Не пусти козла в огород
Когда я спрашиваю людей, почему они перешли с Windows на Mac, то в ответ слышу, что их достали проблемы с безопасностью на PC, а на маках, как они слышали, вирусов нет. Если вы придерживаетесь того же мнения, то для вас у меня две новости. Первая и плохая – вирусы есть. Вторая и хорошая – они созданы кустарно, поэтому даже если надеяться только на авось, можно годами прожить на зараженной машине. Однако мы все хотим осознанно следить за безопасностью компьютера. О том, как это делать в Mac OS X, и пойдет речь. Сразу отмечу, что статья написана для новичков, но пригодится и бывалым пользователям.
На ОС Windows, особенно времен 98 и XP, папки типа «Мои документы» вызывали у пользователей стойкое отвращение. Если нужно было организовать рабочую папку, ее делали в корне – «C:\Работа». Там же оказывались «C:\Фотографии» и подобные. Или разбивали диск на разделы, после чего закидывали все на раздел «D». Даже если у компьютера было несколько пользователей, которые заходили под своими логинами, ситуация менялась незначительно. По моим наблюдениям, и сегодня большинство PC-пользователей предпочитают такой порядок хранения. А он абсолютно несовместим с Mac OS X.
Дело в том, что Mac OS X – UNIX-подобная операционная система. Это не Linux и даже не FreeBSD в чистом виде, однако она поддерживает стандарт POSIX, а значит, набор API для взаимодействия между программами и ядром. Именно поэтому Mac OS X любима веб-программистами, которые могут через консоль («Терминал») использовать большинство UNIX-команд, запускать скрипты, как будто это Ubuntu- или Debian-сервер, то есть иметь максимально близкую к реальным условиям среду разработки.
Но то, что понятно сисадминам и программистам, легко поставит пользователя в тупик. Посмотрите на скриншот № 1. Для того чтобы увидеть этот путь у себя, вам нужно зайти в настройки Finder на закладку «Боковое меню» и отметить пункты «Жесткие диски» (в базовых настройках там стоит тире) и папку с именем вашего пользователя.
На скриншоте видно, что на жестком диске, который по умолчанию называется Macintosh HD (этот тот самый диск C), лежат всего четыре папки. В одной из будущих статей я расскажу о них подробнее, пока же обратите внимание на папки пользователя education. Все директории, создаваемые системой вместе с пользователем, как то «Рабочий стол» (Desktop), «Загрузки» (Downloads) и др., помечены красной запрещающей иконкой. Поясню: скриншот я делал как другой пользователь компьютера – andrey, что легко понять по значку папки с изображением дома.
Это пример того, что папки одного пользователя по умолчанию недоступны всем другим пользователям компьютера (включая администраторов, ведь в Mac OS X El Capitan нет root-пользователя). Что важней, если вы создадите папку в корне диска (Macintosh HD/Фотографии), работать с ней будет очень неудобно – на любой чих придется вводить пароль пользователя с правами администратора. Отсюда первое правило: хранить файлы только внутри папки вашего пользователя. И важное уточнение: если вы сами создадите папку в корне пользовательской, по умолчанию она будет открытой для чтения всем, что видно на скриншоте № 2 (вручную можно изменить эти настройки).
Итак, система изначально разрешает использовать только папки пользователя, что приводит к одному крайне полезному с точки зрения безопасности следствию. Когда сторонняя программа будет запрашивать доступ к чему угодно, будь то общие системные файлы или файлы конкретного пользователя, система всегда сообщит об этом. Такое свойство зашито внутри архитектуры ОС. Поэтому второе правило: всегда читайте предупреждения, которые выдает компьютер. До сих пор самый частый способ заражения трояном или вирусом на Mac OS X – самостоятельная активация зловреда. Причем я даже не говорю о скачивании пиратского софта, куда он может быть запрятан (что редкость). Пользователи сами под предлогом установки какого-нибудь плагина для браузера или программы «Мы почистим ваш компьютер от вирусов» загружают и инсталлируют его. Поэтому далее я хочу рассказать, как следить за тем, что вы устанавливаете на компьютер.
Первое, что я рекомендую делать новичкам (впрочем, всем остальным тоже): в настройках Finder отметить пункт «Показывать все расширения имен файлов» (см. скриншот № 3). Это простое действие, как показывает практика, спасает от многих неприятностей. Собственно, главная из них – непонимание особенностей установки программ в Mac OS X.
Идеальный пользователь все покупает в App Store, и у него никогда не возникает вопросов, как установить приложение – все делается в пару кликов и одно списывание денег со счета. Поддерживая эту стратегию, Apple даже придумала функцию Gatekeeper – она не дает инсталлировать программу от неустановленного разработчика. На скриншоте № 4 видно, что по умолчанию в настройках стоит правило «App Store для Mac и от установленных разработчиков». Советую оставить эту функцию в таком виде, ибо это еще одна преграда на пути самозапуска зловреда.
Однако пока мы еще живем в открытом мире, где, помимо официально разрешенных, есть множество приложений, авторы которых не хотят или не могут размещать свои программы в App Store. Не могут, потому что приложениям из App Store запрещено использовать ряд системных функций, ввиду чего большинство серьезных утилит или крупных пакетов ставятся минуя магазин. Приложения можно скачать из любых уголков Интернета, и, естественно, вы должны иметь представление о том, что скачали, зачем и почему.
Ответим на первый вопрос: что? Традиционно для маков программы распространяются в образах дисков с расширением .dmg (аббревиатура от Disk iMaGe). Фактически это виртуальные образы, подобные .iso, с поведением как у настоящего внешнего накопителя, например флешки. В момент, когда вы дважды кликаете по файлу Skype.dmg, он открывается, что равноценно подключению флешки к компьютеру. После этого внутри обнаруживается файл с расширением .app (см. скриншот № 5). Это и есть программа. Напомню, что ранее мы включили функцию «показывать все расширения», поэтому вы видите тип файла. Подобно исполняемым файлам в Windows (.exe), для запуска программы вам всего-то нужно дважды кликнуть по иконке.
Очень важно понимать, что активация приложения происходит не после копирования Skype.app в папку «Программы» (согласно общей договоренности в Mac OS X), а в тот момент, когда вы дважды кликнули по иконке файла, независимо от того, лежит он на виртуальном диске, флешке или в любой папке на компьютере. Тогда-то система и поинтересуется, готовы ли вы запустить это приложение, скачанное из Сети. Поэтому в очередной раз напомню: читайте предупреждения, выдаваемые компьютером, потому что зловреды часто маскируются под рядовой тип файлов, картинку, документ или архив. Если не посмотреть на расширение файла, легко запутаться и активировать его, будучи уверенным, например, что это фото.
И еще один совет. Если нужно установить приложение от неустановленного разработчика (как показано на скриншоте № 6), но вы не готовы отключать одну из степеней защиты Gatekeeper, вызовите контекстное меню (правый клик мыши) на иконке программы и нажмите «Открыть». В таком случае система еще один раз потребует разрешения на запуск и больше не будет вас беспокоить. Как говорится, и овцы целы, и волки сыты.
Выводы
Все вышесказанное может показаться элементарным, но, как показывает практика, на этом спотыкаются даже опытные маководы. Заразить Mac OS X не проблема, если пользователь сам запустит зловреда. Просто будьте внимательны.
(Продолжение следует)
Опубликовано 01.12.2015