Hva er XProtect?
XProtect er Apples innebygde anti-malware-tjeneste — og de fleste Mac-brukere vet ikke engang at den finnes. Det er bevisst: XProtect jobber helt i bakgrunnen, uten brukergrensesnitt, uten varsler, uten at du trenger å konfigurere noe. Teknisk består XProtect av to komponenter. Den første er en signaturbasert skanner som sjekker nedlastede filer og apper mot en database med kjente malware-signaturer. Apple vedlikeholder denne databasen og oppdaterer den jevnlig via vanlige systemoppdateringer — ofte oftere, fordi XProtect-oppdateringer kan distribueres uavhengig av macOS-oppdateringer. Den andre komponenten er XProtect Remediator, som siden macOS Monterey kjører regelmessige skanninger og automatisk fjerner oppdaget malware. Dette skjer vanligvis i bakgrunnen når Mac-en er inaktiv. Du merker det ikke — med mindre XProtect faktisk finner noe. Styrken til XProtect er dens usynlighet. Den bruker knapt ressurser, forstyrrer ikke arbeidsflyten din, og gir likevel et solid grunnlag for beskyttelse mot kjent malware. Apple reagerer raskt på nye trusler og oppdaterer signaturdatabasen fortløpende. Svakheten er ordet „kjent“. XProtect kan bare oppdage malware som Apple allerede har identifisert og lagt inn i databasen. Ny, ukjent malware — såkalt zero-day-trusler — kan gli gjennom, inntil Apple oppdaterer signaturen. I tillegg er XProtect begrenset til klassisk malware: virus, trojanere, ransomware. Det beskytter ikke mot apper som ikke er malware, men som likevel samler inn data og sender det hjem. XProtect sjekker om programvaren er skadelig — ikke om den er pålitelig. Det er et viktig skille.
Hva er Gatekeeper?
Gatekeeper er den andre forsvarslinjen og fungerer etter et annet prinsipp enn XProtect. Mens XProtect skanner etter kjent malware, sjekker Gatekeeper opprinnelse og integritet for programvare. Konseptet er enkelt: Før du åpner en app første gang, sjekker Gatekeeper tre ting. Først: Er appen signert med et gyldig utviklersertifikat? Apple utsteder disse sertifikatene gjennom Developer-programmet, og en signert app kan spores tilbake til utvikleren. For det andre: Er appen notariser av Apple? Mer om det snart. For det tredje: Har appen blitt endret etter signering — for eksempel fordi noen har lagt inn malware? Hvis en app består alle tre sjekkene, åpnes den normalt. Hvis ikke, viser macOS en advarsel. For usignerte apper er advarselen tydelig: „Denne appen kan ikke åpnes fordi den er fra en ukjent utvikler.“ Du kan likevel åpne den — via høyreklikk og „Åpne“ eller via systeminnstillingene — men du må ta et bevisst valg. Gatekeeper beskytter deg mot et vanlig angrepsvektori: manipulerte programmer. Hvis du for eksempel laster ned en populær app fra en uoffisiell kilde, og den har blitt infisert med malware, vil signaturen bli ugyldig, og Gatekeeper vil varsle. Grenser for Gatekeeper: Den sjekker bare ved første oppstart. Hvis en app først blir problematisk etter installasjon — for eksempel via en oppdatering som innfører sporing — vil ikke Gatekeeper oppdage det. Og som XProtect har også Gatekeeper ingen interesse av hva appen gjør etter oppstart. Om en signert, pålitelig app sender data til tredjeparter, er irrelevant for Gatekeeper. Det garanterer opprinnelse, ikke oppførsel.
Hvordan notarering fullfører bildet
Notarisering er Apples tredje sikkerhetslag — og sannsynligvis det minst forståtte. Den fyller et viktig hull mellom XProtect og Gatekeeper. Problemet notarisering løser: Ikke alle apper distribueres via App Store. Mange av de beste Mac-apper — inkludert NetMute — tilbys direkte fra utviklerens nettside. Tidligere kunne enhver utvikler signere en app med et Apple-sertifikat uten at Apple sjekket innholdet. Signeringen bekreftet bare utviklerens identitet, ikke programvarens sikkerhet. Siden macOS Mojave kreves notarisering for alle apper utenfor App Store. Prosessen er slik: Utvikleren laster opp ferdig app til Apples servere. Apple skanner den automatisk for kjent malware, mistenkelige kodekonstruksjoner og usikre praksiser. Hvis den består, utsteder Apple et notariseringsticket, som festes til appen. Når du laster ned og åpner appen, sjekker Gatekeeper dette ticketet. Er det gyldig, åpnes appen uten advarsel. Mangler det, varsler Gatekeeper. Notarisering er ingen garanti for at appen er trygg — Apple sjekker automatisk, ikke manuelt. Men den sikrer at appen i det minste ikke inneholder kjent malware og oppfyller visse sikkerhetsstandarder. Apple kan også etterpå trekke tilbake et notariseringsticket hvis det viser seg at appen er skadelig. Da vil Gatekeeper blokkere appen på alle Mac-er — en fjernkontroll som allerede har blitt brukt flere ganger. Samarbeidet mellom XProtect, Gatekeeper og notarisering utgjør et gjennomtenkt, lagdelt system. XProtect oppdager kjent malware. Gatekeeper sikrer opprinnelse og integritet. Notarisering sjekker programvaren før distribusjon. Samlet gir dette et sterkt grunnlag for beskyttelse. Men alle har de en felles begrensning.
Hva macOS-sikkerhet IKKE dekker
XProtect, Gatekeeper og notarisering har alle noe til felles: De sjekker hva som kommer inn på Mac-en din. Ingen av disse teknologiene tar for seg hva som går ut. Dette er det fundamentale sikkerhetshullet i macOS. Du har installert en verifisert, signert, notarisert app — den er ikke malware, og Apple har sjekket den. Men denne appen kan likevel kjøre i bakgrunnen og sende data til tracking-servere, overføre bruksstatistikker til utvikleren, eller analysere oppførselen din. Fra macOS sitt ståsted er dette lovlig og ikke et sikkerhetsproblem. Her er konkrete scenarier der de innebygde beskyttelsene ikke hjelper: Telemetri og analyse: De fleste apper sender bruksdata til sine utviklere. Noen kan du deaktivere i innstillingene, andre ikke. macOS hindrer dem ikke. Og selv om du deaktiverer det, er det ingen garanti for at appen faktisk slutter å sende data. Tredjeparts SDK-er: Mange apper inkluderer analyse-SDK-er fra selskaper som Mixpanel, Amplitude eller Firebase. Disse samler inn data om hvordan du bruker appen — klikk, tid brukt, funksjonsbruk — og sender det til serverne til SDK-leverandøren. Appen i seg selv kan være harmløs, men SDK-en er en datamaskin. Oppførsel etter installasjon: Gatekeeper sjekker bare ved første oppstart. Hva som skjer etterpå, er opp til appen. En app kan endre seg via oppdateringer — legge inn ny sporing, opprette nye forbindelser, samle inn mer data. Ingen innebygd macOS-funksjon overvåker dette. Nettverksforbindelser uten DNS: Noen apper kobler direkte via IP-adresser, uten å bruke DNS. Selv om du bruker DNS-blokker, vil disse forbindelsene gli forbi. macOS beskytter deg utmerket mot å installere skadelig programvare. Men den gir null innsikt i hva dine legitime apper gjør i nettverket.
Lukk hullene — kontroll over utgående trafikk
Du vet nå hva macOS er godt for — og hvor det stopper. Det neste spørsmålet: Hvordan lukker du hullene? Svaret er en app-brannmur som overvåker utgående nettverkstrafikk og gir deg kontroll. Ikke den innebygde macOS-brannmuren — den blokkerer bare innkommende tilkoblinger og er ubrukelig for dette formålet. Du trenger noe som overvåker utgående forbindelser. NetMute er utviklet nettopp for dette. Appen kjører på Mac-en din og viser i sanntid hvilke apper som oppretter forbindelser: Hvilken app, til hvilken server, via hvilket protokoll. Du ser umiddelbart hvis en notat-app i bakgrunnen kontakter en analyse-server, eller hvis et bildebehandlingsprogram sender data til en ukjent destinasjon. Prinsippet er enkelt: Som standard er alt tillatt ut. Når du ser en forbindelse du ikke vil ha, blokkerer du den med ett klikk. NetMute husker valget ditt, og neste gang blokkeres forbindelsen automatisk. Ingen regler å konfigurere, ingen IP-adresser å slå opp, ingen kryptiske innstillinger. Hvorfor er dette viktig? Fordi det er den eneste lagdelingen som viser deg hva som skjer etter installasjon. XProtect sjekker mot malware. Gatekeeper sjekker signatur. Notarisering sjekker før distribusjon. Men ingen overvåker hva appene gjør hver dag i bakgrunnen. Det gjør NetMute. Noen eksempler: Du vil bli overrasket over hvor mange apper som regelmessig oppretter forbindelser til servere som ikke har noe med kjernen å gjøre. Tekstredigerere som sender analyse. PDF-lesere som laster inn sporing-piksler. Kalkulator-apper som kontakter reklamenettverk. NetMute koster én gang €9,99 på netmute.com — ingen abonnement, ingen skytjenester, ingen datainnsamling. Appen utfyller de innebygde macOS-sikkerhetsmekanismene perfekt: Apple sørger for at ingenting skadelig kommer inn. NetMute sørger for at ingenting uønsket går ut.