Да ли ваш Мац заиста комуницира са компанијом Apple сваки пут када покренете апликацију? Ово питање је постало актуелно након 12. октобра 2020. године, када су Apple сервери радили успорено, што је доводило до тога да је модерним Mac рачунарима било потребно доста времена да отворе апликације. У наставку ћемо објаснити шта се заправо дешава.
Важно је напоменути: Ово се односи и на macOS Big Sur и на macOS Catalina. Успоравања и проблеми у вези са приватношћу нису новина у macOS Big Sur-у.
Разлог потписивања Mac апликација сертификатима програмера
На Mac рачунару, апликације које преузимате, било из Mac App Store-а или са интернета, потписане су сертификатом програмера. Приликом сваког покретања апликације, систем проверава њен сертификат како би потврдио да је апликацију потписао легитимни програмер и да није била предмет промена. Овај механизам помаже у заштити од злонамерног софтвера.
На пример, када Mozilla креира Firefox, она компилује апликацијски фајл и потом га потписује сопственим сертификатом програмера. Ово је начин на који Mozilla доказује да је датотека аутентична и да је она њен творац. Уколико се апликацијски фајл накнадно измени, ваш Mac ће препознати промену.
Ови сертификати су важећи само током одређеног временског периода, који може бити неколико година, али могу бити и превремено „опозивани“. На пример, ако Apple открије да програмер користи свој сертификат за потписивање злонамерних апликација, Apple ће опозвати тај сертификат. Mac рачунари неће покретати апликације са опозваним сертификатом.
Објашњење OCSP протокола: Зашто ваш Mac „зове кући“?
Међутим, како ваш Mac зна да ли је Apple опозвао сертификат повезан са апликацијом на вашем рачунару? За проверу се користи протокол који се назива Online Certificate Status Protocol, или OCSP. Овај протокол се такође користи у веб прегледачима за проверу сертификата веб локација.
Када покренете апликацију, ваш Mac шаље информације о њеном сертификату на Apple сервер, конкретно на ocsp.apple.com. Ваш Mac тражи од сервера да потврди да ли је сертификат опозван. Уколико није, ваш Mac ће покренути апликацију. Ако је сертификат опозван, Mac неће покренути апликацију.
Да ли се ово дешава при сваком покретању апликације?
Ваш Mac памти ове одговоре неко време. До 12. новембра 2020. године, одговори су се чували у кешу пет минута. Дакле, ако сте покренули апликацију, затворили је и поново је покренули у року од четири минута, ваш Mac не би поново тражио потврду сертификата од Apple-а. Међутим, ако сте покренули апликацију, затворили је и поново је покренули шест минута касније, Mac би морао поново да се обрати Apple серверима.
Из неког разлога, могуће због промена у macOS Big Sur, Apple-ов сервер је преоптерећен и значајно је успорен 12. новембра 2020. Одговори су стизали споро, и апликацијама је требало много времена да се покрену јер су Mac рачунари стрпљиво чекали одговор спорог Apple сервера.
Након тог догађаја, Apple-ов OCSP сервер сада даје инструкције Mac рачунарима да памте одговоре о ваљаности сертификата током 12 сати. Ваш Mac ће „телефонирати кући“ и тражити сертификат при сваком покретању апликације, осим ако није добио одговор у последњих 12 сати, када то неће бити потребно. (Информације о временским периодима преузете су од независног програмера апликација Jeffa Johnsona.)
Шта се дешава када је Mac ван мреже?
OCSP провера је осмишљена тако да не успева на дискретан начин. Ако сте ван мреже, ваш Mac ће прескочити проверу и нормално покренути апликације.
Исто важи и ако ваш Mac не може да приступи серверу ocsp.apple.com, на пример ако је адреса сервера блокирана на вашем рутеру. Уколико Mac не може да контактира сервер, прескочиће проверу и одмах покренути апликацију.
Проблем 12. новембра 2020. године је био у томе што су Mac рачунари могли да дођу до Apple сервера, али је сам сервер био спор. Уместо да се дискретно одустане и настави са покретањем апликације, Mac је дуго чекао на одговор. Да је сервер био потпуно искључен, нико не би ни приметио.
Који је ризик по приватност? Шта Apple сазнаје?
Постављено је неколико питања у вези са приватношћу, а хакер и истраживач безбедности Jeffrey Paul је оштро критиковао ову ситуацију.
Сертификати су повезани са апликацијама: Када ваш Mac контактира OCSP сервер, тражи информације о сертификату који је вероватно повезан са одређеном апликацијом или можда са више њих. Технички, ваш Mac не говори Apple-у коју апликацију сте покренули. На пример, ако покренете Firefox, Apple сазнаје само да сте покренули апликацију коју је креирала Mozilla. То може бити Firefox или Thunderbird, али Apple не зна који је од њих у питању. Међутим, уколико покренете апликацију коју је потписао Tor Project, Apple може са великом вероватноћом закључити да сте отворили Tor прегледач.
Захтеви су повезани са IP адресама и временом: Ови захтеви могу бити повезани са датумом, временом и вашом IP адресом. Тако функционише интернет. Ваша IP адреса је повезана са одређеним градом и државом. Сваки OCSP захтев говори Apple-у ко је програмер апликације коју покрећете, вашу приближну локацију и време када сте покренули апликацију.
Недостатак енкрипције омогућава прислушкивање: OCSP протокол није шифрован. Не само Apple добија ове информације, већ их може видети и свако ко се налази у средњем слоју комуникације. Ваш провајдер интернет услуга, мрежни администратор на радном месту или чак обавештајна агенција која надгледа интернет саобраћај могу прислушкивати OCSP саобраћај између вас и Apple-а и сазнати све ове детаље. Ови захтеви пролазе кроз мрежу за дистрибуцију садржаја (CDN) треће стране под називом Akamai, што им убрзава рад, али додаје још једног посредника који технички може прислушкивати.
Важно је напоменути: Ваш Mac не обавештава Apple коју апликацију сте покренули, већ само који је програмер креирао апликацију коју покрећете. Наравно, многи програмери креирају само једну апликацију, па ова техничка разлика често не значи много.
(Подсећамо: захваљујући промени у начину кеширања, ваш Mac више не пита Apple при сваком покретању апликације, већ то ради само сваких 12 сати, уместо на сваких 5 минута.)
Зашто ваш Mac ради на овај начин?
Ово је све у циљу безбедности. Mac је отворенија платформа од iPad-а и iPhone-а. Можете преузимати апликације са било ког места, не само из Apple-овог Mac App Store-а.
У циљу заштите Mac-а од злонамерног софтвера, Apple је увео ову безбедносну проверу. Ако је сертификат који је коришћен за потписивање апликације опозван, ваш Mac може одмах реаговати и одбити да отвори ту апликацију. Ово даје Apple-у могућност да спречи Mac рачунаре да покрећу злонамерне апликације.
Да ли је могуће блокирати OCSP провере?
OCSP провере су дизајниране тако да не успевају брзо и дискретно уколико је Mac ван мреже или не може да контактира сервер ocsp.apple.com.
То их чини лаким за блокирање: само спречите ваш Mac да се повеже са ocsp.apple.com. Ову адресу обично можете блокирати на рутеру, чиме спречавате све уређаје на вашој мрежи да се повезују са њом.
Међутим, чини се да Big Sur више не дозвољава софтверским фајерволима на Mac рачунару да блокирају уграђени процес поверења у приступу удаљеним серверима.
Упозорење: уколико блокирате сервер ocsp.apple.com, ваш Mac неће бити у могућности да примети када је Apple опозвао сертификат неког програмера апликације. Онемогућавате безбедносну функцију и тиме можда доводите свој Mac у опасност.
Шта Apple каже и које промене обећава?
Чини се да је Apple реаговао на критике. Компанија је 16. новембра 2020. године додала информације о „заштити приватности“ за Gatekeeper на својој веб страници.
Прво, Apple тврди да никада није повезивао податке из ових провера сертификата или малвера са било којим другим подацима које Apple зна о вама. Компанија обећава да неће користити ове информације за праћење које апликације појединци покрећу на својим Mac рачунарима.
Друго, Apple инсистира да ове провере сертификата нису повезане са вашим Apple ID-ом или било којим информацијама специфичним за уређај, осим ваше IP адресе. Apple наводи да је престао да евидентира IP адресе повезане са овим захтевима и да ће их уклонити из својих дневника.
Током наредне године, односно до краја 2021, Apple планира да изврши следеће промене:
Заменити OCSP шифрованим протоколом: Apple каже да ће креирати нови шифровани протокол који ће заменити нешифровани OCSP систем за проверу сертификата програмера. Ово ће спречити прислушкивање са стране.
Зауставити успоравања: Apple такође обећава „снажну заштиту од прекида сервера“ – другим речима, апликације се неће споро учитавати услед успоравања сервера.
Омогућити избор корисницима: Apple тврди да ће корисници Mac рачунара моћи да искључе ове безбедносне заштите и спрече свој Mac да проверава да ли има опозваних сертификата програмера.
Све у свему, ове промене ће решити различите проблеме – трећа лица више неће моћи да прислушкују. Mac рачунари ће и даље слати Apple-у информације које он може искористити за праћење које апликације отварате, али Apple обећава да неће повезивати те информације са вама. Успоравања би требало да буду елиминисана јер Apple такође решава проблем перформанси.
Шта ће бити тај побољшани протокол? Apple још није објавио чиме ће заменити OCSP. Према истраживачу безбедности Scott Helme-у, нешто слично CRLite може бити решење. Замислите да ваш Mac може преузети један фајл од Apple-а и редовно га ажурирати. Фајл би садржао компресовану листу свих опозваних сертификата. При сваком покретању апликације, ваш Mac би могао да провери фајл, што би елиминисало мрежне провере и проблеме са приватношћу.
Ваш Mac понекад шаље хеш апликације Apple-у
Повремено, ваш Mac шаље хеш вредности апликација које отварате Apple серверима. Ово се разликује од OCSP провера потписа и повезано је са процесом нотификације у оквиру Gatekeeper-а.
Програмери могу да уплоадују апликације у Apple, који их проверава на присуство малвера и „нотификује“ их ако се чине безбедним. Ове информације о нотификацији могу се уградити у саму апликацију. Уколико програмер не угради информације о нотификацији у апликацију, ваш Mac ће проверити са Apple-овим серверима приликом првог покретања апликације.
Ово се дешава само при првом покретању одређене верзије апликације, а не сваки пут када је отворите. Програмер може елиминисати онлајн проверу уграђивањем нотификације.
Mac није једини систем који има овакве функције. На пример, рачунари са Windows 10 оперативним системом често шаљу информације о апликацијама које преузимате Microsoft-овој услузи SmartScreen ради провере присуства малвера. Антивирусни програми и друге безбедносне апликације такође могу уплоадовати информације о сумњивим апликацијама безбедносним компанијама.