Nieuw in Mountain Lion: Gatekeeper/beveiliging

20 reacties

OS X 10.8 Mountain Lion is te koop. Om je kennis te laten maken met de negende versie van OS X belicht OMT een selectie van de meest baanbrekende, handige en leuke nieuwigheden uit de 200 nieuwe functies van Mountain Lion. Vandaag: Gatekeeper en andere beveiliging.

Een ‘hot issue’ is het nog steeds niet, maar beveiliging op de Mac is de afgelopen jaren wel steeds meer onder de aandacht gekomen. Volgens experts loopt Apple nu nog tien jaar achter op Microsoft qua computerbeveiliging. In Mountain Lion wordt een eerste inhaalslag gemaakt, met Gatekeeper als troef.

Gatekeeper
Veruit de meeste beveiligingsproblemen vinden hun oorsprong op het internet. Gatekeeper is bedacht om die tegen te houden. De functie werkt eigenlijk kinderlijk eenvoudig. Gatekeeper zorgt er voor dat je geen malwere meer kunt downloaden van het internet door je te waarschuwen voor onbetrouwbare software of het downloaden hiervan simpelweg onmogelijk te maken.

Er zijn drie veiligheidsniveau’s waar je uit kunt kiezen bij ‘Beveiliging en privacy’ in de systeemvookeuren:

  1. Mac App Store. Hierbij mogen alleen apps uit de Mac App Store gedownload worden. Praktisch zal deze optie niet werkbaar zijn voor de meeste gebruikers. Er zijn nu eenmaal veel games, applicaties en plugins die niet in de Store te vinden zijn.
  2. Mac App Store en bij bekende ontwikkelaars. Bij deze optie worden ook downloads toegestaan van software die niet in de mac App Store verkrijgbaar is maar waarvan de ontwikkelaar wél bekend is bij Apple. Zo’n ontwikkelaar moet daarvoor een Developer ID en een certificaat aanvragen bij Apple.
  3. Elke willekeurige bron. Hierbij kun je alles downloaden en beperkt Gatekeeper zich tot een waarschuwingsvenster met de vraag of je zeker weet of de download veilig is.
De drie niveau's van Gatekeeper

De achilleshiel van Gatekeeper zit hem er in dat de overgrote meerderheid waarschijnlijk voor de derde optie zal kiezen. Er is simpelweg teveel software die niet in het stramien van Apple past. In dat geval is de functie dus meestal niet meer dan een popup-venster met een waarschuwing.

Voor wie toch voor veilig wil gaan maar in uitzonderlijke gevallen wél onveilig-geachte software wil downloaden is het goed om te weten dat met een <control> klik alsnog gedownload kan worden, ook als de download niet via een Developer ID gecertificeerd is.

Beveiliging
Gatekeeper is niet de enige beveiligingsverbetering die Apple heeft toegevoegd in Mountain Lion. Een flink aantal applicaties zijn vanaf nu ge-sandboxed. Hierbij kan een applicatie alleen gebruik maken van onderdelen in OS X die niet vooraf door Apple zijn goedgekeurd. Alle apps in de Mac App Store zijn ge-sandboxed maar in Mountain Lion geldt dat ook voor FaceTime, Mail, Herinneringen, Notities, Game Center en Safari. Mocht het hackers dus lukken om via deze apps in te breken op een Mac dan kunnen ze alsnog niet bij alle bestanden komen.

Ook de encryptiefunctie FileVault is aangepakt. Om te beginnen krijgt deze binnenkort een FIPS 140-2 certificaat, de standaard voor de Amerikaanse overheid. Daarbij kan FileVault nu gekoppeld worden aan third-party encryptie-applicaties en zo extern gemanaged worden.

De meest gevaarlijke malware maakt gebruik van de Kernel van OS X. Het schrijven van dit soort malware is ingewikkeld maar niet onmogelijk. In Mountain Lion maakt Apple het wel nagenoeg onmogelijk om via deze methode in te breken in een Mac dankzij ‘Kernel ASLR’. Hierbij worden elementen van de Kernel onwillekeurig door elkaar gegooid tijdens het opstarten van de Mac waardoor het nóg moeilijker wordt om ze aan te spreken door malware.

Mocht er ondanks al deze veiligheidsverbeteringen tóch nog bedreigingen in de buurt van je Mac komen dan krijg je sneller een update van Apple om hier iets aan te doen. In Mountain Lion checkt je Mac namelijk dagelijks of er software updates beschikbaar zijn.

Reacties

20 reacties
  • Profielfoto
    koenvisser

    ” geen malwere meer kunt download van het internet ”
    Misschien toch even je artikel nalezen? Er zitten namelijk nog meer fouten in.

  • Profielfoto
    ikkezelf999

    Hierbij kan een applicatie alleen gebruik maken van onderdelen in OS X die niet vooraf door Apple zijn goedgekeurd.

    Is het niet zo dat applicaties alleen gebruik kunnen maken van onderdelen die wel zijn goedgekeurd?

  • Profielfoto
    MacAanZee

    Die Gatekeeper zorgt dus alleen voor optische veiligheid. Onzin dus, want vrijwel iedereen kiest voor optie 3. Overigens is het flauwekul dat Apple 10 jaar achterloopt op Microsoft…! Ze draaien de zaak om. Als dat waar was, zou hier continue over virussen en malware worden geklaagd!

  • Profielfoto
    lekiam97

    Het klopt dat Apple achterloopt op Microsoft qua beveiliging, maar 10 jaar is overdreven. De reden dat Microsoft sneller malware en virusproblemen op kan lossen, is omdat ze dat al veel vaker hebben moeten doen dan Apple.
    Apple loopt dus achter omdat ze nog geen virussen en maar weinig malware hebben gehad op OSX.

  • Profielfoto
    McJohn

    Ik heb een beetje een dubbel gevoel bij de AppStore. Het is enerzijds een héél goed systeem om makkelijk en vooral betrouwbare software te vinden. Langs de andere zijde staat er, dankzij de strenge regels, ook een deel héél goede software in de schaduw. Zo is de software “BlueHarvest” en “AppTrap” niet verkrijgbaar in de AppStore, en zijn die op zich héél nuttige tools.

    Zelfs de beste sloten ter wereld op je voordeur zijn nutteloos als je de sleutel laat zitten.

  • Profielfoto
    McJohn

    Inzake beveiliging in het algemeen vind ik dat het goed gebruik van je accounts je al héél wat ellende kan besparen. Héél wat mensen, zowel op OSX als Windows, zijn aan de slag als “beheerder”. Het is ook niet onlogisch, want als je een Mac aanschaft, dan ben je zowiezo “beheerder” vanaf het moment dat OSX voor het eerst opstart en de meeste mensen laten het ook daarbij.

  • Profielfoto
    JackVliegendhart

    Het is echter wel mogelijk om de gatekeeper beveiliging aan te laten staan en apps te openen die je gedownload hebt van een ‘onbekende bron’. Door simpelweg de app in Finder op te zoeken en daar met ctrl op te klikken en dan op openen te klikken. Hierna krijg je de vraag of je de app toch wil openen en zal deze door de ‘gate’ gelaten worden. Dit is de officiële apple manier. zie ook How to open an app from a unidentified developer and exempt it from Gatekeeper ( halverwege de pagina )

  • Profielfoto
    ws77

    klein tipje:

    als een app niet toegelaten wordt door Gatekeeper, en je wilt hem toch openen:
    – klik op app met ctrl-toets ingedrukt (of rechter muisknop/2 vingers trackpad/secundaire klik)
    – in het contextuele menu dat verschijnt kies je “open” (bovenaan)

    de app opent nu normaal (of in ieder geval krijg je de optie om hem te openen). Dit hoeft maar 1 keer, daarna is een uitzondering toegevoegd. Dit is geen bug, en staat ook in de help-functie van Mountain Lion uitgelegd.

    Overigens had ik met een paar installers toch problemen ondanks deze truc, dus ik heb hem inmiddels op “elke willekeurige bron” staan. Ik hou toch liever zelf in de gaten wat ik allemaal wel en niet installeer..

  • Profielfoto
    ws77

    ah net te laat:-)

  • Profielfoto
    iQuinten

    Ik dacht dat Apple juist voor lag op beveiliging!

  • Profielfoto
    bugboy

    Volgens mij draait Safari niet geheel in een sandbox. Met de download optie kan ik namelijk overal op mijn schijf wat wegschrijven en ik kan ook vanaf een willekeurige plek op mijn schijf data uploaden.

  • Profielfoto
    Haike

    Citaat laatste regel: “In Mountain Lion checkt je Mac namelijk dagelijks of er software updates beschikbaar zijn”.

    Wat is dat nou voor een rare opmerking? In Lion en alle OS-en ervoor, kun je software-update ook zo instellen dat er iedere dag gekeken word of er up-dates zijn die je kunt downloaden.

  • Profielfoto
    Kdingo

    Ja dat zijn een van de functies van een browser.

  • Profielfoto
    iep

    Volgens mij draait Safari niet geheel in een sandbox. Met de download optie kan ik namelijk overal op mijn schijf wat wegschrijven en ik kan ook vanaf een willekeurige plek op mijn schijf data uploaden.

    Dat is niet echt waar het bij sandboxing omgaat maar het kan er wel onderdeel van zijn. Het gaat om het inperken van de mogelijkheden van een app tot het minimum wat mogelijk is om de app te laten werken. Het is alleen niet zo dat je dit soort policies aan de app toewijst want dan krijg je al snel dat je vrijwel alle policies moet toewijzen. Nee, dit systeem vereist dat de applicatie wordt opgesplitst in aparte onderdelen. Ieder onderdeel krijgt z’n eigen policy waarin alleen datgene toegestaan is waar dat stukje applicatie voor is opgezet. Vergeet hierbij ook niet dat er op filesystem niveau ook nog allerlei rechten worden uitgedeeld, onder andere via ACL’s. Deze voorkomen al waar een bepaalde gebruiker toegang heeft. Zo zijn er meer beveiligingsmaatregelen. Het is allemaal gelaagd, een beetje zoals een grachtengordel a la Amsterdam.
    .
    Deze aanpak zorgt er voor dat malware niet door een gaatje in een applicatie zich volledige toegang tot het systeem kan verschaffen. Wat je nu krijgt is dat het gaatje in een klein onderdeel zit welke vrijwel niets mag en kan doen. Dat stukje malware zal dus via die mogelijkheden weer naar een ander onderdeel moeten gaan die weer iets kan waar hij wat aan heeft. Enzovoorts.
    .
    In het artikel wordt gezegd dat ASLR van de kernel onwillekeurig is maar dat is onjuist. Het gaat hier niet om een onbeheerste/onbewuste actie, in tegendeel, het geheugen wordt zeer bewust compleet willekeurig ingedeeld (er zit nogal wat wiskunde achter dus onbewust kan het nooit en te nimmer zijn). Het juist woord is dan ook “willekeurig”.

  • Profielfoto
    INCTRL

    Citaat laatste regel: “In Mountain Lion checkt je Mac namelijk dagelijks of er software updates beschikbaar zijn”.

    Wat is dat nou voor een rare opmerking? In Lion en alle OS-en ervoor, kun je software-update ook zo instellen dat er iedere dag gekeken word of er up-dates zijn die je kunt downloaden.

    Niet helemaal waar. MS levert 1x maand zijn critical fixes/patches..elke 2e dinsdag in de maand om precies te zijn. Dus niet “elke dag”, indien nodig.

  • Profielfoto
    Kobes

    @bugboy als ik het me goed herinner zijn er systeemprocessen die de schijftoegang regelen die door een applicatie kunnen worden aangesproken. Safari kan dus niet zelf bij de schijf, maar vraagt een actie aan aan het systeemproces. Als het systeemproces nu alleen nog toegang heeft tot onschuldige locaties, dan wordt het al een stuk lastiger om malware te maken. Safari kan niet meer schrijven, dus een bug in safari kan in dit opzicht vermoedelijk weinig doen. Als het systeemproces een bug bevat is dat ernstiger, maar omdat het minder code is(hij kan immers vrij weinig), is die beter beheersbaar en zijn fouten minder voor de hand liggend en sneller te fixen.

  • Profielfoto
    Willemien

    Hoe zit het met open source en andere gratis software? Gaat dat verdwijnen? Straks moet ik nog elk jaar gaan betalen om mijn eigengemaakte programma’s op mijn eigen Mac te draaien.

    Voorkomt Gatekeeper het downloaden, installeren of opstarten van programma’s? Als het het downloaden voorkomt, hoe doe je dan een Control-klik op het programma?

    Kan malware worden voorzien van een gestolen certificaat?

    Een flink aantal applicaties zijn vanaf nu ge-sandboxed. Hierbij kan een applicatie alleen gebruik maken van onderdelen in OS X die niet vooraf door Apple zijn goedgekeurd.

    Klopt dit wel? Een applicatie kan alleen onderdelen gebruiken die NIET zijn goedgekeurd?

    De laatste keer, minder dan 10 jaar geleden, dat ik Windows installeerde kreeg ik meteen de melding dat ik anti-virussoftware moet installeren. Is dat de computerbeveiliging van Microsoft? Als die anti-virussoftware zo hard nodig is, dan had dat in Windows moeten zitten.

  • Profielfoto
    Hansi2124

    Niet helemaal waar. MS levert 1x maand zijn critical fixes/patches

    Volgens mij hebben we het hier toch écht over OS X……

  • Profielfoto
    Buzz

    De meeste gebruikers zullen de instelling op de tweede optie laten staan. Dat is de default, als je upgrade van Snow Leopard of Lion. Daarmee maakt Gatekeeper de Mac dus wel degelijk een stuk veiliger.

    Willemien: Gatekeeper voorkomt alleen maar het opstarten van software, niet het downloaden. Ontwikkelaars van gratis software kunnen zich ook registreren bij Apple. Als ze dat niet willen, dan kan de gebruiker nooit zeker weten of er niet mee geknoeid is, en moeten ze dus door de meeste Mountain Lion gebruikers met de Ctrl-klik methode worden opgestart. Een goede reden voor ontwikkelaars om zich te registreren dus.

    En bugboy: Safari draait wel degelijk volledig in een sandbox. De vensters voor het openen en opslaan van documenten, die bij downloads en uploads gebruikt kunnen worden, zijn aparte processen met privileges voor het hele bestandssysteem. Die vensters, waarbij de gebruiker dus expliciet de locatie van bestanden moet aanwijzen, worden als voorziening vanuit OS X aangeboden aan applicaties die in een sandbox draaien. Het zal dus voor kwaadwillenden met Safari nooit meer mogelijk zijn om vanuit een script iets buiten de sandbox te doen. Maar als gebruiker staat het je vrij om alles te up- en downloaden van waar je maar wil.

  • Profielfoto
    INCTRL