La siguria kibernetike në ekosistemin e Apple Nuk ka të bëjë vetëm me të paturit e një antivirusi të mirë ose përdorimin e një fjalëkalimi të fortë. Kur flasim për Mac, iPhone dhe iPad, po flasim për një mjedis shumë të integruar ku hardueri, sistemet operative, aplikacionet dhe shërbimet cloud punojnë së bashku për të mbajtur të dhënat tuaja të sigurta. Të kuptuarit se si të gjitha këto pjesë përshtaten së bashku ju ndihmon të përfitoni nga përfitimet e tyre dhe të minimizoni rreziqet. Udhëzuesi i Sigurisë së Apple për Mac, iPhone dhe iPad.
Përveç kësaj, Apple publikon rregullisht udhëzues teknikë dhe dokumente zyrtare ku detajon se si funksionojnë mekanizmat e saj të mbrojtjes, si për përdoruesit fundorë ashtu edhe për profesionistët dhe zhvilluesit e sigurisë. Bazuar në këtë informacion dhe praktikat më të mira aktuale, do të hedhim një vështrim të detajuar se çfarë bën Apple për të mbrojtur Mac, iPhone dhe iPad tuaj, dhe çfarë mund të bëni ju për të përfituar nga këto mbrojtje.
Pajisje dhe biometrikë të sigurta: themeli i gjithçkaje
Shtresa e parë e mbrojtjes së çdo pajisjeje Apple është në të. pajisje të projektuara duke pasur parasysh sigurinë Që nga minuta e parë. Nuk është vetëm çështje fuqie: Çipat e Apple integrojnë komponentë specifikë që kontrollojnë nisjen, enkriptimin, menaxhimin e çelësave dhe të dhënat biometrike.
Një pjesë kyçe është Enklavë e SigurtSecure Enclave është një nënsistem sigurie i veçantë nga procesori kryesor i përfshirë në shumicën e pajisjeve moderne të markës. Është projektuar në mënyrë të tillë që edhe nëse dikush arrin të shfrytëzojë një dobësi serioze të sistemit, çelësat dhe të dhënat e ruajtura brenda Secure Enclave mbeten të mbrojtura.
Ky nënsistem ka ROM i personalizuar i nisjes si rrënjë e besueshmeNjë motor i dedikuar enkriptimi AES dhe memorie e mbrojtur. Ky kombinim i lejon atij të nisë me kod të verifikuar kriptografikisht dhe të menaxhojë çelësat pa qenë në gjendje sistemi operativ t'i lexojë ato drejtpërdrejt, duke zvogëluar ndikimin e një komprometimi në pjesën tjetër të pajisjes.
Në fushën e autentifikimit, Apple po vë bast në Biometria si një faktor sigurie I përshtatshëm dhe i fuqishëm: Face ID dhe Touch ID. Të dy sistemet janë të integruara me Secure Enclave në mënyrë që të dhënat biometrike të mos dalin kurrë nga pajisja ose të ruhen si imazhe ose shabllone të kthyeshme.
ID e fytyrës përdor kamerën TrueDepth për të marrë një hartë 3D të fytyrës Duke përdorur projeksionin e pikave infra të kuqe, sensorin e thellësisë dhe një kamerë konvencionale, rrjetet nervore të trajnuara nga Apple vlerësojnë përputhjen dhe përshtaten me ndryshimet graduale në pamjen tuaj (mjekër, syze, model flokësh, etj.) pa kompromentuar sigurinë ndaj fotove ose maskave të thjeshta.
Touch ID, i pranishëm në modelet e mëparshme të iPhone, disa iPad dhe tastiera si Magic Keyboard me sensor të integruar, bazohet në lexim i detajuar i kreshtave të gjurmëve të gishtërinjveSistemi nuk ruan një imazh të gjurmës suaj të gishtit, por më tepër një përfaqësim matematikor që nuk mund të rindërtohet si një gjurmë e dukshme. Për më tepër, sensori mëson detaje të reja me përdorim të rregullt.
Apple gjithashtu u ofron zhvilluesve API-të zyrtare për përdorimin e Face ID dhe Touch ID në aplikacionet e tyre, pa u dhënë atyre akses të drejtpërdrejtë në të dhënat biometrike. Aplikacionet marrin vetëm një rezultat vërtetimi me sukses ose dështim, gjë që përmirëson sigurinë e hyrjeve ose operacioneve të ndjeshme pa ekspozuar informacione kritike.
Sistemi operativ: nisje e sigurt dhe përditësime
Sistemi operativ ndodhet sipër harduerit, dhe aty Apple ka ndërtuar një zinxhir fillestar i sigurt dhe i verifikuar Kjo vlen për macOS, iOS dhe iPadOS. Ideja është e thjeshtë: çdo fazë nisjeje kontrollon kriptografikisht tjetrën dhe heq dorë nga kontrolli vetëm nëse kalon validimin.
Ky dizajn parandalon, ose të paktën e bën jashtëzakonisht të vështirë, që një sulmues të injektoni kod të dëmshëm dhe të ruajnë privilegjet maksimale përpara se sistemi të ngarkohet plotësisht. Nëse ndonjë pjesë e zinxhirit është e manipuluar ose e dëmtuar, pajisja refuzon të niset normalisht ose përpiqet të rivendosë një version të sigurt.
Pasi të jetë duke u nisur, azhurnimet e sistemit luajnë një rol thelbësorApple i projekton sistemet e saj për të parandaluar, sa më shumë që të jetë e mundur, uljen e versioneve në versione më të vjetra dhe të cenueshme. Kjo do të thotë që pasi të instaloni një version të ri, të nënshkruar dhe të validuar, rikthimi në të nuk është i thjeshtë, pikërisht për të parandaluar një sulmues që të detyrojë instalimin e një sistemi me të meta të njohura sigurie.
Në macOS, duke filluar me versionin 11, Apple shkon një hap më tej dhe zbaton enkriptimi dhe mbrojtja e ndarjeve të sistemitSistemi ruhet në një vëllim vetëm për lexim të vulosur kriptografikisht; nëse zbulohet ndonjë modifikim i paautorizuar në skedarët e tij, nënshkrimi nuk përputhet më dhe sistemi mund të bllokojë nisjen ose të fillojë proceset e rikuperimit.
Vëllime të mëdha të të dhënave, qofshin të brendshme apo të jashtme, janë një tjetër pikë hyrjeje e zakonshme për keqdashësit dhe vjedhjen e të dhënave. Në këtë pikë, Apple kombinon kontrollet e aksesit, nënshkrimi i kodit dhe enkriptimi për të kufizuar ndikimin e një disku USB ose hard disku të jashtëm të kompromentuar, veçanërisht në macOS, ku është më e zakonshme të instaloni softuer të shkarkuar nga interneti.
Enkriptimi dhe mbrojtja e të dhënave në Mac, iPhone dhe iPad
Pajisjet mobile të Apple përdorin një sistem specifik të enkriptim i quajtur Mbrojtje e të DhënaveKjo është e lidhur ngushtë me kodin e zhbllokimit. Të dhënat e ruajtura në memorien e brendshme janë të enkriptuara duke përdorur çelësa që varen nga hardueri dhe kodi që futni (PIN ose fjalëkalim).
Në Mac-et me procesorë Intel, mbrojtja kryesore e vëllimit tradicionalisht ka qenë FileVault, enkriptim i plotë i diskutNë Mac-ët me çipa Apple Silicon, enkriptimi i ruajtjes është edhe më i integruar me vetë SoC-në, por ideja mbetet e njëjtë: të dhënat e diskut mund të dekriptohen vetëm në atë kompjuter dhe me kredencialet e duhura.
Kur flasim për iPhone dhe iPad, fokusi është në përdorimin e... kode zhbllokimi relativisht të shkurtra (4 ose 6 shifra si parazgjedhje, ose kode më të gjata alfanumerike nëse zgjidhni), të projektuara për përdorim shumë të shpeshtë. Në Mac, ku puna kryhet për periudha më të gjata, një fjalëkalim më i gjatë dhe më kompleks për llogarinë e përdoruesit është i zakonshëm, gjë që forcon çelësin e nxjerrë për enkriptim.
Qëndrueshmëria e vërtetë varet jo vetëm nga teknologjia e enkriptimit, por edhe nga gjatësia dhe kompleksiteti i kodit ose fjalëkalimit tuajSa më i gjatë dhe më pak i parashikueshëm të jetë enkriptimi, aq më i kushtueshëm është për një sulmues të provojë një sulm me forcë brutale. Apple e kombinon këtë me të dhëna unike hardueri (UID-ja e çelësit të secilës pajisje) dhe Enklavën e Sigurt për të siguruar që enkriptimi është i lidhur ngushtë me atë pajisje specifike.
Për të kufizuar sulmet me forcë brutale, Apple prezanton rritja e intervaleve të pritjes pas disa përpjekjeve të dështuaraNë iOS dhe iPadOS, katër përpjekjet e para janë të pandërprera, por nga përpjekja e pestë e tutje, fillojnë pauzat: një minutë, pesë minuta, pesëmbëdhjetë minuta dhe deri në një orë pas disa përpjekjeve të dështuara. Dhe, nëse aktivizoni opsion për të fshirë të dhënatPas dhjetë përpjekjeve të pasakta radhazi, përmbajtja e pajisjes fshihet.
Një skemë e ngjashme zbatohet në macOS vonesë pas përpjekjeve të dështuara të vërtetimitKjo e bën një sulm të automatizuar jashtëzakonisht të ngadaltë. Në vend që të fshijë përmbajtjen pas një numri të caktuar përpjekjesh, sistemi mund ta bllokojë llogarinë dhe të kërkojë hapa shtesë rikuperimi.
Një shtresë tjetër e rëndësishme është ajo që Apple e quan ruajtje e sigurt e të dhënave dhe izolim midis aplikacioneveAplikacione si Kalendari, Kontaktet, Kamera, Shënimet, Përkujtesat dhe Shëndeti nuk i ekspozojnë të dhënat tuaja pa dallim. Çdo aplikacion ka nevojë për leje të qartë për të hyrë në këto kategori dhe sistemi teknikisht parandalon një aplikacion të lexojë informacion nga një tjetër pa kaluar nëpër kanale zyrtare.
Siguria e aplikacionit: instalimi dhe ekzekutimi
Aplikacionet janë mënyra kryesore që kodi arrin në pajisjen tuaj, kështu që Apple ka krijuar një zinxhiri i kontrolleve nga instalimi deri në ekzekutim i cili ndryshon pak midis macOS dhe iOS/iPadOS.
macOS ju lejon të instaloni softuer nga jashtë App Store, por Apple kërkon që këto aplikacione janë nënshkruar dhe, që nga macOS 10.15, kalojnë nëpër një proces të noterizimNëse aplikacioni nuk i plotëson këto kërkesa, sistemi e bllokon atë si parazgjedhje dhe i shfaq paralajmërime të qarta përdoruesit. Ky filtrim shërben si një linjë e parë mbrojtjeje kundër shpërndarjes së programeve keqdashëse.
Përveç kësaj, macOS përfshin disa mekanizma të integruar për zbulimin dhe bllokimin e kodit të dëmshëmKëto veçori përfshijnë listat e revokimit nga zhvilluesit, verifikimin e nënshkrimit, sistemet e reputacionit dhe teknologjitë kundër shfrytëzimit. Nuk është një antivirus tradicional, por kryen funksione të ngjashme në parandalimin e ekzekutimit të skedarëve binarë të njohur të rrezikshëm.
Në iOS dhe iPadOS modeli është më i mbyllur: aplikacionet e përdoruesit instalohen vetëm nga App Store dhe duhet të nënshkruhet me certifikata të vlefshme Nga Programi i Zhvilluesve të Apple. Apple analizon aplikacionet përpara se t'i publikojë, kontrollon sjelljen e tyre dhe kërkon përdorimin e API-ve të caktuara për të aksesuar burime të ndjeshme. Edhe aplikacionet e brendshme të kompanisë, të shpërndara jashtë dyqanit publik, duhet të kalojnë nëpër sistemin e certifikatave të korporatës së Apple.
Pasi të instalohet aplikacioni, koncepti i sandbox ose mjedis ekzekutimi i izoluarÇdo aplikacion i palës së tretë funksionon në hapësirën e vet, me qasje të kufizuar në dosjen e të dhënave dhe burimet e sistemit për të cilat i është dhënë leje qasjeje. Për shembull, nuk mund të lexojë skedarë nga një aplikacion tjetër ose të modifikojë sistemin pa kaluar nëpër API-të e autorizuara.
Apple e plotëson atë izolim me një sistem të autorizime dhe privilegje të kontrolluaraShumë operacione të ndjeshme (instalimi i komponentëve, kontrolli i proceseve, qasja në elementët e sistemit) kërkojnë që aplikacioni të ketë autorizime specifike, të përfaqësuara si çifte çelës-vlerë, të cilat duhet të nënshkruhen dixhitalisht. Kjo e pengon një program t'i japë vetes privilegje më pas.
Një mekanizëm tjetër i rëndësishëm është rastësimi i hapësirës së adresave të memories (ASLR). Me këtë teknikë, sa herë që ekzekutohet një aplikacion ose proces, vendndodhjet e memories ku ngarkohen kodi dhe të dhënat ndryshojnë në mënyrë të paparashikueshme. Kjo e bën shumë më të vështirë shfrytëzimin e dobësive të korruptimit të memories sepse sulmuesi nuk e di adresën e saktë ku ndodhet kodi që po përpiqet të ekzekutojë.
Llogaria Apple, iCloud dhe shërbimet: Mbroni identitetin tuaj dixhital
Porta juaj për shumicën e shërbimeve të kompanisë është Apple ID, llogaria unike që përdorni në të gjitha pajisjet për të sinkronizuar të dhënat, për të blerë aplikacione, për të përdorur iCloud ose për të aktivizuar veçori si Find My.
Apple vendos disa kërkesa minimale mbi Fjalëkalimi i Apple IDFjalëkalimet duhet të jenë të paktën tetë karaktere të gjata, të përfshijnë një kombinim shkronjash dhe numrash, të ndalojnë sekuencat e tepërta të karaktereve të përsëritura ose të njëpasnjëshme dhe të bllokojnë fjalëkalimet tepër të zakonshme. Ndërsa këto janë vetëm kërkesa bazë, ato shërbejnë si një pengesë fillestare kundër fjalëkalimeve të parëndësishme.
Fjalëkalimi është ndërtuar mbi atë fjalëkalim. vërtetimi i dy faktorëveKjo veçori aktivizohet si parazgjedhje në shumicën e llogarive rrjedhëse. Kur dikush përpiqet të identifikohet me Apple ID-në tuaj nga një pajisje e re, ai duhet të fusë, përveç fjalëkalimit të tij, një kod verifikimi të dërguar në një pajisje të besuar ose një numër telefoni të verifikuar. Në këtë mënyrë, edhe nëse dikush vjedh fjalëkalimin tuaj, ai nuk do të ketë faktorin e dytë.
Nëse e harroni fjalëkalimin, Apple ju inkurajon të Rivendosja duhet të bëhet nga pajisje të besueshme. ose duke përdorur çelësat e rikuperimit dhe kontaktet e rikuperimit, duke zvogëluar shanset që një sulmues të mund të rrëmbejë llogarinë tuaj përmes kërkesave të thjeshta për mbështetje.
iCloud është shërbimi qendror ku një pjesë e madhe e informacion personal dhe të ndjeshëm të përdoruesitFoto, kopje rezervë, kontakte, email-e, skedarë, të dhëna shëndetësore, fjalëkalime për çelësa dhe më shumë. Për të menaxhuar këto të dhëna, Apple ofron dy opsione mbrojtjeje të iCloud me nivele të ndryshme të enkriptimit nga fillimi në fund.
Me opsionin që Apple e quan Mbrojtja standarde e të dhënaveTë dhënat e përdoruesit janë të enkriptuara gjatë transportit dhe në qetësi, dhe shumë kategori (siç janë Keychain, të dhënat shëndetësore, informacioni i pagesës dhe të tjera) mbrohen me enkriptim nga fillimi në fund. Çelësat e enkriptimit për llojet e tjera të të dhënave ruhen në qendrat e të dhënave të Apple në një mënyrë të segmentuar, duke i lejuar kompanisë t'ju ndihmojë të rifitoni aksesin nëse humbni të gjitha pajisjet tuaja.
Modaliteti i Mbrojtje e avancuar e të dhënave Kjo zgjeron më tej shtrirjen e enkriptimit nga fillimi në fund, duke e shtrirë atë në shumë kategori të tjera informacioni (duke përfshirë kopjet rezervë të iCloud, shënimet, fotot dhe më shumë). Në këtë rast, çelësat ruhen vetëm në pajisjet tuaja të besueshme; Apple nuk mund t'ju ndihmojë të rifitoni aksesin nëse i humbni ato çelësa, por në këmbim, mundësia e aksesit nga palë të treta minimizohet, madje edhe për kërkesat ligjore.
Apple Pay është një tjetër shërbim veçanërisht i ndjeshëm, sepse përfshin pagesat me kartë dhe të dhënat financiarePër të mbrojtur këto transaksione, Apple mbështetet në një komponent specifik të quajtur Secure Element dhe kontrolluesin NFC të pajisjes.
Dyqanet Secure Element applete të certifikuara nga lëshuesit e kartave ose rrjetet e pagesave. Këto entitete janë të vetmet që i njohin çelësat e nevojshëm për të operuar me tokenët e pagesës. Ajo që ruhet në pajisje nuk është numri aktual i kartës, por një identifikues pagese i koduar që ka kuptim vetëm brenda atij mjedisi dhe në kombinim me çelësat e mbajtur nga emetuesi. Apple Pay Ai i mirëmban këto shtresa për të zvogëluar mundësinë e mashtrimit dhe rrjedhjeve të të dhënave.
Kontrolluesi NFC vepron si urë midis pajisjes dhe terminalit të pagesësKjo lejon që transaksionet pa kontakt të kryhen vetëm pasi përdoruesi të ketë autorizuar pagesën duke përdorur Face ID, Touch ID ose një kod. As tregtari dhe as sistemi operativ nuk marrin informacionin e plotë të kartës, gjë që e zvogëlon shumë sipërfaqen e sulmit.
Siguria e rrjetit dhe lidhjet e koduara
Në fushën e komunikimeve, Apple zbaton mbështetje të gjerë në sistemet e saj për protokollet moderne të sigurisë për të mbrojtur trafikun e të dhënave si në lidhjet në internet ashtu edhe në rrjetet private virtuale.
iOS, iPadOS dhe macOS janë të pajtueshme me TLS 1.0, 1.1, 1.2 dhe 1.3Përveç Datagram TLS (DTLS) për komunikimet e bazuara në UDP, këto protokolle kombinohen me algoritme të fuqishme enkriptimi si AES-128 dhe AES-256, të cilat janë standardi de facto i industrisë për mbrojtjen e konfidencialitetit të informacionit gjatë transmetimit.
Për t'u lidhur me rrjetet e korporatave ose tunelet e sigurta, pajisjet Apple ofrojnë përputhshmëri me lloje të ndryshme të Cilësimet e VPN-së dhe të vërtetimit. Ndër to dallohen:
Përdorimi i IKEv2/IPsec, me autentifikim me sekret të përbashkët, certifikata RSA ose certifikata me nënshkrim të kurbës eliptike (ECDSA), dhe variante me EAP-MSCHAPv2 ose EAP-TLS, shumë të zakonshme në mjediset moderne të biznesit.
Mbështetja e SSL VPN duke përdorur aplikacionet e klientit i disponueshëm në App Store, duke lejuar integrimin me shumë zgjidhje të palëve të treta duke ruajtur mbrojtjet e sistemit operativ.
përputhshmëria me L2TP/IPsec, me autentifikim të përdoruesit duke përdorur fjalëkalime të bazuara në MS-CHAPv2, dhe autentifikim të makinës me anë të sekretit të përbashkët, i pranishëm në iOS, iPadOS dhe macOS, plus opsione të tilla si RSA SecurID ose CRYPTOCard në disa raste përdorimi në macOS.
Dhe, në rastin e macOS, opsioni po merret në konsideratë gjithashtu. Cisco IPsec me autentifikim të përzier (fjalëkalime, tokena dhe sekrete të përbashkëta), të dizajnuara për t'u integruar me infrastruktura më tradicionale që përdoren ende në shumë kompani.
Kite zhvillimi dhe privatësia në ekosistemin Apple
Për t'u lejuar aplikacioneve të përfitojnë nga aftësitë e pajisjes pa kompromentuar privatësinë e përdoruesit, Apple ofron të ndryshme korniza ose komplete zhvillimi me siguri të integruarHomeKit, CloudKit, SiriKit, DriverKit, ReplayKit, ARKit dhe të tjerë.
HomeKit, sistemi i automatizimit në shtëpi, është veçanërisht i ndjeshëm sepse kontrollon pajisje të ndjeshme shtëpiake, të tilla si kamerat dhe mikrofonatKyçe inteligjente, sensorë dhe sisteme alarmi. Për të siguruar që vetëm pajisjet dhe përdoruesit e autorizuar mund të komunikojnë, mbështetet në kriptografinë moderne.
Në mënyrë specifike, HomeKit përdor çifte çelësash Ed25519 (Çelësat publikë dhe privatë) përdoren për të autentifikuar dhe enkriptuar komunikimet midis aksesorëve dhe kontrolluesve (iPhone, iPad, Apple TV ose HomePod). Çelësat privatë mbeten në pajisjet e besuara dhe çelësi publik përdoret për të verifikuar që mesazhet burojnë nga dërguesi i pretenduar.
Këto çelësa sinkronizohen dhe ruhen në mënyrë të sigurt duke përdorur iCloud Keychain, i cili është i mbrojtur me enkriptim nga fillimi në fundPra, kur shtoni një pajisje të re Apple në shtëpinë tuaj, mund t'i merrni ato kredenciale pa pasur Apple qasje të drejtpërdrejtë në to, duke e bërë përvojën më të lehtë pa sakrifikuar konfidencialitetin.
CloudKit u lejon zhvilluesve ruaj dhe sinkronizon të dhënat në cloud-in e Apple me kontrolle privatësie për secilin përdorues, ndërsa SiriKit kufizon llojin e informacionit që aplikacionet mund t'i dërgojnë Siri-t dhe mënyrën se si regjistrohet ai për të përmirësuar shërbimin. Ndërkohë, DriverKit e zhvendos zhvillimin e drajverit të bërthamës në hapësirën e përdoruesit, duke zvogëluar rrezikun që një dështim i drajverit të rrëzojë të gjithë sistemin.
Kornizat si ReplayKit (kapja e ekranit dhe videos) ose ARKit (realiteti i shtuar) gjithashtu vazhdojnë. politika të rrepta në lidhje me lejet dhe përdorimin e kamerës dhe mikrofonitnë mënyrë që përdoruesi të japë gjithmonë autorizim të qartë kur një aplikacion dëshiron të regjistrojë audio, video ose të ketë akses në vendndodhje.
Shuma e të gjitha këtyre shtresave - hardueri i sigurt, nisja e verifikuar, enkriptimi i thellë, kontrolli i rreptë i aplikacioneve, autentifikimi me dy faktorë dhe enkriptimi nga fillimi në fund, dhe kornizat e projektuara me privatësi si parazgjedhje - e bëjnë ekosistemin e Apple të ofrojë një Një platformë shumë e fuqishme për të mbrojtur të dhënat tuajaMegjithatë, siguria përfundimtare varet edhe nga vendimet tuaja: zgjedhja e fjalëkalimeve të forta, aktivizimi i vërtetimit me dy faktorë, mbajtja e pajisjeve tuaja të përditësuara, shqyrtimi i lejeve të aplikacioneve dhe kujdesi me atë që instaloni dhe lidhjet që hapni bëjnë diferencën midis një mjedisi vërtet të sigurt dhe një mjedisi që vetëm duket se është i tillë.
