Daniel Hruska Gatekeeper to jedna z głównych funkcji, która zadebiutuje w nadchodzącym systemie OS X Mountain Lion. Jego celem jest (dosłownie) ochrona systemu i zezwolenie na działanie tylko aplikacjom spełniającym określone kryteria. Czy to idealny sposób na ochronę przed złośliwym oprogramowaniem?
W Mountain Lion ta „płaszczyzna bezpieczeństwa” jest podzielona na trzy poziomy, tzn. aplikacje będą mogły działać, jeśli tak jest
- Mac App Store
- Mac App Store i od znanych programistów
- dowolne źródło
Przyjrzyjmy się kolejności poszczególnych opcji. Jeśli spojrzymy na pierwszą opcję, logiczne jest, że tylko bardzo niewielki procent użytkowników wybierze tę ścieżkę. Choć aplikacji w Mac App Store jest coraz więcej, daleko mu do takiego asortymentu, aby każdy mógł obejść się wyłącznie z tym źródłem. Pytaniem pozostaje, czy Apple zmierza w kierunku stopniowego blokowania systemu OS X na tym etapie. Wolimy jednak nie wdawać się w spekulacje.
Zaraz po zainstalowaniu systemu aktywna jest opcja środkowa. Ale teraz możesz zadać sobie pytanie, kto jest znanym programistą? Jest to osoba, która zarejestrowała się w Apple i otrzymała swój osobisty certyfikat (ID programisty), za pomocą którego może podpisywać swoje aplikacje. Każdy programista, który jeszcze tego nie zrobił, może uzyskać swój identyfikator za pomocą narzędzia w Xcode. Oczywiście nikt nie jest zmuszony do wykonania tego kroku, jednak większość programistów będzie chciała mieć pewność, że ich aplikacje będą działać płynnie nawet na OS X Mountain Lion. Nikt nie chce, aby jego wniosek został odrzucony przez system.
Teraz pytanie, jak w ogóle podpisać taki wniosek? Odpowiedź kryje się w koncepcjach kryptografii asymetrycznej i podpisu elektronicznego. Na początek krótko opiszmy kryptografię asymetryczną. Jak sama nazwa wskazuje, cały proces będzie przebiegał inaczej niż w kryptografii symetrycznej, gdzie do szyfrowania i deszyfrowania używany jest ten sam klucz. W kryptografii asymetrycznej potrzebne są dwa klucze – prywatny do szyfrowania i publiczny do deszyfrowania. Rozumiem klucz jest rozumiana jako liczba bardzo długa, więc odgadnięcie jej metodą „brutalnej siły”, tj. poprzez kolejne wypróbowanie wszystkich możliwości, zajęłoby nieproporcjonalnie dużo czasu (dziesiątki do tysięcy lat) biorąc pod uwagę moc obliczeniową dzisiejszych komputerów. Możemy mówić o liczbach typowo 128-bitowych i dłuższych.
Przejdźmy teraz do uproszczonej zasady podpisu elektronicznego. Posiadacz klucza prywatnego podpisuje nim swój wniosek. Klucz prywatny musi być bezpieczny, w przeciwnym razie ktoś inny mógłby podpisać Twoje dane (np. aplikacja). Przy danych podpisanych w ten sposób z bardzo dużym prawdopodobieństwem gwarantuje się pochodzenie i integralność danych oryginalnych. Inaczej mówiąc, aplikacja pochodzi od tego dewelopera i nie była w żaden sposób modyfikowana. Jak sprawdzić pochodzenie danych? Korzystanie z klucza publicznego dostępnego dla każdego.
Co ostatecznie dzieje się z wnioskiem, który nie spełnia warunków z dwóch poprzednich przypadków? Oprócz tego, że aplikacja nie zostanie uruchomiona, użytkownikowi zostanie wyświetlone okno dialogowe z ostrzeżeniem i dwa przyciski – Zrušiť a Kasować. Dość trudny wybór, prawda? Jednocześnie jednak jest to genialny ruch Apple’a na przyszłość. Ponieważ popularność komputerów Apple rośnie z roku na rok, one również w końcu staną się celem złośliwego oprogramowania. Należy jednak zdać sobie sprawę, że napastnicy zawsze będą o krok przed heurystyką i możliwościami pakietów antywirusowych, które również spowalniają komputer. Nie ma więc nic prostszego niż zezwolenie na działanie tylko zweryfikowanym aplikacjom.
Na razie jednak nie ma bezpośredniego zagrożenia. W ostatnich latach pojawiła się jedynie niewielka ilość złośliwego oprogramowania. Potencjalnie szkodliwe aplikacje można policzyć na palcach jednej ręki. OS X wciąż nie jest wystarczająco rozpowszechniony, aby stać się głównym celem atakujących, których celem są systemy operacyjne Windows. Nie będziemy się okłamywać, że OS X nie jest nieszczelny. Jest tak samo podatny na zagrożenia, jak każdy inny system operacyjny, dlatego lepiej zdusić zagrożenie w zarodku. Czy dzięki temu krokowi Apple będzie w stanie na dobre wyeliminować zagrożenie ze strony złośliwego oprogramowania na komputerach Apple? Zobaczymy w ciągu najbliższych kilku lat.
Ostatnia opcja Gatekeepera nie niesie ze sobą żadnych ograniczeń co do pochodzenia aplikacji. Dokładnie taki znamy (Mac) OS X od ponad dekady i nawet Mountain Lion nie musi niczego w tym zmieniać. Nadal będziesz mógł uruchamiać dowolne aplikacje. W sieci można znaleźć mnóstwo doskonałego oprogramowania open source, więc z pewnością szkoda byłoby się go pozbawić, ale kosztem zmniejszonego bezpieczeństwa i zwiększonego ryzyka.
