Данило Грушка Gatekeeper є однією з основних функцій, яка дебютує в майбутній OS X Mountain Lion. Його призначення — (буквально) охороняти систему та дозволяти запускати лише програми, які відповідають певним критеріям. Це ідеальний спосіб запобігти зловмисному програмному забезпеченню?
У Mountain Lion ця «площина безпеки» поділена на три рівні, а саме програми можна запускати, якщо вони
- Mac App Store
- Mac App Store та від відомих розробників
- будь-яке джерело
Розберемо окремі варіанти по порядку. Якщо ми подивимося на перший, то логічно, що лише дуже невеликий відсоток користувачів обере цей шлях. Незважаючи на те, що в Mac App Store з’являється все більше і більше додатків, далеко не такий асортимент, щоб кожен міг обійтися лише цим джерелом. Чи збирається Apple поступово блокувати OS X цим кроком, залишається питанням. Однак ми вважаємо за краще не займатися спекуляціями.
Відразу після встановлення системи активна середня опція. Але тепер ви можете запитати себе, хто є відомим розробником? Це той, хто зареєструвався в Apple і отримав особистий сертифікат (ID розробника), за допомогою якого він може підписувати свої програми. Кожен розробник, який ще не зробив цього, може отримати свій ідентифікатор за допомогою інструменту в Xcode. Звичайно, нікого не змушують робити цей крок, але більшість розробників захочуть забезпечити безперебійну роботу їхніх програм навіть на OS X Mountain Lion. Ніхто не хоче, щоб його заявка була відхилена системою.
Тепер виникає питання, як взагалі підписати таку заяву? Відповідь криється в концепціях асиметричної криптографії та електронного підпису. Спочатку давайте коротко опишемо асиметричну криптографію. Як випливає з назви, весь процес відбуватиметься інакше, ніж у симетричній криптографії, де для шифрування та дешифрування використовується один і той самий ключ. В асиметричній криптографії потрібні два ключі – приватний для шифрування та відкритий для дешифрування. Я розумію ключ розуміється як дуже довге число, тому вгадування його методом «грубої сили», тобто шляхом послідовного випробування всіх можливостей, займе непропорційно багато часу (від десятків до тисяч років) з огляду на обчислювальну потужність сучасних комп’ютерів. Ми можемо говорити про числа, як правило, 128 біт і більше.
Тепер до спрощеного принципу електронного підпису. Власник закритого ключа підписує ним свою заявку. Приватний ключ має зберігатися в безпеці, інакше хтось інший може підписати ваші дані (наприклад, додаток). З даними, підписаними таким чином, походження та цілісність вихідних даних гарантується з дуже високою ймовірністю. Іншими словами, додаток походить від цього розробника і жодним чином не змінено. Як перевірити походження даних? Використання відкритого ключа, який доступний кожному.
Що зрештою станеться із заявкою, яка не відповідає умовам у попередніх двох випадках? Крім того, що програма не запускається, користувачеві буде запропоновано діалогове вікно з попередженням і дві кнопки – скасування a Видалити. Досить важкий вибір, правда? У той же час, однак, це геніальний крок Apple на майбутнє. Оскільки популярність комп’ютерів Apple зростає з кожним роком, вони теж з часом стануть мішенню для шкідливого програмного забезпечення. Але необхідно усвідомлювати, що зловмисники завжди будуть на крок попереду евристики та можливостей антивірусних пакетів, які також уповільнюють роботу комп’ютера. Тому немає нічого простішого, ніж дозволити запускати лише перевірені програми.
Наразі, однак, неминучого ризику немає. За останні роки з’явилася лише невелика кількість шкідливих програм. Потенційно шкідливі програми можна порахувати на пальцях однієї руки. OS X все ще недостатньо поширена, щоб стати основною мішенню для зловмисників, які націлені на операційні системи Windows. Ми не будемо брехати собі, що OS X не протікає. Вона так само вразлива, як і будь-яка інша операційна система, тому краще придушити загрозу в зародку. Чи зможе Apple за допомогою цього кроку назавжди усунути загрозу зловмисного програмного забезпечення на комп’ютерах Apple? Побачимо протягом наступних кількох років.
Останній варіант Gatekeeper не передбачає жодних обмежень щодо походження додатків. Це саме те, як ми знаємо (Mac) OS X більше десяти років, і навіть Mountain Lion не має нічого змінювати. Ви все одно зможете запускати будь-які програми. В Інтернеті можна знайти багато чудового програмного забезпечення з відкритим кодом, тому було б прикро позбавити себе його, але ціною зниження безпеки та збільшення ризику.
