Daniel Hruska Gatekeeper er en af de vigtigste funktioner, der vil få sin debut i den kommende OS X Mountain Lion. Dens formål er (bogstaveligt talt) at beskytte systemet og kun tillade applikationer, der opfylder visse kriterier, at køre. Er dette den ideelle måde at forhindre malware på?
I Mountain Lion er det "sikkerhedsplan" opdelt i tre niveauer, nemlig applikationer vil få lov til at køre, hvis de er
- Mac App Store
- Mac App Store og fra kendte udviklere
- enhver kilde
Lad os tage de individuelle muligheder i rækkefølge. Hvis vi ser på den første, er det logisk, at kun en meget lille procentdel af brugerne vil vælge denne vej. Selvom der er flere og flere applikationer i Mac App Store, er det langt fra at have en sådan rækkevidde, at alle kan klare sig med denne kilde alene. Om Apple bevæger sig mod en gradvis låsning af OS X med dette trin er et spørgsmål. Vi foretrækker dog ikke at engagere os i spekulationer.
Umiddelbart efter installation af systemet er den midterste mulighed aktiv. Men nu kan du spørge dig selv, hvem der er den kendte udvikler? Dette er en person, der har registreret sig hos Apple og modtaget deres personlige certifikat (udvikler-id), som de kan underskrive deres applikationer med. Alle udviklere, der ikke har gjort det endnu, kan få deres ID ved hjælp af et værktøj i Xcode. Selvfølgelig er ingen tvunget til at tage dette skridt, men de fleste udviklere vil gerne sikre, at deres applikationer kører problemfrit selv på OS X Mountain Lion. Ingen ønsker, at deres ansøgning skal afvises af systemet.
Nu er spørgsmålet, hvordan man overhovedet underskriver sådan en ansøgning? Svaret ligger i begreberne asymmetrisk kryptografi og elektronisk signatur. Lad os først kort beskrive asymmetrisk kryptografi. Som navnet antyder, vil hele processen foregå anderledes end i symmetrisk kryptografi, hvor en og samme nøgle bruges til kryptering og dekryptering. I asymmetrisk kryptografi er der brug for to nøgler - private til kryptering og offentlige til dekryptering. jeg forstår nøgle forstås som et meget langt tal, så at gætte det ved "brute force"-metoden, det vil sige ved successivt at prøve alle muligheder, ville tage uforholdsmæssig lang tid (ti til tusinder af år) i betragtning af dagens computeres computerkraft. Vi kan tale om tal, der typisk er 128 bit og længere.
Nu til det forenklede princip om elektronisk signatur. Indehaveren af den private nøgle underskriver sin ansøgning med den. Den private nøgle skal opbevares sikkert, ellers kan alle andre signere dine data (f.eks. en applikation). Med data signeret på denne måde er oprindelsen og integriteten af de originale data garanteret med en meget høj sandsynlighed. Med andre ord kommer applikationen fra denne udvikler og er ikke blevet ændret på nogen måde. Hvordan verificerer jeg oprindelsen af dataene? Brug af en offentlig nøgle, der er tilgængelig for alle.
Hvad sker der i sidste ende med en ansøgning, der ikke opfylder betingelserne i de to foregående sager? Ud over ikke at starte applikationen vil brugeren blive præsenteret for en advarselsdialogboks og to knapper – Zrušiť a Slet. Temmelig svært valg, ikke? Samtidig er dette dog et genialt træk af Apple for fremtiden. Efterhånden som Apple-computeres popularitet stiger hvert år, vil de også i sidste ende blive et mål for ondsindet software. Men det er nødvendigt at indse, at angriberne altid vil være et skridt foran antiviruspakkernes heuristik og muligheder, som også bremser computeren. Så der er ikke noget nemmere end kun at tillade verificerede applikationer at køre.
For nu er der dog ingen overhængende risiko. Kun en lille mængde malware er dukket op i de seneste år. Potentielt skadelige applikationer kan tælles på fingrene på én hånd. OS X er stadig ikke udbredt nok til at blive et primært mål for angribere, der målretter mod Windows-operativsystemer. Vi vil ikke lyve for os selv, at OS X ikke er utæt. Det er lige så sårbart som ethvert andet operativsystem, så det er bedre at kvæle truslen i opløbet. Vil Apple være i stand til at fjerne truslen om malware på Apple-computere for godt med dette trin? Vi vil se i løbet af de næste par år.
Den sidste mulighed for Gatekeeper bringer ingen begrænsninger med hensyn til applikationernes oprindelse. Det er præcis sådan, vi har kendt (Mac) OS X i over et årti, og selv Mountain Lion behøver ikke at ændre noget ved det. Du vil stadig være i stand til at køre alle applikationer. Der er masser af fremragende open source-software at finde på nettet, så det ville bestemt være en skam at fratage dig selv det, men på bekostning af reduceret sikkerhed og øget risiko.
