De meeste recente Mac-modellen bevatten een specifieke chip genaamd T2, met name bedoeld om de beveiliging van macOS te versterken door middel van AES-codering. Dit nieuwe materiaal voltooit een reeks veranderingen in de beveiliging van de Mac en zijn bescherming tegen malware. Laten we eens kijken wat deze chip mogelijk maakt en hoe deze de beveiliging van het systeem aanvult, in het bijzonder vergeleken met een antivirusprogramma
Het cliché van de Mac die immuun is voor virussen, wint de laatste jaren steeds meer terrein. Zonder toe te geven aan sensatiezucht, is het een fenomeen dat we regelmatig kunnen observeren. Het zou zeker totaal onverantwoord zijn om te zeggen dat de Mac vandaag een crisis doormaakt die lijkt op de ergste uren van Windows XP. Desalniettemin halen aanzienlijke bedreigingen het nieuws regelmatig. In 2016 dwarsboomde een ransomware het certificaatsysteem van "legitieme" applicaties om in de BitTorrent Transmission-client te glippen. Studies zoals die van Malwarebytes laten een duidelijke toename zien van het aantal bedreigingen dat zich richt op macOS, hoewel het merendeel adware met een lage bedreiging blijft. In 2007,een Mac gepersonifieerd in een spijkerbroek en een T-shirt die opschepte over het feit dat hij geen virussen had in de beroemde "I'm a Mac / I'm a PC" -campagne. Laten we zeggen dat het in 2020 een beetje afwijkt van het onderwerp.
Deze ontwikkeling ging echter gepaard met een weliswaar traag, maar zeer aanwezig besef van Apple over de beveiliging van macOS. Met verschillende steeds beperktere maatregelen op het softwaregedeelte, heeft het beveiligen van de Mac een wending genomen met de release van de iMac Pro, de eerste Mac die een nieuwe chip integreerde: de T2.
Van T1 tot T2
De T2-chip volgt de T1, die al sinds 2016 op MacBook Pro aanwezig is. Voordat we naar de T2 gaan, komen we terug op deze eerste generatie die samenvalt met de komst van twee technologieën op Macs: de Touch Bar en de vingerafdruksensor Raak ID aan. De T1 is een chip gebaseerd op de ARM-architectuur en verantwoordelijk voor het beheer van met name deze twee componenten. Voor het beveiligingsgedeelte is het het tweede dat ons interesseert: met TouchID komt de behoefte aan een veilige enclave om vingerafdrukken op te slaan. Op iOS bevindt deze locatie zich in het hart van de SoC, de eerste die dit heeft geïntegreerd, is de A7-processor die de iPhone 5s, de eerste iPhone met TouchID, heeft uitgerust. Op Mac was dit een van de rollen van de T1 die was geïntegreerd in de 2016 MacBook Pro.
In 2017 gaat Apple verder met de release van de iMac Pro. Hoewel hij niet is uitgerust met een vingerafdruksensor of een toetsenbord met de Touch Bar, is de iMac Pro de eerste iMac die de "opvolger" van de T1, de beroemde T2, integreert.
Waar is deze T2-chip voor en hoe ziet hij eruit? Nu al is de T2 gebaseerd op een recentere kern: die van de A10 die we op de iPhone 7 vonden. Ja, de ARM-processors zitten sinds die tijd al ergens in de Macs. Sinds de release van de iMac Pro hebben andere Macs de T2 geïntegreerd, waaronder de nieuwste MacBook Pro, MacBook Air en Mac Mini. Ze hebben allemaal gemeen dat ze een SSD als enige opslagapparaat gebruiken. De MacBook Pro en MacBook Air hebben ook TouchID.
Veilig opstarten
Concreet speelt de T2-chip in wezen twee rollen. De eerste is om ervoor te zorgen dat de Mac veilig wordt opgestart. Deze procedure, die al in iOS is geïntegreerd, controleert de integriteit van het besturingssysteem: om te beginnen moet het voldoen aan het systeem dat is geauthenticeerd door Apple. Als malware bijvoorbeeld low-level componenten van het systeem had gewijzigd, zouden die wijzigingen worden gedetecteerd en zou macOS weigeren te starten.Dit is een zeer vergelijkbare procedure als die van iOS en zijn opstart-ROM. Concreet, als je je Mac aanzet, is de T2 de eerste chip die wordt geactiveerd, die de bootloader laadt, dan Bridge OS, het "mini OS" van de chip en dan het systeem.
Krediet: iFixit
SSD-versleuteling
De andere rol van de T2-chip betreft de versleuteling van de gegevens van de SSD. Dit is voor sommigen het meest controversiële aspect van T2: een Mac die is uitgerust met een T2-chip kan alleen opstarten vanaf de interne SSD, en aan de andere kant is het onmogelijk om gegevens van de SSD van een Mac te lezen. uitgerust met een T2 op een andere Mac en niet voor niets: ze zijn versleuteld.De T2 fungeert inderdaad als een AES-encryptie-engine die de hoofdprocessor volledig ontlast van deze taak en die via PCI Express-lanes in het midden van het pad tussen de SSD en het geheugen wordt geplaatst. Maar nogmaals, dit is al gebruikelijk in iOS, waar elk apparaat, volgens Apple, een 256-bits engine heeft tussen flash-opslag en systeemgeheugen. Tijdens het fabricageproces van een Mac die is uitgerust met een T2-chip, wordt een unieke identificatie gegenereerd, waardoor de geheugenchips van de SSD kunnen worden gekoppeld aan de T2-processor. Het is daarom bijvoorbeeld onmogelijk om deze chips eruit te halen om hun inhoud in een andere Mac te lezen.
Is T2 vrijgesteld van een antivirusprogramma?
Met dergelijke beveiliging op hardwareniveau, kan men zich afvragen of Macs die zijn uitgerust met een T2-processor een antivirusprogramma nodig hebben. Laten we inchecken:- T2-chip beveiligt opstarten: als malware low-level componenten wijzigt, start het systeem niet op
- De T2-chip versleutelt ook on-the-fly gegevens van SSD
- macOS Catalina vereist niet alleen de digitale handtekening van applicaties, maar kan ook een willekeurige scan uitvoeren op een reeds geïnstalleerde app om te controleren of deze sindsdien niet is gewijzigd
- De nieuwste versies van macOS hebben ook ingebouwde beveiligingen met waarschuwingen over het gebruik van bepaalde gebieden of systeemcomponenten.
Oke. En wat kan antivirus bieden? Als het goed is ontworpen, is een antivirusprogramma nu al een extra beschermend netwerk dat nog onbekende bedreigingen kan detecteren door verdacht gedrag te observeren. Vervolgens kan het andere services bieden, zoals een firewall die de verbindingen op uw netwerk controleert, een anti-ransomware die wijzigingen aan bepaalde mappen, zoals documenten, kan voorkomen, of een browserextensie die u tegen online oplichting beschermt. online, frauduleuze sites of beledigende downloads.
Voor een beginnende gebruiker die niet per se gerichte oplossingen wil zoeken door verschillende applicaties te installeren, biedt een antivirusprogramma en vooral een beveiligingssuite ook een paneel met gecentraliseerde functies binnen een interface zoals een VPN voor anoniem surfen, een wachtwoordbeheerder of tools voor ouderlijk toezicht.
De T2-chip die in de nieuwste Macs is ingebouwd, voegt een beveiligingslaag toe aan het macOS-systeem, net als de nieuwste verbeteringen van macOS Mojave en Catalina. En net als bij de laatste heeft een zorgvuldige en geïnformeerde gebruiker niet per se meer nodig. Integendeel, sommige "power users" klagen zelfs over de drastische veiligheidsmaatregelen van Catalina. Aan de andere kant heeft de antivirus ook hier in wezen twee rollen: een gebruiker beveiligen die minder vertrouwd is met computers en de werking van een besturingssysteem en een extra vangnet bieden, met name om nieuwe, nog onbekende dreigingen te detecteren.
Dit artikel wordt gesponsord door Intego . Raadpleeg ons charter.
