Was bedeutet macOS Big Sur für die Gerätesicherheit

Unter dem neuen Aussehen von macOS Big Sur verbergen sich auch Änderungen in der Sicherheitsarchitektur, die auf denen von Catalina aufbauen:

• Die bestehende Zweiteilung des Startvolumens wird durch einen noch größeren Schutz für das System ergänzt
• Die Notarisierung wird strenger durchgesetzt, ohne die Verwendung von unsigniertem Code zu blockieren
• macOS bewegt sich weg von Erweiterungen, die im Kernel-Space laufen, hin zu Erweiterungen im User-Space, darunter spezielle Endpoint Security Extensions

Sealed System Volume (SSV)

Die größte Einzeländerung in macOS 11 ist das neue Sealed System Volume (SSV), das das in macOS 10.15 eingeführte separate Systemvolume ersetzt. Dies vertieft den Schutz des Systems gegenüber dem bestehenden Read-only-Volumen, das von der Systemintegritätssicherung (SIP) abgedeckt wird.

Während der Installation von macOS werden, sobald das System-Volume installiert ist, kryptografische Hashes für jede Komponente auf diesem Volume berechnet und zu einem Baum (wie ein Merkle-Baum) zusammengesetzt, der in einem einzigen Master-Hash gipfelt, der als Siegel bezeichnet wird. Diese Hashes werden als Metadaten gespeichert und es wird ein Dateisystem-Snapshot des Volumes erstellt. Anstatt das System-Volume wie in Catalina schreibgeschützt zu mounten, wird nur dieser versiegelte Schnappschuss gemountet, wodurch unveränderliche Systemdateien einen weiteren robusten Schutz vor Manipulationen und Fehlern erhalten. Dieser Mechanismus schützt auch vor fehlgeschlagenen System-Updates, deren Seal nicht mit dem vorgeschriebenen übereinstimmt.

Während des frühen Starts prüft macOS Big Sur das Seal des Systems. Ist dieses defekt, bootet das Betriebssystem nicht und muss neu installiert werden. Der Wiederherstellungsmodus bietet eine Option, um diese Prüfung zu deaktivieren, so dass es möglich ist, ein System-Volume anzupassen und es unversiegelt zu starten; das Einrichten ist kompliziert und nicht trivial.

Einmal entsiegelt, können Benutzer das System nicht wieder versiegeln und die einzigen Möglichkeiten, ein versiegeltes System zu erstellen, sind die Verwendung eines macOS Big Sur Installationsprogramms oder Updaters oder mit dem Apple Software-Wiederherstellungsbefehlswerkzeug asr. Frühere Methoden zum Kopieren oder Klonen des Systemvolumens führen nicht mehr zu einem bootfähigen Ergebnis und kompatible Dienstprogramme von Drittanbietern müssen ebenfalls asr verwenden, um erfolgreich zu sein.

macOS Big Sur bietet ein versiegeltes System-Volume, das den Schutz wichtiger Systemdateien über die Reichweite aller aktuellen Malware hinaus erhöht und den entschlossensten Angreifern die Möglichkeit nehmen sollte, sie zu verändern, nachdem das Betriebssystem gebootet hat. Es schützt auch vor versehentlicher Beschädigung und garantiert die Systemintegrität.

Extensions

Veränderbare Systemdateien werden immer noch auf dem beschreibbaren Data-Volume gespeichert und sind weder durch Versiegelung noch durch andere Maßnahmen geschützt, die für den Großteil des Systems gelten. Zu diesen veränderbaren Dateien gehören alle vom Benutzer installierten Kernel-Erweiterungen, von denen einige erwartet hatten, dass sie in macOS Big Sur blockiert würden. Während macOS Big Sur beim Überladen einiger älterer Erweiterungen pingeliger ist, hat Apple ein komplettes Verbot hinausgezögert, um Entwicklern mehr Zeit zu geben, von ihrer Abhängigkeit von Erweiterungen, die im Kernel-Space laufen, zu migrieren und durch Systemerweiterungen im User-Space zu ersetzen.

Erweiterungen werden von Apps benötigt, die Funktionen verändern oder erweitern, die im Kernel und den über 300 Standard-Kernel-Erweiterungen in macOS implementiert sind. Zu den klassischen Zwecken gehören Gerätetreiber zur Unterstützung von Peripheriegeräten, Netzwerküberwachung einschließlich Software-Firewalls, DNS-Proxys und VPN-Clients, Verfolgung von Änderungen im Dateisystem und Unterstützung für zusätzliche Dateisysteme.

Wenn der Kernel und die Kernel-Erweiterungen von Big Sur während des Starts geladen wurden, werden Speicherseiten im Kernel-Space durch die Kernel Integrity Protection (die bereits in iOS verwendet wird) gesperrt, um ihre Änderung zu verhindern. Da Systemerweiterungen im Userspace laufen, ist ihr Zugriff auf den Kernel und seine Funktionen streng kontrolliert. Eine Systemerweiterungsklasse von besonderem Wert für die Sicherheit ist die Endpoint Security Extension, die Ereignisse wie Prozessausführung und Forking, Dateisystemereignisse einschließlich Dateimanipulation, Zugriff auf Dateisystem-Metadaten und die Verbindung von Sockets überwachen und autorisieren kann. Wie alle Systemerweiterungen benötigen diese eine spezielle Berechtigung, die ausschließlich von Apple vergeben wird, und ihre Installation und Kontrolle wird von ihrer Begleit-App verwaltet.

Das Endpoint-Security-Framework erweist sich bereits als wertvoll für die Implementierung proaktiver Sicherheitstools, die nicht auf die Suche nach bekannter Malware angewiesen sind, sondern potenziell bösartiges Verhalten erkennen und verwundbare Teile des Systems überwachen können, die noch auf dem Datenträger installiert werden müssen.

Die Abkehr von Erweiterungen, die im Kernel-Bereich laufen, bringt eine erhebliche Reduzierung der Angriffsfläche mit sich und verbessert die Systemzuverlässigkeit, indem das Risiko von Konflikten mit Kernel-Erweiterungen von Drittanbietern eliminiert wird.

App-Sicherheit

Obwohl sich die Sicherheitsanforderungen für Apps und andere Software von Drittanbietern insgesamt nicht geändert haben, wird die Notarisierung strenger durchgesetzt, wobei Benutzer eine Sequenz von zwei Dialogen aushandeln müssen, bevor neu installierte Apps, die nicht notarisiert sind, geöffnet werden können. In Catalina haben einige Benutzer gelernt, dass das Öffnen einer neuen App im Finder diese App von einem einzigen Dialog aus startet, auch wenn sie nicht notarisiert ist. In macOS Big Sur wird diese Aktion bewusster gemacht, da Benutzer den Befehl Öffnen ein zweites Mal verwenden müssen, bevor sie gefragt werden, ob sie die App trotz fehlender Beglaubigung wirklich ausführen wollen.

Unsignierter Code kann auf Intel-Modellen immer noch ausgeführt werden, aber Apple Silicon Macs verlangen, dass aller ausführbarer Code (außer Skripte) signiert wird. Obwohl, das kann nur mit einer lokal erzeugten Ad-hoc-Signatur sein.

Apples neues Sealed System Volume ist ein großer Schritt vorwärts in der Absicherung des macOS-Systems und hat für einige Anwender erhebliche Konsequenzen. Gepaart mit dem verbesserten Schutz des Kernel-Space durch die Verlagerung von Benutzererweiterungen in den User-Space, macht es macOS 11 deutlich widerstandsfähiger.