Ein Auge zudrücken

Mac OS X: Gatekeeper per Kommandozeile verwalten

Praxis & Tipps | Praxis

Der Gatekeeper des Mountain Lion erhöht die Sicherheit von Macs, indem er das Ausführen von Programmen verhindert, die nicht von Apple oder registrierten Entwicklern stammen. Ausnahmen per Mausklick sind zwar möglich, aber für ganze Gruppen ferngewarteter Macs unpraktisch. Doch die Gatekeeper-Verwaltung ist auch über die Kommandozeile zugänglich und damit prinzipiell automatisierbar.

Seit Mountain Lion meckert das OS X über Programme, die nicht von Apple und registrierten Entwicklern stammen und verhindert deren Start. Diese Gatekeeper genannte Startkontrolle hat Apple bereits in Version 10.7.3 im OS-X-Betriebssystem eingeführt. Dazu signiert zunächst Apples Entwicklungsumgebung Xcode die Anwendungen automatisch nach dem Kompilieren. Auf der Nutzerseite wertet das Betriebssystem diese Signatur vor dem Programmstart aus – so wird sie als eine weitere Hürde zum Reglementieren von Programmstarts und zur Prüfung der Vertrauenswürdigkeit eingesetzt. Wie das geht, haben wir im Kasten „Unterschriftensammlung“ zusammengefasst.

In Apples App Store können Entwickler seit jeher nur signierte Programme einreichen und es mehren sich die Programme außerhalb des Stores, die ebenfalls signiert sind (z. B. VirtualBox). Weil aber nicht absehbar ist, dass jemals alle Mac-Programme signiert sein werden, braucht man Ausnahmeregeln, um vertrauenswürdige Programme bei eingeschaltetem Gatekeeper nutzen zu können. Das ist beispielsweise der Fall bei OpenSource-Software wie der Grafik-Suite Gimp oder dem Netzwerker-Tool Wireshark, um nur zwei zu nennen. ...

Unterschriftensammlung

Zutritt zu den Fleischtöpfen von Apples App Store bekommt man nur als registrierter Entwickler. Im Gegenzug liefert Apple ein digitales Zertifikat für Code-Signierungszwecke, das zum Einreichen der Software im App Store erforderlich ist. Weil Apple bei der Registrierung auf Zahlungsmittel setzt, bei denen bereits eine Identitätsprüfung stattgefunden hat (z. B. Kreditkarten), kann es jedes Zertifikat personalisieren – also mittelbar auch die Software, die damit beim Kompilieren signiert wird. So lässt sich anhand der Signatur zurückverfolgen, wer ein Programm erzeugt hat.

Auf der Nutzerseite eröffnet die Signatur Möglichkeiten zur Reglementierung und zur Integritätsprüfung. Nach einem Doppelklick auf ein neues Programm berechnet Mac OS X den Hash der Anwendung und vergleicht das Ergebnis mit dem Wert, der in der Signatur hinterlegt ist. Stimmen die Werte überein, gilt das Programm als unverfälscht und vertrauenswürdig. Stimmen sie nicht überein, geht Mac OS X davon aus, dass es kompromittiert ist, und startet es nicht. Angreifer haben es so schwerer, Schadcode auf den Mac zu schleusen.

Nach der Integritätsprüfung entscheidet das Betriebssystem anhand von Richtlinien, ob das Programm tatsächlich starten darf. So kann man festlegen, dass alle signierten Programme starten dürfen (also von allen registrierten Entwicklern), oder auf Programme einschränken, die aus einer bestimmten Quelle stammen – beispielsweise nur von Apple.

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige