Daniel Hruška K jednej z hlavných funkcií, ktoré zažijú svoju premiéru v chystanom OS X Mountain Lion, patrí Gatekeeper. Jeho účelom je (doslova) strážiť systém a povoliť beh len aplikáciám spĺňajúcim určité kritérium. Je to ideálny spôsob prevencie pred malwarom?
V Mountain Lion je ona „rovina bezpečnosti“ rozdelená do troch úrovní, a síce aplikáciám bude dovolené bežať, pokiaľ budú z
- Mac App Store
- Mac App Store a od známych vývojárov
- ľubovoľného zdroja
Zoberme poporiadku jednotlivé možnosti. Ak sa pozrieme na tú prvú, je logické, že túto cestu si zvolí len veľmi mizivé percento užívateľov. Aj keď je v Mac App Store stále viac a viac aplikácií, zďaleka v ňom nie je taká škála, aby si každý vystačil iba s týmto zdrojom. Či Apple týmto krokom smeruje k postupnému zamykaniu OS X, to je otázka. Do špekulácií sa však radšej púšťať nebudeme.
Ihneď po inštalácii systému je aktívna prostredná možnosť. Ale teraz si môžete klásť otázku, kto to vôbec je známy autor? Ide o niekoho, kto sa zaregistroval u Apple a dostal svoj osobný certifikát (Developer ID), pomocou ktorého môže podpisovať svoje aplikácie. Každý autor, ktorý tak ešte neurobil, má možnosť svoje ID získať pomocou nástroja v Xcode. Samozrejme nikto nie je nútený tento krok urobiť, avšak väčšina vývojárov bude chcieť zaručiť bezproblémový beh svojich aplikácií aj na OS X Mountain Lion. Nikto nechce, aby jeho aplikácia bola systémom odmietnutá.
Teraz je tu otázka, ako sa vôbec dá takáto aplikácia podpísať? Odpoveď v sebe poskytujú pojmy asymetrická kryptografia a elektronický podpis. Najprv si letmo popíšme asymetrickú kryptografiu. Ako už z názvu vyplýva, bude celý proces prebiehať inak ako pri kryptografii symetrickej, kde je na šifrovanie a dešifrovanie použitý jeden a ten istý kľúč. V asymetrickej kryptografii sú potrebné kľúče dva – privátne na šifrovanie a verejný na dešifrovanie. Pojmom kľúč sa rozumie veľmi dlhé číslo, aby jeho uhádnutie „brute force“ metódou, teda postupným skúšaním všetkých možností, trvalo vzhľadom na výpočtový výkon dnešných počítačov neprimerane dlho (desiatky až tisíce rokov). Môžeme baviť o číslach veľkosti typicky 128 bitov a dlhších.
Teraz k zjednodušenému princípu elektronického podpisu. Držiteľ privátneho kľúča ním podpíše svoju aplikáciu. Privátny kľúč musí byť držaný v bezpečí, inak by ktokoľvek iný mohol podpisovať svoje dáta (napr. aplikácie). Pri takto podpísaných dát je s veľmi vysokou pravdepodobnosťou zaručený pôvod a integrita pôvodných dát. Inak povedané – aplikácia pochádza práve od tohto vývojára a nebola ďalej nijako pozmenená. Ako si pôvod dát overím? Pomocou verejného kľúča, ktorý je dostupný komukoľvek.
Čo sa nakoniec stane s aplikáciou nespĺňajúcou podmienky v predchádzajúcich dvoch prípadoch? Okrem toho, že daná aplikácia nebude spustená, vyskočí na užívateľa dialógové okno s varovaním a dvoma tlačidlami – Zrušiť a Zmazať. Docela tvrdá voľba, že? Zároveň však ide do budúcnosti o geniálny ťah Applu. Popularita jablčných počítačov každoročne stúpa, a tak sa aj ony časom stanú cieľom pre škodlivý softvér. Lenže si treba uvedomiť, že záškodníci budú vždy o krok dopredu pred heurestikami a schopnosťami antivírusových balíkov, ktoré navyše spomaľujú počítač. Nie je teda nič jednoduchšie, než povoliť beh iba overeným aplikáciám.
Zatiaľ však bezprostredné riziko nehrozí. V posledných rokoch sa objavilo iba mizivé množstvo malwaru. Potencionálne škodlivé aplikácie dali spočítať na prstoch jednej ruky. OS X stále nie je natoľko rozšírený, aby sa stal primárnym cieľom útočníkov, ktorí mieria skôr do operačných systémov Windows. Nebudeme si nahovárať, že OS X nie je deravý. Je rovnako zraniteľný ako všetky ostatné operačné systémy, preto je lepšie utnúť hrozbu v jej zárodku. Podarí sa tak Applu týmto krokom nadobro odstrániť hrozbu malwaru na jablčných počítačoch? Uvidíme v priebehu nasledujúcich rokov.
Posledná možnosť Gatekeeperu neprináša žiadne obmedzenia, čo sa pôvodu aplikácií týka. Presne takto poznáme (Mac) OS X už cez jednu celú dekádu a ani Mountain Lion na tomto nič meniť nemusí. Budete aj môcť naďalej spúšťať ľubovoľné aplikácie. Nie webu je k nájdeniu veľa výborného open source softvéru, preto by určite bola škoda sa oň pripraviť, avšak za cenu zníženej bezpečnosti a zvýšeného rizika.
