Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Jak skonfigurować Maca pod kątem bezpieczeństwa i prywatności? Poradnik dla użytkowników systemów macOS

03 sierpnia 2021, 11:29 | Teksty | komentarzy 14

Grafik, programista, biznesmen, urzędnik, rekruter, dziennikarz, administrator, pentester czy copywriter – każda osoba wykonująca któryś z powyższych zawodów prędzej czy później spotka się z potrzebą zakupu przenośnego, a zarazem odpowiednio „mocnego” sprzętu. W tym aspekcie coraz popularniejszą opcją stają się MacBooki firmy Apple, zwłaszcza że za sprawą czipów M1 tańszy MacBook Air M1 nie odbiega zbytnio pod względem wydajności od swojego odpowiednika w wersji Pro, co niweluje barierę wejścia w postaci wysokiej ceny.

W artykule zawarte zostały praktyczne porady, jak skonfigurować Maca pod kątem bezpieczeństwa oraz prywatności.

Jeśli jest to Wasza pierwsza styczność z MacBookiem, warto zaznajomić się z zasadami pracy z systemem macOS, m.in. dowiedzieć się, jak przebiega instalacja oprogramowania.

iCloud a nasza prywatność

Rozpoczynamy od kliknięcia w “System Preferences”:

Jak widać, Mac informuje o możliwości zalogowania do Apple ID:

O ile konto Apple ID samo w sobie nie jest problematyczne, tak chmura Apple’a – iCloud – może stanowić duże zagrożenie dla naszej prywatności oraz bezpieczeństwa. Dlaczego? Ponieważ niektóre pliki mogą być automatycznie wysyłane do chmury, często bez naszej wiedzy. Z kolei znamy w historii przypadki podatności znalezionych w chmurze Apple’a oraz sytuacje, w których Apple przekazuje pozyskane w ten sposób informacje np. organom ścigania. Jeśli więc zależy nam na prywatności, powinniśmy omijać iCloud szerokim łukiem. Oczywiście nic nie stoi na przeszkodzie, aby wyłączyć tę funkcjonalność, jednocześnie nie rezygnując z konta Apple ID:

Wyłączanie funkcji śledzących Apple’a

Gdy kwestie dotyczące iCloud mamy już za sobą, pora wyłączyć tzw. telemetrię Apple’a. W tym celu klikamy “Security & Privacy”, a następnie wybieramy zakładkę “Privacy”:

Gdy już przeszliśmy do tej zakładki, należy wybrać “Analytics & Improvements” i upewnić się, że trzy widoczne opcje – “Share Mac Analytics”, “Improve Siri & Dictation” oraz “Share with App Developers” – są wyłączone. Następnie klikamy “Apple Advertising” i odznaczamy opcję “Personalised Ads”:

Warto zwrócić uwagę również na funkcję “Location Services”, za pomocą której możemy wyłączyć aplikacjom dostęp do określania naszej lokalizacji:

To tyle, jeśli chodzi o zakładkę “Privacy”. Teraz wracamy do “System Preferences” i wybieramy opcję “Siri”:

Siri to inteligentny asystent osobisty, będący częścią systemów operacyjnych Apple’a – iOS, watchOS, tvOS, HomePod oraz macOS. Oprogramowanie opiera się na interfejsie konwersacyjnym – rozpoznaje naturalną mowę użytkownika, odpowiada na jego pytania i wykonuje powierzone zadania. Rozwiązanie to jest inwazyjne dla naszej prywatności i powinno być wyłączone:

Szyfrowanie danych, czyli FileVault oraz VeraCrypt na Macu

Jeśli nie wiecie, co to szyfrowanie dysku, to gorąco zachęcamy do zapoznania się z naszym obszernym artykułem dotyczącym narzędzia VeraCrypt. Oprogramowanie to jest również dostępne na systemie macOS, jednak ma pewne ograniczenie – nie wspiera pełnego szyfrowania dysku (Full Disk Encryption). Aby osiągnąć ten efekt, należy najpierw skorzystać z FileVault 2 (odpowiednika windowsowego Bitlockera), a następnie utworzyć nową partycję (lub kontener) i zaszyfrować ją za pomocą programu VeraCrypt. Konfigurację rozpoczynamy od wejścia w “System Preferences”. Później wybieramy opcję “Security & Privacy”:

Zanim jednak przejdziemy do zakładki “FileVault”, wybierzmy “Change Password”:

Teraz następuje bardzo istotny moment, jeśli chodzi o konfigurację FileVaulta. Dlaczego? Bo aby atakujący, z dostępem fizycznym do naszego MacBooka, mógł uzyskać dostęp do danych w formie odszyfrowanej, będzie on musiał wprowadzić hasło do konta – dlatego wybrane przez nas hasło powinno być odpowiednio silne. Z drugiej jednak strony – nie może on być zbyt trudny, bo korzystając ze swojego Maca, będziemy musieli go wpisywać kilkanaście razy dziennie. W związku z tym sugerujemy długość od 20 do 40 znaków, w formie mieszanej (np. krótkie zdanie, zawierające znaki specjalne, cyfry, duże oraz małe litery, w tym polskie znaki); pamiętajmy, aby unikać zwrotów znajdujących się w słowniku.

Gdy wybraliśmy odpowiednio silne hasło, możemy przejść do naszego FileVaulta:

Następnie klikamy przycisk “Turn On FileVault”:

Możemy wybrać sposób przechowywania naszego klucza zapasowego – lokalnie lub za pomocą iCloud. Oczywiście my wybieramy opcję lokalną:

Wybranie pierwszej możliwości oznaczałoby, że klucz zapasowy, który zapewnia odszyfrowanie naszego dysku, będzie przechowywany na serwerach Apple’a. To – w specyficznych przypadkach – może obrócić się przeciwko nam:

Teraz możemy opcjonalnie zapisać na kartce papieru klucz zapasowy:

Musimy uzbroić się w cierpliwość – FileVault szyfruje nasz dysk:

I gotowe! Warto mieć jednak na uwadze fakt, że FileVault w starszych MacBookach (tych bez czipów T2 i M1) jest podatny na atak typu cold boot. W praktyce oznacza to, że gdy Mac przechodzi w tryb uśpienia (na przykład jeśli zamkniemy jego pokrywę), to klucz do odszyfrowania naszych danych jest przechowywany w pamięci urządzenia. Aby częściowo rozwiązać ten problem, wystarczy wpisać w Terminalu komendę “sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25 standbydelaylow 0 standbydelayhigh 0”:

Jeśli z jakiegoś powodu chcemy cofnąć wprowadzone zmiany, to wystarczy wpisać w Terminalu polecenie “sudo pmset -a destroyfvkeyonstandby 0 hibernatemode 3 standbydelaylow 10800 standbydelayhigh 86400”.

Jeśli chodzi o VeraCrypt, to jego obsługa jest identyczna jak w przypadku systemu Windows:

Główna różnica polega na tym, że VeraCrypt nie wspiera szyfrowania partycji systemowej:

Warto dodać, że do instalacji i prawidłowego funkcjonowania narzędzia VeraCrypt na macOS potrzebna jest aplikacja OSXFUSE:

KeePassXC i Bitwarden, czyli najlepsze menedżery haseł

Jeśli mowa o menedżerach haseł, to na sekuraku można znaleźć poradniki dotyczące dwóch najpopularniejszych rozwiązań tego typu – Bitwarden oraz KeePassXC. Pierwsze rozwiązanie w przypadku MacBooka działa na tej samej zasadzie – ot, nasze zaszyfrowane hasła są przechowywane w chmurze, zaś dedykowana wtyczka do przeglądarki umożliwia nam automatyczne logowanie. W przypadku KeePassa, który promuje podejście self-hosted, aplikacja na macOS jest bliźniaczo podobna do swojego windowsowego odpowiednika:

Schemat postępowania jest również taki sam – tworzymy nową bazę danych, która pełni funkcję sejfu na nasze dane uwierzytelniające. Następnie zabezpieczamy sejf odpowiednio silnym hasłem i voila – gotowe!

LuLu, czyli firewall na sterydach

Gdy mówimy o bezpieczeństwie, nie możemy zapomnieć o aplikacji LuLu, która – w przeciwieństwie do domyślnego firewalla od Apple’a – jest w stanie wykrywać i blokować połączenia wychodzące. Funkcjonalność ta pozwala na wychwycenie potencjalnie złośliwego oprogramowania, które próbuje przesłać wykradzione dane na serwer przestępcy. Instalacja LuLu jest również banalna – pobieramy i przeciągamy naszą apkę do folderu “Applications”: 

Teraz należy uruchomić LuLu i postępować zgodnie z instrukcjami:

Gdy już zakończymy proces instalacji, LuLu będzie ostrzegać nas za każdym razem, gdy zostanie utworzone nowe lub nieautoryzowane wychodzące połączenie sieciowe:

Aby zatwierdzić połączenie, wystarczy kliknąć “Allow”, natomiast aby je zablokować – wybieramy opcję “Block”. Na podstawie naszego wyboru LuLu utworzy odpowiednią regułę, która będzie miała zastosowanie odnośnie do kolejnych połączeń wychodzących. 

Oprogramowanie a nasza prywatność

Gdy już skonfigurowaliśmy szyfrowanie dysku i wyłączyliśmy śledzenie od Apple’a, warto zastanowić się nad wyborem właściwych aplikacji, z których będziemy korzystać na co dzień. Jeśli mówimy o przeglądarce, to jedną z lepszych opcji w kwestii prywatności jest Firefox (oraz odpowiednie dodatki, takie jak np. AdBlock czy NoScript):

Dla mniej zaawansowanych użytkowników oraz tych ceniących wygodę ciekawym rozwiązaniem może okazać się również Brave z wbudowanym AdBlockiem oraz możliwością uruchomienia prywatnej karty z TOR-em (pamiętajmy jednak, że funkcja ta nie gwarantuje anonimowości, jaką oferuje zwykły TOR):

Warto też pomyśleć nad zmianą domyślnej wyszukiwarki na DuckDuckGo, gdyż Google nie słynie z dbałości o naszą prywatność…

W kwestii komunikatorów jednym z lepszych wyborów, jeśli chodzi o wygodę oraz poufność rozmów, jest (tak, zgadliście) Signal:

Przy pierwszym uruchomieniu aplikacji należy jednak sparować swojego Maca z kontem Signala:

Z kolei programistom polecamy aplikację VScodium – czyli dobrze znany edytor kodu VScode bez wbudowanego śledzenia od Microsoftu:

W wypadku zapotrzebowania na większą liczbę tego typu aplikacji, które szanują prywatność użytkowników, warto zapoznać się z repozytorium Awesome Privacy, dostępnym na GitHubie:

Automatyczne aktualizacje systemu

Na koniec poruszymy jedną z najbardziej oczywistych, a z drugiej strony – najważniejszych kwestii dbania o bezpieczeństwo Maca – aktualizacje. Zawierają one między innymi poprawki do krytycznych luk bezpieczeństwa. Dla osób zapominalskich istnieje możliwość włączenia automatycznych aktualizacji. Aby to zrobić, najpierw musimy wejść w  “System Preferences”:

Następnie przechodzimy do “Software Update”:

Teraz wybieramy opcję “Automatically keep my Mac up to date”:

Warto również upewnić się, czy opcja “Install system data files and security updates” jest włączona. Możemy to sprawdzić, klikając przycisk “Advanced”:

Podsumowanie

Jak widać, przy stosunkowo niewielkim nakładzie czasu jesteśmy w stanie zmienić naszego MacBooka w prawdziwą „fortecę”. Większość funkcji, które mogą naruszać naszą prywatność, możemy bez problemu wyłączyć za sprawą kilku kliknięć. Podobnie sprawa ma się w przypadku szyfrowania dysku – korzystanie z FileVaulta jest łatwe, wręcz intuicyjne.

Jedyny minus tego rozwiązania to brak tzw. open source, przez co nie mamy możliwości przeprowadzenia audytu kodu źródłowego na obecność luk bezpieczeństwa czy backdoorów. Z tego właśnie powodu po skonfigurowaniu FileVaulta zalecamy utworzenie partycji niesystemowej i zaszyfrowanie jej za pomocą narzędzia VeraCrypt, aby przechowywać na niej najbardziej cenne dane…

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Cześć,
    świetny wpis, ale mam pytanie :) . Dlaczego nie poruszyłeś kwestii pracy na koncie administratora? Czy nie zalecasz stworzenia standardowego konta i domyślnie pracy na nim? Czy mechanizmy zabezpieczeń MacOS są na tyle dobre, że będzie to sztuka dla sztuki?

    Odpowiedz
    • Autor

      Bardziej sztuka dla sztuki, choć w przypadku artykułu gdzie pewne praktyki są bardzo rygorystyczne, to faktycznie mogła się pojawić na ten temat jakaś wzmianka. Być może w przyszłości artykuł zostanie zaktualizowany o nową treść. Pozdrawiam!

      Odpowiedz
    • Robson

      A czy w MacOS nie jest tak jak w innych unixopodbnych systemach, że pracujemy na koncie z uprawnieniami zwykłego użytkownika z możliwością podniesienia uprawnień np. poprzez sudo? Bo na chwilę obecną to tylko Windows domyślnie pakuje konto użytkownika do grupy administratorów. Chyba, że ja o czymś nie wiem.

      Odpowiedz
  2. Irek

    Fajny poradnik :), uważam jednak że pisząc że coś jest niebezpieczne, jak iCloud dla przykładu to warto posiłkować się konkretnymi potwierdzonymi przykładami w postaci artykułu, linków.
    W tej formie wygląda to trochę jak subiektywna ocena autora.

    Odpowiedz
    • Autor

      Dzięki. Co do iCloud, to był podany przykład chyba idealny w postaci Sci-Hub.

      Odpowiedz
      • Irek

        Sci-Hub mnie jakoś nie przekonuje, FBI, obcy wywiad, to jest prawny temat i podejrzewam że większość usługodawców chmurowych postąpił by podobnie.
        Dopytuje bo na różnych frontach słyszę różne zdania i chciałbym usłyszeć dlaczego konkretnie nie :), tak dla zwykłego przeciętnego Kowalskiego ;).

        Odpowiedz
  3. G

    Może jeszcze firmware password chroniące przed nieautoryzowanym bootowaniem z zewnątrz?

    Odpowiedz
  4. Maciej

    Super poradnik!

    Odpowiedz
    • Autor

      Dzięki!

      Odpowiedz
  5. Matthew

    Mam pytanie odnośnie wspomnianego Keepasa i Firefoxa, czy jest stosowane autouzupełnianie hasła tak jak w standardowym Safari + pęku kluczy? Chodzi o rutynowe wklejanie swoich haseł z menedżera w szczególności na te fejkowe strony.

    Odpowiedz
  6. Jacek

    Auro sobie protestuje LittleSnitch w kwestii firewall i uzupełni notkę odnośnie veracrypt, że dewastuje wydajność SSD spowalniając o ponad 50%. Ludki płaczą na forach, ale na razie nie ma rozwiązania…

    Odpowiedz
  7. Odpowiedz

Odpowiedz