Oggi analizziamo uno degli strumenti principali con cui Apple protegge il nostro Mac, si chiama XProtect ed è un primo importante filtro di sicurezza per OS X.
Per avere una panoramica completa delle impostazioni di sicurezza presenti sul Mac, guarda la nostra guida completa.
Negli ultimi mesi Apple ha bloccato le versioni insicure di Java e Flash per i sistemi OS X, per questo le vecchie versioni di Java e Flash improvvisamente non funzionano più. Talvolta lo sviluppatore del software deve comunque rilasciare un bugfix, e l’utente deve aggiornare alla versione più recente il software utilizzato.
La quarantena dei file è una caratteristica introdotta in Snow Leopard: quando si scarica un file potenzialmente pericoloso utilizzando un’applicazione come un browser o la mail, il sistema operativo vi avviserà e chiederà se si vuole veramente aprirlo. In Snow Leopard la quarantena è stata ampliata per verificare la presenza di trojan grazie alla tecnologia XProtect per la scansione del malware conosciuto. L’elenco dei trojan riconosciuti è stato ampliato molte volte e nuove definizioni di malware vengono scaricate ogni giorno se disponibili. Se si tenta di aprire un file in quarantena che è in realtà un trojan si otterrà un avviso.
Cos’è e come funziona XProtect
Ecco una panoramica di questo meccanismo di protezione.
XProtect controlla ogni download di file potenzialmente dannosi, le definizioni del malware sono aggiornate con il normale aggiornamento del software di sistema OS X. Recentemente Apple ha rilasciato un aggiornamento per il framework XProtect in modo che possa controllare gli aggiornamenti direttamente su se stesso, in questo modo Apple può reagire più velocemente alle potenziale minacce: quando si diffonde il malware il tempo di reazione (come per gli antivirus) è fondamentale.
Questo meccanismo è controllato con il file XProtect.plist. che si trova nella seguente posizione:
Sistema > Libreria > CoreServices > CoreType.bundle > Contenuti > Risorse.Qui potete anche vedere il file XProtect.meta.plist, in questo file è possibile trovare il numero di versione, questa viene utilizzata per verificare se è necessario un aggiornamento . Qui potete trovare anche se un software è stato bloccato e messo in quarantena.
Quando si apre il file XProtect.meta.plist con un editor di testo è possibile modificare il valore di stringa di un software bloccato in modo che le versioni precedenti del software siao utilizzabili. Tenete a mente che se un file è bloccato c’è probabilmente un buon motivo.
E’ possibile attivare la funzionalità di aggiornamento automatico di XProtect andando nel seguente percorso:Preferenze > Sicurezza > Generale > Avanzate. Qui si può scegliere di attivare la funzione di aggiornamento automatico. Se si vuole forzare un aggiornamento manuale delle definizioni è possibile eseguire il seguente comando in un terminale:
sudo launchctl com.apple.xprotectupdater.
Apple ha fatto diversi passi avanti e ha migliorato XProtect dopo i recenti casi di malware piuttosto diffusi, ma è necessario ricordare il fatto che non è un sostituto di un buon antivirus.
Specialmente quando si usano programmi peer-to-peer, file sharing e torrent, che sono uno dei più grandi vettori per malware, vi consiglio vivamente di testare la funzione di quarantena.
In Mountain Lion (OS X 10.8), Apple ha aggiunto
Gatekeeper, che prevede un modo per limitare quali applicazioni possono essere eseguite in base alla firma nel codice; è un metodo con cui uno sviluppatore utilizza un certificato di sicurezza rilasciato da Apple per firmare le sue app e una applicazione firmata non può essere modificata senza rompere la firma.
La scansione dei prodotti antivirus reagisce molto più velocemente di quanto può fare il meccanismo di XProtect. Per stare il più sicuri possibile suggerisco di utilizzare XProtect in combinazione con un buon prodotto antivirus.