Digital News

Come disattivare tutte le protezioni di macOS: perché farlo e perché è pericoloso farlo

Apple integra una sterminata serie di tecnologie evolute che lavorano insieme per rendere le app ancora più sicure, salvaguardare i dati e tutelare l’utente quando naviga sul web. Protezioni specifiche lavorano in profondità nel Mac per tenere al sicuro il computer dai malware e tecnologie come XD (Execute Disable), ASLR (Address Space Layout Randomization) e SIP (System Integrity Protection) ostacolano l’esecuzione dei malware e garantiscono che i processi con permessi root non possano modificare i file di sistema critici. Al primo avvio di un’app il Gatekeeper esegue controlli per escludere la presenza di codice dannoso già noto, le varie app devono ottenere il nostro permesso prima di accedere ai file che si trovano nelle cartelle Documenti, Download e Scrivania, oppure su iCloud Drive e sui volumi esterni.
Queste e altre protezioni sono cresciute con le ultime versioni di macOS. La maggiorparte degli utenti non deve modificare nulla ma gli utenti più esperti potrebbero invece avere bisogno di accesso a determinate aree di sistema non più accessibili, per installare ad esempio vecchi driver, consentire l’esecuzione di software non aggiornati e cosi via. Il francese Journaldulapin riporta una serie di comandi che è possibile seguire per disattivare le protezioni più importanti sul Mac e consentire l’esecuzione di applicazioni non firmate e attività in aree non accessibili di sistema. Il consiglio è ovviamente di eseguire questi comandi solo e soltanto se sapete quello che state facendo.

Disabilitare il Gatekeeper

Nella sezione “Generali” della voce “Sicurezza e Privacy” nelle Preferenze di Sistema delle vecchie versioni di macOS era possibile decidere per quali applicazioni consentire l’esecuzione: da Mac App Store, da “Mac App Store e sviluppatori certificati” per avviare quelle dello store e degli sviluppatori identificati da Apple e “Dovunque” in altre parole la possibilità di aprire qualsiasi app, indipendentemente dalla sua provenienza. Quest’ultima opzione è scomparsa nelle versioni più recenti di macOS ma il Gatekeeper di macOS può essere impostato per consentire sempre e comunque l’esecuzione di app non firmate, mediante un comando tramite riga di comando del Terminale, eseguito come amministratore:
sudo spctl –master-disable
Dopo l’esecuzione di questo comando verrà richiesta la password dell’utente amministratore che dobbiamo inserire per abilitare la modifica. A questo punto basterà chiudere e riaprire le Preferenze di Sistema per vedere ricomparire l’opzione “Ovunque” nella sezione “Consenti app scaricate da” in “Sicurezza e Privacy”.
Tecnicamente il comando spctl (SecAssessment system policy security) modifica il comportamento del sottosistema che si occupa di gestire e tenere conto di regole per l’installazione, l’esecuzione e altre operazioni sui file che interagiscono con il sistema.
Ovviamente il comando da Terminale per ripristinare le preferenze come da default, è:
sudo spctl –master-enable
Il nostro consiglio è di lasciare l’opzione su “App Store e sviluppatori identificati” proteggendo in questo modo il Mac dai malware consentendo solo le app che provengono da App Store e sviluppatori riconosciuti e certificati da Apple.

Disabilitare SIP

SIP è l’acronimo di System Integrity Protection. Apple spiega che la protezione dell’integrità di sistema è una tecnologia di sicurezza progettata per impedire ai software potenzialmente pericolosi di modificare le cartelle e i file protetti sul Mac. La protezione dell’integrità di sistema limita l’account utente root e le azioni che l’utente root può eseguire sulle parti protette del sistema operativo Mac.
Prima della protezione dell’integrità di sistema, l’utente root non aveva alcuna limitazione sui permessi e poteva pertanto accedere a qualsiasi cartella di sistema o app presente sul Mac. Il software otteneva l’accesso al livello root quando l’utente immetteva nome e password di amministratore per eseguire l’installazione del software. Ciò consentiva al software di modificare o sovrascrivere qualsiasi file di sistema o app.
La protezione dell’integrità di sistema è progettata per consentire le modifiche di parti del sistema protette solo dai processi firmati da Apple che dispongono di speciali diritti di scrittura sui file di sistema, come gli aggiornamenti software e i programmi di installazione Apple.
È possibile disattivare la  System Integrity Protection con un comando da Terminale (da richiamare dopo aver avviato il Mac dalla partizione di recovering):
csrutil disable
Disabilitando la SIP, non è più possibile eseguire le app per iPhone e Mac sui Mac con macOS Big Sur con chip M1.
 
Quando apriamo per la prima volta un’app scaricata dal web, Gatekeeper sul Mac la controlla per escludere la presenza di codice dannoso già noto. In caso di problemi con un’app, Apple può impedire che venga installata di nuovo e anche bloccarne l’avvio.

Disattivare SKEL

Per migliorare la sicurezza del sistema operativo, da macOS High Sierra 10.13 Apple ha previsto una funzionalità denominata, Secure kernel Extension Loading (SKEL). La funzionalità richiede il consenso dell’utente finale per caricare eventuali estensioni di kernel di terze parti installate dopo l’installazione di macOS High Sierra e seguenti. A causa di SKEL, non è consentito il caricamento di estensioni non firmate senza il consenso dell’utente finale. Se per qualche motivo è necessario disattivare il meccanismo di  Secure Kernel Extension, il comando è il seguente:
spctl kext-consent disable
 

Disabilitare il meccanismo di convalida di accesso alla libreria

È un meccanismo di protezione recente.  Apple impedisce il caricamento di librerie non firmate. Se per qualche motivo è necessario consentire il caricamento, il comando da digitare nel Terminale è il seguente:
sudo defaults write /Library/Preferences/com.apple.security.libraryvalidation.plist DisableLibraryValidation -bool true
 

Disabilitare AMFI

Apple Mobile File Integrity (AMFI) è un processo che si occupa di verificare l’integrità dei dati e delle applicazioni. Per disabilitare questo meccanismo di autorizzazione bisogna passare ancora una volta dal Terminale avviato dalla partizione di recovering dei macOS. Il comando è il seguente:
vram boot-args=”amfi_get_out_of_my_way=0x1″

Disabilitare SVV

Con macOS Big Sur, Apple ha predisposto il sistema operativo in una partizione a sola lettura. Tutto il sistema è firmato e non può essere modificato. Se per qualche motivo è necessario apportare modifiche è possibile disabilitare l’ SSV ( Signed System Volume ). Per farlo, ancora una volta bisogna avviare il sistema dalla partizione di recovering e digitare questo comando:
csrutil authenticated-root disable
 
Il comando in questione disattiva la cifratura del volume, “monta” il volume di sistema ed effettua la modifica. Per rendere il volume avviabile (qui i dettagli tecnici) è necessaria una “sanificazione” con un comando del tipo:
sudo bless –folder /[mountpath]/System/Library/CoreServices –bootefi –create-snapshot
Ribadiamo ancora una volta che è bene NON modificare il comportamento standard di sistema. macOS è sicuro sin dalle fondamenta e non c’è bisogno di modificare nulla se i software che utilizzate sono aggiornati. Prima di mettervi a fare modifiche che potrebbero ridurre la sicurezza del sistema, mettevi in contatto con gli sviluppatori del software/driver da utilizzare per capire se è disponibile una versione aggiornata, compatibile con i meccanismi di sicurezza delle ultime versioni di macOS. A questo indirizzo un nostro articolo con dettagli sui vari meccanismi di protezione intrinseci di macOS.
leggi articolo completocliccando qui


Articolo Originale di , pubblicato e leggibile in originale a questo indirizzo e qui citato a fini di diffusione. Tutti i diritti sono riservati all’autore e alla testata di riferimento.

Show More
Back to top button