Pokud používáte Mac denně, je velmi pravděpodobné, že Gatekeeper je jeden z těch neviditelných bezpečnostních systémů. Pracují na pozadí, aniž byste si toho všimli. Jsou tam pokaždé, když si stáhnete aplikaci, pokaždé, když dvakrát kliknete na instalační program, a v mnoha případech jsou zodpovědné za to, že vám brání v instalaci něčeho, co byste neměli.
Přestože jsou Macy známé jako bezpečnější než jiné počítače, To neznamená, že neobsahují viry, malware ani škodlivé aplikace.Přesně proto Apple strávil roky posilováním vrstev ochrany v systému macOS.A Gatekeeper je jednou z klíčových součástí. Pochopení toho, co dělá, jak funguje a jak jej bezpečně konfigurovat, vám pomůže udržet rovnováhu mezi ochranou a pohodlím.
Co je Gatekeeper v macOS a k čemu se používá?
Gatekeeper je bezpečnostní technologie zabudovaná v systému macOS, která funguje jako filtr, který určuje, jaký software lze na vašem Macu spustit a který software je blokován, protože není důvěryhodný. Existuje už od OS X Mountain Lion (2012) a Apple jej postupem času vylepšuje a zpřísňuje ochranu proti malwaru.
Jeho hlavním posláním je zabránit spouštění potenciálně nebezpečných aplikací stažených z internetuKontrola, kdo je vytvořil, zda je zkontroloval Apple a zda byly od doby, kdy je vývojář publikoval, upraveny. To vše se děje v okamžiku, kdy se poprvé pokusíte otevřít aplikaci, modul nebo instalační balíček.
Když stahujete software z jiných zdrojů než z App Storu, Gatekeeper ověří, že vývojář je identifikován pomocí Apple Developer ID a aplikace je řádně podepsánaNavíc v moderních verzích macOS (například Catalina a novějších) také kontroluje, zda aplikace prošla procesem notářské certifikace společnosti Apple, který zahrnuje předchozí analýzu známého malwaru.
Pro další zvýšení bezpečnosti Gatekeeper také Při prvním otevření staženého softwaru si budete vyžádáni o výslovné potvrzení.Cílem je zabránit jim v „vprosazování“ spustitelného kódu maskovaného jako jednoduchý datový soubor, jako je falešný PDF nebo falešný textový dokument, který je ve skutečnosti škodlivou aplikací.
Jak Gatekeeper funguje uvnitř
Za varovnými zprávami, které vidíte na obrazovce, se skrývá řada technické mechanismy, které systém macOS používá k rozhodování o důvěryhodnosti aplikace Nebo ne. Všechno to začíná v okamžiku, kdy si něco stáhnete z internetu.
Když soubor dorazí do vašeho Macu prostřednictvím webového prohlížeče, e-mailového klienta nebo jiné kompatibilní aplikace, macOS přidá speciální atribut karantényTento atribut označuje soubor jako „stažený z internetu“ a je to to, co způsobí, že se Gatekeeper spustí, když se jej pokusíte poprvé otevřít.
Při pokusu o otevření aplikace v karanténě Gatekeeper kontroluje několik věcí: původ souboru, podpis kódu, certifikát vývojáře a stav notářsky ověřené certifikacePokud něco nesedí nebo to nelze ověřit, macOS zobrazí bezpečnostní varování nebo přímo zablokuje spuštění.
Podepisování kódu nám umožňuje zaručit, že To, co otevíráte, je přesně to, co poslal vývojář, a nebylo s tím nikdo manipuloval. třetími stranami. Pokud byl obsah změněn, podpis již není platný a Gatekeeper vás může upozornit, že aplikace „může být poškozena nebo s ní mohlo být manipulováno“.
Notářské ověření je proces, kterým developer Apple posílá svou aplikaci k analýze na přítomnost malwaru a další známé škodlivé chování. Pokud testem projde, Apple vydá „pečeť“, kterou může Gatekeeper ověřit za běhu, a to buď lokálně, nebo prostřednictvím připojení k serverům Apple.
Když macOS detekuje něco skutečně nebezpečného, může zobrazit obávanou zprávu „Název této aplikace poškodí váš počítač.“, úplné zablokování aplikace, její přesunutí do koše a v některých případech i požádání o povolení k odeslání anonymní kopie malwaru společnosti Apple za účelem zlepšení budoucí detekce.
Vztah mezi Gatekeeperem, App Store a identifikovanými vývojáři
V ekosystému macOS, Ne veškerý software je z bezpečnostního hlediska považován za stejný.Apple primárně rozlišuje tři hlavní zdroje aplikací a Gatekeeper se s každým z nich chová odlišně.
Nejvíce kontrolované prostředí je logicky to, kde Mac App StoreVšechny aplikace publikované v tomto obchodě prošly manuálním i automatizovaným procesem kontroly společností Apple, jsou distribuovány s digitálním podpisem a pokud je zjištěn závažný problém, Apple je může z obchodu odstranit a zrušit jejich certifikát. Podle Gatekeeperu jsou tyto aplikace nejspolehlivější.
Druhé jsou aplikace pro vývojáři identifikovaní Tito vývojáři distribuují svůj software nezávisle, buď prostřednictvím svých oficiálních webových stránek, nebo jinými kanály. Mají Apple ID a podepisují své aplikace oficiálním certifikátem. Gatekeeper tento podpis ověřuje a v macOS Catalina a novějších také kontroluje, zda byl notářsky ověřen.
Konečně jsme našli software pro neidentifikovaní nebo nepodepsaní vývojářiNa tyto aplikace se nevztahuje žádná záruka společnosti Apple. Ve výchozím nastavení zabezpečení vám Gatekeeper neumožňuje je otevřít přímo, takže k jejich spuštění je nutné provést další kroky, což zvyšuje vaše riziko.
macOS vám dává flexibilitu upravit, co chcete povolit, prostřednictvím bezpečnostních předvoleb. V Nastavení systému > Soukromí a bezpečnost Můžete si vybrat mezi povolením pouze aplikací z App Storu nebo povolením aplikací z App Storu a od identifikovaných vývojářů. Povolnější možnosti, jako je přijetí jakékoli aplikace z libovolného zdroje nebo úplné vypnutí Gatekeeperu, se obvykle používají pouze ve velmi specifických kontextech nebo s pokročilými nástroji.
Základní konfigurace Gatekeeperu v systému macOS
Velká většina uživatelů se nemusí ničeho dotýkat, protože macOS přichází s poměrně vyváženou konfigurací. mezi bezpečností a flexibilitou. Přesto je dobré vědět, kde Gatekeeper zapadá a co různé možnosti obnášejí.
V aktuálních verzích macOS se ovládací prvky nacházejí v Nastavení systému > Soukromí a zabezpečení. Pokud v této sekci trochu posunete dolů, uvidíte blok „Zabezpečení“ se sekcí „Povolit aplikace stažené z“.
Tam si obvykle můžete vybrat mezi dvě možnosti„App Store“, který povoluje pouze aplikace stažené z oficiálního obchodu společnosti Apple, a „App Store a identifikovaní vývojáři“, který také autorizuje software od vývojářů certifikovaných společností Apple stažený mimo obchod. Druhá možnost je pro většinu uživatelů obvykle praktičtější.
Pokud je váš Mac nastaven tak, aby povolil pouze aplikace z App Storu, jakýkoli pokus o otevření softwaru staženého odjinud selže. Automaticky se uzamkne a zobrazí se vám upozorňující zpráva. že aplikaci nelze použít, protože nepochází z oficiálního obchodu.
Pokud Gatekeeper ve výchozím nastavení blokuje aplikaci, o které víte, že je důvěryhodná (například profesionální nástroj stažený z webových stránek vývojáře), můžete ji v jednotlivých případech autorizovat. Po pokusu o její otevření a zobrazení varování přejděte do sekce Soukromí a zabezpečení, kde v dolní části obrazovky najdete tlačítko . „Otevřeno jako obvykle“ pro danou konkrétní aplikaci.
Stisknutím tlačítka „Přesto otevřít“ se varování zobrazí znovu a pokud potvrdíte tlačítkem „Otevřít“, Tato aplikace bude uložena jako trvalá výjimka. do nastavení zabezpečení. Odtud ji můžete otevřít jako jakoukoli jinou autorizovanou aplikaci, aniž by se vás Gatekeeper znovu ptal.
Ochrana brány a běhového prostředí
Gatekeeper není jedinou vrstvou zabezpečení v macOS. Jakmile je tato počáteční kontrola důvěryhodnosti úspěšná, vstupuje do hry to, co Apple nazývá [Bezpečnostní ochrana]. ochrana za běhu, který je zodpovědný za to, aby i autorizovaným aplikacím zabránil v tom, aby v systému dělaly, co chtějí.
Na jedné straně si macOS udržuje Systémové soubory, kritické zdroje a jádro jsou chráněny před prostorem uživatelských aplikací.To znamená, že aplikace nemohou bezstarostně upravovat citlivé části operačního systému, což snižuje dopad potenciálního zneužití.
Kromě toho všechny aplikace stažené z App Storu běží na pískoviště nebo chráněnou zónu. Tento mechanismus striktně omezuje, ke kterým souborům, složkám, hardwaru a datům lze přistupovat, a vyžaduje, aby veškerá interakce s obsahem z jiných aplikací probíhala prostřednictvím API a služeb řízených systémem macOS.
Tímto způsobem, i když byla aplikace stažena z důvěryhodného webu, Bez povolení nebudete mít přístup k datům z jiných aplikací. nebo citlivé oblasti systému, což přidává další bariéru proti škodlivému chování nebo závažným programátorským chybám.
Gatekeeper také pomáhá zastavit velmi specifický vektor útoku: načítání škodlivých modulů nebo doplňků dodávaných se zdánlivě nevinnou aplikacíZa určitých okolností může systém macOS spustit danou aplikaci z náhodných umístění pouze pro čtení, a to právě proto, aby se zabránilo automatickému načtení externích modulů, které jsou maskovány ve stejném balíčku.
Typické varovné zprávy Gatekeepera
Pokud často používáte Mac k instalaci nových aplikací, pravděpodobně jste se s tím již setkali. různé varovné zprávy od Gatekeepera a systémuPochopení významu každého z nich pomáhá při lepším rozhodování o tom, co v každém případě dělat.
Když poprvé otevřete aplikaci od identifikovaného vývojáře staženou mimo App Storu, macOS se zeptá, zda jej opravdu chcete otevřít.Obvykle uvádí, ze které webové stránky byl soubor stažen a kdy, takže můžete posoudit, zda jste stažení očekávali.
Pokud Apple nemůže ověřit, zda aplikace obsahuje škodlivý software, buď proto, že vývojář Nelze to ověřit, protože aplikace nebyla notářsky ověřena.Zobrazí se zpráva, že systém macOS nemůže ověřit, zda aplikace neobsahuje malware. V přísnějším nastavení to povede k zablokování aplikace.
Pokud máte nastavené zabezpečení na „Pouze v App Storu“, macOS neotevře žádné aplikace stažené z jiných webůZobrazí se varování, že tato aplikace nepochází z App Storu a není podle vašeho nastavení povolena.
Pokud systém zjistí, že software obsahuje škodlivý obsah nebo že mu byla odebrána autorizace, macOS může zobrazit varování, že aplikace poškodí váš počítačV těchto situacích systém obvykle zabrání spuštění aplikace, přesune ji do koše a doporučí ji již nepoužívat.
Je také možné, že systém macOS zjistí, že je aplikace poškozená nebo upravená. V takovém případě se zobrazí zpráva podobná této: „Aplikaci nelze otevřít, protože může být poškozená nebo s ní bylo manipulováno.“To obvykle naznačuje problém s integritou aplikace nebo jejím podpisem kódu.
Známá omezení a zranitelnosti Gatekeeperu
Navzdory všem těmto vrstvám zabezpečení není Gatekeeper neomylný. Objevily se skutečné případy, kdy se kyberzločincům podařilo tyto ochrany obejít. a infiltrovat malware do systémů macOS zneužitím specifických chyb nebo slabin v designu. Například byla vydána varování Upozornění na bezpečnostní zranitelnosti v systému macOS které zdůrazňují potřebu rychlých řešení.
Známým příkladem byl malware, který zneužíval zranitelnost Gatekeeper související s důvěra, kterou macOS vkládá do externích disků a sdílených síťových jednotekV některých verzích byla tato prostředí považována za „bezpečná místa“, takže software uložený v nich mohl běžet, aniž by procházel stejnými přísnými kontrolami jako soubory označené jako stažené z internetu.
Bezpečnostní výzkumník Filippo Cavallarin dokázal, že je to možné oklamání systému ke spuštění škodlivého kódu právě prostřednictvím tohoto mechanismu otevírá dveře informovaným útočníkům k zneužití této přehnané sebedůvěry.
Používání této a dalších technik ze strany adwarových společností bylo také zdokumentováno, jako v případě OSX/SurfbuyerV tomto scénáři útočníci maskovali obrazy infikovaných disků jako údajné instalační programy Adobe Flash Playeru, což je klasická taktika, jak oklamat nic netušící uživatele a přimět je spustit škodlivý instalační program.
Nebylo to poprvé, co se Gatekeeper zapojil do incidentů tohoto druhu. V únoru 2018 Podobný případ se stal s malwarem OSX/Shlayer.který také zneužíval slabiny ve způsobu, jakým systém macOS zpracovával ověřování softwaru. Řešení problémů, jako je WebKit a další aktualizace se snaží tyto útočné vektory blokovat, ale ne vždy je to okamžité.
Dalším důležitým omezením je, že se Gatekeeper zaměřuje primárně na počáteční okamžik instalace a prvního spuštění aplikaceNejedná se o tradiční antivirus, který monitoruje všechny systémové procesy a aktivity v reálném čase, jakmile je software již nainstalován a spuštěn.
Jak doplnit Gatekeeper pro robustnější zabezpečení
Právě kvůli výše zmíněným omezením mnoho odborníků doporučuje kombinujte Gatekeeper s dalšími bezpečnostními řešenímizejména v exponovanějším prostředí nebo tam, kde se pracuje s citlivými informacemi.
Jednou z nejběžnějších strategií je uchýlit se k Nástroje proti malwaru specifické pro macOS které nabízejí analýzu v reálném čase, detekci na základě podezřelého chování a ochranu před hrozbami, jež by mohly zneužívat zranitelnosti po instalaci.
Tato externí řešení mohou pomoci odhalit malware maskovaný ve zdánlivě legitimních balíčcích který v určitých scénářích nespustí upozornění Gatekeeperu, protože se mu podaří obejít jeho počáteční kontroly nebo zneužít ukradené certifikáty a podepsané komponenty.
Je také důležité nezapomenout na základní opatření, jako je např. Udržujte macOS vždy aktuálníRychle nainstalujte bezpečnostní záplaty a zkontrolujte nainstalované aplikace, odstraňte ty, které již nepoužíváte nebo které nepocházejí z jasných a spolehlivých zdrojů. Pro mnoho uživatelů... Udržujte macOS aktualizovaný dělá rozdíl.
Pro pokročilé uživatele je to dokonce možné Konfigurace Gatekeeperu pomocí nástrojů a zásad pro správu MDM (Mobile Device Management) v podnikovém prostředí, definující, jaké typy softwaru lze instalovat, z jakých zdrojů a za jakých podmínek, čímž se snižuje plocha pro útok. Apple dokonce… aktualizované bezpečnostní pokyny a dokumentaci pro administrátory.
Granulární kontrola ve firmách a organizacích
V obchodním prostředí se Gatekeeper stává další součástí širší bezpečnostní strategie. Organizace mohou využívat řešení MDM k vynucování specifických zásad které omezují instalaci softwaru pouze na aplikace z App Storu nebo interní balíčky podepsané vlastními certifikáty.
Tímto způsobem lze zaměstnancům zabránit v instalaci aplikací z neznámých zdrojů, a to i v případě, že se pokusí obejít standardní omezení Gatekeeperu z grafického rozhraní. Zásady MDM mohou blokovat deaktivaci služby Gatekeeper. a omezit používání alternativních podpisových identit.
V některých vysoce regulovaných prostředích je běžné, že se společnosti rozhodnou povolit pouze interní a důvěryhodné aplikace. s centrálně spravovanými certifikátyGatekeeper v kombinaci s dalšími technologiemi macOS, jako je sandbox, ochrana integrity systému a kontrola soukromí, pomáhá udržovat prostředí co nejvíce uzavřené před neoprávněným softwarem.
Ačkoli Apple neprojevil žádné známky toho, že by chtěl proměnit macOS v systém stejně uzavřený jako iOS, V praxi se projevuje trend směřující k přísnějším kontrolám., propagovat distribuci prostřednictvím App Storu a povzbuzovat vývojáře k absolvování formálních procesů podepisování a notářského ověření.
Pro domácí uživatele a nezávislé profesionály se to vše promítá do Více vrstev zabezpečení bez ztráty flexibilityza předpokladu, že máte základní znalosti o tom, co Gatekeeper dělá, a při instalaci nových aplikací se můžete informovaně rozhodovat.
Při pohledu na celou věc je jasné, že Gatekeeper funguje jako jakýsi digitální „brankář“, který Ovládejte, kdo a za jakých podmínek přistupuje k vašemu MacuJe podporován notářsky ověřeným certifikačním systémem, podepisováním kódu, sandboxem aplikací v App Storu a řadou ochran za běhu, takže není dokonalý a nenahrazuje zdravý rozum ani jiné bezpečnostní nástroje, ale ve srovnání se systémem bez těchto ovládacích prvků představuje obrovský rozdíl. Jeho chytrá konfigurace je jedním z nejjednodušších a nejúčinnějších způsobů, jak každý den chránit svůj Mac.