Я уже задавал вопрос о программах-вымогателях в OS X в целом. Но мне не удалось получить ответ о том, защищает ли FileVault от него. Вот о чем этот вопрос. Мне также интересно узнать, защищены ли зашифрованные резервные копии Time Machine от программ-вымогателей.
Программа-вымогатель здесь определяется как вредоносное программное обеспечение, которое шифрует данные пользователя против его воли/сознания и требует выкуп в обмен на ключ шифрования.
Мы рассмотрим три примера:
Вредоносная программа работает без прав суперпользователя. Невольный пользователь мог просто запустить скомпрометированное/вредоносное приложение , которое, по его мнению, было чем-то другим, а затем позволить ему работать в фоновом режиме достаточно долго, чтобы нанести ущерб.
Вредоносная программа работает с правами суперпользователя. Пользователь, полагая, что программное обеспечение является чем-то другим, предоставил ему root-доступ, указав пароль root. Пользователь может даже установить программное обеспечение, указав пароль root.
Пользователь вообще не запускал никаких приложений, вредоносная программа запускалась каким-то другим образом. (Возможно ли это вообще в OS X?)
В случаях 1 и 2 пользователь отключил бы настройку OS X «только доверенные источники». (Дополнительный вопрос: возможно ли вообще быть затронутым программами-вымогателями, когда этот параметр включен?)
Рассматривая 1., 2. и 3. отдельно, вредоносное ПО может:
A: Доступ к защищенным данным FileVault?
B: Изменить/удалить данные, защищенные FileVault?
C: (комбинация A и B) Зашифровать защищенные данные FileVault и перезаписать (надежно удалить) исходные данные FileVault)?
Есть ли разница между локально сохраненными данными, защищенными FileVault, и зашифрованными резервными копиями Time Machine, хранящимися на другом диске? Меня также интересует ответ относительно последнего.
Программа-вымогатель работает, выбирая определенные файлы (обычно по типу — например, документы, биткойн-кошельки и т. д.), шифруя эти отдельные файлы и заставляя вас платить за ключ для их расшифровки.
FileVault защищает ваши данные на вашем Mac, шифруя весь диск. Когда вы загружаете свой Mac, вы вводите пароль, который эффективно «расшифровывает» диск и позволяет ему работать как есть. Тем не менее, как только вы, так сказать, вставили ключ в замок, FileVault не защитит вас от программ-вымогателей. Вы по-прежнему будете столь же уязвимы, как программа-вымогатель, работающая после разблокировки FileVault.
Что касается резервных копий Time Machine, здесь все сложнее. Эти резервные копии хранятся в зашифрованном виде в состоянии покоя и расшифровываются только при доступе к ним. Это означает, что файлы внутри самих резервных копий не могут быть индивидуально идентифицированы для запущенной программы-вымогателя, однако вся резервная копия может быть идентифицирована. Таким образом, программа-вымогатель могла зашифровать все как единое целое, а не только отдельные файлы.
Что касается настройки «доверенных источников» OSX, в последнее время было несколько эксплойтов против этой функции, и она не так надежна, как кажется. Я не мог сказать наверняка, что это не защитит тебя, но я бы и не рассчитывал на это.
Я бы порекомендовал какое-то облачное резервное копирование или резервное копирование вне компьютера, если вы действительно хотите защитить свои данные, работающие через стороннее приложение. Другими словами, не подключайтесь к сетевому ресурсу и не делайте резервную копию своих данных, используйте для этого приложение. Маловероятно, что программы-вымогатели будут достаточно сложными и специфичными, чтобы знать о конкретных приложениях для резервного копирования, о том, как они подключаются к своей сторонней службе и как шифровать файлы в этой службе. Dropbox является здесь простым примером, если вы платите за их службу облачного резервного копирования — даже если программа-вымогатель зашифровала ваши файлы в Dropbox, они сохраняют резервные копии версий, чтобы вам было к чему вернуться.
Функция macOS, которая может помочь в борьбе с программами-вымогателями, — это защита целостности системы (SIP). Эта функция включена по умолчанию в новых версиях macOS. SIP предотвращает изменения в системных файлах, даже если вы являетесь пользователем root. Чтобы отключить это, вам нужно войти в восстановление macOS (перезагрузите, затем Command + R), затем выберите «Утилиты»> «Терминал». Как только вы окажетесь в Терминале, введите csrutil disable
. Чтобы проверить статус csrutil status
(вы можете проверить статус самой macOS). Чтобы включить, csrutil enable
(вы должны быть в MacOS Recovery). Обратите внимание, что в macOS Catalina (10.15 и выше) системные файлы хранятся в отдельной APFS Ready Only, поэтому даже если SIP отключен, вы не можете записывать в системные файлы.
Фиксдаль
.doc
и другие неисполняемые файлы. Возможно ли это в OS X? Или это должно быть через исполняемое приложение?Фиксдаль
Джимми Муни
Джимми Муни
Фиксдаль
Джимми Муни
Фиксдаль