Zavřít reklamu

K jedné z k hlavních funkcí, které zažijí svou premiéru v chystaném OS X Mountain Lion, patří Gatekeeper. Jeho účelem je (doslova) střežit systém a povolit běh jen aplikacím splňující určité kritérium. Je to ideální způsob prevence před malwarem?

V Mountain Lion je ona „rovina bezpečnosti“ rozdělena do tří úrovní, a sice aplikacím bude dovoleno běžet, pokud budou z

  • Mac App Store
  • Mac App Store a od známých vývojářů
  • libovolného zdroje

Vezměme popořadě jednotlivé možnosti. Podíváme-li se na tu první, je logické, že tuhle cestu si zvolí jen velmi mizivé procento uživatelů. I když je v Mac App Store stále víc a víc aplikací, zdaleka v něm není taková škála, aby si každý vystačil pouze s tímto zdrojem. Zda Apple tímto krokem směřuje k postupnému zamykání OS X, toť otázka. Do spekulací se však raději pouštět nebudeme.

Ihned po instalaci systému je aktivní prostřední možnost. Ovšem teď si můžete klást otázku, kdo to vůbec je známý vývojář? Jedná se o někoho, kdo se zaregistroval u Apple a obdržel svůj osobní certifikát (Developer ID), pomocí něhož může podepisovat své aplikace. Každý vývojář, který tak ještě neučinil má možnost svoje ID získat pomocí nástroje v Xcode. Samozřejmě nikdo není nucen tento krok učinit, avšak většina vývojářů bude chtít zaručit bezproblémový běh svých aplikací i na OS X Mountain Lion. Nikdo nechce, aby jeho aplikace byla systémem odmítnuta.

Nyní je zde otázka, jak se vůbec dá taková aplikace podepsat? Odpověď v sobě skýtají pojmy asymetrická kryptografie a elektronický podpis. Nejprve si letmo popišme asymetrickou kryptografii. Jak již z názvu plyne, bude celý proces probíhat jinak než u kryptografie symetrické, kde je pro šifrování a dešifrování použit jeden a tentýž klíč. V asymetrické kryptografii jsou potřeba klíče dva – privátní pro šifrování a veřejný pro dešifrování. Pojmem klíč se rozumí velmi dlouhé číslo, aby jeho uhádnutí „brute force“ metodou, tedy postupným zkoušením všech možností, trvalo vzhledem k výpočetnímu výkonu dnešních počítačů nepřiměřeně dlouho (desítky až tisíce let). Můžeme bavit o číslech velikosti typicky 128 bitů a delších.

Nyní ke zjednodušenému principu elektronického podpisu. Držitel privátního klíče jím podepíše svou aplikaci. Privátní klíč musí být držen v bezpečí, jinak by kdokoli jiný mohl podepisovat svá data (např. aplikace). U takto podepsaných dat je s velmi vysokou pravděpodobností zaručen původ a integrita dat původních. Jinak řečeno – aplikace pochází právě od tohoto vývojáře a nebyla dále nijak pozměněna. Jak si původ dat ověřím? Pomocí veřejného klíče, jenž je dostupný komukoli.

Co se nakonec stane s aplikací nesplňující podmínky u předchozích dvou případů? Kromě toho, že daná aplikace nebude spuštěna, vyskočí na uživatele dialogové okno s varováním a dvěma tlačítky – Zrušit a Smazat. Docela tvrdá volba, že? Zároveň se však jedná do budoucna o geniální tah Applu. Popularita jablečných počítačů každoročně stoupá, a tak se i ony časem stanou cílem pro škodlivý software. Jenže je třeba si uvědomit, že záškodníci budou vždy o krok dopředu před heurestikami a schopnostmi antivirových balíků, které navíc zpomalují počítač. Není tedy nic jednoduššího, než povolit běh pouze ověřeným aplikacím.

Zatím však bezprostřední riziko nehrozí. V posledních letech se objevilo pouze mizivé množství malwaru. Potencionálně škodlivé aplikace daly spočítat na prstech jedné ruky. OS X stále není natolik rozšířený, aby se stal primárním cílem útočníků, kteří míří spíše do operačních systémů Windows. Nebudeme si nalhávat, že OS X není děravý. Je stejně zranitelný jako všechny ostatní operační systémy, proto je lepší utnout hrozbu v jejím zárodku. Podaří se tak Applu tímto krokem nadobro odstranit hrozbu malwaru na jablečných počítačích? Uvidíme v průběhu příštích let.

Poslední možnost Gatekeeperu nepřináší žádná omezení, co se původu aplikací týče. Přesně takto známe (Mac) OS X již přes jednu celou dekádu a ani Mountain Lion na tomto nic měnit nemusí. Budete i moci nadále spouštět libovolné aplikace. Ne webu je k nalezení spousta výborného open source softwaru, proto by jistě byla škoda se o něj připravit, avšak za cenu snížené bezpečnosti a zvýšeného rizika.

.