Безопасность OS X и iOS на личном примере (для чайников и не только)

27

Начитавшись, как поломали журналиста Wire Мэта Хонана (Mat Honan), а также разных параноидальных статей о безопасности Mac, я решил описать, как лично я берегу свой Maс, iPhone и iPad от внешних рисков. С момента выхода первой версии этого материала прошло уже больше 6 месяцев. Некоторые вещи изменились, поэтому я решил его обновить и переопубликовать.

Начну с того, что на моей технике нет планов государственного переворота или чертежей подводных лодок, поэтому рекомендации Пацая, вроде «пароль на доступ в iPhone должен быть обязательно установлен сложный, не 4-значный цифровой, а произвольный», я считаю сильным перегибанием палки.

Нарушение баланса между безопасностью и удобством не вызывает ничего, кроме раздражения и желания выключить все это к чёртовой бабушке. Поэтому при настройке своей системы я старался соблюдать чувство меры.

Что защищаем?

Основная информация, которую мне надо обезопасить, связана с электронными кошельками, правами доступа к серверам и т.п. Грубо говоря, тут все сводится к защите базы данных 1Password, где это добро и хранится. Дальше идут пользовательские данные, вроде фотографий, музыки и прочей личной информации. Если вы копили все это не один год, то ценность таких данных, особенно фотографий, постоянно растёт.

Потерять информацию на Mac можно как из-за физического вмешательства (пожар, кража), так и от атаки извне. Поэтому защиту будем ставить с обеих сторон.

Не лишним будет обезопасить себя от потери iPhone или iPad, так они могут стать причиной серьёзной утечки данных. При использовании стандартных настроек любой может получить доступ к вашей почте или папке Dropbox.

Безопасность Mac

Сознательные пользователи большинство этих рекомендаций уже используют, но все же повторюсь на своём примере:

  • Установите пароль к вашей Учётной записи, а Гостевую — отключите. Последнее действие даёт очевидную выгоду — никто не сможет воспользоваться вашим Mac ни при каких условиях. Но есть и минусы — при краже его нельзя будет отследить функцией поиска iCloud.
Отключить гостевой вход можно в разделе Системные настройки → Пользователи и группы

Отключить гостевой вход можно в разделе Системные настройки → Пользователи и группы
Здесь же можно задать пароль администратора

Здесь же можно задать пароль администратора
  • Пароль нужно вводить каждый раз после выхода из режима сна или заставки, а также при каждом включении. После определённого времени даже сложные пароли вы начнёте вводить на автомате, так что никаких неудобств это не приносит.
Периодичность запрашивания пароля настраивается в Системных настройках → Безопасность

Периодичность запрашивания пароля настраивается в Системных настройках → Безопасность
  • Включите FileVault для шифрования данных на диске, и без пароля администратора злоумышленники будут расшифровывать ваш диск не один год.
Включить шифрование FileVault можно в соответствующей вкладки раздела Безопасность

Включить шифрование FileVault можно в соответствующей вкладке раздела Безопасность
  • Включите Брандмауэр и Невидимый режим. Это создаст дополнительный барьер для атак из сети.
Обязательно активируйте Брандмауэр

Обязательно активируйте Брандмауэр
Невидимый режим включается в Параметрах брандмауэра

Невидимый режим включается в Параметрах брандмауэр

Все просто, достаточно эффективно и без заморочек. Единственное, что вам теперь придётся делать — вводить пароль при входе в систему. Если хотите ещё больше надёжности, то можно лишить основной аккаунт прав Администратора, но это уже скажется на удобстве.

Безопасность iPhone и iPad

Основная проблема при потере телефона заключается в том, что нашедший получает доступ к почтовым ящикам и содержимому Dropbox (куда любит бэкапиться 1Password). Поэтому первое что нужно сделать при настройке iPhone – поставить пароль на его разблокировку.

Безопасность MacБезопасность Mac

Как я уже упоминал, сложный вариант паролей для iPhone (фразы) — только для параноиков. Я пользуюсь классическим кодом из четырёх цифр. При использовании случайных (!) комбинаций, вероятность угадать код с 10 попыток составляет менее 4%. Если кому интересно, то почитайте отличный перевод на хабре Сложно ли угадать PIN-код?.

Отключить гостевой вход можно в разделе Системные настройки → Пользователи и группы

Чем темнее точка, тем чаще люди используют этот PIN

Если резюмировать это исследование, мы получим следующие рекомендации:

  • Избегайте возрастающих последовательностей
  • Избегайте любых дат вроде ДДММ, ДДММ, ММГГ и т.п. (2311, 1123, 1984, 0683…)
  • Избегайте клавиатурных паттернов (1245, 2580, 3698…)
  • Избегайте цифровых паттернов (8585, 6969, 4567…)
  • И никогда не используйте один из этих кодов:

0000, 0101–0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101–1103, 1110–1112, 1123, 1201–1203, 1210–1212, 1234, 1956–2015, 2222, 2229, 2580, 3333, 4444, 5252, 5683, 6666, 7465, 7667.

Ну а теперь вернёмся к iPhone и тому, что на нем надо настроить:

  • установите пароль на телефон
  • выберите автоблокировку через 1–2 минуты
  • включите удаление данных после 10 неправильных попыток ввода пароля
  • настройте iCloud для резервного копирования важных данных (адресная книга)

Все эти действия предотвратят доступ злоумышленника к вашим приложениям. Но, учтите, что добраться до ваших фотографий, SMS и контактов можно даже не разблокируя iPhone или iPad. С этим легко справится утилита как Mac FoneLab.

Резервное копирование

Правильное резервное копирование сведёт к нулю полную потерю данных. Я использую трёхуровневые бэкапы. Разумеется, здесь все крутится вокруг Time Machine, которая в Mountain Lion научилась автоматически работать с несколькими дисками. Это значит, что резервное копирование может автоматически происходить дома на Time Capsule (или любой внешний диск), а также на дополнительный диск на работе.

Безопасность Mac

Вероятность одновременно профукать оба диска и компьютера куда меньше. Но если и это произойдёт, то в хозяйстве пригодится USB-стик с базой 1Password и важными файлами, который можно спрятать в банковской ячейке. Обновлять его содержимое нужно только при плановой смене основных паролей. На практике это происходит не чаще двух раз в год, поэтому неудобств метод не доставляет, а вот пользы от такой палочки-выручалочки может быть масса.

Разумеется, диск с резервными копиями Time Machine и USB-стик должны быть зашифрованы. Сделать это можно при помощи Дисковой утилиты.

Чтобы зашифровать диск, отформатируйте его с этими параметрами

Чтобы зашифровать диск, отформатируйте его с этими параметрами

Резервное копирование в Облако

Если же у вас быстрый интернет и есть несколько десятков лишних долларов, то я рекомендую настроить резервное копирование в «тучу» при помощи сервиса вроде ZipCloud.

Принцип работы таких сервисов полностью аналогичен Time Machine. Вы ставите на Mac небольшой клиент, который автоматически и в фоне будет делать копию всех пользовательских данных, но только не на обычный диск, а на сервера Amazon S3. За $6.95 в месяц вы получите неограниченное дисковое пространство, а значит, туда хорошо спрячутся семейные фотографии и другой объёмный контент.

Как и положено, у ZipCloud есть пробная версия, обязательно попробуйте. Ну а подробнее о моем опыте работы с сервисом вы сможете почитать в одной из следующих статей.

В сухом остатке получаем вот что:

  • Автоматические резервные копии Time Machine на внешний жёсткий диск
  • Автоматические резервные копии в облако
  • Записываем на USB-стик самые важные данные и прячем его в банковскую ячейку
  • Внешний диск и USB-стик обязательно шифруются стандартными методами Mountain Lion

Применение всех этих правил также не потребует никаких специальных выкрутасов. Все, что от вас нужно — вводить пароль при подключении любого из дисков. Резервное копирование будет происходить автоматически. Ну а раз в полгода пройтись с ноутбуком до банковской ячейки и обновить свою USB-стик.

Защита от внешних угроз

Самый распространённый сценарий — кто-то получит доступ к вашему почтовому ящику и восстановит на него пароли от других служб. Нет никакого смысла говорить о сложности паролей, лучше поговорить о самой идеологии работы с почтой.

История показывает, почта на @me.com неоднократно компрометировала себя. Поэтому регистрировать на неё домены с хостингом и другой важной информацией будет только сумасшедший. Вот отличный пример, как был взломан MacPages.me именно через эту почту.

Для важных данных нужно завести отдельный имейл известный лишь вам. Кстати, вот тут можно забить на Gmail и обратиться к помощи других сервисов. Например, бесплатного аккаунта в Lavabit для этих целей будет более чем достаточно (на момент написания статьи они временно приостановили регистрации).

На этот же почтовый ящик можно завязать восстановления паролей со всех других почтовых адресов и служб. А вот чего делать не надо, так это подключать такую почту на iPhone или iPad.

После создания такого email’a и перевода ключевых сервисов на него не забудьте поискать пароли в вашем старом почтовом ящике. Вы удивитесь, сколько «утечек» там можно найти.

Таким образом, взлом любого из ваших публичных ящиков не позволит злоумышленнику восстановить пароли к домену, хостингу, Twitter, Facebook, а также другим почтовым аккаунтам и прочему добру.

Ну, а если вы остановили свой выбор на Gmail, то уменьшить вероятность самого взлома поможет двухуровневая авторизация (когда помимо пароля нужно ввести код подтверждения, пришедший на телефон).

Двухуровневую авторизацию обязательно стоит установить и на Dropbox, где хранится та самая база данных 1Password.

Кстати, недавно двухуровневая авторизация появилась и для аккаунтов Apple ID, но пока она доступна лишь для нескольких стран. Большинство жителей Европы пока пролетают…

Последний штрих — одноразовые пароли в Gmail для авторизации приложений. При включении этой функции для каждого приложения, работающего с сервисами Google, можно сделать одноразовый пароль.

Он особенно полезен для iPhone или iPad. При потере устройства вам только придётся зайти в аккаунт и «отключить» от почты нужные программы (устройства). Интересующиеся могут почитать заметку Как работают одноразовые пароли? на хабре.

Теперь по пунктам:

  • Используйте раздельные имейлы: личный, рабочий, для треш-регистраций и суперсекретный
  • Настройте двухуровневую авторизацию везде, где это можно
  • Восстановление важных паролей, в том числе и пароли от публичных почтовых ящиков, завяжите на секретный имейл
  • Все внешние почтовые программы должны работать на одноразовых паролях

Система достаточно эффективна, так как взлом любого из публичных ящиков не несёт никаких серьёзных последствий, да и сам этот процесс без физического доступа к телефону невозможен. Потеря же самого телефона также не проблема — за пару минут можно отключить его от почты или вообще очистить. Доступ к аккаунтам можно выполнить, используя один из секретных одноразовых паролей.

Единственная заморочка — эти самые одноразовые пароли, которые надо генерировать при подключении каждой новой программы, работающей с почтой. Но делать это нужно лишь один раз (для текущей сессии).

В итоге

Мне кажется, что задача защитить данные при минимальном задалбывании пользователя выполнена. Во всяком случае, это работает для меня. Тылы прикрыты, в голове не надо держать кучу сложных паролей, а пользовательские данные практически невозможно уничтожить. При любом сценарии можно развернуть систему до первоначального состояния, а пароли восстановить.

Поделиться
Сохранить
  • Дилетантский вопрос, я думаю, но всё же.
    Как быть с зашифрованным FileVault диском, если по какой-либо причине ОС угроблена? Можно ли накатить «поверху» с дистрибутива или всё, поезд ушёл?

  • Роман

    А была раньше проблема с FileVault и TimeMachine в связке. Вроде машина не могла бэкапить, если пользователь залогинен. Сейчас так же?

  • Максим

    Интересно — какова вероятность что хоть что-то может случиться с моим компьютером, если у меня всего 1 диск резервного копирования вместо двух, нету 1 password, нету dropbox, нету двухуровневой авторизации — зато есть 4 значный пароль с шансом взлома в 4%
    Осуждая Мэта Хомена за параноидальность, вы же, так же им и являетесь.

    По мне так все что вы указали есть не более чем излишество.
    Хотя и не отрицаю, что нету ничего не возможного — но раз вы уж первый начали, вступиться за бедного дядечку паранойка: дело чести :)

    • Легко — пожар и кража. От этого никто не застрахован, разве только вы живете в Межигорье :) В стране моего пребывания, вероятность этих событий весьма велика.

      • насчет Межигорья это Вы оптимист )))

  • Сергей

    Спасибо за полезную статью)) Кто подскажет: у меня iMac c Lion. Установлен Parallels 7 на которой сидит Windows. Хочу установить Mountain Lion. Не слетит ли моя Винда и Паралелс??

  • Антоша

    Это все верно до тех пор, пока к вам не применили методы терморектального криптоанализа)

  • Всё это кажется лишним ровно до тех пор, пока что-нибудь не случается. И это не просто фраза, а действительно — однажды случается и параноик в тебе получает level up.

  • В частности у меня была очень веселая история с единственным диском для бэкапа: я решил переустановить ОС и чтобы сделать это аккуратно — полный формат. Насчет данных не беспокоился — все было на винте с бэкапами. Переустановил ОС, подключаю бэкапный usb hdd — а у него щелчки и не работает, полетели магнитные головки. Восстанавливать данные если и можно было, то очень муторно. Тогда я распрощался с множеством данных, хорошо хоть многие фотографии были залиты в picasa и важные данные синхронизировались через несколько облачных дисков.

  • Хороший обзор! Прошу так же дописать, что при шифровании диска сбросить пароль администратора на Mac OS X через режим восстановления не получится. А вот если шифрования диска нет это дело 2х минут….

    Ещё раз спасибо за обзор – сохранил в Evernote….

  • Дмитрий

    Хороший обзор, спасибо, только 2 вопроса.
    — есть цифиры как шифрование диска (обычного, НЕ ССД) влияет на скорость работы системы ?
    — есть ли способы бэкапится на NTFSные харды из ТМ ? сейчас отформатировал один отдельный диск под маком и на него бэкаплюсь, все работает, однако есть один бОЛЬШОй массив под нтфсом, Paragon купил, NTFS диски читаются, выделять отдельную партицию — не хочу, хочу просто в сетувую папку, на работае Small Business Server, так к нему нашли утилиту для бекапа Маков в сетевую папку рядом с виндовыми бэкапами, а просто на сетевой диск — не вижу (тайм капсулу покупать не хочу, облачные бэкапы хорошо — но хард в на полне/в сетке — лучше)

  • FileVault не вреден для SSD?

    • Покажите мне хоть один SSD, что умер своей собственной смертью ;)

      • Запросто — в рабочем сервере умер (китайцы сэкономили и поставили ssd на старом sandforce). А в моих маках три ssd замечательно себя чувствуют.

  • Белкунт Кунтояров

    Удаление данных это здорово. Попался ребенку телефон и кирдык… Бредовая идея.

    • Всегда должен быть бэкап, для того и задумано — если украли, то у вора кирдык а у тебя бэкап.

      • Давеча принесли мне iPad, побывавший в руках у детей. Это трындец — я такого не видел. Врубили как-то VoiceOver и ещё что-то, ввести пин невозможно, всё очень странно. Перезагрузил — перестал включаться в принципе. Перепрошить нельзя, iTunes видит, что pin стоит. Пришлось переключать в DFU mode и перепрошивать с полной потерей данных. Так что бекап должен быть обязательно. ХЗ что детям придёт в голову — могут и в подводную лодку поиграть с железкой.

  • На сегодняшний день стоит ли ставить антивирус на мак? Если да, то какой лучше?
    Из фаерволов Little Snitch нормальное решение?

    • Nikolay S. Egorov

      На счет антивируса могу сказать лишь то, что это на твое усмотрение. У меня какое-то время стоял Symantec (пиратский), но мне он не очень понравился, потом я купил Kaspersky, он у меня стоял до выхода 10.9, они не сразу обеспечили совместимость, поэтому его пришлось удалить и с тех пор у меня нет никаких антивирусов.
      А касательно Little Snitch — я им давно пользуюсь (наряду со штатным Firewall), даже лицензию купил, когда скидки были.

      • Спасибо большое за ответ.
        Я тоже купил лицензию Little Snitch 3 (очень понравилась программа)!
        «Hands Off» не понравилась. Она даже под Retina не адаптирована и выглядит мерзко.

        Только вот не понимаю нужно ли отключать стандартный брандмауэр? Ведь новая версия следит и за входящими данными.

        • Nikolay S. Egorov

          Hads Off есть у меня, но я ее не разу не использовал (купил как-то в на какой-то очередной распродаже софта).

          А на счет стандартного брандмауэра — это личное решение. Мне просто кажется, что он немного более низкоуровневый, хотя я могу ошибаться. У меня он включен, не напрягает особо.