I Mac hanno bisogno dell’antivirus?
Questa è una delle classiche domande alle quali si risponde spesso in maniera approssimativa. Ed il bello è che si risponde sempre in maniera diversa.
È il momento di fare chiarezza con argomentazioni solide e verificate come è tradizione di questo sito.
Se volete una risposta immediata potete saltare al capitolo delle conclusioni, ma io vi consiglio di leggere anche i paragrafi che seguono: si tratta di informazioni che ogni buon utente Mac dovrebbe conoscere.
- XProtect, l’antivirus nascosto in MacOS
- GateKeeper, il buttafuori per le App non certificate
- Tecniche di protezione ulteriori
- Con Safari navighi in acque sicure
- Conclusioni
- XProtect, l’antivirus nascosto in MacOS
Partiamo col dire che MacOS l’antivirus ce l’ha e si chiama XProtect. XProtect non è in alcun modo gestibile dall’utente, che non può disattivarlo o modificarne il funzionamento. Si tratta, in buona sostanza, di un antivirus basico, che non effettua un controllo di tipo euristico – ne’ statico ne’ dinamico – sulle azioni compiute dai programmi per capire se sono malware. In pratica, XProtect non decompila il codice del software scaricato confrontandolo con quello dei virus conosciuti e non effettua l’analisi del comportamento del codice scaricato in una sand box per vedere se le azioni che il software compie sono quelle tipiche dei malware; semplicemente confronta i programmi scaricati con le firme che identificano il codice malevolo contenute nel suo database situato al percorso /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist che viene aggiornato in maniera silente ogni volta che vengono identificate nuove minacce. L’unico controllo a disposizione dell’utente si trova in Preferenze di Sistema->Aggiornamento Software->Avanzate e permette di evitare di scaricare ed installare gli aggiornamenti di sicurezza, un’opzione da sconsigliare assolutamente.Si può affermare, quindi, che XProtect garantisce una protezione di base dalle minacce conosciute, ma risulta poco efficace nella protezione contro le minacce non ancora diffuse ed analizzate: i cosiddetti exploit zero-day.
- GateKeeper, il buttafuori per le App non certificate
Un altro sistema di sicurezza integrato in MacOs è GateKeeper che garantisce che il software istallato sul Mac provenga da una fonte certa: il MacApp Store o uno sviluppatore certificato.
Per regolarne il funzionamento si deve andare in Preferenze di Sistema->Sicurezza e privacy.La sezione che governa il funzionamento di GateKeeper è quella in basso: “Consenti app scaricate da:”. Di default è impostato solo l’App Store, ma consentire l’installazione di App da sviluppatori identificati non diminuisce in maniera significativa il livello di sicurezza. Il problema sorge quando si installano applicazioni provenienti da sviluppatori sconosciuti, cosa possibile cliccando col tasto destro sull’applicazione dopo averla scaricata e scegliendo Apri dal menu contestuale. In questo caso il sistema ci avvertirà del fatto che l’app proviene da uno sviluppatore non certificato ma ci darà l’opportunità di aprirla ugualmente.
Naturalmente l’App in questione verrà sottoposta al vaglio di XProtect, che se la riterrà pericolosa ne bloccherà l’esecuzione.
Chiaramente Gatekeeper è disattivabile. Con le versioni precedenti per farlo si utilizzava una terza opzione nel pannello delle preferenze che abbiamo appena visto, ora si deve digitare un comando specifico da terminale: sudo spctl –master-disable
una cosa da evitare assolutamente, a meno che in si sia sviluppatori o ricercatori che stanno testando il funzionamento di un’applicazione. - Tecniche di protezione ulteriori
Ci sono altre tecniche che MacOs utilizzaper proteggere il sistema alle quali daremo un’occhiata ma che meriterebbero approfondimenti che sono fuori dalla portata di questo articolo:- La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi), rendendo casuale l’indirizzo delle funzioni di libreria, previene attacchi informatici portati a segno utilizzando le tecniche di buffer overrun e exploit che hanno bisogno d i conoscere con esattezza gli indirizzi delle funzioni del sistema operativo che attaccano.
- L’EDB (execute Disable Bit) è una caratteristica dei sistemi basati su architettura Intel che, permettendo al processore di identificare delle aree di memoria nelle quali nessun programma può utente può esssere eseguito, aiuta a limitare l’esposizioene del sistema a virus e codice malevolo.
- Il SIP(System Integrity Protection) utilizzato a partire da OS X 10.11 El Capitan, ha introdotto una funzione di sicurezza che evita la cosiddetta escalation dei privilegi. Con questa funzione vengono limitati i privilegi di root per quanto riguarda l’accesso alle aree del sistema sulle quali l’utente amministra non ha bisogno di intervenire. Questo concetto è stato ribadito con forza ancora maggiore con MacOS Catalina che addirittura sposta i file di sistema in una partizione di sola lettura. Naturalmente il web è pieno di guide che spiegano come bypassare anche questa limitazione: se proprio dovete farlo, fatelo con coscienza.
- Con Safari navighi in acque sicure
A meno che non abbiate assoluta necessità di utilizzare un altro browser web, usate Safari. È logico pensare che nessuno possa creare un browser per Mac più sicuro di chi ha ideato il suo sistema operativo. Safari ha una gestione eccellente delle password che utilizza il favoloso Portachiavi Apple, blocca i siti fraudolenti conosciuti e tutela la privacy dell’utente limitando l’accesso ai suoi dati personali. Non c’è nessuna ragione per utilizzare un browser di terze parti. - Conclusioni
Alla fine, dopo tutte queste elucubrazioni i Mac hanno bisogno dell’antivirus?
Se siete i soli ad utilizzare il vostro Mac, utilizzate App provenienti dall’App Store o da sviluppatori identificati da Apple, non utilizzate programmi craccati, navigate su siti “normali” utilizzando Safari, fate backup regolari con Time Machine e, soprattutto, avete una buona padronanza nell’utilizzo di MacOS, potete fare a meno dell’antivirus o affidarvi a soluzioni come la versione gratuita di BitDefender, che effettua a richiesta una scansione del sistema senza attivarsi in tempo reale.
Se invece non siete gli unici utilizzatori del computer, il Mac viene utilizzato in ambito aziendale, utilizzate software contraffatto o proveniente da sviluppatori non certificati, navigate in cattive acque con browser di terze parti, magari con l’odiato flash attivo, prendete in seria considerazione l’utilizzo di un buon programma antivirus: in questo caso consiglierei la versione a pagamento di BitDefender con attivo il controllo in tempo reale.
Claudio Di Tursi
Se questo articolo vi è piaciuto, considerate l’idea di supportare ApplePhilosiphy iscrivendovi alla pagina Facebook e facendo acquisti su Amazon partendo dai banner e dai link presenti nei post. Tutto questo non vi costerà nulla ma ci aiuterà a mantenere attivo questo sito.