Configuração do Padrão de Segurança

A relação conservadora que a Apple estabelece com o fator segurança protege seu Mac de ataques em redes privadas e públicas, como a Internet. Todas as portas de comunicação são fechadas e todos os serviços básicos — compartilhamento de arquivos pessoais, compartilhamento de arquivos do Windows, compartilhamento pessoal da Internet, login remoto, acesso FTP, eventos remotos Apple e compartilhamento de impressoras — são desligados automaticamente. A conta de administrador do Mac OS X, diferentemente da conta de administrador do Windows, desabilita o acesso às funções principais do sistema operacional. Muitas pessoas acreditam que PCs com base Windows são inutilizáveis ao menos que utilizem a conta de administrador, o que expõe os PCs ao ataque. Em contrapartida, a configuração padrão do Mac OS X protege contra caracteres obscuros que podem facilmente controlar o sistema.

Firewall Pessoal

Todo o lixo eletrônico que recebemos hoje em dia é enviado de caixas de emails pessoais, normalmente de um computador com plataforma Windows. Piratas virtuais procuram máquinas fáceis de comprometer. O Tiger tem um firewall interno que protege o seu computador de acessos não autorizados monitorando todo o tráfego de rede. Quando você habilita o firewall pessoal no Mac OS X, toda conexão que chega é negada exceto aquelas que você permitiu. E agora, agindo de forma discreta, seu Mac nem ao menos saberá da existência de pessoas procurando por máquinas para atacar.

Atualização Automática

O Mac OS X pode baixar as atualizações dos aplicativos automaticamente, assegurando que você esteja sempre atualizado com os últimos patches de segurança e softwares lançados diretamente da Apple. A Apple marca digitalmente todas as atualizações, assim você pode ter a certeza de que eles vêm de uma fonte segura.

FileVault

Proteja a informação do seu Mac de olhares curiosos com o FileVault, que utiliza o último padrão de segurança do governo, a encriptação AES-128, para proteger todo o seu trabalho. E as encriptações e descriptações acontecem automaticamente de maneira que você nem fica sabendo o que aconteceu. O FileVault protege todas as informações da sua pasta principal de olhares curiosos, assim seus segredos continuam protegidos, sua lista de compras de natal mantém-se surpresa e seus extratos financeiros permanecem seguros.

Keychain

Para facilitar o gerenciamento de um número intimidador de senhas e permissões de redes de computadores, o Mac OS X inclui o Keychain. Essa opção armazena todas as suas informações para usar imagens de disco encriptadas, para log on em arquivos do servidor, servidores FTP e servidores Web. O Mac OS X adiciona automaticamente as informações da sua conta .Mac no seu Keychain. Quando você faz o log in no Mac OS X, o sistema abre o seu Keychain. Não é preciso digitar seu nome de usuário e senha para acessar os dados. Você pode configurar o Mac OS X para bloquear seu Keychain quando o sistema estiver dormindo ou inativo por um tempo. O sistema irá perguntar sua senha na próxima vez que você tentar acessar os dados protegidos. Outros usuários do sistema não poderão acessar o Keychain ou esses dados.

Deletar para Sempre

 Agora você pode apagar completamente arquivos que não precisa mais. Quando você deleta um arquivo ou pasta, o Secure Erase Trash garante que este não exista mais. O processo tradicional de deletar arquivos simplesmente remove o nome do arquivo do seu diretório de disco, mas deixa os dados no lugar. O Secure Erase Trash escreve dados errôneos por cima do seu arquivo imediatamente, assim o arquivo que sumiu não pode ser reconstruído.

Encriptação de Imagem de Disco

Para obter alta segurança, você pode encriptar parte do seu disco rígido através do uso de uma imagem de disco. Você pode então enviar essa imagem de disco a outra pessoa que saiba a senha. Basta abrir o utilitário Disk Copy, fazer uma nova imagem e definir a encriptação. A imagem que irá aparecer agora no seu desktop é a de um volume. Quando o Keychain estiver bloqueado, ou quando você for enviar aquele arquivo de imagem de disco para outra pessoa a imagem ficará segura. Quando o seu Keychain estiver aberto, você pode copiar, mover e deletar arquivos da mesma forma como faria em um disco rígido normal.

Segurança Total

A Apple torna a fonte do código disponível e usa um aplicativo de código-fonte aberto testado; a comunidade de desenvolvedores examina as medidas do sistema de segurança, identificando áreas frágeis, discutindo e finalmente implementando os aprimoramentos para cobrir buracos na segurança. Com essa colaboração que é inerente ao desenvolvimento de softwares livres, a Apple e a comunidade de softwares livres fornecem mais segurança ao sistema e respondem rapidamente às questões de segurança. A Apple trabalha perto das organizações de proteção CERT e FIRST.

Padrões de Segurança de Rede

Para esse esforço, o Darwin, a fundação de código-aberto do Mac OS X, coloca a base para a segurança que você exige no ambiente de hoje. O Darwin oferece Kerberos, Secure Shell (OpenSSH), uma estrutura para transações seguras da Web (OpenSSL), Wi-Fi Protected Access (WPA) com dados encriptados para redes sem fio e L2TP Virtual Private Network (VPN) para o acesso remoto seguro às redes de incorporação.

O Mac OS X mantém seus dados seguros e seu Mac protegido.

Proteção pelo design.

A segurança nunca foi a consideração mais importante no momento de escolher uma plataforma de computador. Seja um usuário local com uma conexão banda larga à Internet, um profissional com um computador portátil ou um gerente de TI com milhares de sistemas em rede, você precisa proteger a confidencialidade das informações e a integridade de seus computadores.

A Apple está trabalhando para garantir que seu Mac esteja protegido e seguro por meio da implementação de uma estratégia de segurança fundamental ao design do Mac OS X.

• Configurações padrão de segurança. Quando você tira seu Mac da caixa, ele está configurado para ser seguro na Internet; portanto, você não tem que ser um especialista em segurança para configurar seu sistema.

• Arquitetura de segurança moderna. O Mac OS X inclui tecnologias modernas e baseadas em padrões que permitem aos desenvolvedores Apple e de outras empresas a construção de softwares seguros para o Mac. Essas tecnologias suportam todos os aspectos do sistema, dos dados e da segurança de rede necessários para os aplicativos atuais.

• Aplicativos inovadores de segurança. O Mac OS X inclui recursos que eliminam a preocupação de usar um computador. O FileVault protege seus documentos usando codificação consistente, um cliente VPN integrado fornece-lhe acesso seguro às redes pela Internet e um firewall potente protege sua rede local.

• Base de código aberto. Usar a metodologia de código aberto faz do Mac OS X um sistema operacional mais robusto e seguro, visto que seus componentes principais foram sujeitos a uma revisão minuciosa por décadas. Os problemas podem ser imediatamente identificados e consertados pela Apple e pela grande comunidade de código aberto.

• Resposta rápida. Devido à grande importância da segurança do seu sistema, a Apple responde rapidamente a fim de fornecer correções e atualizações. A Apple trabalha com padrões mundiais, incluindo o CERT (Computer Emergency Response Team), para notificar os usuários quanto a ameaças em potencial. Assim que as vulnerabilidades são descobertas, a ferramenta integrada Software Update notifica os usuários automaticamente sobre as atualizações de segurança, as quais são disponibilizadas para fácil download e instalação.

Recursos

Segurança integrada

• Portas de comunicação fechadas por padrão

• Firewall pessoal para proteger os serviços de rede

• Base de código aberto

• Permissões de arquivo baseadas em usuário UNIX

• CDSA (Common Data Security Architecture)

• Suporte a todo sistema para certificados X.509

• Atualizações automáticas via Software Update

Autenticação baseada em padrões

• Kerberos para uma autenticação segura de assinatura única aos recursos de rede

• Autenticação de diretório usando qualquer serviço LDAPv3 ou Active Directory

• L2TP ou PPTP para acessar redes virtuais privadas (VPNs)

• Suporte NTLMv2 para compatibilidade ampliada com a tecnologia Microsoft

Confidencialidade dos dados

• Proteção dos dados do diretório local usando o FileVault com codificação AES de 128 bits

• Portabilidade altamente segura de dados com codificação consistente de imagens de disco

• Keychain para armazenar senhas pessoais, certificados digitais e notas de forma segura

• Suporte para múltiplos usuários com senhas e diretórios locais distintos em um único computador

Comunicações seguras de rede

• SSL e TLS para o transporte seguro e codificado de informações

• WebDAV codificado via SSL

• S/MIME para assinatura e codificação de email

Padrões de segurança de rede

• Cliente 802.1X integrado para autenticação baseada em portas nas redes wireless

• SSH para acesso remoto seguro à linha de comando

• Firewall interno integrado baseado em IPFW

Resumo da Tecnologia

Mac OS X: Segurança

Resumo da Tecnologia

Mac OS X: Segurança

Configurações Padrão de Segurança

Quando você liga o Mac pela primeira vez, o sistema já está configurado de forma segura.

A Apple ajusta o sistema com configurações padrão de segurança. Portanto, você não precisa de um especialista em segurança para manter seus dados e seu sistema protegidos.

Portas seguras. O Mac OS X – diferente de muitos sistemas operacionais – conta com portas de comunicação totalmente seguras. As portas de comunicação permitem que seu computador comunique-se com outros sistemas na rede por meio de serviços, tais como compartilhamento de arquivos, Internet e impressão. Portas sem segurança podem oferecer uma abertura em seu computador por meio da qual intrusos podem entrar. O Mac OS X protege seu computador e sua rede, pois conta com todas as portas fechadas, permitindo apenas ao usuário administrador abri-las quando necessário. Uma vez abertos para permitir a comunicação entre computadores, os serviços de compartilhamento no Mac OS X são altamente seguros, beneficiando-se dos anos de revisão feita pelos especialistas em segurança da comunidade de código aberto.

Tratamento seguro de anexo. Os arquivos enviados a você por email ou outros programas não são abertos de forma automática, visto que eles podem conter códigos nocivos. Isso o ajuda a se certificar que os únicos programas executados em seu Mac sejam aqueles que você deseja.

Validação segura de download. Quando você faz o download de arquivos no Safari e no Mail, o Mac OS X analisa o arquivo para determinar se ele contém um aplicativo. Se o arquivo parece conter um aplicativo, você é solicitado a confirmar se deseja continuar com o download – dando-lhe a oportunidade de evitar instalações inadvertidas em seu sistema.

Alerta de novos aplicativos. Quando você abre um aplicativo manualmente, está fazendo uma escolha explícita. Porém, quando você clica duas vezes sobre um documento ou clica em um URL, pode não saber qual aplicativo o abrirá. O alerta de novos aplicativos o notifica antes que o sistema abra um aplicativo pela primeira vez.

Você pode abrir o aplicativo ou cancelar a tentativa, o que é adequado se você não reconhece ou não confia no aplicativo. Uma vez aberto, essa mensagem não é exibida novamente para a aplicativo. Os aplicativos incluídos com o computador são considerados confiáveis e não disparam o alerta.

Resumo da Tecnologia

Mac OS X: Segurança

Modelo de permissões do usuário. O Mac OS X adquire seu modelo de usuário seguro de um núcleo UNIX robusto e de código aberto. A Apple promoveu esse modelo de segurança desabilitando, por padrão, a conta raiz, um método conhecido como “executando com menos privilégios”. Ao executar o código com o nível mínimo necessário de privilégios, o Mac OS X ajuda a proteger o sistema contra danos inadvertidos e deliberados.

Há três tipos de contas de usuário no Mac OS X:

• Usuário (User). A conta de usuário é a menos privilegiada no sistema Mac OS X. O usuário pode modificar configurações apenas para sua conta e não pode afetar o sistema todo. Considera-se uma boa prática de segurança manter todos os usuários operando neste nível de permissões. Se mais privilégios forem necessários para instalar o software ou modificar as configurações de sistema, um administrador pode ser autenticado quando necessário.

Limites adicionais podem ser colocados nas contas de usuário para impedir que eles:

- Abram o System Preferences

- Removam itens do Dock

- Alterem senhas

- Gravem CDs ou DVDs

- Usem determinados aplicativos instalados

• Administrador (Admin). O Mac OS X estabelece uma conta de usuário administrador quando o sistema é instalado pela primeira vez. O usuário administrador pode realizar a maioria das operações normalmente associadas ao usuário raiz. O usuário administrador apenas não pode adicionar, modificar ou excluir arquivos no domínio do sistema. No entanto, um administrador pode usar os aplicativos Installer ou Software Update para este propósito. Para proteção adicional, as configurações que afetam o sistema são bloqueadas e podem ser alteradas apenas por um administrador.

• Raiz (Root). O Mac OS X define um superusuário, chamado raiz, que tem permissões totais para acessar todos os arquivos no sistema, isto é, o usuário raiz pode executar qualquer arquivo que tenha quaisquer de suas permissões de execução ativadas e pode acessar, ler, alterar ou excluir quaisquer arquivos e diretórios. Diferente dos sistemas UNIX tradicionais, o Mac OS X desabilita, por padrão, essa poderosa conta. Esta abordagem previne contra vírus ou evita que usuários desautorizados realizem alterações nocivas ao sistema operacional.

Além da maioria dos tipos de contas de usuário, há softwares e serviços de sistema que necessitam de acesso especializado a certos componentes de sistema, mas não necessitam de acesso de login. O Mac OS X usa contas de sistema menos privilegiadas para executar essas funções.

Criação de um novo usuário. Para evitar que usuários desautorizados alterem o sistema de forma indesejada, os novos usuários não têm privilégios administrativos, a menos que eles sejam atribuídos pelo administrador. Conforme os usuários são adicionados ao sistema, o Mac OS X atribui a eles contas de usuário não administrativas e os prontifica a escolher uma senha, fornecendo um meio de autenticação de usuários autorizados.

Tratamento seguro de anexos de email. O aplicativo Mail integrado ao Mac OS X é desenvolvido para tratar os anexos com extrema cautela. Ele não executa scripts, executa códigos ou abre aplicativos automaticamente. Se você tentar abrir um anexo que contém scripts ou código de aplicativo, um alerta apropriado é emitido e deve ser validado antes que o programa prossiga.

Proteção de senha de Firmware aberto

Para evitar a inicialização do sistema a partir de discos não autorizados, as senhas podem ser usadas para restringir o acesso ao Startup Manager e para desabilitar hot keys, de forma que o computador não possa ser inicializado de um CD, um DVD, uma imagem de disco NetBoot ou outro HD usando modo de disco de destino. A proteção de senha de Firmware aberto é especialmente valiosa para quiosques públicos ou laboratórios de computadores, nos quais o acesso ao computador não é monitorado.

Resumo da Tecnologia

Mac OS X: Segurança

Arquitetura de Segurança Moderna

Os serviços de segurança do Mac OS X são integrados ao CDSA (Common Data Security Architecture), com suporte para codificação, gerenciamento de certificado, gerenciamento de políticas de confiança e recuperação de chaves. Esta infra-estrutura de segurança em camadas facilita para os desenvolvedores Mac OS X e Apple integrarem recursos de segurança avançados, tais como autenticação e codificação, em seus aplicativos.

Gerenciamento Fácil Usando as System Preferences

O Mac OS X consolida todas as suas configurações de segurança em uma interface conveniente e intuitiva. O painel Security Preferences facilita a ativação do FileVault, solicita uma senha para ativar o computador ou desbloquear as preferências de sistema protegidas e configura as preferências de login e logout.

O FileVault protege toda sua pasta local ao codificar seus conteúdos

Segurança física

A segurança começa com o seu hardware. Para proteger o sistema contra roubo, todos os computadores Apple têm slots internos para inserir travas Kensington. Além disso, o gabinete do Power Mac G5 tem um mecanismo de bloqueio integrado à trava do painel lateral, mantendo os importantes componentes internos seguros contra roubo e falsificação.

Controles de privacidade

Muitos junk mailers usam mensagens baseadas em HTML para rastrear seu endereço de email. Quando seu aplicativo de email faz o download de uma imagem a partir de uma mensagem HTML, ele diz ao remetente que seu endereço é válido e está pronto para receber mais junk mail. Para proteger a privacidade de sua caixa de entrada, você pode alterar suas configurações Mail para impedir a exibição de imagens nas mensagens HTML – enquanto deixa a opção de carregar imagens para mensagens de email individuais.

Resumo da Tecnologia

Mac OS X: Segurança

Autenticação Consistente

A autenticação é o processo de verificar a identidade do usuário local ou da rede. O Mac OS X suporta a autenticação local e baseada na rede para assegurar que apenas os usuários com credenciais de autenticação válidas possam acessar os dados, os aplicativos e os serviços de rede do computador. As senhas podem ser solicitadas no login, para ativar o sistema em modo de espera ou em uma proteção de tela, para instalar aplicativos ou para alterar as configurações do sistema. Além disso, o Mac OS X suporta métodos de autenticação avançados, tais como smart cards e leitores biométricos (por exemplo, leitores de impressões digitais) de outros desenvolvedores.

Assinatura local única. O Mac OS X pemite que você assine apenas uma vez, obtendo suas credenciais de assinatura única do keychain para autenticação local ou dos serviços de diretório para autenticação de rede. Isso significa que você pode usar a mesma combinação de nome de usuário e senha para todos os privilégios.

Smart cards. Os leitores de smart card USB permitem que você carregue seus certificados digitais consigo. Este mecanismo de autenticação de dois fatores e robusto é compatível com os padrões do Common Access Card do Departamento de Defesa e do Java Card 2.1.

Semelhante a uma placa ATM e ao código PIN, a autenticação de dois fatores confia em algo que você tem ou sabe. Se o seu smart card for perdido ou roubado, ele não pode serusado, a menos que seu PIN também seja conhecido.

PAMs (Pluggable Authentication Modules). A arquitetura de segurança do Mac OS X suporta os módulos de autenticação conectáveis, permitindo que todos os aplicativos UNIX baseados em PAM acessem seus mecanismos de autenticação.

Autenticação offline. Ao armazenar em cache as credenciais baseadas em rede de forma segura, o Mac OS X permite a autenticação offline. Isso significa que você pode

desconectar seu notebook da rede do escritório e trabalhar offline – em casa ou na estrada – usando o mesmo nome de usuário e a mesma senha.

Suporte a múltiplos usuários

O Mac OS X torna fácil e seguro o uso de um único computador por múltiplos usuários, seja em casa, em grupos de trabalho ou laboratórios. Cada usuário pode ter nome de usuário, senha, keychain e diretório local únicos, enquanto os controles de acesso baseadosem UNIX evitam que usuários não autorizados acessem dados privados de outro usuário.

Para controle adicional, o administrador pode autorizar indivíduos a acessar recursos específicos, enquanto restringe outros desses privilégios. As autorizações incluem permissão para alterar o que aparece no Dock, modificar as preferências do sistema, alterar senhas, gravar CDs e DVDs, instalar softwares, lançar aplicativos e acessar impressoras.

Dispositivos biométricos

O Mac OS X suporta biométricos avançados baseados em tecnologias de autenticação, tais como leitores de impressão digital. Sites e aplicativos protegidos por senha agora podem ser acessados sem termos que lembrar de uma longa lista de senhas. Alguns dispositivos biométricos permitem autenticar simplesmente colocando o dedo no pad. Diferente de uma senha, sua impressão digital nunca pode ser esquecida ou roubada. Produtos queidentificam a impressão digital fornecem autenticação pessoal e acesso à rede, assim como uma infra-estrutura de chave pública (PKI) mais robusta, certificados digitais pessoais e redes virtuais privadas.

Resumo da Tecnologia

Mac OS X: Segurança

Open Directory. O Mac OS X suporta o Open Directory 2, a versão mais atual da

arquitetura de serviços de diretório baseada nos padrões da Apple, para armazenar credenciais de autenticação e políticas de reforço da senha em um repositório central e robusto. Ao atribuir parâmetros às senhas, tais como tamanho da senha, tipos de caracteres necessários e tempo de expiração, os administradores podem solicitar que os usuários escolham senhas mais seguras.

Kerberos. O Open Directory integra o KDC (Kerberos Key Distribution Center) de código aberto do MIT para proteger o acesso aos recursos da rede. Este robusto mecanismo de autenticação baseado no diretório permite uma única assinatura a todos os serviços e sistemas autorizados. Em vez de autenticar para cada serviço individualmente, você insere sua senha apenas uma vez no login para provar sua identidade à autoridade de autenticação Kerberos ou KDC. Como resposta, o KDC emite “bilhetes” eletrônicos fortemente codificados, que são usados para proteger todos os aplicativos e serviços participantes que você autenticou de forma segura. Aplicativos e serviços “kerberizados” incluem Safari, SSH, SMB, Mail, Telnet, cliente VPN e cliente AFP (Apple Filing Protocol).

Active Directory. O Mac OS X permite aos usuários participar de redes gerenciadas Windows com um único diretório local no Mac ou no computador baseado em Windows.

Os administradores de rede podem configurar uma política de autenticação para todos os usuários, Mac e Windows, permitindo aos usuários do Mac OS X efetuar o login e autenticar ao Active Directory registrado pela Microsoft – sem quaisquer alterações específicas para acomodar os usuários Mac OS X.

NTLMv2. O Mac OS X suporta o protocolo de autenticação NTLM versão 2 para uma compatibilidade ampliada.

Confidencialidade dos Dados

O Mac OS X protege a confidencialidade dos seus dados, quer eles estejam armazenados em um diretório local, trafegando pela Internet ou sendo compartilhados localmente em sua rede.

FileVault

O FileVault mantém seus documentos em segurança, mesmo que seu computador seja perdido ou roubado, armazenando-os de forma codificada no seu diretório local – evitando que usuários, aplicativos ou utilitários não autorizados leiam-nos. Com o FileVault habilitado, todas as informações em seu diretório local estão sempre codificadas. Ao efetuar o login e a autenticação, você fornece a chave para acessar seus documentos codificados.

Os documentos são decodificados rapidamente ao serem abertos e recodificados ao serem salvos em disco.

O FileVault codifica arquivos com o robusto Advanced Encryption Standard (AES), a mesma tecnologia de codificação recomendada pelo governo federal para proteger documentos importantes. O AES usa uma chave de 128 bits, o que significa que há 3,4 x 1038 chaves possíveis para o FileVault. Além disso, o AES conta com um algoritmo de codificação de chave simétrica que transforma os dados em texto codificado por meio de um processo de transformação de quatro etapas. Ele realiza essa transformação 10 vezes. O resultado de cada passo serve como origem do passo seguinte, produzindo um bloco de dados codificado sem um método de ataque bem sucedido conhecido.

Quão confiável é a codificação AES?

A codificação AES de 128 bits usa na ordem de 1021 vezes mais chaves que seu antecessor, o Digital Encryption Standard ou DES, o qual usava chaves de 56 bits ou 7,2 x 1016 chaves.

No final dos anos 90, máquinas “DES Cracker” especializadas foram desenvolvidas de modo que pudessem recuperar uma chave DES de codificação em poucas horas. Imaginem uma máquina fenomenal que pudesse decifrar uma chave DES em um segundo ao invés de horas. Aquela máquina mítica levaria aproximadamente 149 trilhões de anos para decifrar uma chave AES de 128 bits.

Resumo da Tecnologia

Mac OS X: Segurança

Imagens de disco encriptadas

A ferramenta Disk Utility incluída no Mac OS X permite que você crie imagens de disco encriptadas – usando a mesma codificação AES de 128 bits como FileVault – de modo que você pode enviar, com segurança, documentos, arquivos e pastas importantes aos seus amigos e colegas, salvar a imagem de disco codificada em um CD ou DVD ou armazená-la no sistema local ou no servidor de arquivo da rede. Uma imagem de disco é um arquivo que aparece como um volume no seu disco rígido; ela pode ser copiada, movida ou aberta.

Quando a imagem de disco está codificada, quaisquer arquivos ou pastas colocados nele são codificados automaticamente.

Crie imagens de disco encriptadas usando a codificação AES de 128 bits.

Para ver os conteúdos da imagem de disco, incluindo os metadados, tais como nome do arquivo, data, tamanho ou quaisquer outras propriedades, o usuário deve entrar com a sua senha escolhida ou ter um keychain com a senha correta. O arquivo é decodificado em tempo real, conforme a necessidade do aplicativo. Por exemplo, se você abrir um filme do QuickTime de uma imagem em disco codificada, o Mac OS X decodifica somente a parte do filme que está sendo exibida.

Keychain para armazenamento de senhas

Com uma interface muito aperfeiçoada, o keychain do Mac OS X oferece um repositório cômodo e seguro para os vários nomes de usuários e senhas. Embora seja uma prática segura usar uma única senha para cada recurso, a maioria dos usuários acha impossível lembrar tantas senhas. Use uma única senha de login para destravar seu keychain e autenticar automaticamente para servidores de arquivo, servidores FTP, sites da Internet, sua conta .Mac, contas de email, arquivos codificados e outros recursos protegidos por senha. Não há necessidade de digitar – ou mesmo lembrar – o nome do usuário e a senha para cada recurso. Você pode escolher os itens que serão armazenados no keychain ou solicitar que determinados aplicativos requeiram autenticação, mesmo que o seu keychain

contenha a informação necessária.

Senha mestre

Para controle e segurança extras, uma senha mestre pode destravar seu diretório local protegido pelo FileVault, caso você esqueça ou perca sua senha. Esta senha global é útil principalmente para os administradores de sistema que precisam manter os dados da empresa acessíveis, mesmo que os funcionários esqueçam suas senhas ou saiam da empresa. (Se a senha de login e a senha mestre forem esquecidas, os arquivos estarão perdidos para sempre.)

Armazene mais no seu keychain

Além de senhas, os keychains podem ser usados para armazenar anotações e outras informações, tais como ATM e PINs de cartões de crédito. Você pode até criar múltiplos keychains para armazenar senhas para diferentes finalidades – por exemplo, uma para trabalho e outra para compras online – ou copie seu keychain de um computador para outro.

Resumo da Tecnologia

Mac OS X: Segurança

O keychain armazena com segurança nomes de usuários e senhas.

Todos os dados da senha no keychain são protegidos usando o Triple Digital Encryption Standard (3DES). Para proteção adicional, o Mac OS X fecha seu keychain quando você efetua o logout. Você também pode ajustar o Mac OS X para fechar seu keychain quando o computador entrar em modo de espera ou após um determinado tempo de inércia, e você pode fechar seu keychain manualmente a qualquer momento. Se você armazenar seu diretório local em um servidor de rede, seu keychain permanece em segurança. Isso porque todas as informações do keychain são decodificadas somente no sistema local do cliente

conforme a exigência do aplicativo; elas nunca são transmitidas pela rede.

Você pode sincronizar os keychains em todos os seus sistemas Mac com o iSync. Usar mais de um Mac nunca foi tão fácil e seguro.

Remoção de arquivo permanente

O Mac OS X inclui o comando Secure Empty Trash, o qual remove todos os indícios de arquivos deletados de seu disco rígido, evitando que eles sejam recuperados por usuários não autorizados. Na maioria dos casos, quando um arquivo é deletado de um computador pessoal, o nome e a localização do arquivo são removidos do diretório do disco. Entretanto, o arquivo em si permanece intacto até que o espaço ocupado por ele no disco rígido seja necessário para armazenar outro arquivo. Para se proteger de remoções acidentais, muitos utilitários comerciais permitem que você efetue uma busca e recupere esses arquivos

“deletados” – apresentando um risco de segurança caso o arquivo deletado seja recuperado por um usuário não autorizado. O comando Secure Empty Trash remove todos os indícios de arquivos deletados de seu disco rígido. O Secure Empty Trash usa um rigoroso protocolo que segue o padrão do Departamento de Defesa dos Estados Unidos para a depuração da mídia magnética.

Memória virtual codificada

A memória virtual é usada como memória de acesso aleatório (RAM) para armazenar temporariamente as informações necessárias no seu disco rígido para uma rápida recuperação. Esta área de memória virtual ou “varrida” pode conter informações importantes e confidenciais. Com o Mac OS X, você pode codificar esta área de memória de modo que ela permaneça protegida e invisível para os outros. Esta configuração opcional está disponível na janela Security de System Preferences.

Limpeza Segura da Lixeira

Cada vez que você esvazia a Lixeira com segurança, o Mac OS X usa um algoritmo de sete etapas para evitar que os dados jamais sejam recuperados.

• Subscrever arquivo com um único caractere

• Subscrever arquivo com zeros

• Subscrever arquivo com um único caractere

• Subscrever arquivo com caracteres aleatórios

• Subscrever arquivo com zeros

• Subscrever arquivo com um único caractere

• Subscrever arquivo com caracteres aleatórios

Resumo da Tecnologia

Mac OS X: Segurança

Comunicações Seguras de Rede

Para comunicações seguras pela Internet e por email, o Mac OS X integra padrões de segurança robustos em seu navegador Web do Safari e em seu aplicativo Mail, incluindo o Security Sockets Layer (SSL) e suporte para certificados digitais. Além disso, o Mail suporta a escolha de métodos de autenticação baseados em rede ou locais.

Comunicações seguras via Internet com SSL e TLS

O Mac OS X inclui SSL versões 2 e 3, o mecanismo de transporte mais comum atualmente, bem como o Transport Layer Security (TLS), o padrão de segurança da nova geração para Internet. O Safari e outros aplicativos de Internet automaticamente iniciam estes mecanismos da camada de transporte para fornecer um canal seguro e codificado entre dois sistemas e para proteger a informação no canal de curiosos. Para proteção máxima, o Safári e o Mail suportam codificação em 40 e 128 bits.

Private Browsing

O navegador Web do Safari no Mac OS X salva em cache os conteúdos das páginas da Internet que você abrir, tornando mais rápido visitá-las novamente. Com o recurso Private Browsing opcional, o histórico e as informações em cache sobre seus hábitos de navegação não são armazenados ou gravados. Isso oferece um modo de manter seus hábitos de navegação em sigilo e não recuperáveis mais tarde.

Certificados digitais

O uso de certificados digitais permite que o Mac OS X suporte comunicações seguras.

Semelhante à apresentação da carteira de habilitação, o certificado digital habilita estes importantes serviços de segurança:

• Autenticação. Os certificados digitais garantem a identidade do autor ou do

“assinante”.

• Integridade dos dados. Os certificados digitais asseguram que as mensagens não foram mudadas ou alteradas, seja maliciosa ou acidentalmente.

• Codificação. Os certificados digitais podem codificar mensagens para ajudar a

proteger informações confidenciais ou pessoais.

• Sem recusa. Os certificados digitais permitem que o destinatário verifique a identidade do assinante ligado à mensagem específica, semelhante à assinatura das testemunhas em um documento.

Um certificado digital é composto de uma chave pública e uma chave privada, juntamente com outras informações sobre você e o Certificate Authority (CA) de que trata o certificado. Para enviar mensagens codificadas, o keychain do remetente deve conter um certificado digital para o destinatário; isso permite que o Mac OS X use a chave pública do destinatário para codificação. Quando uma mensagem codificada é recebida, a chave privada do destinatário é usada para decodificar a mensagem. Cada vez que você enviar um email assinado digitalmente, o seu certificado e sua chave pública são incluídos na mensagem, permitindo que os destinatários enviem mensagens codificadas como resposta.

Para transações seguras na Internet, o navegador Web do Safari no Mac OS X usa X.509 certificados digitais para validar usuários e hosts, bem como para codificar a comunicação na Internet. Um exemplo é o banco online. O seu banco recebe um certificado de identificação de um CA conhecido. Isso permite que seu navegador verifique a validade do certificado que está sendo apresentado e ajuste a sessão segura com a codificação SSL, verifique a identidade do site e que sua comunicação com o site está codificada para ajudar a evitar a interceptação de dados pessoais e confidenciais. Fácil de distribuir e altamente escalável, os certificados digitais são implementados em todo o sistema e compartilhados

entre aplicativos múltiplos. Com o suporte para o padrão X.509, o Mac OS X oferece uma completa interface de programação de aplicativos (API), a qual permite aos desenvolvedores ampliar o suporte de certificado no nível do sistema.

Obtendo um certificado digital

Antes de começar a enviar mensagens assinadas digitalmente, você deve obter um certificado digital que o identifica e o copia para o keychain. Os certificados podem ser obtidos do seu administrador de sistema, de Certificate Authorities (CAs) públicas ou de CAs especiais na sua empresa.

Certificate Assistant

O Certificate Assistant é um utilitário fácil de usar que ajuda você a solicitar, emitir e gerenciar certificados. Ele tem toda a funcionalidade para criar, gerenciar e emitir certificados para um grupo pequeno de amigos ou um pequeno escritório. O Certificate Assistant inclui muitos recursos de um Certificate Autority comercial sem nenhum custo.

Os certificados criados pelo Certificate Assistant podem seus usados para enviar email codificado, acessar sites protegidos ou participar de sessões de bate-papo seguras com o iChat.

Tecnologias no Mac OS X que podem usar certificados digitais

Safari

Keychain

VPN Client

Mail

Apache

iChat

Certificate Assistant

Janela de login com um smart card

Address Book

Access control lists (ACLs)

Resumo da Tecnologia

Mac OS X: Segurança

Para acesso rápido a sites seguros e envio de emails, você pode adicionar certificados digitais ao seu keychain. Sempre que receber um certificado, na Internet ou por email, você pode importar o certificado para seu keychain para usar mais tarde. Se a autenticidade de um certificado não puder ser verificada, você receberá um aviso antes que ele seja adicionado ao seu keychain.

Padrões de Segurança na Rede

Quer as comunicações estejam acontecendo por meio de redes com ou sem fios, o Mac OS X oferece acesso seguro aos recursos da rede e proteção contra uso não autorizado. Usando protocolos de rede altamente seguros que são baseados em padrões abertos, OpenSSL e OpenSSH, o Mac OS X garante a segurança dos dados ao atravessar redes locais, bem como a Internet. Além disso, a rede virtual privada (VPN) usa o Protocolo Layer 2 Tunneling (L2TP) ou o Protocolo Point-to-Point Tunneling (PPTP) para suportar

comunicações seguras para sua rede local ou de trabalho.

Autenticação segura com 802.1X

O padrão 802.1X aumenta a segurança ao solicitar que os usuários autentiquem antes de se conectar a uma rede com ou sem fios. O 802.1X une o EAP (Extensible Authentication Protocol) às redes com e sem fios, com suporte para métodos de autenticação múltiplos:

LEAP (Lightweight Extensible Authentication Protocol), PEAP (Protected Extensible Authentication Protocol), TLS (Transport Layer Security) e TTLS (Tunneled Transport Layer Security).

A solução 802.1X do Mac OS X é fácil de distribuir, mesmo para um grande número de usuários de rede. As configurações do cliente podem ser exportadas como um arquivo Internet Connect e distribuídas por email, em um site seguro ou usando os métodos out-ofband.

Quando o usuário abre o arquivo, todas as configurações necessárias são importadas para o Internet Connect, de modo que o cliente é configurado automaticamente para comunicações sem fio seguras.

Secure Shell (SSH)

Para acesso seguro a sistemas remotos pela linha de comando, o Mac OS X usa o SSH ao invés de sessões Telnet sem codificação. O SSH codifica dados remotos da linha de comando, tais como senhas, para ajudar a eliminar curiosos e outras intromissões na rede.

Configurando clientes 802.1X

O Mac OS X facilita a configuração de usuários autenticados em redes sem fio.

Resumo da Tecnologia

Mac OS X: Segurança

VPN (Virtual Private Network)

O Mac OS X Tiger inclui um cliente VPN universal com suporte RSA SerureID integrado ao Internet Connect, de modo que você tem tudo o que precisa para estabelecer uma conexão segura. O cliente VPN suporta L2TP sobre IPSec e PPTP, o que torna o cliente VPN da Apple compatível com a maioria dos servidores VPN, incluindo aqueles da Microsoft e da Cisco. Você também pode usar certificados digitais e tokens de hardware RSA SecureID para autenticação em conjunto com o cliente VPN. Os tokens SecureID fornecem um número de senha gerado aleatoriamente, o qual deve ser informado junto com

a senha VPN – uma ótima opção para aqueles que requerem uma segurança extremamente robusta. Além disso, o cliente L2TP VPN pode ser autenticado usando credenciais de um servidor Kerberos. Em quaisquer casos, você pode salvar as configurações para cada servidor VPN que você geralmente usa como um “local”, de modo que você pode reconectar sem ter que reconfigurar seu sistema cada vez.

O cliente L2TP VPN da Apple pode conectá-lo a redes seguras automaticamente usando seu recurso “VPN on demand”. O VPN on demand pode detectar quando você quer acessar uma rede que está protegida por um servidor VPN e automaticamente iniciar o processo de conexão para você. Isso significa que a sua segurança aumenta porque as conexões VPN podem ser fechadas quando não estão em uso e você pode trabalhar com mais eficiência.

Firewall pessoal

Ao monitorar o tráfego de entrada na rede, o Mac OS X age como um firewall para

proteger sua rede local de usuários não autorizados. O firewall integrado é baseado em IPFW, uma tecnologia FreeBSD que protege a maioria dos computadores UNIX mais importantes na Internet. As configurações do firewall pessoal são definidas na janela Sharing preference, com caixas de verificação simples para habilitar ou desabilitar o monitoramento dos serviços. Além disso, o firewal pessoal pode ser personalizado para comunicações, tais como Internet Relay Chat (IRC), jogos ou outros serviços definidos pelo usuário.

Para aumentar a segurança, recursos avançados do firewall estão disponíveis por meio de caixas de verificação fáceis de configurar. O modo Stealth esconde seu Mac na Internet ao derrubar pacotes de comunicação não desejados, fazendo parecer que nenhum Mac está presente. Pacotes UDP podem ser bloqueados, restringindo o tráfego na rede dos pacotes TCP somente pelas portas abertas. O firewall também suporta o logging, uma ferramenta importante para verificar atividades não desejadas.

Configure um firewall pessoal para proteger sua rede local.

SecureID

RSA oferece vários tipos de tokens de hardware SecureID, incluindo um que pode ser conectado a um keychain de modo que esteja sempre à mão.

Resumo da Tecnologia

Mac OS X: Segurança

Software de Código Aberto

A Apple desenvolveu a base do Mac OS X e de muitos de seus serviços integrados com softwares de código aberto – tais como FreeBSD, Apache e Kerberos, além de muitos outros – que têm se mantido seguros ao longo de anos de exame minucioso por parte de desenvolvedores e especialistas em segurança ao redor do mundo. Segurança consistente é uma vantagem do software de código aberto porque qualquer pessoa pode, livremente, examinar o código fonte, identificar possíveis vulnerabilidades e procurar fortalecer o software. A Apple participa ativamente da comunidade de código aberto, lançando constantemente atualizações do Mac OS X que são submetidas à revisão contínua de desenvolvedores independentes – e incorporando aperfeiçoamentos. Uma abordagem de desenvolvimento de um software de código aberto oferece a transparência necessária para assegurar que o Mac OS X é realmente seguro.

Esta abordagem aberta contrasta totalmente ao modelo de revisão fechado e de um único fornecedor, o qual tem uma longa e bem documentada história de exploração de vulnerabilidades. Ao invés de depender de exames particulares desempenhados por fornecedores de código fechado, os usuários Mac OS X podem tranqüilamente contar com o exame público contínuo de um grande número de especialistas em segurança, o que é possível em razão da abordagem aberta da Apple para desenvolvimento de software.

Resposta Rápida

A Apple trabalha com a comunidade de resposta a incidentes, incluindo o FIRST (Forum of Incident and Security Teams) e a equipe FreeBSD Security, para pronta e rapidamente identificar e corrigir as vulnerabilidades do sistema operacional. Além disso, a Apple colabora intimamente com organizações, tais como o CERT/CC (Computer Emergency Response Team Coordination Center), de modo que as notificações de segurança são enviadas aos seus componentes segurança ao mesmo tempo que são enviadas aos clientes Apple.

Informações atualizadas relacionadas à segurança são publicadas no site da Apple e enviadas a uma lista de membros por meio de email assinado digitalmente. O Mac OS X também inclui o Software Update, um mecanismo que o notifica automaticamente quandoos patches de segurança estão disponíveis. Essas atualizações são assinadas digitalmente, de modo que, ao instalá-las, você pode ter certeza de que elas vêm de uma fonte confiável.

Para proteção adicional, a Apple não revela, discute ou confirma assuntos de segurança até que tenha ocorrido uma investigação completa e eventuais atualizações estejam disponíveis.

Mac OS X: O Poder da UNIX, a Simplicidade da Macintosh

Os recursos de segurança do Mac OS X oferecem soluções para proteção de dados em todos os níveis – do sistema operacional aos aplicativos de rede tais como a Internet. Quer você esteja conectado a uma rede com fio quer a uma rede sem fio e portátil, o seu Mac é totalmente seguro. Além disso, o Mac OS X Tiger oferece mais de 200 novos recursos inovadores, incluindo o Spotlight, uma tecnologia de busca de desktop que encontra qualquer coisa em seu computador instantaneamente; o Automator, para uma fácil automatização de tarefas  complexas ou repetitivas; e o Dashboard, que oferece acessórios de desktop que aparecem instantanemante em sua tela ao toque de uma tecla.