Quando parliamo di computer e di sicurezza le prime due parole che ci vengono in mente sono “virus” e “password”. Questi due temi sono quelli più noti agli utenti ed è più che corretto prendere le dovute precauzioni. Ci sono però delle funzionalità che Apple ha sviluppato e che vengono messe a disposizione gratuitamente all’interno di macOS e ci consentono di dormire sonni più sereni.. Queste funzioni permettono di aumentare in maniera esponenziale la sicurezza Mac in termini di:
- attacchi dall’esterno
- protezione dei dati
- problemi di funzionamento causati da “interventi maldestri” da parte dell’utente
Vediamole insieme!
1 – Gatekeeper di MacOS
Gatekeeper, che in italiano significa “custode”, è il primo ostacolo che un cosiddetto software malevolo deve superare una volta che è riuscito ad approdare sul nostro Mac.
Gatekeeper decide se un’applicazione può essere installata sul Mac o meno sulla base del sistema di firme che Apple stessa ha sviluppato. Questo sistema permette al Mac di stabilire l’attendibilità di un software prima della fase di installazione. Se il livello di attendibilità del software fosse troppo basso o non verificabile Gatekeeper ha il mandato di impedire a macOS di procedere con l’installazione.
Come funziona Gatekeeper
Gatekeeper funziona su un sistema di firme a 4 livelli, che dal più sicuro al meno sicuro sono:
- Applicazioni dell’App Store – firmate da Apple dopo verifica completa del codice
- Applicazioni notarizzate – non presenti sull’App Store, firmate da Apple dopo verifica parziale del codice
- Applicazioni firmate – non presenti sull’App Store, firmate dallo sviluppatore del software
- Applicazioni non firmate – non presenti sull’App Store, senza alcuna firma
Possiamo decidere quali applicazioni sono consentite da: Preferenze di Sistema > Sicurezza e Privacy.
Nella seconda parte della sezione Generali troviamo la voce “Consenti app scaricate da”. Per modificare le impostazioni di Gatekeeper ricordati di sbloccare il lucchetto in basso a sinistra con la password amministratore o l’area non sarà selezionabile.
Se scegliamo la prima voce chiederemo a Gatekeeper di consentire l’installazione soltanto di app provenienti dall’App Store (quindi solo al livello 1). Se selezioniamo la seconda voce invece consentiamo l’installazione di qualsiasi app purché sia firmata (livello 1, 2 e 3).
Potremmo però avere anche la necessità di installare delle app che conosciamo benissimo, quindi le reputiamo sicure, ma che non possiedono alcuna firma. In questo caso come possiamo fare?
Come disattivare il Gatekeeper
Esiste quindi una terza opzione che ci permette di installare anche le applicazioni non firmate. In questo caso è l’utente a prendersi la piena responsabilità dell’installazione e per fare ciò è necessario passare dal Terminale e inserire il comando sudo spctl –master-disable e la password utente amministratore. Da questo momento la nostra schermata delle preferenze Gatekeeper ci permetterà di installare qualsiasi app.
Da grandi poteri derivano grandi responsabilità, quindi è sempre meglio mantenere le impostazioni di default e disattivare Gatekeeper solo se strettamente necessario.
Una volta installata l’app non firmata possiamo riattivare Gatekeeper con il comando inverso, ovvero: sudo spctl –master-enable.
Per maggiori informazioni su Gatekeeper consulta la pagina ufficiale Apple ai link:
2 – FileVault
FileVault si occupa di proteggere i dati all’interno del Mac codificando il disco di avvio con una chiave a 256 bit. La chiave di codifica viene salvata nel Secure Enclave all’interno del Chip T2 o del Chip Apple Silicon (M1, M1 Pro, M1 Max, M1 Ultra).
Come attivare FileVault
Per attivare FileVault basterà andare su Preferenze di Sistema > Sicurezza e Privacy e selezionare la scheda FileVault. Dopo aver sbloccato il lucchetto, clicchiamo il pulsante “Attiva FileVault”.
In quel momento il Mac ci chiederà:
- se vogliamo visualizzare la chiave di recupero per salvarla nel portachiavi del Mac
- se vogliamo associare la chiave di recupero ad iCloud per permetterci di sbloccare FileVault anche con l’Apple ID (soluzione consigliata).
Dopo aver effettuato la nostra scelta FileVault inizierà la cifratura del disco. Durante questa operazione potremo continuare a utilizzare il Mac senza problemi. Il processo di cifratura procederà dietro le quinte.
Gestione del FileVault con soluzioni MDM
Per le aziende che si avvalgono di soluzioni MDM/UEM per la distribuzione e la gestione dei dispositivi è possibile, nonchè fortemente consigliato, centralizzare anche la gestione del FileVault in quanto da impostazioni di default solo gli utenti locali possiedono la chiave per decifrare il disco di avvio.
Con gli ultimi sistemi operativi Apple ha apportato qualche cambiamento in ambito “sicurezza Mac e MDM” che coinvolge l’aspetto del FileVault, soprattutto per quello che riguarda la scelta tra l’utilizzo della PRK (Private Recovery Key) rispetto alla IRK (Institutional Recovery Key), Secure Token, Bootstrap Token e Volume Ownership (o proprietà dei volumi). Non entreremo nei dettagli tecnici in questo articolo ma per approfondire suggeriamo le pagine ufficiali Apple:
- Gestire FileVault con la gestione dei dispositivi mobili
- Utilizzare token Secure, token Bootstrap e la proprietà di volume nelle distribuzioni
Se desiderassi avere una consulenza personalizzata in merito da parte di uno dei nostri Consulenti Certificati Apple puoi contattarci a questo link!
3 – SIP: System Integrity Protection
Un altro livello di protezione è dato dai permessi. In ogni Mac coesistono più utenti, a ognuno di essi sono assegnati dei permessi che li abilitano, oppure no, a compiere certi tipi di operazioni.
Gli utenti di macOS, in ordine crescente di privilegi, si classificano così:
- Utente Standard
- Utente Amministratore
- Utente Root
Utente Standard
Può utilizzare il Mac e apportare modifiche che non coinvolgono gli altri utenti o il sistema. Nel caso un Utente Standard volesse cancellare un’applicazione o modificare delle preferenze che coinvolgono anche gli altri utenti (come per esempio quelle del FileVault) verrebbe bloccato dal sistema in quanto non possiede i privilegi per autorizzare l’operazione. In quel caso un banner mostrerà la richiesta delle credenziali di Utente Amministratore per procedere.
Utente Amministratore
L’Utente Amministratore ha tutti gli effetti i privilegi per la gestione del Mac. A differenza degli Utenti Standard può “prendere decisioni” che coinvolgono anche gli altri utenti (come ad esempio crearne di nuovi o eliminarne di esistenti), come ad esempio modificare le impostazioni di FileVault e del Gatekeeper.
Per altre aree più sensibili i permessi da amministratore non sono sufficienti, sono quindi richiesti privilegi ancora superiori.
Utente Root
L’Utente Root (o Super User) è l’utente di sistema, colui che ha i privilegi più alti all’interno di macOS.
È possibile accedere ai privilegi di root da Terminale con il comando sudo (che significa: Super User do) per effettuare alcune operazioni che agli altri utenti non sono consentite, come ad esempio quella che abbiamo visto in precedenza per inibire il Gatekeeper.
Esistono altri modi per ottenere i privilegi di root, per approfondire il tema leggi l’articolo ufficiale Apple Come abilitare l’utente root sul Mac o modificare la relativa password.
Sembrerebbe quindi che con i privilegi di questo utente possiamo fare praticamente tutto, anche ciò che è potenzialmente rischioso per il funzionamento del sistema, ma non è così!
Le aree cruciali di macOS sono protette dal SIP, che ha lo scopo di garantire l’integrità dell’intero sistema (infatti SIP è l’acronimo di System Integrity Protection). Quindi anche l’Utente Root ha dei limiti, infatti se provassimo a modificare o eliminare dei file o directory protetti dal SIP verremmo immediatamente stoppati, a prescindere dall’utente con cui stiamo tentando di effettuare l’operazione, root incluso.
Anche questi limiti però sono valicabili. Infatti il SIP si può disattivare, ma non tratteremo questo tema nel nostro articolo visto che la disattivazione del SIP è fortemente sconsigliata.
In tema di sicurezza Mac possiede il sistema operativo più avanzato in assoluto, queste sono solo alcune delle funzionalità che conferiscono a macOS questa caratteristica. Se vuoi saperne di più iscriviti ai nostri corsi Mac. Avrai la possibilità di imparare tutti i segreti di macOS dai nostri Trainer Certificati Apple.