Лучший антивирус для Мака — это вовсе не антивирус

Мир онлайн по-прежнему суров и опасен, но несмотря на все попытки разработчиков антивирусного софта продать вам свою подписку, система macOS остается вполне безопасной для пользователя. Более того, рискнем сказать, что лучший антивирус для Мака — это сочетание существующих средств защиты и здравомыслия пользователя.

Вирусы и вредоносные программы — это неотъемлемая составляющая современной сетевой жизни, а многочисленные сообщения говорят, что они самым серьезным образом влияют на работу в сети не только на обычных пользователей, но и на крупные компания и предрриятия.

Для Windows наличие дополнительной защиты в той или иной форме было и остается необходимым, особенно потому, что это самая большая (и лакомая) цель для вирусописателей. Из-за меньшей пользовательской базы Мак поначалу был меньшей мишенью, но с годами всё начало меняться.

Что помогло Маку, так это его репутация как очень невосприимчивого к вредоносным программам и вирусам в целом. Он изначально был настолько защищен от вирусов, что вам вообще не требовался никакой антивирус.

В определенной степени это верно и сегодня. Apple включает в macOS различные механизмы защиты, благодаря которым вредному софту очень сложно стать проблемой для обычного пользователя. И вот почему.

Gatekeeper

Из всех систем защиты, которые Apple использует в macOS, Gatekeeper — самая заметная для пользователей. Вы узнаете его по предупреждению, которое появляется всякий раз, когда вы загружаете программу из Интернета и пытаетесь ее запустить.

Gatekeeper способен предотвратить запуск вредоносных программ на Маке, ставя на пути множество препятствий, которые пользователь должен обойти самостоятельно.

Вместо прямого сканирования на наличие вредоносного кода Gatekeeper действует как вышибала в ночном клубе, следя за тем, чтобы программа имела необходимые разрешения на запуск.

Gatekeeper проверяет загруженное приложение перед его первым запуском, убеждаясь, что оно либо получено из Mac App Store, либо имеет действительный ID разработчика и подтверждено сертификатом Apple.

Если приложение из Mac App Store, оно уже прошло различные проверки в самой Apple, поэтому Gatekeeper справедливо полагает, что с ним все в порядке, и разрешает запуск приложения.Когда приложение поступает из других источников, то здесь в дело вступают дополнительные проверки.

Идентификатор разработчика предоставляется разработчику как индикатор того, что он является проверенным создателем приложения. Дополнительный сертификат к приложению — это способ убедиться, что оно получено именно от этого разработчика без каких-либо изменений.

При заверении сертификата разработчики предоставляют приложения автоматизированной службе Apple, которая проверяет, безопасно ли приложение для запуска.

Считайте такое заверение эквивалентом того, что Apple выполняет некоторые проверки, чтобы убедиться, что приложение в порядке, и возвращает его разработчику с отметкой, означающей, что данный конкретный исполняемый файл в порядке.

Приложения с действительным идентификатором разработчика и с заверенным сертификатом разрешены Gatekeeper к запуску, и поэтому им доверяет macOS.

Если в пакет приложений вмешивается вредоносный сторонний агент, то это может повлиять как на сертификат Developer ID, так и на безопасность нотаризации. В таких случаях Gatekeeper увидит проблему и остановит запуск приложения.

Проблема в том, что пользователи по-прежнему могут запускать на Mac приложения, не заверенные Apple, или видеть предупреждения, выдаваемые Gatekeeper, и нажимать на них, чтобы запустить приложение, несмотря ни на что. Обойти такие предупреждения Gatekeeper несложно.

К сожалению, именно это и дает возможность вирусам и вредоносным программам существовать на macOS. В противном случае они были бы пресечены Gatekeeper с первого раза. В качестве базовой защиты Gatekeeper оказался достаточно устойчивым и очень полезным инструментом в арсенале безопасности Мака. По крайней мере, в той мере, в какой простираются его возможности.

Gatekeeper может выполнять большую часть тяжелой работы по обеспечению безопасности Mac. Он просто не может охватить все возможные случаи.

Защита целостности системы или System Integrity Protection

Защита целостности системы (SiP) — это еще один механизм, который ограничивает работу приложений на Маке. В частности, она не позволяет вредоносным программам вносить изменения в определенные защищенные папки и файлы на Маке. Ограничивая доступ к учетную запись root, которая обладает свободными административными полномочиями, SiP помогает ограничить ущерб, наносимый вредоносными программами, работающими так, как будто они являются хозяевами компьютера.

До OS X El Capitan приложения, установленные с использованием имени пользователя и пароля администратора, получали доступ на уровне root без каких-либо ограничений. Вредоносное приложение с такими правами могло влиять на важные области операционной системы Мака, и ничто не могло его остановить.

SiP защищает ряд очень важных областей macOS, включая папку System, директории usr, bin, sbin, var и приложения, предустановленные как часть самой macOS.

В то же время SiP позволяет сторонним приложениям писать в папки Applications, Library и usr/local — типичные области, доступ к которым необходим легитимным приложениям.

В рамках этой защиты SiP по-прежнему позволяет вносить изменения в защищенные папки и файлы, но только в рамках процессов, подписанных самой Apple, а также имеющих специальные права, позволяющие осуществлять такую деятельность. Например, собственные обновления и программы установки программного обеспечения Apple обычно имеют право вносить изменения через SiP.

Как и в любой другой системе защиты, в SiP тоже могут быть ошибки или уязвимости. Например, ошибка, обнаруженная в октябре 2021 года, позволяла нотаризованным Apple пакетам установки приложений выполнять действия, обычно запрещенные SiP.

Опять же, Apple быстро исправила эту проблему до того, как она стала реальной проблемой.

Процессоры Apple

Ещё одна вещь, которую Макам удаётся делать правильно — это само железо. Переход Apple от Intel обеспечил не только преимущества в производительности и больший контроль над всей системой.

Это также означает, что системы Apple не подвержены тем же проблемам с чипами, которые могут поражать компьютеры на базе Intel.

Возьмем к примеру Meltdown и Spectre — это были эксплойты, использующие уязвимости в чипах Intel. Компьютеры Apple, в которых также использовались чипы Intel, были затронуты теми же уязвимостями, и поэтому им пришлось пройти через различные исправления.

С переходом на Apple Silicon компьютеры компании больше не подвержены тем же уязвимостям процессоров, с которыми пришлось столкнуться Intel, просто из-за использования различных конструкций.

Однако это не совсем то изменение, которое освобождает Apple от необходимости решать какие-либо проблемы с чипами. Исследователи уже нашли свои собственные проблемы с кремнием Apple.

Ключевым моментом здесь является то, что это аппаратные проблемы, которые Apple может устранить и решить самостоятельно, не прибегая к помощи Intel в разработке исправлений. А также аппаратные проблемы, которые вызваны не решениями сторонних производителей, а только решениями самой Apple.

Лучший антивирус для Mac — это бдительность пользователя

Проблема с такими функциями безопасности, как SIP и Gatekeeper, заключается в том, что они могут обеспечить защиту настолько, насколько им позволено. Если пользователь думает, что знает лучше, он может обойти ограничения и потенциально позволить вредоносному ПО работать беспрепятственно.

Это происходит не только в macOS, но и практически везде. Хотя все защитные функции могут быть доступны, нерадивый пользователь может сделать все возможное, чтобы помешать работе этих систем.

Например, хорошо защищенная система Windows с антивирусом и брандмауэром может быть надежно защищена. Однако пользователь все равно может отключить антивирус и брандмауэр по своему желанию, оставив свой компьютер уязвимым.

Вы можете положить сэндвич в офисный холодильник, в жесткий контейнер, обернутый несколькими слоями клейкой ленты и снабженный многочисленными записками, в которых говорится, что это ваш сэндвич и его нельзя красть. Но в глубине души вы знаете, что условный администратор Георгий все равно съест ваш бутерброд.

Лучшим антивирусом для Мака может и должен стать сам пользователь. Ведь если он не забывает соблюдать осторожность в отношении того, что скачивает из Интернета, то все должно получиться.

Например, имеет смысл загружать приложения только из источников, которым вы доверяете. Это может быть разработчик, хорошо зарекомендовавшая себя платформа, а еще лучше — каталог Mac App Store.

Также следует обращать внимание на предупреждения Gatekeeper, поскольку они должны заставить вас дважды подумать, прежде чем запускать установку или приложение.

Есть и другие очевидные вещи, такие как внимательное отношение к тому, какие сайты вы посещаете, на какие ссылки переходите и какую информацию предоставляете в Интернете.

Если вы бдительны, вы можете быть в полной безопасности в Интернете и без установленного антивируса. Это не значит, что вам не следует устанавливать антивирус на свой Mac. Они могут стать удобным резервным вариантом, когнитивной защитной сеткой, и могут поймать то, что проскользнуло мимо собственных систем Apple.

Но тут есть оборотная сторона медали. Поставив антивирус, пользователь снижает уровень бдительности, потому что надеется на установленное приложение. А делает это зря. Антивирус — это лишь еще один слой, который злодеи также могут обмануть.

Поэтому еще раз: лучший антивирус для Мака — это не быть доверчивым, а быть бдительным.