WWDC 2020: Novinky v zabezpečení Apple platforem
WWDC 2020: Novinky v zabezpečení Apple platforem
Bezpečnost není jednou hotová funkce, nýbrž nekonečné soupeření mezi pomyslnými obránci a útočníky. Obránci ve společnosti Apple průběžně přidávají nové funkce s cílem zabezpečení systémů vylepšit. Letos tomu není jinak. Pojďme se podívat na bezpečnostní novinky Apple platforem.
Systémový APFS snapshot
macOS 10.15 Catalina rozdělil systémový disk na zapisovatelný oddíl s daty a uživatelem neupravitelný oddíl se systémem. Big Sur jde o další krok vpřed. Systém nyní startuje z digitálně podepsaného snapshotu systémového oddílu. Kryptografické ověření znemožňuje start záškodníkem modifikovaného systému, což dříve zajišťovalo šifrování systémového oddílu pomocí Filevault 2. Nyní již nebude nutné zabezpečit šifrovacím klíčem systémový oddíl, což umožní nastartovat celý systém a až následně odemknout oddíl s daty. Uživatelům bude prezentována plná přihlašovací obrazovka nikoliv pouze původní omezená UEFI aplikace pro odemykání disku. Otevírají se nové možnosti pro odemykání datového disku pomocí chytrých karet nebo externí biometriky.
Další podstatnou výhodou plynoucí z použití systémového snapshotu je výrazné zrychlení aktualizací systému. Ty nyní budou instalovány na pozadí do nového snapshotu. Po dokončení instalace se Mac restartuje, aby následně nastartoval ze snapshotu obsahující aktualizovaný systém. Čas nutný k nainstalování aktualizace se zmenší z desítek minut na jednotky. macOS tento mechanismus aktualizací přejímá z iOS.
Náhodné Mac adresy
iOS zařízení vyhledávající Wi-Fi sítě používají měnící se náhodně vygenerované MAC adresy, aby nebylo možné snadno sledovat jejich pohyb. Po připojení do konkrétní Wi-Fi sítě se dosud zařízení identifikovala skutečnou MAC adresou Wi-Fi rozhraní. Nově systémy iOS/iPadOS 14 a watchOS 7 nastaví náhodnou MAC adresu i po připojení k sítě, což dále stíží sledování pohybu zařízení. Firemní zákazníci mohou toto chování vypnout pomocí MDM řešení, pokud je pro ně použití faktické MAC adresy nutné.
Šifrování DNS
Apple ve svých systémech zavádí nové standardy šifrování DNS protokolu, a to DNS over TLS (DoT) a DNS over HTTPS (DoH). Uživatelům šifrovaná komunikace mezi jejich zařízeními a DNS serverem zajistí větší odolnost proti Man in the Middle útokům a odposlechnutí DNS dotazu třetí stranou.
Propagace šifrované DNS často zmiňuje ochranu soukromí. Provozovatel DNS serveru nadále ví, jaké dotazy vaše zařízení posílá. Pokud mu nedůvěřujete, můžete využít jiného poskytovatele DNS. To vás ovšem neochrání před možnou analýzou provozu poskytovatelem připojení k internetu, který může, pokud chce, sledovat vaše počínání na síti podle cílových IP adres. Provoz je před ním uchránitelný díky VPN, ale tentokrát je to její poskytovatel, kdo vidí váš provoz. Pokud nebudeme brát v úvahu technologie typu Tor, perfektní soukromí pohybu na internetu neexistuje a vždy některému z poskytovatelů základních síťových služeb musíte důvěřovat.
Doplňky jádra zatím nekončí
Apple vývojáři na WWDC 2019 ohlásili, že v budoucích verzích macOS přestanou doplňky jádra zcela fungovat. Tyto informace jsme pokryli v článku Doplňky jádra brzy končí.
Některé funkcionality budou odebrány, ale doplňky bude nadále možné používat i v macOS 11.0 Big Sur. Má to však háček. Aby systém mohl načíst doplněk do paměti, je nutný po instalaci restart. Apple Silicon verze macOS navíc doplňky třetích stran neumožňuje ve výchozím nastavení spouštět. Uživatel musí v Recovery systému manuálně snížit úroveň zabezpečení.
Notarizace
Notarizace je proces kontroly digitálně podepsaného software pro distribuci mimo App Store, Tématem jsme se zabývali v článcích Co je to notarizace a jak ovlivňuje spouštění software? a Vše, co jste o notarizaci chtěli vědět, ale báli jste se zeptat. Předpovídali jsme přísnější pravidla v budoucí verzích macOS. Big Sur však ponechává stejné podmínky jako v macOS 10.15 Catalina.
Apple Silicon změny
Intel Macy s T2 chipem nedovolí ve výchozím nastavení start macOS z externího média. Uživatel tuto funkci musí povolit v Recovery systému. Rovněž úroveň zabezpečení startu macOS je sdílená pro všechny operační systémy. Apple Silicon Macy umožní bezpečný start systému z externího média i ve výchozím nastavení. Nastavení úrovně zabezpečení již není globální, ale týká se vždy jednotlivého nainstalovaného operačního systému.
Každý servisní technik často používá Target disk mode, kdy si skrz Thunderbolt připojí interní disk druhého Macu, jako by šlo o disk externí. Apple Silicon Mac přichází s náhradou v podobě Mac Sharing Mode. Ten již nepřipojuje disk přímo, ale defacto po síti protokolem SMB, což vyžaduje přihlášením uživatelským účtem na připojovaném systému. Nepochybně se jedná o bezpečnější provedení, ale celý proces ztrácí mnoho ze své jednoduchosti a praktičnosti.
Lépe bude chráněn i obraz operační paměti uložený na disku, když se Mac nachází ve stavu hibernace. Pro počítače používající šifrování disku FileVault 2 nejspíš nepůjde o zásadní vylepšení. Změna se spíše týká způsobu zabezpečení systémového oddílu, který nově šifrovaný nebude.
Bezpečnější práce s pamětí
Díky Apple Silicon získávají Macy několik nových ochran paměti:
- Funkce Write XOR execute zajišťuje, aby stránky v operační paměti byly vždy pouze zapisovatelné nebo spustitelné, ale nikoliv obojí najednou.
- Kernel Integrity Protection chrání jádro systému načtené v operační paměti přímo na úrovni paměťového řadiče. Jakmile je kernel načten do paměti, paměťové stránky obsahující jádro nemohou být modifikovány nebo k nim přidány nové spustitelné.
- Pointer authentication pomůže v situaci, kdy se útočník nesnaží přidat do paměti svůj škodlivý kód, nýbrž skládá nekalý program z již existujícího validního kódu. Funkce bude v macOS 11.0 zapnutá pouze pro jádro a systémové služby. V budoucnosti dojde k rozšíření i na aplikace třetích stran.
- Intel Macy používají sdílený IOMMU řadič pro více PCIe zařízení. To otevírá dveře k odposlouchání provozu na PCIe sběrnici a útokům na paměť skrz DMA. Apple Silicon přichází s Device isolation, což není nic jiného než separátní IOMMU řadič pro každé PCIe zařízení.
macOS 11.0 Big Sur posouvá bezpečnost platformy zase o kousek dál, a to zejména na Apple Silicon Macích. Současně pokračuje trend vyšší ochrany soukromí uživatelů před šmírováním na síti.
Zdroje
- WWDC 2020: Platforms State of the Union
- WWDC 2020: Explore the new system architecture of Apple Silicon Macs
- WWDC 2020: Boost performance and security with modern networking
- WWDC 2020: Enable encrypted DNS