Un tempo era opinione diffusa di molti appassionati Apple che il sistema macOS fosse molto più sicuro rispetto a Windows o Linux.
Raramente si è sentito parlare di attacchi malware e la maggior parte delle soluzioni AV legacy era nota più per il loro alto tasso di falsi positivi che per la prevenzione da reali minacce.
Se proviamo a chiedere a chi utilizza Mac: "Hai veramente bisogno di un software antivirus per macOS?", l’unica ragione per cui possa dire “sì” è per la prevenzione da malware windows-based presenti in allegati email. Il perché lo possiamo leggere sotto in questa immagine ripresa da un forum.
macOS Security By Design?
Un netto cambiamento è avvenuto dal 2011 in poi, quando c’è stato un crescente irrigidimento del sistema operativo. In ogni nuova versione di macOS da allora, abbiamo visto l’introduzione di tecnologie di sicurezza e funzionalità di blocco del sistema: Gatekeeper, codesigning, Xprotect, Tool per la rimozione di malware e altro ancora.
Con il rilascio di macOS Mojave l’anno scorso, Apple ha introdotto ancora una volta nuove funzionalità di sicurezza in risposta all'evolversi del panorama delle minacce, limitando gli Apple Events e incrementando la protezione dei dati degli utenti.
È lodevole, da parte di Apple, prendere sul serio il tema sicurezza, anche se sono consapevoli del fatto che spesso i loro utenti la sottovalutano. Apple afferma che macOS “fornisce security by design” e quindi il sistema include le principali tecnologie di sicurezza di cui un professionista IT ha necessità per proteggere i dati aziendali.
La società è orgogliosa di offrire tale sistema di sicurezza e l’obiettivo principale è rassicurare i clienti mettendo la sicurezza al primo posto:
“La sicurezza del sistema macOS è progettata in modo tale che sia componenti software che hardware siano in sicurezza. Quest’architettura garantisce una protezione totale e non interferisce con l’usabilità del dispositivo”.
Fantastico! È proprio ciò di cui uno avrebbe bisogno.
Purtroppo, è tutto un mito.
A quanto pare, un malware può facilmente abbattere le protezioni del sistema macOS. Diamo un’occhiata sul perché affidarsi esclusivamente alle protezioni integrate di Apple potrebbe essere molto pericolo per la tua azienda.
Application Security
Probabilmente hai attivo Gatekeeper anche se non lo sai. Solitamente, viene abilitato come impostazione predefinita per consentire di scaricare ed eseguire applicazioni dall’App Store o da sviluppatori identificati (in altre parole, gli sviluppatori che fanno parte del programma di sviluppo Apple).
Gatekeeper è utilissimo, ma ha una forte limitazione: protegge solamente una porta, ovvero i download che arrivano da app come Safari, Mail e così via. Il problema è che il malware può tranquillamente passare da altre porte che Gatekeeper non controlla come curl, ssh e package manager come brew.
Scarica qualsiasi cosa da questi canali e Gatekeeper non lo saprà mai. Nota la riga 13 di questo tipico script di installazione adware, che bypassa Gatekeeper con facilità:
Probabilmente hai sentito parlare di XProtect, e magari alcuni potrebbero pensare che possa sopperire a ciò che non può fare Gatekeeper, ma non è così. XProtect si affida a Gatekeeper per taggare i download con un attributo speciale o “bit di quarantena” che dice effettivamente a XProtect: “assicurati di controllare questo download contro le tue firme malware”.
Senza quell'attributo, XProtect non entra in azione. Quel che è peggio, è che anche un software che viene taggato con tale “bit di quarantena”, può essere considerato non pericoloso da altri processi senza la necessità di alcuna autorizzazione.
Anche se Apple revoca uno sviluppatore ID illecito, come accade quando un malware colpisce l’App Store, la rimozione del “bit di quarantena” consentirà comunque l’esecuzione del malware.
All'interno del sistema macOS è presente un terzo livello di sicurezza integrata chiamato MRT, Malware Removal Tool. Secondo Apple, nel momento in cui un malware tenta di entrare all'interno di un dispositivo Mac, il sistema macOS è dotato di tecnologia per la bonifica da infezioni.
Due sono i problemi riscontrati con questa funzionalità:
- si basa su percorsi hard-coded, e la maggior parte dei malware utilizza nomi di percorsi casuali o variabili;
- viene eseguito solo una volta ogni avvio.
A quel punto potrebbe già essere in atto un’infezione, in cui vengono sottratti dati oppure vengono crittografati con conseguente richiesta di riscatto.
Controllo di Accesso
Il controllo centralizzato per accedere ai Mac più recenti è System Integrity Protection o “SIP”, chiamato anche “rootless”, che impedisce al malware di attaccare i file di sistema.
SIP è integrato all'interno del sistema quindi anche l’utente root non può modificare o eliminare alcun file sotto la sua protezione. In macOS Mojave, SIP può anche essere essere esteso ad app di terze parti se scelgono il runtime hardened.
SIP è una tecnologia molto importante per la sicurezza, ma anch'essa non garantisce una protezione totale. Vale anche la pena notare che, se si dispone di una soluzione AV legacy che inserisce tutto ciò che è all'interno della cartella /System/Library nella whitelist, dovresti preoccuparti seriamente, perché non tutto ciò che all'interno di quella cartella viene protetto da SIP. Quanto segue (nell'immagine), è tutto escluso dalla protezione “rootless”:
Se stai utilizzando un Mac registrato nel Device Enrollment Program, conoscerai MDM e Config come mezzi per controllare l’accesso ad applicazioni, servizi e preferenze.
Anche gli autori di malware sono consapevoli di ciò e hanno iniziato a spostare le preferenze sui computer degli utenti per controllare e gestire impostazioni come i preferiti su Safari. Adware come Chill Tab e MyShopcoupon hanno colpito gli utenti macOS dalla metà del 2017 attraverso questo meccanismo.
In Conclusione
È veramente necessaria una soluzione AV per macOS? Adesso la risposta dovrebbe essere abbastanza ovvia. Le protezioni integrate sono un ottimo punto di partenza ma da sole non consentono una protezione totale soprattutto dai malware più recenti.
Se utilizzi un dispositivo Apple è necessaria una soluzione che non si limiti alla scansione di alcune firme statiche e che impedisca il download da una o due fonti diverse.
La soluzione Next-Gen di SentinelOne sfrutta tecniche di machine learning per automatizzare il rilevamento di possibili minacce all'interno della rete, indipendentemente dal fatto che tu utilizzi il sistema macOS piuttosto che Linux o Windows.
Per avere maggiori informazioni sulle potenzialità della soluzione SentinelOne invia una mail a cio@florence-consulting.it oppure chiama lo (055) 538-3250.
In alternativa, puoi compilare il form sottostante con la tua domanda.