Jeśli używasz komputera Mac codziennie, jest bardzo prawdopodobne, że Gatekeeper to jeden z niewidzialnych systemów bezpieczeństwa Działają w tle, a Ty nawet tego nie zauważasz. Są dostępne za każdym razem, gdy pobierasz aplikację, za każdym razem, gdy dwukrotnie klikasz instalator, a w wielu przypadkach to one uniemożliwiają Ci zainstalowanie czegoś, czego nie powinieneś.
Chociaż komputery Mac mają opinię bezpieczniejszych od innych komputerów, Nie oznacza to jednak, że są wolne od wirusów, złośliwego oprogramowania i szkodliwych aplikacji.Właśnie dlatego Firma Apple od lat wzmacnia warstwy ochrony w systemie macOS.Gatekeeper jest jednym z kluczowych komponentów. Zrozumienie jego funkcji, sposobu działania i bezpiecznej konfiguracji pomoże Ci zachować równowagę między bezpieczeństwem a wygodą.
Czym jest Gatekeeper w systemie macOS i do czego służy?
Gatekeeper to technologia bezpieczeństwa wbudowana w system macOS, która działa jako filtr decydujący o tym, jakie oprogramowanie może działać na Twoim komputerze Mac i które oprogramowanie jest blokowane, ponieważ nie jest zaufane. Rozwiązanie to istnieje od czasu systemu OS X Mountain Lion (2012), a z czasem Apple je udoskonala i zacieśnia sieć zabezpieczeń przed złośliwym oprogramowaniem.
Jego główną misją jest zapobiegać uruchamianiu potencjalnie niebezpiecznych aplikacji pobranych z InternetuSprawdzanie, kto je stworzył, czy zostały sprawdzone przez Apple i czy zostały zmodyfikowane od czasu ich opublikowania przez dewelopera. Wszystko to dzieje się w momencie pierwszej próby otwarcia aplikacji, modułu lub pakietu instalacyjnego.
Gdy pobierasz oprogramowanie spoza App Store, Gatekeeper weryfikuje, czy programista jest identyfikowany za pomocą identyfikatora Apple Developer ID, a aplikacja jest prawidłowo podpisanaDodatkowo w nowszych wersjach systemu macOS (takich jak Catalina i nowsze) sprawdzane jest również, czy aplikacja przeszła poświadczony notarialnie proces certyfikacji Apple, który obejmuje wcześniejszą analizę pod kątem znanego złośliwego oprogramowania.
Aby jeszcze bardziej zwiększyć bezpieczeństwo, Gatekeeper oferuje również: Przy pierwszym uruchomieniu pobranego oprogramowania system poprosi o wyraźne potwierdzenie.Chodzi o to, aby uniemożliwić im „przemycenie” kodu wykonywalnego, który jest zamaskowany jako zwykły plik danych, np. fałszywy plik PDF lub fałszywy dokument tekstowy, który w rzeczywistości jest złośliwą aplikacją.
Jak Gatekeeper działa od wewnątrz
Za komunikatami ostrzegawczymi, które widzisz na ekranie, kryje się szereg mechanizmy techniczne, których system macOS używa do decydowania, czy aplikacja jest godna zaufania Albo i nie. Wszystko zaczyna się w momencie, gdy pobierasz coś z internetu.
Gdy plik dotrze na komputer Mac za pośrednictwem przeglądarki internetowej, klienta poczty e-mail lub innej zgodnej aplikacji, system macOS dodaje specjalny atrybut kwarantannyAtrybut ten oznacza, że plik został „pobrany z Internetu” i to on powoduje uruchomienie się funkcji Gatekeeper przy pierwszej próbie otwarcia pliku.
Próbując otworzyć aplikację poddaną kwarantannie, Gatekeeper sprawdza kilka rzeczy: pochodzenie pliku, podpis kodu, certyfikat programisty i poświadczony notarialnie status certyfikacjiJeśli coś nie pasuje lub nie może zostać zweryfikowane, macOS wyświetla ostrzeżenie o bezpieczeństwie lub bezpośrednio blokuje wykonanie.
Podpisywanie kodu pozwala nam zagwarantować, że Otwierasz dokładnie to, co wysłał programista i nie zostało to zmienione. przez osoby trzecie. Jeśli treść została zmieniona, podpis traci ważność, a Gatekeeper może ostrzec, że aplikacja „może być uszkodzona lub została zmodyfikowana”.
Z kolei notarialne poświadczenie jest procesem, w którym deweloper Apple wysyła swoją aplikację do analizy pod kątem złośliwego oprogramowania i innych znanych złośliwych zachowań. Jeśli test przejdzie pomyślnie, Apple wystawia „pieczęć”, którą Gatekeeper może zweryfikować w czasie wykonywania, lokalnie lub poprzez połączenie z serwerami Apple.
Gdy system macOS wykryje coś naprawdę niebezpiecznego, może wyświetlić przerażający komunikat „Nazwa tej aplikacji wyrządzi szkodę Twojemu komputerowi.”, całkowicie blokując aplikację, przenosząc ją do kosza, a w niektórych przypadkach prosząc o pozwolenie na wysłanie anonimowej kopii złośliwego oprogramowania do Apple w celu ulepszenia przyszłych metod wykrywania.
Relacja między Gatekeeperem, App Store i zidentyfikowanymi deweloperami
W ekosystemie macOS Z punktu widzenia bezpieczeństwa nie każde oprogramowanie jest traktowane tak samo.Apple wyróżnia trzy główne źródła aplikacji, a Gatekeeper zachowuje się inaczej w przypadku każdego z nich.
Najbardziej kontrolowanym środowiskiem jest, logicznie rzecz biorąc, środowisko Mac App StoreWszystkie opublikowane tam aplikacje przeszły ręczny i automatyczny proces weryfikacji przez Apple, są dystrybuowane z podpisem cyfrowym, a w przypadku wykrycia poważnego problemu, Apple może usunąć je ze sklepu i unieważnić ich certyfikat. Według Gatekeeper, te aplikacje są najbardziej niezawodne.
Drugą są aplikacje dla zidentyfikowani programiści Ci deweloperzy dystrybuują swoje oprogramowanie niezależnie, za pośrednictwem oficjalnej strony internetowej lub innymi kanałami. Posiadają Apple ID i podpisują swoje aplikacje oficjalnym certyfikatem. Gatekeeper weryfikuje ten podpis, a w systemie macOS Catalina i nowszych wersjach sprawdza również, czy został on poświadczony notarialnie.
W końcu znaleźliśmy oprogramowanie dla niezidentyfikowani lub niepodpisani programiściTe aplikacje nie są objęte żadną gwarancją Apple. W domyślnych ustawieniach zabezpieczeń Gatekeeper nie pozwala na ich bezpośrednie otwieranie, co wymaga wykonania dodatkowych kroków, co zwiększa ryzyko.
System macOS daje Ci elastyczność w dostosowywaniu ustawień, na które chcesz zezwolić, poprzez preferencje bezpieczeństwa. W Ustawieniach systemu > Prywatność i bezpieczeństwo Możesz wybrać między zezwoleniem na aplikacje tylko z App Store lub zezwoleniem na aplikacje z App Store i od zidentyfikowanych deweloperów. Bardziej liberalne opcje, takie jak akceptowanie dowolnych aplikacji z dowolnego źródła lub całkowite wyłączenie Gatekeepera, są zazwyczaj używane tylko w bardzo specyficznych kontekstach lub z zaawansowanymi narzędziami.
Podstawowa konfiguracja Gatekeepera w systemie macOS
Zdecydowana większość użytkowników nie musi niczego dotykać, ponieważ macOS charakteryzuje się dość zrównoważoną konfiguracją. Między bezpieczeństwem a elastycznością. Mimo to warto wiedzieć, gdzie wpisuje się Gatekeeper i jakie są jego różne opcje.
W obecnych wersjach systemu macOS elementy sterujące znajdują się w Ustawienia systemowe > Prywatność i bezpieczeństwo. W tej sekcji, jeśli przewiniesz trochę w dół, zobaczysz blok „Bezpieczeństwo” z sekcją „Zezwalaj na aplikacje pobrane z”.
Tam zazwyczaj możesz wybierać pomiędzy dwie opcje„App Store”, który zezwala wyłącznie na aplikacje pobrane z oficjalnego sklepu Apple, oraz „App Store i zidentyfikowani deweloperzy”, który zezwala również na oprogramowanie od certyfikowanych przez Apple deweloperów pobrane spoza sklepu. Ta druga opcja jest zazwyczaj bardziej praktyczna dla większości użytkowników.
Jeśli na komputerze Mac skonfigurowano opcję zezwalającą wyłącznie na aplikacje pochodzące z App Store, każda próba otwarcia oprogramowania pobranego z innego źródła zakończy się niepowodzeniem. Blokada nastąpi automatycznie, a na ekranie wyświetli się komunikat informujący o tym fakcie. że aplikacji nie można używać, ponieważ nie pochodzi ona z oficjalnego sklepu.
Jeśli Gatekeeper domyślnie blokuje aplikację, o której wiesz, że jest godna zaufania (na przykład profesjonalne narzędzie pobrane ze strony dewelopera), możesz ją autoryzować w każdym indywidualnym przypadku. Po próbie otwarcia aplikacji i otrzymaniu ostrzeżenia, przejdź do sekcji Prywatność i bezpieczeństwo, a na dole ekranu znajdziesz przycisk. „Otwórz jak zwykle” dla tej konkretnej aplikacji.
Naciśnięcie przycisku „Otwórz mimo to” spowoduje ponowne wyświetlenie ostrzeżenia, a jeśli potwierdzisz przyciskiem „Otwórz”, Ta aplikacja zostanie zapisana jako stały wyjątek. do ustawień bezpieczeństwa. Stamtąd możesz go otworzyć jak każdą inną autoryzowaną aplikację, bez konieczności ponownego proszenia przez Gatekeepera.
Ochrona bramy i środowiska wykonawczego
Gatekeeper to nie jedyna warstwa zabezpieczeń systemu macOS. Po pomyślnym przejściu wstępnej kontroli zaufania, do gry wchodzi to, co Apple nazywa „ochroną bezpieczeństwa”. ochrona w czasie wykonywania, który jest odpowiedzialny za uniemożliwienie autoryzowanym aplikacjom wykonywania dowolnych czynności w systemie.
Z jednej strony macOS utrzymuje Pliki systemowe, zasoby krytyczne i jądro są chronione przed przestrzenią aplikacji użytkownika.Oznacza to, że aplikacje nie mogą bezmyślnie modyfikować wrażliwych części systemu operacyjnego, co zmniejsza ryzyko potencjalnego wykorzystania luk w zabezpieczeniach.
Co więcej, wszystkie aplikacje pobrane ze sklepu App Store działają na piaskownica lub strefa chroniona. Ten mechanizm ściśle ogranicza dostęp do plików, folderów, sprzętu i danych oraz wymaga, aby wszelka interakcja z treściami z innych aplikacji odbywała się za pośrednictwem interfejsów API i usług kontrolowanych przez system macOS.
W ten sposób nawet jeśli aplikacja została pobrana z zaufanej witryny, Bez pozwolenia nie będziesz mieć dostępu do danych z innych aplikacji. lub wrażliwych obszarów systemu, co stanowi kolejną barierę chroniącą przed złośliwym zachowaniem lub poważnymi błędami programistycznymi.
Gatekeeper pomaga również zatrzymać bardzo specyficzny wektor ataku: ładowanie złośliwych modułów lub dodatków dołączonych do pozornie nieszkodliwej aplikacjiW pewnych okolicznościach system macOS może uruchamiać tę aplikację z losowych lokalizacji przeznaczonych tylko do odczytu, aby zapobiec automatycznemu ładowaniu zewnętrznych modułów ukrytych w tym samym pakiecie.
Typowe komunikaty ostrzegawcze Gatekeepera
Jeśli często używasz komputera Mac do instalowania nowych aplikacji, prawdopodobnie spotkałeś się już z różne komunikaty ostrzegawcze od Gatekeepera i systemuZrozumienie znaczenia każdego z nich pomoże w podejmowaniu lepszych decyzji co do tego, co zrobić w danym przypadku.
Gdy po raz pierwszy otwierasz aplikację od zidentyfikowanego dewelopera pobraną poza App Store, macOS zapyta, czy na pewno chcesz go otworzyć.Zazwyczaj zawiera informację, z jakiej witryny internetowej plik został pobrany i kiedy, dzięki czemu możesz ocenić, czy spodziewałeś się pobrać coś konkretnego.
Jeżeli Apple nie może sprawdzić, czy aplikacja zawiera złośliwe oprogramowanie, ponieważ twórca Nie można tego zweryfikować, ponieważ aplikacja nie została poświadczona notarialnie.Zobaczysz komunikat informujący, że system macOS nie może zweryfikować, czy aplikacja jest wolna od złośliwego oprogramowania. W przypadku bardziej rygorystycznych ustawień spowoduje to zablokowanie aplikacji.
Jeśli w ustawieniach zabezpieczeń wybrano opcję „Tylko App Store”, macOS nie otworzy żadnych aplikacji pobranych z innych witrynZobaczysz ostrzeżenie informujące, że ta aplikacja nie pochodzi ze sklepu App Store i zgodnie z Twoimi ustawieniami nie jest dozwolona.
Jeżeli system wykryje, że oprogramowanie zawiera szkodliwą zawartość lub że jego autoryzacja została cofnięta, macOS może wyświetlić ostrzeżenie, że aplikacja może uszkodzić komputerW takich sytuacjach system zazwyczaj uniemożliwia uruchomienie aplikacji, przenosi ją do kosza i zaleca, aby jej więcej nie używać.
Możliwe jest również, że macOS wykryje, że aplikacja jest uszkodzona lub została zmodyfikowana. W takim przypadku pojawi się komunikat podobny do tego: „Aplikacji nie można otworzyć, ponieważ mogła być uszkodzona lub ktoś przy niej manipulował”.Zwykle oznacza to problem z integralnością aplikacji lub podpisem jej kodu.
Znane ograniczenia i luki w zabezpieczeniach Gatekeepera
Pomimo wszystkich tych warstw zabezpieczeń, Gatekeeper nie jest nieomylny. Zdarzały się przypadki, w których cyberprzestępcom udało się obejść te zabezpieczenia. i infiltrować złośliwe oprogramowanie do systemów macOS, wykorzystując konkretne luki lub słabości projektowe. Na przykład, wydano ostrzeżenia. Alerty dotyczące luk w zabezpieczeniach systemu macOS co podkreśla potrzebę szybkich rozwiązań.
Dobrze znanym przykładem było złośliwe oprogramowanie wykorzystujące lukę w zabezpieczeniach Gatekeepera związaną z zaufanie, jakim macOS darzy dyski zewnętrzne i współdzielone dyski siecioweW niektórych wersjach środowiska te uważano za „bezpieczne miejsca”, dzięki czemu przechowywane w nich oprogramowanie mogło działać bez przechodzenia przez tak rygorystyczne kontrole, jak pliki oznaczone jako pobrane z Internetu.
Filippo Cavallarin, badacz bezpieczeństwa, udowodnił, że jest to możliwe oszukanie systemu i uruchomienie złośliwego kodu właśnie za pomocą tego mechanizmu otwieramy drzwi dla doświadczonych atakujących, którzy mogą wykorzystać tę nadmierną pewność siebie.
Udokumentowano również stosowanie tej i innych technik przez firmy tworzące oprogramowanie typu adware, jak w przypadku OSX/SurfbuyerW tym scenariuszu atakujący maskowali zainfekowane obrazy dysków pod postacią rzekomych instalatorów programu Adobe Flash Player, co stanowi klasyczną taktykę mającą na celu oszukanie niczego niepodejrzewających użytkowników i nakłonienie ich do uruchomienia złośliwego instalatora.
Nie był to pierwszy raz, kiedy Gatekeeper brał udział w tego typu incydentach. W lutym 2018 r. Podobny przypadek miał miejsce w przypadku złośliwego oprogramowania OSX/Shlayer.która wykorzystywała również słabości w sposobie, w jaki macOS obsługiwał weryfikację oprogramowania. Rozwiązywanie problemów takich jak WebKit i inne aktualizacje starają się blokować te wektory ataku, ale nie zawsze działają natychmiast.
Innym ważnym ograniczeniem jest to, że Gatekeeper skupia się głównie na moment początkowy instalacji i pierwszego uruchomienia aplikacjiNie jest to tradycyjny program antywirusowy, który monitoruje wszystkie procesy i działania systemowe w czasie rzeczywistym, gdy oprogramowanie jest już zainstalowane i uruchomione.
Jak uzupełnić Gatekeepera, aby zapewnić bardziej solidne bezpieczeństwo
Właśnie ze względu na wyżej wymienione ograniczenia wielu ekspertów zaleca połącz Gatekeepera z innymi rozwiązaniami bezpieczeństwaszczególnie w środowiskach o większym narażeniu lub tam, gdzie przetwarzane są poufne informacje.
Jedną z najczęstszych strategii jest uciekanie się do Narzędzia antywirusowe specyficzne dla systemu macOS oferujące analizę w czasie rzeczywistym, wykrywanie na podstawie podejrzanego zachowania i ochronę przed zagrożeniami, które mogą wykorzystywać luki w zabezpieczeniach ujawniające się po instalacji.
Te zewnętrzne rozwiązania mogą pomóc w wykryciu złośliwe oprogramowanie ukryte w pozornie legalnych pakietach który w pewnych scenariuszach nie powoduje uruchomienia alertów Gatekeepera, ponieważ udaje mu się ominąć początkowe kontrole lub wykorzystuje skradzione certyfikaty i podpisane komponenty.
Ważne jest również, aby nie zapomnieć o podstawowych środkach, takich jak: Zawsze aktualizuj system macOSSzybko instaluj poprawki zabezpieczeń i przejrzyj zainstalowane aplikacje, usuwając te, których już nie używasz lub które nie pochodzą z wiarygodnych i sprawdzonych źródeł. Dla wielu użytkowników Aktualizuj system macOS robi różnicę.
Dla zaawansowanych użytkowników jest to możliwe Konfigurowanie Gatekeepera przy użyciu narzędzi i zasad administracyjnych MDM (Mobile Device Management) w środowiskach korporacyjnych, definiując, jakie typy oprogramowania można instalować, z jakich źródeł i w jakich warunkach, zmniejszając w ten sposób powierzchnię ataku. Apple ma nawet zaktualizowane wytyczne bezpieczeństwa i dokumentacja dla administratorów.
Szczegółowa kontrola w firmach i organizacjach
W środowisku biznesowym Gatekeeper staje się kolejnym elementem szerszej strategii bezpieczeństwa. Organizacje mogą używać rozwiązań MDM do egzekwowania określonych zasad które ograniczają instalację oprogramowania wyłącznie do aplikacji z App Store lub wewnętrznych pakietów podpisanych własnymi certyfikatami.
W ten sposób pracownicy nie będą mogli instalować aplikacji z nieznanych źródeł, nawet jeśli spróbują ominąć standardowe ograniczenia Gatekeepera z poziomu graficznego interfejsu. Zasady MDM mogą blokować wyłączenie funkcji Gatekeeper. i ograniczyć korzystanie z alternatywnych tożsamości podpisujących.
W niektórych ściśle regulowanych środowiskach firmy często zezwalają jedynie na wewnętrzne i zaufane aplikacje. z centralnie zarządzanymi certyfikatamiGatekeeper w połączeniu z innymi technologiami macOS, takimi jak sandboxing, ochrona integralności systemu i kontrola prywatności, pomaga utrzymać środowisko maksymalnie zamknięte przed nieautoryzowanym oprogramowaniem.
Chociaż Apple nie wykazało żadnych oznak chęci przekształcenia systemu macOS w system tak zamknięty jak iOS, W praktyce obserwuje się tendencję do zaostrzania kontroli., promować dystrybucję za pośrednictwem App Store i zachęcać deweloperów do przechodzenia przez formalne procesy podpisywania i poświadczania notarialnego.
Dla użytkowników domowych i niezależnych profesjonalistów oznacza to: Więcej warstw zabezpieczeń bez utraty dużej elastycznościpod warunkiem, że posiadasz podstawową wiedzę na temat działania Gatekeepera i podejmujesz świadome decyzje podczas instalowania nowych aplikacji.
Patrząc na całość, widać wyraźnie, że Gatekeeper działa jako rodzaj cyfrowego „bramkarza”, który Kontroluj, kto wchodzi na Twój komputer Mac i na jakich warunkachWspierany przez system certyfikacji notarialnej, podpisywanie kodu, piaskownicę aplikacji App Store i szereg zabezpieczeń środowiska uruchomieniowego, nie jest idealny i nie zastępuje zdrowego rozsądku ani innych narzędzi bezpieczeństwa, ale robi ogromną różnicę w porównaniu z systemem bez tych zabezpieczeń. Mądra konfiguracja to jeden z najprostszych i najskuteczniejszych sposobów na codzienne bezpieczeństwo Maca.