Principale Altro Come l'NSA mette a prova di ficcanaso i suoi Mac
Altro

Come l'NSA mette a prova di ficcanaso i suoi Mac

ComeTabletS 5 settembre 2013 20:30 PDT

Il NSA (l'Agenzia per la sicurezza nazionale, o, come alcuni preferiscono, Nessuna agenzia del genere ) si è ritrovato sotto i riflettori ultimamente, in gran parte a causa di fughe di notizie dall'ex appaltatore Edward Snowden . Ma sebbene l'agenzia sia stata nei guai a causa di chi ha spiato, curiosare non è l'unico lavoro dell'agenzia. La NSA svolge anche un ruolo importante nell'aiutare il resto del governo a proteggere i propri computer da aggressori esterni.

come eliminare mackeeper pop-up

Nel 2010 la NSA ha pubblicato Suggerimenti per l'indurimento per Mac OS X 10.6 'Snow Leopard' (PDF), un breve opuscolo di due pagine che raccomanda una serie di precauzioni di sicurezza. L'agenzia non ha aggiornato quell'opuscolo per le versioni più recenti di OS X, quindi ho pensato di farlo al posto dell'agenzia.

In pratica, queste precauzioni sarebbero degradare seriamente l'esperienza utente del Mac per chi li ha implementati tutti. Quindi, mentre stavo aggiornando i consigli della NSA per OS X 10.8, ho deciso di aggiungere una piccola guida su quanto dolore potrebbero causare alcuni di questi suggerimenti. Di certo non uso tutti questi trucchi da solo. Ma sono ancora buoni a sapersi.



(Farò riferimento all'opuscolo in tutto, quindi dovresti scaricarlo prima di andare oltre. Inoltre, un promemoria: quando si modificano alcuni elementi delle Preferenze di Sistema, è necessario fare clic sull'icona del lucchetto nell'angolo in basso a sinistra e inserire una password di amministratore.)

Non navigare o leggere la posta utilizzando un account amministratore

E-mail e siti Web sono i principali modi in cui gli aggressori possono compromettere il tuo Mac. Se controlli la posta o navighi sul Web mentre utilizzi un account amministratore, riduci il numero di ostacoli che gli intrusi devono superare per controllare completamente il tuo Mac. È meglio creare un account utente standard per l'uso quotidiano e accedere come amministratore solo quando è assolutamente necessario. Farlo è facile e non degrada davvero la tua esperienza utente.

Usa aggiornamento software

L'NSA spiega come aggiornare il software sia automaticamente che manualmente, ma dovresti attenerti al metodo automatico. Vai a Preferenze di Sistema > Aggiornamento Software e controlla Controlla automaticamente gli aggiornamenti , Scarica i nuovi aggiornamenti disponibili in background , e Installa i file di dati di sistema e gli aggiornamenti di sicurezza . (Quest'ultimo aggiorna la lista nera del malware di OS X, la lista nera del browser e alcuni altri file che ti proteggono senza modificare il tuo sistema.)

A partire dalla 10.8, gli aggiornamenti vengono ora visualizzati nel Mac App Store; vedrai apparire un banner del Centro notifiche quando è disponibile un aggiornamento. Non puoi più controllare la pianificazione degli aggiornamenti. (È settimanale.)

Impostazioni dell 'account

Questi elementi ora si trovano sotto Preferenze di Sistema > Utenti e Gruppi .

Disabilita l'accesso automatico e gli elenchi di utenti: Apri il Opzioni di accesso sezione (in fondo all'elenco degli utenti) e impostare Accesso automatico a Spento . Quindi impostare Visualizza la finestra di accesso come a Nome e password . Questa disposizione ti obbliga ad accedere al tuo computer e obbliga chiunque lo faccia a conoscere il tuo nome utente, non solo a selezionarlo da un elenco.

Disabilita i suggerimenti per la password: Sempre nel riquadro Opzioni di accesso, deselezionare Mostra suggerimenti per la password .

Disabilita account ospite e condivisione: Seleziona l'account ospite e deseleziona entrambi Consenti agli ospiti di accedere a questo computer e Consenti agli ospiti di connettersi alle cartelle condivise . Se vuoi davvero consentire agli ospiti di accedere, abilita l'account e controlla Abilita il controllo genitori . Da lì, fai clic su Apri il Controllo genitori pulsante e spunta Limitare le applicazioni ; puoi quindi bloccare l'ospite in modo che utilizzi solo poche app, anche solo un browser Web. Se segui i consigli più avanti in questo articolo e abiliti FileVault per la crittografia, gli ospiti potranno solo accedere e utilizzare Safari e non potranno mai vedere nessuno dei tuoi dati.

Se decidi di abilitare l'account ospite, assicurati che non possa fare molto.

Disabilita la reimpostazione della password dell'ID Apple: Torna nel pannello principale Utenti e gruppi, deseleziona Consenti all'utente di reimpostare la password utilizzando l'ID Apple per tutti i tuoi account. Se mantieni un account amministratore separato da quello standard giornaliero, va bene disabilitare questa opzione per quell'account amministratore e mantenerla attiva per quello standard. Se non hai selezionato questa opzione e se qualcuno dovesse ottenere il tuo ID Apple, gli darebbe anche l'accesso al tuo computer e la potenziale capacità di bloccarti. E sì, se perdi la password potresti essere bloccato fuori dal tuo Mac, quindi... non farlo.

Impostazioni di sicurezza

Questo riquadro si trova in Preferenze di Sistema > Sicurezza e Privacy, e Apple ha apportato un sacco di modifiche dal rilascio della guida NSA. Ecco le impostazioni consigliate, organizzate per scheda.

Generale: Dai un'occhiata Richiedi la password dopo l'inizio della sospensione o dello screen saver e impostalo per subito . Quindi controlla Disabilita l'accesso automatico . Quindi, abilita Gatekeeper selezionando Mac App Store e sviluppatori identificati nella sezione 'Consenti applicazioni scaricate da'; per una sicurezza ancora maggiore, scegli Mac App Store . (Puoi comunque installare altre applicazioni scaricate facendo clic su di esse tenendo premuto Comando e selezionando Aprire .) Infine, fai clic su Avanzate pulsante e deselezionare Aggiorna automaticamente l'elenco dei download sicuri, un elenco di app che Apple ritiene sicure. (Quando sei l'NSA, niente è al sicuro.)

Non devi essere una spia per volere che il tuo Mac richieda una password immediatamente al risveglio dalla sospensione.

quali canali ottieni con Apple TV?

File Vault: FileVault 2 è di gran lunga migliore del FileVault originale e lo consiglio con un grande avvertimento: devi mantenere backup davvero buoni. Per abilitarlo, fare clic su Attiva FileVault . Quindi seleziona gli account utente a cui desideri consentire l'accesso al computer quando il disco è bloccato (questo dovrebbe essere il tuo account amministratore, il tuo account standard e qualsiasi altro utente che potrebbe aver bisogno di avviare il Mac). Allora assicurati di annotare la chiave di ripristino visualizzata . Questo è l'unico modo per tornare al tuo Mac se dimentichi la password. Se perdi sia la password che la chiave di ripristino, il gioco è finito per te e il tuo Mac.

Nella schermata successiva, seleziona Non memorizzare la chiave di ripristino con Apple per la massima sicurezza. Apple non può leggere la tua chiave senza che tu fornisca risposte a una serie di domande, ma un utente malintenzionato potrebbe potenzialmente capire quelle risposte. Infine, fai clic su Ricomincia nell'ultima schermata. Il tuo Mac inizierà a crittografarsi in background dopo un riavvio; puoi ancora usarlo mentre lo fa.

Non sorprende che la NSA favorisca fortemente i firewall.

Firewall: Clic Attiva firewall . poi apri Opzioni firewall e controlla Blocca tutte le connessioni in entrata e Abilita la modalità invisibile, e deseleziona Consenti automaticamente al software firmato di ricevere connessioni in entrata . Successivamente, trascorri il resto della giornata approvando tutte le richieste di connessione di rete.

Privacy: Apri Servizi di localizzazione e deseleziona Abilita i servizi di localizzazione . Apri Diagnostica e utilizzo e deseleziona Invia dati diagnostici e di utilizzo ad Apple .

iCloud

La sincronizzazione di iCloud in sé è un rischio minore (a meno che tu non sia preoccupato che il tuo collega della NSA abbia citato in giudizio la tua email). Ma almeno disabilita Torna al mio Mac e Trova il mio Mac, per evitare che qualcuno possa accedere o cancellare il tuo Mac se ottiene l'accesso al tuo account iCloud.

Permessi della cartella Home

L'elemento della riga di comando consigliato dalla NSA blocca una cartella da altri utenti standard, ma non da account amministratore; funziona ancora.

come funziona apple tv plus?

Password del firmware

Le istruzioni della NSA nell'opuscolo non funzionano più. Invece, avvia il tuo Mac nella partizione di ripristino premendo Comando-R mentre il tuo Mac si sta avviando. Quindi selezionare Utilità > Utilità password firmware e impostare la password. Ne avrai bisogno ogni volta che avvii in modalità di ripristino o da un'unità esterna.

Disattiva IPv6 e AirPort quando non sono necessari

In Mountain Lion, queste opzioni sono ancora disponibili Preferenze di Sistema > Rete, ma altre cose si sono spostate e sono disponibili alcune nuove opzioni.

Il tuo AirPort ora è semplicemente chiamato 'Wi-Fi' sullo schermo; lo disabiliti facendo clic sull'icona a forma di ingranaggio in basso a sinistra e selezionando Rendi il servizio inattivo , o facendo clic su Disattiva Wi-Fi quando il servizio è selezionato. Quindi, apri il Avanzate opzioni e deselezionare Ricorda le reti a cui ha aderito questo computer in modo che il tuo Mac non cerchi reti note e non perda informazioni. Puoi anche richiedere l'autorizzazione dell'amministratore per gestire le connessioni Wi-Fi.

Per disabilitare IPv6 per le interfacce, apri il Avanzate opzioni e set Configura IPv6 a Solo link locale .

Servizi non necessari

Avvertenza: seguire questi consigli della NSA altererà seriamente la funzionalità del tuo Mac.

iSight non ha più un LaunchDaemon, ma puoi disabilitarlo o abilitarlo usando questo AppleScript . Il servizio denominato com.apple.RemoteUI.plist non è più utilizzato. Il resto dovrebbe funzionare come elencato.

Lo script iSight Disabler significa che non devi registrare sulla videocamera.

Sarei nervoso nel disabilitare i servizi di sistema che non presentano rischi noti, quindi non ne ho da aggiungere all'elenco della NSA.

come impostare la condivisione della famiglia su iPhone

Disabilita i binari setuid e setgid

Modifica |_+_| e |_+_| è un altro suggerimento a cui devi prestare molta attenzione, poiché seguire questo consiglio interromperà la funzionalità. Tuttavia, l'elenco fornito dalla guida NSA è un buon punto di partenza e puoi sempre annullare le modifiche.

Per ottenere un elenco corretto di tutti i binari setuid, aggiornare le righe di comando suggerite a:

setuid

e

setgid

Questi comandi produrranno un lungo elenco di applicazioni, non tutte richiedono autorizzazioni di root, wheel o amministratore. (Tutti e tre sono a livello di amministratore.) Poiché non sei più regolarmente in esecuzione come utente amministratore, la modifica di questi elementi potrebbe interrompere le applicazioni che utilizzi, ma puoi cambiarli di nuovo. (Sto ancora cercando di capire perché la mia obsoleta applicazione Logitech Harmony Remote necessita dei privilegi di root.)

come trasferire foto da iphone a computer imac

Configura e usa entrambi i firewall

Apple include ancora |_+_| con OS X, ma a partire dalla 10.7 è passato a |_+_| come opzione principale quando si desidera più del firewall dell'applicazione predefinito. Da |_+_| ha più funzionalità, dovresti passare a quello; Puoi usare Icefloor per un front-end grafico con alcune regole consigliate .

Disattiva i dispositivi Bluetooth e AirPort

La disabilitazione del Wi-Fi potrebbe essere un po' più estrema di quanto l'utente medio vorrebbe.

L'NSA ovviamente si preoccupa delle connessioni wireless. I suggerimenti dell'agenzia funzionano ancora, ma consiglierei invece di disabilitare Wi-Fi e Bluetooth in Preferenze di Sistema. E, è ovvio, ma non provare questo passaggio se stai utilizzando una tastiera e un mouse Bluetooth.

Disattiva iSight e ingresso audio

Per il tuo iSight, la cosa migliore da fare è metterci sopra del nastro adesivo. (Inoltre, sai già come disabilitarlo nel software.) Il consiglio dell'NSA per l'audio funziona ancora, ma se lo segui l'NSA non sarà in grado di ascoltare le tue conversazioni, quindi sono sicuro che l'NSA non vorrebbe tu per farlo.

Safari

Sotto Safari > Preferenze, puoi ancora deselezionare Apri i file sicuri dopo il download . Quindi fare clic su Sicurezza tab e deselezionare Consenti Java . Per maggiore sicurezza, puoi anche deselezionare Consenti tutti gli altri plug-in , ma altri siti potrebbero non funzionare correttamente.

Ti suggerirei anche io disinstallare Adobe Flash e scarica il Google Chrome browser. Chrome include il proprio lettore Flash in modalità sandbox, quindi puoi utilizzare i siti abilitati per Flash con meno rischi.

Arrivederci Ciao!

Questo suggerimento funziona ancora come suggerisce l'NSA e, se lo segui, non devi più preoccuparti che nessuno veda la tua libreria di iTunes quando ti connetti a una rete di hotel.

La maggior parte dei consigli di sicurezza Snow Leopard della NSA funzionano ancora a Mountain Lion, ma be molto attenzione una volta apportate modifiche al di fuori delle Preferenze di Sistema. Sul serio, sei stato avvertito.