Ako svakodnevno koristite iPhone, iPad ili Mac, vjerovatno uzimate zdravo za gotovo da su to prilično sigurni uređaji. Ali, iako je Appleov ekosistem jedan od najzaštićenijih na tržištu, Vaša privatnost i vaši podaci zavise od toga da li znate kako ta sigurnost funkcioniše I da koristite malo zdravog razuma. Nije dovoljno samo vjerovati da će se "Apple pobrinuti za sve".
Kroz ovaj vodič ćete korak po korak vidjeti, Kako Apple štiti svoje uređaje od čipa do oblakaOvo objašnjava ulogu Face ID-a i Touch ID-a, kako funkcioniše šifriranje podataka, koje se kontrole primjenjuju na aplikacije, koje opcije imate s iCloudom, koje mrežne protokole koristi i koje alate nudi programerima. Cilj je da, do trenutka kada završite s čitanjem, imate jasno razumijevanje cijelog sigurnosnog sistema i znate kako ga možete iskoristiti.
Hardverska arhitektura, Secure Enclave i biometrija
Sigurnost u Appleu ne počinje s operativnim sistemom, već mnogo niže: Prvi sloj je u samom hardveru i u dizajnu čipova.Apple ima potpunu kontrolu nad svojim Sistemom na Čipu (SoC), što mu omogućava integraciju specifičnih funkcija za zaštitu pokretanja, pohrane i osjetljivih podataka.
Zamislite uređaj bez Wi-Fi-ja, USB portova ili utora za proširenje: površina napada bila bi minimalna. Bez odlaska u tu krajnost, Apple dizajnira svoje uređaje tako da minimizira načine na koje se zlonamjerni kod može ubrizgati ili izvući informacije.i dopunjuje taj fizički pristup logičkim mehanizmima unutar procesora.
Jedan od stubova ove strategije je Secure Enclave, sigurnosni podsistem nezavisan od glavnog procesoraFunkcioniše kao svojevrsni "sef" integrisan u čip: ima vlastiti boot ROM koji uspostavlja hardverski root povjerenja, namjenski AES enkripcijski mehanizam i zaštićenu memoriju, izolovanu od ostatka sistema tako da čak i ako bi glavni procesor bio kompromitovan, najosjetljiviji podaci bi ostali sigurni.
Mnoge funkcije koje svakodnevno koristite bez razmišljanja oslanjaju se na taj osnovni element. posebno sve što je vezano za biometrijsku autentifikacijuApple se oslanja na dva glavna sistema: Face ID i Touch ID, koji zamjenjuju lozinke u mnogim operacijama bez smanjenja nivoa zaštite.
Face ID koristi TrueDepth kameru sposobnu za Generišite trodimenzionalnu mapu vašeg lica i uporedite je sa sigurno pohranjenim modelomNije ograničeno samo na jednostavnu fotografiju: koristi neuronske mreže za prilagođavanje promjenama u izgledu (brada, naočale, šeširi itd.) i izuzetno otežava nekome da vas lažno predstavlja slikom ili videom. Biometrijski model se pohranjuje šifrirano unutar Secure Enclave-a i nikada se ne sinhronizuje u običnom tekstu.
U međuvremenu, mnogi uređaji (posebno stariji modeli iPhonea, neki iPadi i određene Magic Keyboards za Mac) i dalje koriste Touch ID, koji identificira korisnika pomoću otiska prstaSenzor ne pohranjuje fotografiju vašeg prsta, već matematički uzorak koji se ažurira sa svakom upotrebom, otkrivajući nove detalje otiska prsta i pojačavajući pouzdanost prepoznavanja tokom vremena.
Ono što je zanimljivo za vas kao korisnika (i, ako je primjenjivo, kao programera) jeste da Apple otkriva sigurne API-je kako bi aplikacije mogle iskoristiti prednosti Face ID-a i Touch ID-a bez ikakvog direktnog pristupa biometrijskim podacima. Aplikacija samo prima odgovor od sistema (uspjeh ili neuspjeh autentifikacije), dok se sva osjetljiva logika izvršava unutar Secure Enclave-a.
Sigurnost operativnog sistema i sigurno pokretanje
Iskorištavajući posebne mogućnosti hardvera, Appleovi operativni sistemi integrišu sigurnosni model koji kontroliše ko može pristupiti CPU-u, memoriji, disku i drugim resursima. bez ugrožavanja korisničkog iskustva. Ideja je da zaštita postoji, ali da je što manje primjećujete u svakodnevnom životu.
Prvi glavni blok je siguran proces pokretanjaSvaki put kada uključite svoj iPhone, iPad, Mac, Apple WatchBilo da se radi o Apple TV-u, Apple Vision Pro uređaju ili HomePodu sa Apple čipom, sistem prati lanac verifikacije: kod najnižeg nivoa, ugraviran u čip, provjerava integritet sljedeće komponente i tako dalje, sve dok operativni sistem ne bude pokrenut i ne radi. Ako nešto krene po zlu u bilo kojoj tački tog lanca, proces pokretanja se ili zaustavlja ili ulazi u režim oporavka.
Ovaj model ne samo da štiti normalno pokretanje; Ovo se odnosi i na načine vraćanja i ažuriranja softveraRevizije operativnog sistema su kriptografski potpisane, a mehanizam ažuriranja je dizajniran da spriječi bilo koga da prisili instalaciju starijih verzija sa poznatim sigurnosnim nedostacima, što je uobičajena tehnika koju napadači koriste za iskorištavanje zakrpljenih ranjivosti.
Osim početka, Apple uvodi zaštitu tokom izvođenja kako bi održao integritet sistema dok uređaj radiiPhone, iPad, Apple Watch, Apple TV, Apple Vision Pro i HomePods sa Appleovim čipovima dijele vrlo sličnu sigurnosnu arhitekturu, a Mac računari sa Apple čipovima nadopunjuju taj isti pristup nekim dodatnim funkcijama dizajniranim za fleksibilniju upotrebu tipičnu za desktop ili laptop računar.
U macOS-u, posebno od verzije macOS 11, dolazi do izražaja još jedan ključni element: šifriranje i zaštita sistemskog volumenaKod operativnog sistema pohranjen je na kriptografski zatvorenom volumenu, tako da se svaki pokušaj njegove izmjene automatski blokira. Ova zaštita je dodatak tradicionalnim sigurnosnim mjerama (kao što su dozvole za datoteke i kontrole izvršavanja) kako bi se dodatno ojačalo jezgro sistema.
Šifriranje i zaštita korisničkih podataka
Osim činjenice da se sistem pokreće ispravno i da niko ne može prokrijumčariti kod u kernel, Ono što vam je zaista važno jeste da su vaši lični podaci šifrirani i van dohvata znatiželjnih očiju.Tu dolazi do izražaja način na koji Apple štiti informacije pohranjene na svojim uređajima.
Na iPhoneu i iPadu, centralna komponenta je ono što Apple naziva "Zaštita podataka"FileVault je hardverski integrirani sistem za šifriranje koji povezuje vaš ključ za šifriranje s vašom lozinkom i, gdje je primjenjivo, vašim biometrijskim podacima. Na Mac računarima s Intel procesorima, FileVault se koristio za potpuno šifriranje diska; s Appleovim čipovima, ovo šifriranje je još dublje integrirano sa samim SoC-om.
Mobilni telefoni i tableti obično koriste četvero- ili šestocifreni numerički kod, ili čak dugi alfanumerički kodZato što su dizajnirani za česta otključavanja tokom kratkih sesija. Na Macu, gdje obično provodite duge periode radeći, unos složenije lozinke je manje nezgodan i, zauzvrat, toplo se preporučuje za jačanje sigurnosti.
Što je vaša lozinka složenija i duža, Napadaču postaje teže pokušati napad grubom silom na enkripciju.Apple dopunjuje ovu zaštitu dodavanjem automatskih odgoda kada unesete pogrešne kodove: u iOS-u i iPadOS-u, nakon nekoliko neuspjelih pokušaja, dodaju se vremena čekanja (na primjer, 1 minuta nakon petog pokušaja, 5 minuta nakon šestog, 15 minuta nakon sedmog i osmog i 1 sat od devetog nadalje), što čini nepraktičnim isprobavanje miliona kombinacija.
Ako imate aktiviranu opciju "Izbriši podatke" na iPhoneu ili iPadu, nakon deset neuspjelih pokušaja, briše sadržaj i postavke s uređaja.Na macOS-u, vrijeme čekanja slijedi sličan obrazac, iako ako se prekorači ograničenje pokušaja, računar se blokira i neophodni su procesi oporavka. Sve ovo drastično otežava nekome da izdvoji vaše podatke nasumično isprobavajući različite kodove.
Kao završni sloj, Apple implementira „sigurna pohrana“ (sandbox podataka) koja odvaja lične podatke od svake aplikacije i sistemskih podatakaPristup Kalendaru, Kontaktima, Bilješkama, Podsjetnicima, Kameri ili Fotografijama kontrolira se eksplicitnim dozvolama, tako da aplikacija ne može čitati ili mijenjati te podatke bez vašeg jasnog odobrenja i bez korištenja API-ja koje je uspostavila sama platforma.
Kontrola i sigurnost aplikacija
Aplikacije su ulaz u gotovo sve što radite sa svojim uređajem, ali one također predstavljaju i najveći rizik: Svaka aplikacija je potencijalno kod treće strane koji se izvršava na vašem sistemu.Zato je Apple izgradio nekoliko slojeva kako bi ograničio šta aplikacije mogu da rade i kako dopiru do vaših uređaja.
Na iOS-u i iPadOS-u, Sve aplikacije koje stignu u App Store moraju biti potpisane certifikatima izdanim u Apple Developer Programu.Ovaj potpis garantuje da kod nije mijenjan otkako ga je programer poslao na pregled i omogućava Appleu da blokira ili opozove problematične aplikacije. Čak i interne aplikacije kompanije, distribuirane izvan javnog kanala, moraju slijediti sličan proces potpisivanja i upravljanja certifikatima.
Na macOS-u je situacija nešto otvorenija, ali od verzije 10.15 Aplikacije preuzete izvan Mac App Store-a također moraju biti propisno certificirane i "ovjerene" od strane Applea. da se pokreće bez sigurnosnih upozorenja. Ako potpis nije važeći ili aplikacija nije prošla kroz taj proces, sistem upozorava korisnika i može spriječiti izvršavanje prema zadanim postavkama.
U osnovi svega ovoga, macOS integriše vlastiti sistem zaštite od zlonamjernog softveraUključuje analizu izvršnih datoteka, liste opozvanih kodova i tehnologije protiv iskorištavanja. Nije tradicionalni antivirus, ali služi sličnoj svrsi: sprječavanju izvršavanja sumnjivog ili poznatog zlonamjernog koda.
Pored kontrola instalacije, Apple dodaje nekoliko slojeva okruženju za izvršavanje. Prvi je sandbox aplikacijeSvaka aplikacija treće strane radi u svom izolovanom okruženju, sa vrlo ograničenim pristupom sistemu datoteka i sistemskim resursima. Da bi čitala ili mijenjala podatke izvan svoje određene mape, aplikacija mora proći kroz mehanizme koje je odobrio sistem i zatražiti dozvole od korisnika.
Drugi dio su Prava koja definiraju koje posebne mogućnosti aplikacija može koristitiOvo su digitalno potpisani parovi ključ-vrijednost, tako da programer ne može prevariti sistem dodavanjem vlastitih dozvola. Ako aplikaciji treba, na primjer, pristup iCloudu ili kameri, mora deklarirati te autorizacije, a Apple ih validira tokom procesa potpisivanja i objavljivanja.
Treći element je randomizacija adresnog prostora (ASLR)Ova tehnika nepredvidivo miješa memorijsku lokaciju koda i podataka procesa. To uveliko komplikuje napade koji iskorištavaju oštećenje memorije, jer napadač ne može unaprijed znati gdje se nalazi kod ili podaci koje želi izvršiti ili manipulirati.
Apple usluge: Apple ID, iCloud i Apple Pay
Pored samog uređaja, veliki dio vašeg digitalnog života vrti se oko Apple usluga: Vaš Apple ID je ključ za pristup App Storeu, iCloudu, Apple Musicu, Apple Payu i mnogim drugim uslugama.Ako taj račun padne u pogrešne ruke, problem je ozbiljan, pa je kompanija pooštrila svoje zahtjeve; možete provjeriti Vodič za jačanje sigurnosti vašeg Apple računa.
Lozinka za Apple ID mora ispunjavati određene minimalne kriterije: dužine od najmanje osam znakova, kombinacija slova i brojeva, bez ponavljanja istih ili uzastopnih znakova više od tri puta I izbjegavajte previše očite ili uobičajene lozinke. U redu, možda je malo gnjavaža, ali to je prva linija odbrane od neovlaštenog pristupa.
Podrazumevano, Apple omogućava dvofaktorska autentifikacija (2FA) za Apple IDSvaki put kada neko pokuša da se prijavi sa novog uređaja, verifikacioni kod se šalje na pouzdani računar. Na taj način, čak i ako neko otkrije vašu lozinku, neće moći da pristupi vašem računu bez tog drugog faktora. A ako trebate resetovati lozinku, proces se takođe obavlja putem pouzdanog uređaja ili putem dobro kontrolisanih koraka za oporavak.
Još jedan ključni element je iCloud, usluga na kojoj se pohranjuje većina vaših podataka: fotografije, kontakti, e-poruke, sigurnosne kopije, zdravstveni podaci i još mnogo togaOvdje Apple nudi dva nivoa zaštite podataka, oba sa enkripcijom, ali sa važnim razlikama u tome ko vam može pomoći u oporavku informacija.
Sa Standardna iCloud zaštita: podaci su šifrirani, a ključevi se pohranjuju u Appleovim podatkovnim centrimaKompanija pohranjuje samo ono što je potrebno da vam pomogne u oporavku, ali ne može jednostavno čitati vaše podatke. U ovom načinu rada, 14 kategorija podataka koristi end-to-end enkripciju, koja već pruža dobar nivo privatnosti.
Ako želite ići korak dalje, možete aktivirati iCloud napredna zaštita podatakaU ovom slučaju, ključevi za šifriranje dostupni su samo s vaših pouzdanih uređaja i također su zaštićeni end-to-end enkripcijom. Broj kategorija koje pokriva ova zaštita raste na 23, tako da je gotovo sve što je važno nedostupno čak i Appleu ako nemaju vaše uređaje ili vaše ključeve.
U oblasti plaćanja, Apple Pay je postao veoma uobičajen, ali iza njega stoji mnogo tehnologije koja vam omogućava da bezbedno prinesete svoj mobilni telefon blizu POS terminala. Sigurnost Apple Paya oslanja se na Secure Element i NFC kontroler uređaja.Secure Element sadrži male aplete koje su certificirale platne mreže i izdavatelji kartica; samo oni znaju ključeve potrebne za dešifriranje podataka u tim apletima.
NFC kontroler djeluje kao pristupnik između sigurnosnog elementa i beskontaktnog platnog terminalaOmogućava prijenos podataka samo kada je korisnik autorizirao transakciju pomoću Face ID-a, Touch ID-a ili koda. Trgovac nikada ne vidi stvarni broj vaše kartice: koristi se šifrirani identifikator računa (token), što znatno smanjuje utjecaj u slučaju kompromitiranja vanjskog sistema.
Sigurnost komunikacije i korištenje VPN-a
Sve navedeno bi bilo nepotpuno kada bi mrežna komunikacija bila puna grešaka. Stoga. iOS, iPadOS i macOS uključuju podršku za vodeće protokole šifriranja koji su industrijski standardi...za web veze i ostale mrežne usluge; ako obično koristite javne mreže, pogledajte našu Vodič za sigurnost Wi-Fi mreže za iPhone.
Konkretno, podrška za Apple sisteme TLS 1.0, 1.1, 1.2 i 1.3, pored DTLS-a (Datagram Transport Layer Security)TLS je standard koji šifrira vezu između vašeg uređaja i servera (na primjer, kada vidite katanac u pregledniku), dok DTLS radi nešto slično, ali za komunikacije zasnovane na datagramima, kao što su određene multimedijske veze.
Ove implementacije su kompatibilne sa jakim algoritmima za šifriranje kao što su AES-128 i AES-256Ove biblioteke se trenutno smatraju sigurnim za zaštitu prometa od prisluškivanja i manipulacije. Apple prati i redovno ažurira ove biblioteke kako bi se riješile sve nove ranjivosti koje se mogu pojaviti u kripto ekosistemu.
Ako se trebate povezati s korporativnim mrežama ili želite ojačati svoju privatnost na javnim vezama, Apple uređaji vam također omogućavaju postavljanje virtualnih privatnih mreža (VPN-ova) s različitim protokolima. Niste vezani za jedno rješenje; umjesto toga, postoji podrška za nekoliko široko korištenih tehnologija.
Među podržanim VPN protokolima nalazimo IKEv2/IPsec, s autentifikacijom putem dijeljenog tajnog koda ili RSA i ECDSA certifikataPored EAP-baziranih metoda kao što su EAP-MSCHAPv2 ili EAP-TLS, SSL VPN-ovi se mogu koristiti i putem klijentskih aplikacija dostupnih na App Store-u, koje se integrišu sa sistemom.
Što se tiče klasičnijih konfiguracija, Apple uređaji podržavaju L2TP/IPsec s MS-CHAPv2 autentifikacijom Za korisnike postoji zajednička tajna za uređaj na iOS-u, iPadOS-u i macOS-u. Mac računari također podržavaju Cisco IPsec varijante s autentifikacijom korisnika pomoću lozinki, RSA SecurID tokena ili CRYPTOCard-a i autentifikacijom uređaja pomoću zajedničkih tajni i certifikata. Ovo pruža znatnu fleksibilnost za prilagođavanje postojećim postavkama vaše kompanije ili organizacije.
Razvojni kompleti i privatnost u Apple ekosistemu
Ako radite u razvoju ili upravljate digitalnim projektima, bit će vam zanimljivo znati da Apple nudi nekoliko razvojnih kompleta (frameworka) za proširenje funkcionalnosti svojih uređaja bez žrtvovanja sigurnosti.Osmišljeni su da olakšaju život programeru, ali i da nametnu jasan okvir koji štiti krajnjeg korisnika.
Ovi kompleti uključuju HomeKit, CloudKit, SiriKit, DriverKit, ReplayKit i ARKitSvaki od njih pokriva različito područje: upravljanje povezanim domom, pohranu u oblaku, integraciju Siri, razvoj kontrolera, snimanje i streaming ekrana ili iskustva proširene stvarnosti.
Onaj koji obično generira najveću osjetljivost u smislu privatnosti je HomeKit, budući da upravlja kućnim uređajima kao što su kamere za video nadzor, zvučnici s mikrofonima ili pametne braveOvdje je Apple stavio poseban naglasak na autentifikaciju i šifriranje između dodatne opreme i uređaja.
HomeKit je zasnovan na Ed25519 parovi kriptografskih ključeva, koji se sastoje od javnog i privatnog ključaOvi ključevi omogućavaju robusnu autentifikaciju svakog uređaja i šifriranje komunikacije između njih, tako da treća strana ne može lažno predstavljati kameru, pametnu sijalicu ili kućni hub.
Da biste olakšali sinhronizaciju između vaših uređaja, Ključevi i akreditivi povezani s HomeKitom pohranjeni su u iCloud Keychainu.Ovaj privjesak ključeva sinhronizuje osjetljive informacije, kao što su lozinke i certifikati, između vaših pouzdanih uređaja koristeći end-to-end enkripciju, tako da samo vi imate pristup tom materijalu, čak i dok putuje kroz Appleove servere.
Sa svom ovom mrežom prilagođenog hardvera, slojevitom enkripcijom, sigurnim pokretanjem, strogom kontrolom aplikacija, zaštićenim uslugama u oblaku, šifriranom komunikacijom i alatima za razvoj dizajniranim da poštuju privatnost, Apple uređaji nude vrlo solidan ekosistem na kojem možete izgraditi svoju digitalnu sigurnostUprkos tome, ključni dio ste i dalje vi: odabir jakih kodova, omogućavanje dvofaktorske verifikacije, pregled dozvola aplikacija i ažuriranje uređaja čini svu razliku između istinskog iskorištavanja cijele ove zaštitne arhitekture i nesvjesnog ostavljanja otvorenih vrata.
