статье я расскажу вам о том, как macOS позволяет обезопасить ваши данные и уберечь их от кражи или повреждения. Однако, прежде чем начать, я бы хотел сказать ещё пару слов. Дело в том, что по умолчанию первый пользователь, заведённый на компьютере под управлением macOS, получает права администратора. Поскольку macOS является UNIX-подобной операционной системой, многие идеи и философия работы с пользователями тоже были позаимствованы из UNIX. Например, в macOS пользователь-администратор является так называемым супер-пользователем. Эта сущность внутри macOS обладает абсолютной властью, может вносить изменения в конфигурацию системы и для неё не проверяются права доступа. Это значит, что вы являетесь полноправным хозяином вашего компьютера и можете делать всё, что угодно (ну или почти всё). Такая мощь хороша, когда вы действуете сознательно и хорошо понимаете какие последствия могут иметь ваши действия. Но есть и обратная сторона медали. Сами того не подозревая, вы можете «отдать» свой пароль вредоносной программе, и тогда безопасность ваших данных будет под угрозой. И даже совершенные механизмы защиты macOS не уберегут вас от беды.

Так можно проверить наделена ли учётная запись вашего пользователя правами администратора

Итак, начать можно с простого. Нужно выяснить, являетесь ли вы администратором. Это легко. В настройках системы откройте пункт «Пользователи и группы». Если ваша учётная запись имеет права администратора, то под именем вашего пользователя будет надпись «Администратор». Теперь всё предельно ясно. На ваших плечах лежит практически вся ответственность за сохранность ваших собственных данных. Теперь давайте разберёмся с потенциальными источниками угроз, которые могут представлять опасность для ваших данных, и способами защиты от них.

Пароль к вашей учётной записи

Какой бы уровень доступа не имела ваша учётная запись на компьютере, у вас должен быть установлен пароль для входа. Примите это как данность. Вы же не оставляете свою машину на парковке незапертой? Или, скажем, не ложитесь спать, не заперев входную дверь? Так почему же вы считаете, что можно не использовать пароль для получения доступа к вашей учётной записи на компьютере? Запомните, у вас должен быть пароль. Обязательно. И чем сложнее и длиннее он, тем надёжнее защищены ваши данные.

Я бы рекомендовал установить пароль не короче 12 символов (у Apple более лояльные требования) с использованием заглавных, прописных букв и цифр. Ещё будет лучше, если пароль будет нечитаемым. Для создания такого пароля можно воспользоваться автоматическим генератором паролей.

Физическое уничтожение данных

Это, пожалуй, одна из самых опасных угроз. Физическое уничтожение пользовательских данных может быть следствием поломки вашего Macintosh, его кражи или утери. Во всех вышеперечисленных случаях вы можете лишиться всех своих данных: архивов фотографий, персональных видео, рабочих файлов, цифровых ключей и много чего другого, что будет или очень трудно восстановить, или вовсе невозможно.

Однако, предприняв некий перечень мер, можно обезопасить себя. Первым инструментом, который вкладывает Apple в наши руки, является Time Machine. Это системная программа для создания резервных копий. Работает она в полностью автоматическом режиме. Для того, чтобы начать работу с ней, достаточно внешнего диска, подключённого по USB к вашему MacBook. Перед использованием я бы настоятельно рекомендовал включить шифрование резервной копии, тогда к ней никто кроме вас не сможет получить доступ (разумеется, если вы будете беречь пароль от резервной копии как зеницу ока).

Использование жёсткого диска — это отличный первый шаг, однако этот способ имеет недостатки. Вам постоянно нужно будет подключать его руками к Macintosh. Рано или поздно вы или забудете это сделать или вам надоест. Для большего удобства можно купить Time Capsule и резервное копирование будет происходить автоматически всякий раз, когда вы будете подключаться к домашней Wi-Fi сети. Если же у вас есть дома старый компьютер, можно поставить на него Linux или FreeBSD и настроить сетевое хранилище при помощи Netatalk. Делается это просто и такой инструмент для резервного копирования будет намного дешевле покупки Time Capsule.

К сожалению, встроенных в macOS инструментов, которые позволяли бы производить резервное копирование в облака нет, но этот недостаток легко исправить при помощи сторонних приложений. Например, я использую для этих целей Arq. Это отличная программа, которая сможет делать автоматически резервные копи в Google Cloud Storage, Google Drive, Amazon Cloud Drive и другие. Такое решение будет дополнительной защитой, так как ваш жёсткий диск или старый компьютер могут украсть вместе с вашим Маком при ограблении квартиры. В этом случае важные данные будут находиться в облаке и их можно будет восстановить.

Ну и, наконец, неплохо было бы позаботиться о шифровании данных, на SSD вашего Macintosh. Конечно, нам бы хотелось, чтобы в нашей жизни не случалось краж, но стоит предпринять меры, на случай, если это всё же произойдёт. В подобной ситуации важнее всего сделать невозможным чтение данных с встроенного накопителя. Для этого стоит воспользоваться встроенной системой шифрования загрузочного диска FileVault 2, а вернуть ваш Macintosh в случае кражи поможет функциональность «Найти Мак».

Получение пароля обманным путём

Как я уже упоминал выше, первый пользователь, который создаётся при настройке macOS автоматически становится администратором. Поскольку администратор имеет полную власть над системой, передача пароля злоумышленникам путём обмана может иметь катастрофические последствия для того, кого обманули. Для того чтобы предотвратить подобные случаи, начиная с Mac OS X Lion на страже вашего покоя стоит функциональность Gatekeeper, которая объединила в себе разнообразные механизмы macOS для проверок на наличие известного вредоносного ПО, помогающая защитить компьютер от вирусов и программ сомнительного происхождения, загруженных из Интернета. То есть с настройками по умолчанию вы сможете установить приложения, которые подписаны сертификатом с Developer ID (разработчика, подтверждённого Apple) или программы из App Store. Это наилучший вариант, которые не позволит вредоносному ПО даже проникнув на ваш компьютер не начать диалога, в результате которого вас обманут.

Gatekeeper с настройками поумолчанию

Однако бывают такие случаи, когда вам потребуется установить какое-то приложение (например, замечательную программу AppCleaner), которое не подписано сертификатом разработчика Apple. Для этого вам придётся отключить Gatekeepr. Выполнить это действие можно из командной строки выполнив команду:

sudo spctl --master-disable

Для включения Gatekeepr нужно выполнить команду, приведённую ниже:

sudo spctl --master-enable

Gatekeeper отключён

Я настоятельно рекомендую выполнять эти действия только опытным пользователям, которые понимают всю ответственность такого решения. После того, как Gatekeeper будет выключен следует уделять повышенное внимание контролю устанавливаемых приложений. Например, если вы устанавливаете программу из пакета, который не подписан сертификатом с Developer ID. В этом случае стоит посмотреть куда установщик собирается вносить изменения. Сделать это можно будет при помощи шортката ⌘+I.

Пример установочного пакета, подписанного сертификатом с Developer ID

А так выглядит перечень файлов, которые будут установлены программой Wireshark

Если название файлов, которые установщик собирается записать на файловую систему, покажутся подозрительными или мест, в которые будут записываться файлы, будет слишком много, я бы рекомендовал воздержаться от установки. После того, как приложение установлено и вы его открыли первый раз, Gatekeepr можно включить снова воспользовавшись командой, приведённой выше.

Предупреждение в Safari о посещении фишингового сайта

Несколько слов ещё хотелось бы сказать о Safari. В macOS Sierra браузер способен распознавать фишинговый сайты, целью которых является получение данных о ваших учётных записях в сети Интернет включая логины, пароли и данные кредитных карт. В случае появления такого сообщения загрузка подозрительной страницы прекращается и вам показывается соответствующее сообщение. Ни в коем случае не игнорируйте их.

Использование уязвимостей

К сожалению macOS, как и любая операционная система, не идеальна. Она создана людьми, а люди, как известно, могут ошибаться. К сожалению, иногда, эти ошибки позволяют злоумышленникам обходить встроенную защиту macOS и исполняя зловредный программный код получать доступ к пользовательским данным или получать управление над компьютером.

В этом случае есть только один способ уменьшить риск. Он очень прост. Нужно своевременно, не откладывая на завтра, устанавливать системные обновления и обновления безопасности. Как правило в них содержатся исправления, которые закрывают обнаруженные уязвимости в macOS и существенно повышают надёжность операционной системы.

В сухом остатке

Итак, давайте подведём итоги. Для того, чтобы ваши данные были в безопасности, необходимо выполнить если не все, то хотя бы большинство из перечисленных ниже правил:

  • Отключить автоматический вход для вашей учётной записи;
  • Установить пароль не короче 12 символов используя в нём строчные, прописные буквы и цифры;
  • Начните создавать резервные копии при помощи Time Machine;
  • Настройте резервное копирование в облако;
  • Шифруйте содержимое вашего диска при помощи FileVault 2;
  • Старайтесь использовать функциональность Gatekeeper;
  • Если вам необходимо устанавливать программы из непроверенных источников, уделяйте повышенное внимание происхождению программы и тому, куда она хочет записать необходимые для работы файлы;
  • Не игнорируйте сообщения Safari о том, что посещаемый вами сайт может быть фишинговым и воздерживайтесь от посещения таких страничек;
  • Своевременно устанавливайте обновления macOS и обновления безопасности.

Если вы выполните хотя бы половину перечисленных выше пунктов, то сможете спокойно спать, не переживая за сохранность вашей персональной информации.

Автор — маковод со стажем.

Сергей Макаренко на Google+

Для тех, кто хочет знать больше