最近���,電腦電腦蘋果公司在一年一度的操作操作全球開發者大會上正式發布了最新版本的 Ventura 操作系統�����。MacOS Ventura���,系統系統也被稱為 macOS 13����,升級預計將在今年秋天 9 月份的電腦電腦發布會上正式發布���。全新的操作操作
.jpg)
最近���,蘋果公司在一年一度的系統系統全球開發者大會上正式發布了最新版本的 Ventura 操作系統����。MacOS Ventura,升級也被稱為 macOS 13����,電腦電腦預計將在今年秋天 9 月份的操作操作發布會上正式發布�。全新的系統系統 Ventura 系統整合了強大生產力工具、連續互通等令人驚艷的升級新功能�,屆時 iPhone 手機可以直接用作 Mac 電腦的電腦電腦攝像頭��。
蘋果在 macOS Ventura 系統中引入了快速安全響應特征,操作操作可以在無需整個操作系統版本更新的系統系統同時來安裝安全補丁���。該特征允許將系統關鍵安全更新與普通的軟件更新分割開,系統安全更新可以自動完成�����,因此用戶可以應對一些潛在的在野安全攻擊��。快速安全響應特征可以在無需系統重啟的情況下,讓系統保持最新的安全狀態��。其實��,蘋果早在 iOS 14.5 系統中就測試了類似的功能�����。
安全功能詳細介紹
與往常一樣,Apple 增加了一些引人注目的新功能例如 Stage Manager 查看模式和在 Spotlight 搜索結果中使用 Quick Look 的功能,但 macOS Ventura 還有一些更有趣的、潛在的顛覆性變化,這些變化很少受到關注�。在這篇文章中�,我們重點介紹了企業安全團隊和 Mac 管理員會感興趣的七大變化��。
對于那些想要采用新操作系統的人來說�,一個新的操作系統有時意味著新的硬件必須和它相匹配。
你的 Mac 電腦兼容 Ventura 系統嗎?
只要硬件設備支持,目前所有版本的 macOS 都可以免費更新至 Ventura����。如果你想詳細了解你的 Mac 設備是否與 Ventura 系統兼容����,可以參考以下支持 Ventura 系統的設備列表:
MacBook:2017 年之后的設備;
MacBook Air:2018 年之后的設備;
MacBook Pro:2017 年之后的設備����;
Mac Mini:2018 年之后的設備��;
iMac:2017 年之后的設備;
iMac Pro:2017 年之后的設備����;
Mac Pro:2019 年之后的設備�。
默認情況下�,macOS 不允許任何沒有開發者許可的舊程序運行。相反���,系統會要求用戶更改安全設置以允許應用程序運行�。此功能稱為 Gatekeeper,它可以很好地保護用戶的 Mac 免受未經授權的軟件的攻擊。但是�����,如果你從互聯網上下載了受信任的應用程序����,并且 Mac 不允許它運行,這也可能很煩人��。要啟用該應用程序����,只需轉到系統偏好設置 > 安全和隱私。在這里�����,你將看到啟用特定應用程序運行(一次性)或完全更改設置以允許任何應用程序在 Mac 上運行的選項���。如果你想執行后者��,只需選擇 " 允許下載的應用程序 " 下的 " 任意位置 " 以禁用 Gatekeeper���。
Gatekeeper 是 Apple 在其檢查�、阻止和刪除模型中的第一道防線�。Gatekeeper 能夠確保默認情況下僅受信任的軟件可在用戶的 Mac 上運行。當用戶從 App Store 之外的地方下載并打開軟件、插件或安裝器軟件包時�����,門禁會驗證該軟件是否來自可識別的開發者��、經過 Apple 公證、不含已知的惡意內容且未被修改�����。如果惡意軟件已侵入 Mac��,macOS 還包含修復感染的技術����。惡意軟件移除工具 ( MRT ) 是 macOS 中的一個引擎�,可基于 Apple 自動發布的更新(作為系統數據文件自動更新和安全性更新的一部分)來修復感染。除了監視生態系統中的惡意軟件活動以便可以撤銷開發者 ID(如果適用)和發布 XProtect 更新����,Apple 還會發布 MRT 更新以從配置為接收自動安全性更新的任何受影響系統中移除惡意軟件�����。MRT 會在收到更新信息后立即移除惡意軟件,并在重新啟動和登錄時繼續檢查是否感染�。MRT 不會自動重新啟動 Mac����。
在 Ventura 之前的系統中�,這些檢查僅在代碼第一次運行時執行。這意味著攻擊者或惡意進程在通過第一次 Gatekeeper 檢查后仍然可以更改應用程序和可執行文件的代碼���。
在 Ventura 系統中��,Gatekeeper 的職責已經擴展到檢查經過公證的應用程序是否在首次發布后被未經授權的程序修改��。蘋果表示,Gatekeeper 將允許應用程序通過某些流程進行修改�����,但這些流程需要得到開發者的明確允許����。
這是個好消息��,它應該有助于緩解對用戶系統上已經存在的合法應用程序的惡意劫持��。但是,用戶可以覆蓋此處的 Gatekeeper 檢查�。當試圖進行未經授權的修改時�����,Gatekeeper 會發出警告,并在系統設置中詢問用戶是否允許它�。
用戶非常期待看到圍繞這個漏洞的一些創造性的社會工程嘗試�,以及安全研究人員的一些密集審查���?�;谥暗?macOS 架構���,我們預計這種 " 用戶同意 " 將受到漏洞 TCC 框架的控制���。去年����,Jamf 研究人員在 XCSSET 惡意軟件中發現了一個蘋果 TCC 0 day 漏洞利用,攻擊者利用該漏洞可以繞過蘋果的 TCC 安全保護���。
持久化辦法——登錄項����、LaunchAgents 和 LaunchDaemons 的警告
對安全性和用戶體驗最大的�,或者至少是最引人注目的變化之一可能是古老的 " 系統偏好設置 " 應用程序的變化��。重命名和重新設計���,System Preferences.app 現在是 System Settings.app���。
ios 風格的改版在長期使用 Mac 的用戶中會引起爭議�����。有些人會說重新設計早就該出現了,iOS 的樣式增加了 " 蘋果體驗 " 的一致性���,而另一些人會說,為觸摸設計的 UI 沒有很好地過渡到基于鍵盤的形式因素。無論你怎么想�����,可以肯定的是�,你需要使用搜索字段來找到基于列表的界面。
從安全角度來看,一個新特性是用戶現在可以在系統設置中的一個位置管理登錄項��、啟動代理和啟動守護進程�。以前,只有在設備啟動或用戶登錄時才能看到執行的項目,需要使用終端或依賴第三方軟件在 Finder 中查找隱藏的目錄����。這一直是有問題的�����,特別是對于 LaunchAgents����,因為任何進程都可以添加一個持久化項���,而不需要用戶的授權或通知�。
現在在 macOS Ventura 中,用戶不僅可以看到哪些條目被設置為持久化�,他們還可以在系統設置中單獨控制它們�。重要的是����,當應用程序添加了一個 LaunchAgent, LaunchDaemon 或 Login Item,系統現在會產生一個通知警報。
由于 LaunchAgents 是 macOS 惡意軟件中使用最廣泛的持久性手段�,這只能是一件好事����。從安全的角度來看���,對這個過程的額外可見性和控制當然是一件好事����,這是我們歡迎的對 macOS 安全性的一個早就應該的重要改進。
然而�,企業團隊需要注意�。這種防止惡意軟件和誤用的額外安全性也會影響到絕大多數合法使用這些項目的軟件����。首先,有額外的警報需要處理和解除��。在某些情況下��,如上面的示例����,一個安裝可能會產生多個警報���。其次�,也許更令人擔憂的是�,用戶可能不理解在系統設置中禁用這些條目的影響。
如果你的組織使用具有此類持久性機制的基本軟件��,你將需要弄清楚如果用戶禁用這些功能��,你可能會收到什么樣的支持調用�。目前,尚不清楚 Ventura 的最終版本是否會包括通過 MDM 或其他機制鎖定這些條目的能力�,以防止用戶禁用關鍵軟件�。
Passkey —— macOS 網絡釣魚攻擊會至此結束嗎���?
牙齒黃,可以把花生嚼碎然后含在嘴里,用它來刷牙~分鐘~很有效~
通過與谷歌���、微軟和其他行業參與者合作��,Apple 一直致力于開發一種用于 Web 和其他遠程服務的新登錄技術��,稱為 "Passkey"。Passkey 旨在替換密碼并克服密碼存在的多個安全問題��。密碼很容易被用戶釣魚或從服務器竊取�����,并為帳戶接管和企業攻擊打開了門戶����。
在 iOS 16 和 MacOS Ventura 上����,人們將不再使用密碼,而是使用 Passkey 登錄網站和應用����。這是現實世界中為消除密碼而進行的第一次重大轉變。
那么,蘋果是如何做到的呢�?該公司互聯網技術副總裁達里恩 · 阿德勒(Darin Adler)在 WWDC 上解釋說����,Passkey 通過使用 Touch ID 或 Face ID 創建新的數字密鑰來取代密碼。當用戶在網站上創建在線帳戶時���,他們就可以使用 Passkey 而不是密碼。阿德勒說:" 要創建 Passkey���,只需使用 Touch ID 或 Face ID 進行身份驗證即可。"
當用戶再次登錄該網站時�����,Passkey 允許其通過使用生物識別信息進行驗證�����,而不必輸入密碼 ( 或者讓密碼管理器生成新密碼 ) ���。在 Mac 上登錄網站時�����,iPhone 或 iPad 上會出現提示,要求驗證身份����。蘋果表示��,Passkey 將使用 iCloud 的 Keychain 在設備上同步,而且 Passkey 存儲在用戶的設備上,而不是服務器上。
在幕后,蘋果 Passkey 是基于 Web Authentication API ( WebAuthn ) 開發的,并且支持端到端加密����,所以沒有人可以讀取它們,包括蘋果本身。
Passkey 旨在解決密碼問題。它們本質上是一種公鑰 - 私鑰加密形式�,私鑰在用戶設備上生成并安全保存�,公鑰在服務器上����。每個 Passkey 都是由設備生成的,并且保證是強大的,并且只用于一個帳戶��。用戶不需要記住它們�,因為設備將允許用戶在嘗試登錄服務時自動選擇可用的 Passkey。 Touch 或 FaceID 用于驗證訪問 Passkey 的人是否是該帳戶的所有者。
然而��,要使 Passkey 與密碼一樣便攜��,它們需要在用戶的設備之間同步���。只要用戶擁有一臺存儲有 Passkey 的設備���,他們就可以使用該設備通過二維碼進行身份驗證來登錄共享或公共計算機�����。有趣的是���,顯示和掃描二維碼的設備需要在物理上非常接近����,這使得電子郵件和其他常見的網絡釣魚技術不可能實現����。
蘋果表示����,所有類別的安全問題,如弱和重復使用的憑據�、憑據泄漏和網絡釣魚�����,都不再可能出現,但攻擊者也會適應或繞過這種安全創新��。
告別驗證碼
各種染發劑在室溫或炎熱的天氣中����,均會失去部分功能或改變色澤��。若放在冰箱中保存�,可長期保持其原有的功能��,不會變質�。
除了 Passkey��,macOS Ventura 旨在通過消除對可怕的 "CAPTCHAS" 的需求來改善用戶訪問遠程服務器的登錄體驗�����。Captcha 的中文意思是驗證碼,展開來寫就是 Completely Automated Public Turing test to tell Computers and Humans Apart�����。captcha 的作用是用來識別人機�����,目的也就是為了來區分對方是人還是機器。目前有很多種 Captcha 驗證方式 , 例如用圖片中的字母進行鑒別 , 或是用簡單的數學題目來區分 , 甚至還有語音 Captcha 識別程序����。近日 Cloudflare 宣布了名為 Private Access Tokens 的新技術 , 允許站長以私人的方式驗證訪客是否真實�。蘋果系統將率先增加對這項新技術的支持���。
驗證碼旨在防止機器人和自動化腳本嘗試訪問只有真人才能訪問的服務�,并且作為打擊欺詐的一部分,它們被廣泛使用�����。然而,幾乎任何曾經使用過的人都會證明��,它們有時會非常困難���。它們還提出了可訪問性問題�����,并可能對某些類型的用戶產生負面影響�。蘋果表示����,最重要的是,CAPTCHAS 往往與跟蹤或設備指紋識別技術(如 IP 捕獲)一起使用,從而對隱私構成風險。
在 macOS 13 Ventura 中����,Apple 引入了私有訪問令牌�����,希望這些最終將使驗證碼成為過去。雖然 PAT 如何工作的技術細節是我們將留給開發人員文檔的一個,但對用戶來說�����,隨著開發人員開始在他們的應用程序和服務器上采用 PAT����,驗證碼在 macOS 上的流行應該開始減少。
ESLogger
許多以安全為中心的 IT 團隊對 macOS Ventura 感到興奮的一件事是新的 ESLogger 命令行工具的出現。 Apple 并不經常為我們提供專門針對安全性的新工具�,但 ESLogger 看起來對安全從業人員�、惡意軟件分析師和威脅檢測工程師來說可能非常有用����。
根據發布的該工具的手冊頁,ESLogger 與 Endpoint Security 框架共同記錄 ES 事件,這些事件可以輸出到文件����、標準輸出或統一的日志系統����。
Apple 還通過向 ES 框架添加更多 NOTIFY 事件來重申其對第三方安全產品的承諾,并且 ESLogger 支持現在在 macOS Ventura 中可用的所有 80 個 NOTIFY 事件。 ESLogger 為研究人員提供了對安全相關事件的急需且方便的可見性���,而無需部署完整的 ES 客戶端。
通過 DNSSEC 提高 DNS 的安全性
Domain Name System Security Extensions ( DNSSEC ) DNS 安全擴展,是由 IETF 提供的一系列 DNS 安全認證的機制(可參考 RFC2535)����。它提供了一種來源鑒定和數據完整性的擴展���,但不去保障可用性��、加密性和證實域名不存在。
在 macOS 13 中��,蘋果為希望在其應用程序中使用 DNSSEC 和 DNS 與 DDR 的開發者帶來了支持���。正如大多數安全團隊所知道的����,DNS 充滿了漏洞����,因為它很容易被攻擊。這是因為 DNS 既不支持加密��,也不支持授權��,這使得攻擊者有可能進行 DNS 緩存中毒等攻擊��,即攻擊者切換特定網站的真實 DNS 數據,并將客戶端應用程序的請求重定向到攻擊者控制的網站�����。
有了 DNSSEC ( 域名安全 ) �����,開發人員現在可以確保他們的應用程序只與他們應該與之交談的人交談�,而他們收到的數據在此過程中沒有被攔截和更改�����。
根據蘋果公司的說法:
DNSSEC 通過在響應中附加簽名來保護數據完整性���。如果攻擊者修改了響應���,修改后的數據簽名將與原始數據不匹配���。在這種情況下�����,客戶端可以檢測到更改的響應并將其丟棄。
DNSSEC 是由 IETF 創建的規范���。蘋果表示,雖然許多 DNS 服務提供商已經支持它�����,但客戶端支持并不廣泛����。隨著 DNSSEC 現在在 macOS Ventura 和 iOS 16 中都得到支持,人們希望這將加速采用并減少通過該向量的攻擊數量�。
總結
在 macOS 的最新版本中����,蘋果做了一些大膽的安全改進����,總的來說����,這在很大程度上是受歡迎的。其中�,最重要的兩點是 Gatekeeper 現在會檢查之前批準的代碼是否隨后被修改�����,以及當 Login Items, LaunchAgents 或 LaunchDaemons 被添加時���,用戶會收到 UI 通知�����。當然����,惡意軟件還有其他方式可以在 macOS 中持續存在�����,我們相信用不了多久�,惡意軟件開發者就會開始使用新的應對辦法���。
蘋果重申了其對第三方安全工具的承諾��,并將進一步的事件添加到 ES 框架中�,這也是很重要的�����,ESLogger 會幫助研究人員進行調查和惡意軟件分析����。
查看原文
炒出透明蝦仁:將蝦仁放入碗內����,加一點精鹽�、食用堿粉�,用手抓搓一會兒后用清水浸泡��,然后再用清水洗凈����,這樣能使炒出的蝦仁透明如水晶�,爽嫩可口。
免責聲明:本站所有信息均搜集自互聯網���,并不代表本站觀點,本站不對其真實合法性負責��。如有信息侵犯了您的權益��,請告知�����,本站將立刻處理。聯系QQ:1640731186
