Tra le novità di macOS 10.15 Catalina, il sistema operativo per Mac presentato in arrivo in autunno, ci sono cambiamenti non visibili ma corposi in grado di innalzare il livello di sicurezza complessivo di macOS, sistema operativo per sua natura già estremamente sicuro (fate riferimento a questo articolo per conoscere i vari meccanismi di sicurezza intrinseci del sistema).
Con il nuovo sistema operativo, Apple alza ulteriormente le barriere protettive, integrando varie novità non visibili, bilanciando i meccanismi che mettono al sicuro le applicazioni, i dati, il sistema operativo vero e proprio e gli utenti.
Protezione contro keylogger e affini
Alcune novità sono idee che arrivano da iOS; su questo, ad esempio, le app che registrano lo schermo devono espressamente chiedere il permesso prima di avviare la registrazione; sulla falsariga di questa funzione, le applicazioni Mac che registrano ciò che l’utente digita sulla tastiera, devono chiedere esplicitamente l’autorizzazione, bloccando potenziali keylogger (strumenti che eseguono lo “sniffing” della tastiera per carpire quanto digitato); con macOS 10.15 Catalina l’utente deve espressamente autorizzare anche app che tentanto in qualche modo di registrare lo schermo (registrazione screenshoot e video) o trasmettere le videate a terzi (es. TeamViewer) , ma anche app che cercando di accedere a documenti, volumi esterni, cartelle dei download, iCloud Drive, unità di rete, ecc.
Protezione contro l’accesso indesiderato al file sistem
macOS Catalina obbliga le app a chiedere il permesso all’utente per l’accesso a dati sensibili o unità di storage collegate al computer. Di nuovo, anche questa è una funzionalità “presa in prestito” da iOS, mostrando una schermata sulla falsariga di quella che appare su iPad e iPhone quando alcune app devono accedere a Contatti, Foto, Calendari, ecc.
Blocco attivazione
Sui nuovi Mac è integrato il chip di sicurezza T2, un controller factotum che, tra le altre cose, offre un nuovo livello di sicurezza grazie all’inclusione di un coprocessore Secure Enclave che protegge i dati del Touch ID e costituisce la base per nuove funzionalità di archiviazione crittografata e Avvio protetto. Una funzionalità denominata Blocco attivazione li rende meno interessanti per i ladri (come per l’iPhone). Il Blocco attivazione dovrebbe funzionare da deterrente contro i ladri (: sui Mac rubati non dovrebbe essere possibile installare una nuova copia di macOS. Ovviamente sarà possibile vendere il computer a pezzi (per le parti di ricambio) ma sicuramente rubare un Mac sarà meno conveniente di prima.
Nuove funzionalità per il Gatekeeper
Il posto più sicuro da cui scaricare le app per il Mac è l’App Store. Apple esamina ogni app prima che venga accettata nell’App Store e la firma per garantire che non sia stata manomessa o alterata. Se viene rilevato un problema relativo all’app, Apple la può rimuovere rapidamente dallo store.
Scaricando e installando app da internet o direttamente dal sito web di uno sviluppatore, macOS continua a proteggere il Mac. Quando installiamo app, plug-in e pacchetti di installazione per Mac da piattaforme diverse dall’App Store, macOS controlla il Developer ID e lo stato dell’autenticazione per verificare che il software provenga da uno sviluppatore noto e che non sia stato alterato. Ora gli sviluppatori possono anche chiedere l’autenticazione delle loro app da Apple; questo significa che prima della distribuzione l’app è stata verificata da Apple e ha superato un controllo di sicurezza. Con macOS Catalina, Gatekeeper verifica tutte le app per identificare problemi noti relativi alla sicurezza, e anziché eseguire una verifica al primo avvio (come avviene ora), controlli sulle app sono effettuati periodicamente e in modo trasparente.
Protezioni per il software di basso livello nel sistema
Per i software che interagiscono a basso livello con il sistema, come ad esempio i driver di alcune periferiche (es. stampanti e webcam), Apple ora sostiene un approccio più sicuro. Gli sviluppatori possono scrivere estensioni che si interfacciano direttamente con i componenti di più basso livello del sistema, come il kernel, ma anziché le estensioni per il kernel, Apple invita a scrivere estensioni per il sistema, elementi “isolati” dal kernel e in quanto tale molto più sicuri. Catalina sarà l’ultima versione di macOS a consentire “senza compromessi” di estensioni per il kernel. Con i futuri sistemi operativi, non sarà possibile usare estensioni per il kernel e i software che usano questi meccanismi dovranno essere convertiti in estensioni di sistema.
File di sistema a sola lettura
I file di sistema, in macOS Catalina sono memorizzati in una partizione nascosta a sola lettura (tecnicamente un “contenitore” APFS), non modificabile neanche dall’amministratore di sistema. Per semplificare le operazioni dal Finder sarà possibile come sempre accedere al volume dell’unità disco principale accedendo a tutte le cartelle come prima. Se si prova ad ogni modo di eliminare un file di sistema, quest’a operazione non viene consentita (su macOS 10.14 era richiesta la password dell’utente amministratore).
Non è in pratica più possibile modificare le “radici” di macOS. I più smaliziati possono ovviamente sempre farlo disabilitando il System Integrity Protection (SIP), la tecnologia che da OS X El Capitan in poi impedisce ai software potenzialmente pericolosi di modificare le cartelle e i file protetti sul Mac.
Abbiamo dedicato già numerosi articoli al futuro macOS 10.15 Catalina ; potete visualizzarli tutti partendo dal tag dedicato al sistema operativo.