Nếu bạn sử dụng máy Mac hàng ngày, rất có thể là Gatekeeper là một trong những hệ thống an ninh vô hình. Chúng hoạt động ngầm mà bạn thậm chí không nhận ra. Chúng luôn hiện diện mỗi khi bạn tải xuống một ứng dụng, mỗi khi bạn nhấp đúp vào trình cài đặt, và trong nhiều trường hợp, chúng chịu trách nhiệm ngăn bạn cài đặt những thứ không nên cài đặt.
Mặc dù máy Mac nổi tiếng là an toàn hơn các loại máy tính khác, Điều đó không có nghĩa là chúng không chứa virus, phần mềm độc hại hoặc các ứng dụng nguy hiểm.Đó chính xác là lý do tại sao Apple đã dành nhiều năm để tăng cường các lớp bảo mật trong macOS.Và Gatekeeper là một trong những thành phần quan trọng. Hiểu rõ chức năng, cách thức hoạt động và cách cấu hình bảo mật của nó sẽ giúp bạn duy trì sự cân bằng giữa bảo mật và tiện lợi.
Gatekeeper trong macOS là gì và nó được dùng để làm gì?
Gatekeeper là một công nghệ bảo mật được tích hợp sẵn trong macOS, hoạt động như một... một bộ lọc quyết định phần mềm nào có thể chạy trên máy Mac của bạn và phần mềm nào bị chặn vì không được tin cậy. Tính năng này đã có từ thời OS X Mountain Lion (2012) và theo thời gian, Apple đã liên tục cải tiến và siết chặt việc ngăn chặn phần mềm độc hại.
Nhiệm vụ chính của nó là Ngăn bạn chạy các ứng dụng có khả năng nguy hiểm được tải xuống từ Internet.Kiểm tra xem ai đã tạo ra chúng, liệu chúng đã được Apple xem xét hay chưa, và liệu chúng có bị sửa đổi kể từ khi nhà phát triển phát hành hay không. Tất cả điều này diễn ra ngay khi bạn lần đầu tiên cố gắng mở một ứng dụng, mô-đun hoặc gói cài đặt.
Khi bạn tải phần mềm từ bên ngoài App Store, Gatekeeper sẽ xác minh rằng... Nhà phát triển được xác định bằng ID nhà phát triển của Apple và ứng dụng đã được ký đúng cách.Ngoài ra, trong các phiên bản macOS hiện đại (như Catalina trở lên), hệ thống cũng kiểm tra xem ứng dụng có trải qua quy trình chứng nhận của Apple hay không, quy trình này bao gồm việc phân tích trước đó để tìm phần mềm độc hại đã biết.
Để tăng cường hơn nữa tính bảo mật, Gatekeeper cũng Lần đầu tiên bạn mở phần mềm đã tải xuống, nó sẽ yêu cầu bạn xác nhận rõ ràng.Mục đích là để ngăn chặn chúng "lén lút" cài mã thực thi được ngụy trang dưới dạng tệp dữ liệu đơn giản, chẳng hạn như tệp PDF giả hoặc tài liệu văn bản giả mạo mà thực chất là một ứng dụng độc hại.
Cách thức hoạt động của Gatekeeper từ bên trong
Đằng sau những thông báo cảnh báo bạn thấy trên màn hình là một loạt các yếu tố... các cơ chế kỹ thuật mà macOS sử dụng để quyết định xem một ứng dụng có đáng tin cậy hay không. Hoặc không. Tất cả bắt đầu từ khoảnh khắc bạn tải xuống thứ gì đó từ internet.
Khi tập tin được tải về máy Mac của bạn thông qua trình duyệt web, ứng dụng email hoặc ứng dụng tương thích khác, macOS sẽ thêm một tập tin bổ sung. thuộc tính cách ly đặc biệtThuộc tính đó đánh dấu tệp là "được tải xuống từ Internet" và đó là lý do Gatekeeper hoạt động khi bạn cố gắng mở tệp lần đầu tiên.
Khi cố gắng mở một ứng dụng bị cách ly, Gatekeeper sẽ kiểm tra một số điều sau: nguồn gốc tệp, chữ ký mã, chứng chỉ nhà phát triển và trạng thái chứng nhận được công chứng.Nếu có gì đó không phù hợp hoặc không thể xác minh, macOS sẽ hiển thị cảnh báo bảo mật hoặc trực tiếp chặn quá trình thực thi.
Việc ký mã cho phép chúng ta đảm bảo rằng Những gì bạn đang mở chính xác là những gì nhà phát triển đã gửi và nó chưa bị chỉnh sửa. bởi bên thứ ba. Nếu nội dung đã bị thay đổi, chữ ký sẽ không còn hợp lệ và Gatekeeper có thể cảnh báo bạn rằng ứng dụng "có thể bị hỏng hoặc đã bị can thiệp."
Về phần mình, công chứng là một quy trình mà qua đó nhà phát triển Apple gửi ứng dụng của mình đi phân tích để tìm phần mềm độc hại. và các hành vi độc hại đã biết khác. Nếu vượt qua bài kiểm tra, Apple sẽ cấp một "dấu chứng nhận" mà Gatekeeper có thể xác minh trong quá trình chạy, cục bộ hoặc thông qua kết nối với máy chủ của Apple.
Khi macOS phát hiện ra điều gì đó thực sự nguy hiểm, nó có thể hiển thị thông báo đáng sợ đó. “Tên của ứng dụng này sẽ gây hại cho máy tính của bạn.”, chặn hoàn toàn ứng dụng, chuyển nó vào thùng rác và, trong một số trường hợp, yêu cầu quyền gửi một bản sao ẩn danh của phần mềm độc hại cho Apple để cải thiện khả năng phát hiện trong tương lai.
Mối quan hệ giữa Gatekeeper, App Store và các nhà phát triển đã được xác định.
Trong hệ sinh thái macOS, Không phải tất cả phần mềm đều được đối xử như nhau về mặt bảo mật.Apple chủ yếu phân biệt ba nguồn ứng dụng chính, và Gatekeeper hoạt động khác nhau đối với mỗi nguồn đó.
Về mặt logic, môi trường được kiểm soát chặt chẽ nhất chính là môi trường của... Mac App StoreTất cả các ứng dụng được xuất bản trên đó đều đã trải qua quy trình xem xét thủ công và tự động của Apple, được phân phối kèm chữ ký số, và nếu phát hiện vấn đề nghiêm trọng, Apple có thể xóa chúng khỏi cửa hàng và thu hồi chứng chỉ của chúng. Theo Gatekeeper, những ứng dụng này là đáng tin cậy nhất.
Thứ hai là các ứng dụng dành cho các nhà phát triển đã được xác định Các nhà phát triển này phân phối phần mềm của họ một cách độc lập, thông qua trang web chính thức hoặc các kênh khác. Họ có Apple ID và ký ứng dụng của mình bằng chứng chỉ chính thức. Gatekeeper xác minh chữ ký này và, trong macOS Catalina trở lên, cũng kiểm tra xem nó đã được chứng thực hay chưa.
Cuối cùng, chúng tôi đã tìm thấy phần mềm cho các nhà phát triển không xác định hoặc không có chữ kýCác ứng dụng này không được bảo hành bởi Apple. Theo cài đặt bảo mật mặc định, Gatekeeper không cho phép bạn mở trực tiếp các ứng dụng này, yêu cầu bạn thực hiện thêm các bước để chạy chúng, điều này làm tăng nguy cơ bảo mật.
macOS cho phép bạn linh hoạt điều chỉnh những gì bạn muốn cho phép thông qua tùy chọn bảo mật. Trong Cài đặt hệ thống > Quyền riêng tư và bảo mật Bạn có thể chọn chỉ cho phép các ứng dụng từ App Store hoặc cho phép các ứng dụng từ App Store và các nhà phát triển đã được xác định. Các tùy chọn linh hoạt hơn, chẳng hạn như chấp nhận bất kỳ ứng dụng nào từ bất kỳ nguồn nào hoặc tắt hoàn toàn Gatekeeper, thường chỉ được sử dụng trong những ngữ cảnh rất cụ thể hoặc với các công cụ nâng cao.
Cấu hình Gatekeeper cơ bản trên macOS
Đa số người dùng không cần phải chạm vào bất cứ thứ gì vì macOS có cấu hình khá cân bằng. Giữa tính bảo mật và tính linh hoạt. Tuy nhiên, điều đáng biết là Gatekeeper phù hợp ở đâu và các tùy chọn khác nhau bao gồm những gì.
Trong các phiên bản macOS hiện tại, các nút điều khiển nằm ở vị trí sau: Cài đặt hệ thống > Quyền riêng tư và bảo mật. Trong phần đó, nếu bạn cuộn xuống một chút, bạn sẽ thấy khối "Bảo mật" với mục "Cho phép ứng dụng được tải xuống từ".
Ở đó bạn thường có thể lựa chọn giữa hai lựa chọnCó hai tùy chọn chính thức cho người dùng: “App Store”, chỉ cho phép tải ứng dụng từ cửa hàng chính thức của Apple, và “App Store và các nhà phát triển được Apple chứng nhận”, cho phép tải cả phần mềm từ các nhà phát triển được Apple chứng nhận nhưng không chính thức từ cửa hàng. Tùy chọn thứ hai thường thiết thực hơn đối với hầu hết người dùng.
Nếu máy Mac của bạn được thiết lập chỉ cho phép mở ứng dụng từ App Store, mọi nỗ lực mở phần mềm được tải xuống từ nơi khác sẽ thất bại. Thiết bị sẽ tự động khóa và bạn sẽ thấy một thông báo. Ứng dụng đó không thể sử dụng được vì nó không đến từ cửa hàng ứng dụng chính thức.
Nếu Gatekeeper chặn mặc định một ứng dụng mà bạn biết là đáng tin cậy (ví dụ: một công cụ chuyên nghiệp được tải xuống từ trang web của nhà phát triển), bạn có thể cho phép ứng dụng đó mở từng trường hợp cụ thể. Sau khi thử mở ứng dụng và nhận được cảnh báo, hãy vào mục Quyền riêng tư và Bảo mật, và ở cuối màn hình, bạn sẽ tìm thấy nút này. "Mở cửa như thường lệ" Dành riêng cho ứng dụng đó.
Nhấn "Mở dù sao" sẽ hiển thị lại cảnh báo, và nếu bạn xác nhận bằng nút "Mở", Ứng dụng đó sẽ được lưu lại như một ngoại lệ vĩnh viễn. Vào phần cài đặt bảo mật của bạn. Từ đó, bạn có thể mở ứng dụng như bất kỳ ứng dụng được ủy quyền nào khác, mà không cần Gatekeeper hỏi lại.
Người gác cổng và bảo vệ trong thời gian chạy
Gatekeeper không phải là lớp bảo mật duy nhất của macOS. Sau khi vượt qua bước kiểm tra độ tin cậy ban đầu, cái mà Apple gọi là "Bảo vệ An ninh" sẽ được kích hoạt. bảo vệ trong thời gian chạy, vốn chịu trách nhiệm ngăn chặn ngay cả các ứng dụng được ủy quyền thực hiện bất cứ điều gì chúng muốn trong hệ thống.
Một mặt, macOS duy trì Các tập tin hệ thống, tài nguyên quan trọng và nhân hệ điều hành được bảo vệ khỏi không gian ứng dụng của người dùng.Điều này có nghĩa là các ứng dụng không thể tùy tiện sửa đổi các phần nhạy cảm của hệ điều hành, làm giảm tác động của một lỗ hổng bảo mật tiềm tàng.
Hơn nữa, tất cả các ứng dụng được tải xuống từ App Store đều chạy trên một hệ điều hành... sandbox hoặc vùng được bảo vệ. Cơ chế này giới hạn nghiêm ngặt các tệp, thư mục, phần cứng và dữ liệu có thể được truy cập, và yêu cầu mọi tương tác với nội dung từ các ứng dụng khác phải được thực hiện thông qua các API và dịch vụ do macOS kiểm soát.
Theo cách này, ngay cả khi ứng dụng được tải xuống từ một trang web đáng tin cậy, Bạn sẽ không thể truy cập dữ liệu từ các ứng dụng khác nếu không được phép. hoặc các khu vực nhạy cảm của hệ thống, điều này tạo thêm một rào cản chống lại hành vi độc hại hoặc các lỗi lập trình nghiêm trọng.
Gatekeeper cũng giúp ngăn chặn một phương thức tấn công rất cụ thể: việc tải các mô-đun hoặc tiện ích bổ sung độc hại được đóng gói kèm theo một ứng dụng tưởng chừng như vô hại.Trong một số trường hợp nhất định, macOS có thể chạy ứng dụng đó từ các vị trí chỉ đọc ngẫu nhiên, chính xác là để ngăn các mô-đun bên ngoài được ngụy trang trong cùng một gói khỏi bị tự động tải.
Thông báo cảnh báo điển hình của người gác cổng
Nếu bạn thường xuyên sử dụng máy Mac để cài đặt ứng dụng mới, có lẽ bạn đã từng gặp phải vấn đề này rồi. nhiều thông báo cảnh báo khác nhau từ Gatekeeper và hệ thốngHiểu rõ ý nghĩa của từng thuật ngữ sẽ giúp đưa ra quyết định tốt hơn về những việc cần làm trong mỗi trường hợp.
Khi bạn lần đầu mở một ứng dụng từ một nhà phát triển đã được xác định, được tải xuống bên ngoài App Store, macOS sẽ hỏi bạn có thực sự muốn mở nó không.Thông thường, nó sẽ cho biết tệp tin được tải xuống từ trang web nào và khi nào, giúp bạn đánh giá xem đó có phải là tệp tin bạn mong muốn tải xuống hay không.
Nếu Apple không thể kiểm tra xem một ứng dụng có chứa phần mềm độc hại hay không, hoặc do nhà phát triển. Không thể xác minh vì ứng dụng chưa được chứng thực.Bạn sẽ thấy một thông báo cho biết macOS không thể xác minh ứng dụng có chứa phần mềm độc hại hay không. Trong các thiết lập nghiêm ngặt hơn, điều này sẽ dẫn đến việc ứng dụng bị chặn.
Nếu cài đặt bảo mật của bạn được đặt thành "Chỉ App Store", macOS sẽ không mở bất kỳ ứng dụng nào được tải xuống từ các trang web khác.Bạn sẽ thấy cảnh báo cho biết ứng dụng này không có trong App Store và không được phép sử dụng theo cài đặt của bạn.
Nếu hệ thống phát hiện phần mềm chứa nội dung độc hại hoặc quyền sử dụng đã bị thu hồi, macOS có thể hiển thị cảnh báo rằng ứng dụng này sẽ gây hại cho máy tính của bạn.Trong những trường hợp này, hệ thống thường ngăn ứng dụng chạy, chuyển nó vào thùng rác và khuyến nghị không nên sử dụng lại.
Cũng có khả năng macOS sẽ phát hiện ra rằng một ứng dụng bị hỏng hoặc đã bị sửa đổi. Trong trường hợp đó, bạn sẽ thấy một thông báo như thế này: “Ứng dụng không thể mở được vì có thể đã bị hỏng hoặc bị can thiệp.”Điều này thường cho thấy có vấn đề với tính toàn vẹn của ứng dụng hoặc chữ ký mã của nó.
Các hạn chế và lỗ hổng đã biết của Gatekeeper
Bất chấp tất cả các lớp bảo mật này, Gatekeeper không phải là bất khả xâm phạm. Đã có những trường hợp thực tế tội phạm mạng tìm cách vượt qua các biện pháp bảo vệ này. và xâm nhập phần mềm độc hại vào hệ thống macOS bằng cách khai thác các lỗ hổng hoặc điểm yếu thiết kế cụ thể. Ví dụ, đã có cảnh báo được đưa ra. Cảnh báo về lỗ hổng bảo mật macOS Điều này nhấn mạnh sự cần thiết phải có những giải pháp khắc phục nhanh chóng.
Một ví dụ nổi tiếng là phần mềm độc hại khai thác lỗ hổng Gatekeeper liên quan đến... sự tin tưởng mà macOS đặt vào các ổ đĩa ngoài và ổ đĩa mạng dùng chung.Trong một số phiên bản nhất định, những môi trường này được coi là "nơi an toàn", để phần mềm được lưu trữ ở đó có thể chạy mà không cần trải qua các bước kiểm tra nghiêm ngặt như các tệp được đánh dấu là tải xuống từ Internet.
Nhà nghiên cứu bảo mật Filippo Cavallarin đã chứng minh rằng điều đó là có thể. lừa hệ thống chạy mã độc hại Chính thông qua cơ chế này, mở ra cơ hội cho những kẻ tấn công am hiểu lợi dụng sự tự tin thái quá đó.
Việc các công ty phần mềm quảng cáo sử dụng kỹ thuật này và các kỹ thuật khác cũng đã được ghi nhận, như trường hợp của... OSX/SurfbuyerTrong trường hợp đó, những kẻ tấn công đã ngụy trang các ảnh đĩa bị nhiễm virus thành các trình cài đặt Adobe Flash Player giả mạo, một chiến thuật kinh điển để lừa người dùng không nghi ngờ chạy trình cài đặt độc hại.
Đây không phải là lần đầu tiên Gatekeeper dính líu đến những sự cố kiểu này. Vào tháng 2 năm 2018, một Một trường hợp tương tự đã xảy ra với phần mềm độc hại OSX/Shlayer.Điều này cũng đã khai thác những điểm yếu trong cách macOS xử lý việc xác minh phần mềm. Giải quyết các vấn đề như WebKit và các bản cập nhật khác nhằm mục đích ngăn chặn các phương thức tấn công này, nhưng không phải lúc nào cũng có hiệu quả tức thì.
Một hạn chế quan trọng khác là Gatekeeper tập trung chủ yếu vào... thời điểm cài đặt ban đầu và lần chạy đầu tiên của ứng dụngĐây không phải là phần mềm diệt virus truyền thống theo dõi tất cả các tiến trình và hoạt động hệ thống trong thời gian thực sau khi phần mềm đã được cài đặt và chạy.
Cách bổ sung Gatekeeper để tăng cường bảo mật
Chính vì những hạn chế đã nêu trên, nhiều chuyên gia khuyên rằng... Kết hợp Gatekeeper với các giải pháp bảo mật khácđặc biệt là trong môi trường dễ bị tấn công hoặc nơi xử lý thông tin nhạy cảm.
Một trong những chiến lược phổ biến nhất là sử dụng đến... Công cụ chống phần mềm độc hại dành riêng cho macOS Những công cụ này cung cấp khả năng phân tích thời gian thực, phát hiện dựa trên hành vi đáng ngờ và bảo vệ chống lại các mối đe dọa có thể khai thác các lỗ hổng sau khi cài đặt.
Các giải pháp bên ngoài này có thể giúp phát hiện phần mềm độc hại được ngụy trang bên trong các gói hàng có vẻ hợp pháp. Trong một số trường hợp, hệ thống không kích hoạt cảnh báo Gatekeeper vì nó tìm cách vượt qua các biện pháp kiểm soát ban đầu hoặc lợi dụng các chứng chỉ và thành phần đã được ký bị đánh cắp.
Điều quan trọng nữa là không được quên các biện pháp cơ bản như sau: Luôn cập nhật macOSNhanh chóng cài đặt các bản vá bảo mật và xem lại các ứng dụng đã cài đặt, gỡ bỏ những ứng dụng bạn không còn sử dụng hoặc không đến từ các nguồn rõ ràng và đáng tin cậy. Đối với nhiều người dùng, Luôn cập nhật macOS tạo nên sự khác biệt.
Đối với người dùng nâng cao, điều đó thậm chí còn có thể thực hiện được. Cấu hình Gatekeeper bằng các công cụ và chính sách quản trị MDM. (Quản lý thiết bị di động) trong môi trường doanh nghiệp, xác định loại phần mềm nào có thể được cài đặt, từ nguồn nào và trong điều kiện nào, từ đó giảm thiểu bề mặt tấn công. Apple thậm chí còn có. hướng dẫn bảo mật được cập nhật và tài liệu dành cho quản trị viên.
Kiểm soát chi tiết trong các công ty và tổ chức
Trong môi trường kinh doanh, Gatekeeper trở thành một phần không thể thiếu trong chiến lược bảo mật toàn diện hơn. Các tổ chức có thể sử dụng giải pháp MDM để thực thi các chính sách cụ thể. Những phần mềm này chỉ cho phép cài đặt các ứng dụng từ App Store hoặc các gói phần mềm nội bộ được ký bằng chứng chỉ riêng của chúng.
Bằng cách này, nhân viên có thể bị ngăn chặn cài đặt ứng dụng từ các nguồn không xác định, ngay cả khi họ cố gắng vượt qua các hạn chế tiêu chuẩn của Gatekeeper thông qua giao diện đồ họa. Các chính sách MDM có thể ngăn chặn việc vô hiệu hóa Gatekeeper. và hạn chế việc sử dụng các danh tính ký tên thay thế.
Trong một số môi trường được quản lý chặt chẽ, các công ty thường lựa chọn chỉ cho phép sử dụng các ứng dụng nội bộ và đáng tin cậy. với chứng chỉ được quản lý tập trungGatekeeper, kết hợp với các công nghệ khác của macOS như sandboxing, bảo vệ tính toàn vẹn hệ thống và kiểm soát quyền riêng tư, giúp duy trì một môi trường càng khép kín càng tốt đối với phần mềm trái phép.
Mặc dù Apple chưa hề cho thấy dấu hiệu nào cho thấy họ muốn biến macOS thành một hệ thống khép kín như iOS, Trên thực tế, đang có xu hướng hướng tới các biện pháp kiểm soát chặt chẽ hơn.Thúc đẩy việc phân phối thông qua App Store và khuyến khích các nhà phát triển thực hiện các quy trình ký kết và chứng thực chính thức.
Đối với người dùng gia đình và các chuyên gia độc lập, tất cả những điều này có nghĩa là Thêm nhiều lớp bảo mật mà vẫn giữ được tính linh hoạt.Với điều kiện bạn có hiểu biết cơ bản về chức năng của Gatekeeper và đưa ra quyết định sáng suốt khi cài đặt ứng dụng mới.
Nhìn tổng thể, rõ ràng Gatekeeper hoạt động như một loại "thủ môn" kỹ thuật số. Kiểm soát ai được phép truy cập vào máy Mac của bạn và trong điều kiện nào.Được hỗ trợ bởi hệ thống chứng nhận có công chứng, ký mã, hộp cát ứng dụng của App Store và một loạt các biện pháp bảo vệ trong quá trình hoạt động, nó không hoàn hảo và không thể thay thế sự cẩn trọng hay các công cụ bảo mật khác, nhưng nó tạo ra sự khác biệt rất lớn so với một hệ thống không có các biện pháp kiểm soát này. Cấu hình nó một cách khôn ngoan là một trong những cách đơn giản và hiệu quả nhất để giữ an toàn cho máy Mac của bạn mỗi ngày.