苹果近年来提高了其安全性,但这就足够了吗?
多年来,苹果的Mac电脑和OS X操作系统一直享有相对安全的声誉。但专家表示,事实上,苹果操作系统存在安全问题,只是因为这些漏洞没有被利用,这些问题可能被淡化了。
随着越来越多的企业部署Mac电脑,OS X的安全状况更可能成为讨论的话题在IT战略会议。有迹象表明,苹果电脑将继续寻找自己的方式进入职场,正如Gartner指出。苹果的手机iPhone和iPad已经深受企业IT所接受。而Mac笔记本和台式机保持“不常用的IT接受,”苹果继续从消费受益和适应的iOS技术整合到OS X将改变,Gartner表示。
[信息世界:对Android安全的清晰指导。是时候重新考虑安全性了。两个前首席信息官向你展示如何重新思考当今世界的安全战略。奖励:可在PDF和电子书版本。]
2月下旬,苹果公司证实存在安全问题,成为头条新闻一个重大安全漏洞在iPhone的和iPad的iOS和Mac的OS X的缺陷导致的iOS的浏览器引擎和许多苹果的Mac应用程序跳过那些应该出现在许多传输层安全(TLS)和安全套接字层(SSL关键的验证检查)连接正在谈判过不安全的Wi-Fi网络,这可能允许人在这方面的中间人公共热点的攻击。该公司迅速发布运行iOS移动设备的修复,但花了几天的时间来修补OS X.
OS X是否比现在的其他操作系统更安全还很难说——很难比较不同操作系统的漏洞数量。
例如,安全专家研究和教育组织SANS Institute的首席研究长乌尔里希(Johannes Ullrich)说,目前用于攻击Windows的许多漏洞并不是Windows核心操作系统的漏洞。相反,许多“Windows”漏洞实际上是第三方软件如Oracle Java、microsoftofficemacros、adobereader和adobeflash。
Ullrich说:“与此同时,大多数针对OS X的恶意软件根本没有使用任何[固有的OS]漏洞,而是欺骗用户安装恶意应用程序。”
安全咨询公司前台安全(前台Security)的高级渗透测试员亨利•亨德森(Henry Henderson)表示,与Windows一样,用户意识和训练Mac用户不要点击某些东西的需要是一项必要但艰巨的任务。“深度防御只有在你训练你的用户并拥有合适的工具来检测基本的东西时才有用,”他说。
Ullrich说:“我不认为现在的两种操作系统在安全方面有明显的优势,当涉及到两种操作系统的恶意软件泛滥时,市场份额仍然是最重要的问题。”
但也有人说的想法,Mac的相对较低的市场份额,使OS X不值得为网络犯罪分子的麻烦应该平息。“苹果电脑可能无法使用的广泛的企业,但如果你走进任何一家咖啡店,你会用他们看到至少有两到三个人,”亨德森说。“消费者市场的平均上网坏家伙谁的目标用户为了经济利益或发展自己的僵尸网络已经存在。”随着企业市场份额的增长,来进行定位的Mac将增长以及利率水平,他说。
OS X的安全性近年来有所提高OS X今天有多安全?安全专家说,总的来说,它比过去更安全,尽管远不是无懈可击。
信息安全研究和分析公司Securosis的首席执行官里奇•穆格尔表示:“过去几年,OS X的安全性能有了显著提高,现在几乎与最新版本的Windows一样安全。”“它受到的攻击仍然较少,这使得它相对比Windows更安全。”
主要的OS X攻击载体是浏览器中的插件,如Java和Flash applet, Mogull说。
专家说,由于OS X在最近发布的版本中在防御方面做了一些改进,它更加安全。这些包括:
- 新的内存保护技术
- 改进的安全默认值,例如系统更新的自动安装
- 增加了Gatekeeper功能,这是osx Lion 10.7.5中引入的一个功能,它基于OS X现有的恶意软件检测,帮助mac电脑免受从互联网下载的恶意软件和问题应用程序的攻击
- FileVault2,一个易于使用的磁盘加密系统,允许企业系统中的密钥托管
- OS X试图尽量减少使用Java等常见攻击载体
- 的使用相同的API作为在IOS 7对于系统管理和远程配置,进程在OS X Mountain Lion中启动,并在OS X Mavericks中得到极大增强
苹果公司的重点一直是阻止恶意软件SANS的Ullrich说,Gatekeeper白名单系统为当前OS X恶意软件提供了合理的防御。
Ullrich说,对应用程序沙箱的支持使开发人员可以更容易地编写应用程序,这些应用程序如果受到损害,就会限制对系统的访问。“反病毒检测能力非常有限,但它已成功地用于限制一些OS X恶意软件。闪回机器人,”他说。“然而,签名的更新相当缓慢。”
Mogull说,苹果公司已经把OS X的安全性作为一个更高的优先级,并且正在吸取iOS的经验教训,并将其应用到OS X上。他说,这两个系统仍然基于相同的代码库,而这一点通常被遗忘了。
该公司主要侧重于恶意软件传播的方法,所以它使用的工具,如关守使其极难建立广泛的感染,Mogull说。“这并不是说这种感染是不可能的,但用户正在构建OS X习惯不同,使它更难攻击者大规模成功,即使他们发现了弱点,”他说。他不认为OS X在企业中市场份额的上升会导致安全性能的显著下降。
“苹果瞄准了恶意软件的经济效益,这是防止任何广泛攻击的极好方法,”Mogull说。当然,即使苹果继续强化操作系统,OS X仍然会受到有针对性的攻击。他说:“如果你能得到你想要的可管理性,那么今天的苹果电脑在企业中比Windows更安全。”
其他人则没有在Mac电脑上的安全级别热衷当它涉及到的恶意软件。尽管闪回事件,并可能影响苹果电脑就像Windows的电脑,最新的Java攻击“最OS X用户仍然误以为他们是安全的在他们远离安全的。”前景Security的亨德森说。亨德森感叹OS X用户通常不安装反恶意软件软件和供应商不积极地推销他们的工具。
当然,正如任何Mac用户都会告诉你的那样,Mac被病毒感染的情况极其罕见——大多数用户从未感染过病毒,甚至超过10年的使用时间。2012年的闪回事件是个例外。相比之下,Windows用户无论是在家里还是在工作中都会受到感染,而且每年都会有几次新的重大感染。
提供安全研究和服务的Trail of Bits公司的首席技术官丹·圭多(Dan Guido)说,OS X的用户不用担心病毒,因为苹果在其操作系统中巧妙地设计了安全机制。
“像守门人功能和App Store的Mac桌面上的可用性做更多,以保持用户比安装防病毒软件的安全,”吉说。苹果还禁止使用Java 6和早前因他们的安全漏洞,并鼓励使用Java 7的“我们探讨了我们的移动恶意软件的分析,这种现象......,发现苹果知道这些都是硬障碍黑客克服。“
你应该知道OS X的弱点可以肯定,即使在安全方面的改进苹果已经取得了,IT需要了解的其他问题,乌尔里希说:
- OS X通常不能很好地与常用的配置工具集成。尽管OS X现在集成了越来越多的移动管理工具,由于与iOS共享的安全和管理api,这还不是企业中常见的管理方法。
- 苹果不饰面长期支持的操作系统,通常提供补丁仅适用于当前和以前的版本,需要比较快的更新。苹果已经延长部分安全更新尽可能早在2009年的OS X雪豹,但通常延迟后。
- 苹果公司的内置防火墙的配置图形界面是基本的,但它可以通过命令行或第三方工具来改善。
- OS X往往依赖于苹果提供的、基于云的备份、远程管理和密码存储服务,这对于公司系统来说很难控制。
- 苹果没有为任何最新版本的OS X提供安全配置指南。
- 苹果在发布OS X开源组件的更新方面一直行动迟缓。
前台安全公司的亨德森说,用于Mac的第三方软件已经并将一直是一个问题。“任何系统的最大缺陷总是第三方软件,”他说。“即使有沙箱和软件/硬件保护技术,主要的攻击套件仍然主要针对浏览器,最近的几个重大攻击是通过第三方应用程序进行的。”
具有讽刺意味的是,这些漏洞往往存在于为Windows中的恶意软件提供通道的同一应用程序中:Oracle Java、Adobe Flash和Adobe Reader。Office宏漏洞在OS X中不是问题,只是因为Mac版Office不支持它们,因此无法运行它们。
允许Java访问整个企业是一个坏主意,Henderson认为,“然而我继续使用这些攻击访问网络。随着苹果最近决定停止支持Java,情况正在发生变化。但用户仍然可以安装Oracle版本,这将使基于java的攻击仍然可行。”
讽刺的是,某些Mac反病毒软件如Symantec的要求使用Java来操作,迫使企业使风险Java来获得防病毒保护。同样地,闪存是由一些基于Web的在线会议服务要求,为YouTube上,并为许多公司的营销网站。
你应该知道Mac硬件的弱点苹果使用的核心硬件与Windows pc大同小异:英特尔处理器、USB接口、SATA硬盘等等。亨德森说,这些零部件的硬件风险也差不多。
关于CPU攻击是否真实存在争议,但是CPU、BIOS和主板仍然是一个可行的攻击目标Tempest-like攻击他说,像美国国家安全局(NSA)这样的间谍机构都在使用哪些信息。(他们在电脑内部安装了监控无线电和其他间谍设备。)
苹果的管理api没有提供一种方法来锁定USB或其他端口。亨德森建议,通过基于主机的入侵防御系统监视外部媒体连接,对于不希望禁用USB和类似端口带来不便的公司来说,这是一个很好的开端。
苹果不支持可信平台模块从明年开始,微软将要求所有个人电脑制造商提供支持,使加密密钥更难破解。
此外,Mac的一个便利之处是,它可以从安装了OS X的任何附加磁盘上启动,这可以绕过OS X的密码要求,让窃贼有机会访问Mac的内容,并有时间尝试破解任何加密。亨德森指出,具有讽刺意味的是,Mac电脑支持固件密码,这一功能可以将Mac电脑锁定在特定的启动设备上,但很少有人知道这一点。(您只能通过从恢复分区启动并运行那里的OS X实用程序来访问它。)
更集成“都在一个”硬件苹果提供其轻薄的笔记本电脑 - 视网膜MacBook和MacBook Air的 - 和它的iMac电脑使篡改更加困难,乌尔里希说。例如,它不容易清除内部硬盘驱动器或闪存驱动器从驱动器中复制数据。
是iCloud的安全风险?如果文件中包含敏感的企业信息,OS X依赖iCloud在iWork套件或Omni Outliner等应用程序中存储在线文件的做法可能会带来风险。如果另一台Mac或iOS设备使用相同的iCloud账户,并且没有加密或密码保护,小偷可以使用另一台设备来访问文件。
安全服务提供商Accuvant的信息安全主管詹姆斯•罗宾逊(James Robinson)表示:“如果一名员工拥有非常机密的公司数据,并将其放在iCloud和iPhone上,(对)数据管理的需求就会扩大。”(这种风险类似于使用任何云存储服务,比如Box、Dropbox、谷歌Drive或微软OneDrive。)
交换ActiveSync政策可以强制在Mac或iOS设备上使用加密和密码,第三方管理工具可以在iOS设备上使用的是苹果API来禁用的iCloud。但是,如果设备没有IT管理下,这些保护不能启用或执行。
新iCloud钥匙链特性在iOS 7和OS X系统中,Mavericks允许Safari跨mac和iOS设备同步密码和信用卡号。尽管它使用双因素身份验证,但使用此功能可能存在风险。