Technology

macOS ปลอดภัยแค่ไหนในปี 2021 รู้จักกับกลไกในการปกป้องเครื่อง Mac เราตั้งแต่เปิดเครื่อง

By Arnon Puitrakul - 21 ธันวาคม 2021 - 2 min read min(s)

macOS ปลอดภัยแค่ไหนในปี 2021 รู้จักกับกลไกในการปกป้องเครื่อง Mac เราตั้งแต่เปิดเครื่อง

ต้องยอมรับว่า ในปัจจุบันภัยคุมคามบนโลกของคอมพิวเตอร์มัน Advance มากขึ้นเรื่อยอย่างไม่หยุดหย่อนเรียกได้ว่า เหมือนเล่นแมวจับหนูเลยก็ว่าได้ คนที่หาช่องโหว่ก็หาไป คนที่อุดก็อุดไปเรื่อย ๆ แบบนี้แหละ ทำให้ใน OS สมัยใหม่ ๆ หน่อย ก็มักจะมีกลไกบางอย่างมาเพื่อป้องกันตัวระบบของตัวเองจากภัยคุกคามต่างเยอะมากขึ้นเรื่อย ๆ เช่นกัน macOS ก็จะมีการ Implement หลาย ๆ กลไก เพื่อป้องกันลูกค้าของเขาจากภัยคุกคามเช่นกัน วันนี้เราจะมาเล่าให้อ่านกันว่า ใน macOS มันมีอะไรบ้างที่ช่วยป้องกันเราจากภัยคุกคามต่าง ๆ และ ความปลอดภัยของข้อมูลในเครื่องเราด้วย

Built-in Antivirus

หลาย ๆ คนอาจจะไม่รู้นะว่า ใน macOS เขาก็มี Antivirus ติดมากับเครื่องของเราอยู่แล้ว โดยที่เราไม่ต้องติดตั้งอะไรทั้งนั้นเลย มันรันอยู่ในเบื้องหลังของระบบเรามานานมาก ๆ แล้วแต่เราไม่รู้เลย โดยระบบนี้ Apple เรียกมันว่า XProtect โดยมันจะทำงานอยู่เป็นเบื้องหลัง (Background) ของระบบเรา คอยสอดส่องการทำงานของระบบในส่วนต่าง ๆ เพื่อให้มั่นใจได้ว่า ระบบของเรายังคงปลอดภัยอยู่ตลอดเวลา โดยกลไกที่มันใช้ มันเป็น Feature ระดับ Endpoint Security บนระดับ Business และ Enterprise เลย โดยมันจะแบ่งการทำงานออกเป็น 3 ขั้นตอนใหญ่ ๆ

ขั้นตอนแรกคือ เมื่อเราเปิด App ขึ้นมาเป็นครั้งแรก ตัว XProtect มันจะเข้าไปตรวจสอบหน้าตาของ Application ก่อนว่า มันมีหน้าตาอะไรที่เหมือน Malware ตัวไหนอะไรยังไงมั้ย ถ้ามี มันจะเด้งมาไม่ให้เราใช้งานเลย เราอาจจะ งง ว่ามันขึ้นมาว่าอะไร เราว่าหลาย ๆ คนน่าจะเคยเห็นหน้าต่างอะไรแบบด้านบน ระบบมันจะพยายามไม่ให้เราไปเปิด App ตัวนั้น ๆ แต่ไม่ได้บอกนะว่า มันเป็น Malware หรืออะไรก็ตาม มันบอกแค่ไม่ให้เราเปิด เราว่าเป็นอะไรที่ทำให้ผู้ใช้ทั่ว ๆ ไปไม่แตกตื่นเลย หรือแบบ ระบบมัน Block ไปแล้ว เราจะเจออาการของผู้ใช้เองนี่แหละ เธอ เครื่องมันช้าลง หรือว่า เพราะตอนนั้นที่มันเจอ Malware ฮ่า ๆๆๆๆๆ ลดเรื่องพวกนี้ไปได้เยอะมาก ๆ

ในระหว่างที่ App มันกำลังทำงาน ตัว XProtect ก็ยังคงทำงานมองอยู่เหมือนกัน มันจะดูตลอดเวลา App ที่เรารัน มันมีการเปลี่ยนแปลงไฟล์อะไรบ้าง​ โดยเฉพาะไฟล์ระบบต่าง ๆ เมื่อเราผสมโรงกับพวก File System Access Control ของ macOS ที่มันจะชอบเด้งขึ้นมาถามว่า App นี้จะเข้าถึง Removeable Media ได้มั้ย เข้าถึง Download Folder ได้มั้ยอะไรแบบนั้น มันก็เป็นอีกกลไกนึงในการป้องกันได้เหมือนกัน โดยเฉพาะ Ransomware ต่าง ๆ

ถามว่า แล้ว XProtect มันรู้ได้ยังไงว่า อะไรคือ Malware อะไรไม่ใช่ มันใช้เทคโนโลยีดังเดิมที่เราใช้กันมานานอย่าง Signature Database เลย หรือก็คือ เป็นระบบที่อาศัยการใช้ Database ในการตรวจหาว่าอะไรใช่ไม่ใช่ ซึ่งแน่นอนว่า Database ทั้งหมดนี้ มันก็จะอัพเดททอยู่เป็นเบื้องหลังของระบบโดยที่เราไม่รู้ตัวด้วยซ้ำ เรียกได้ว่าเป็น Self-Maintain ของมันเลยก็ว่าได้

MRT ที่ไม่ใช่รถใต้ดิน แต่เป็น Malware Removal Tools

ถ้าเราบอกว่า XProtect มันเกิดมาเพื่อป้องกันไม่ให้เราโดน Malware ถามว่า แล้วถ้าเราโดนแล้วละ Malware มันเข้ามาในระบบได้แล้ว มันจะทำยังไงละ แน่นอนว่า Apple ก็คิดเรื่องพวกนี้มาแล้ว ทำให้เกิดขึ้นมาอีกกลไกนึงคือ MRT หรือ Malware Removal Tools นั่นเอง โดยที่ Apple บอกว่า มันเป็นระบบที่จะทำการกำจัดพวก Malware ที่ติดแล้วให้ออกจากระบบของเราได้ ถามว่ามันรู้ได้ยังไงว่ามันกำจัดได้ยังไง คำตอบก็คือพวก Security Update ที่เรามักจะเห็นอยู่บ่อย ๆ ตอนที่เรา Update ระบบนั่นเอง เหมือนกับเป็นการ Update ตู้ยาของเราเพื่อให้ถ้าเราโดนขึ้นมา เราจะได้มียาไว้จัดการกับมันได้นั่นเอง โดยทั่ว ๆ ไป ทั้ง MRT และ XProtect มันจะมีการอัพเดทตัวเอง ทุก ๆ วัน วันละครั้งเลย เพื่อให้มั่นใจว่า ระบบของเราจะยังคงปลอดภัย และมี Security Patch ล่าสุดเสมอ

File Access Control

ถ้าเราใช้ macOS ตั้งแต่ 10.14 เป็นต้นไป เวลาเราเข้า App ใหม่ ๆ เป็นครั้งแรก เราจะเจอกับหน้าที่มันจะเข้ามาถามเราว่า App มันต้องการที่จะเข้าถึง Download Folder หรือ Folder อื่น ๆ ถ้าเรากดไม่ให้มันเข้ามา มันก็จะเข้าถึง Folder นั้น ๆ ไม่ได้เลย เราว่าเป็น Feature ที่มีประโยชน์มาก ๆ ในการป้องกันภัยคุกคามโดยเฉพาะพวก Ransomware เพราะพวกนี้ ส่วนใหญ่ มันจะใช้ Vector เป็น File ที่มากับอีเมล์ ไม่ก็พวกดาวน์โหลดจากเว็บไซต์ต่าง ๆ แล้วเราก็ไม่รู้เปิดขึ้นมาเลยจ้า คือ ถ้าเรามี Sense นิดนึงว่าโปรแกรมนี้มันไม่น่าจะต้องเข้าถึงไฟล์ใน Folder นั้น ๆ ที่มันถามขึ้นมา เรากด Denined ไป มันก็จะเข้าไปยุ่งกับ Folder ที่เราไม่อนุญาติไม่ได้เลย สุดท้าย File ของเราก็ยังอยู่ครบ ไม่โดน Encrypt ได้เลย ถือว่าเป็น Feature ที่เราชอบมาก ๆ

Robust System

เรื่องนึงของ macOS ในรุ่นใหม่ ๆ ที่เราว่ามันเจ๋งมาก ๆ คือการออกแบบ File System หรือลักษณะการเก็บข้อมูลของ macOS ที่ทำออกมาได้แข็งแกร่งมาก ๆ ทำให้มันสามารถทนทานต่อการโดนโจมตี และ มีการอัพเดทตัวเองได้เรื่อย ๆ แบบ Seamless ทำให้เราแทบไม่ต้องมานั่ง รอ Update นาน ๆ เหมือนกับ Win_ows เลย ที่อยู่ ๆ อ้าว Reboot ตัวเองอิผี !!!

สิ่งที่มันทำหลัก ๆ เอาง่าย ๆ คือ มันแยกส่วนการเก็บข้อมูลออกจากกันตามการใช้งาน โดยมันจะแบ่งเป็น System กับ Data Volume เก็บตัวระบบของเรา และ ตัวข้อมูลตามลำดับ โดยที่ตัว Data Volume มันจะโดนเข้ารหัสไว้ส่วนนึง เช่นพวกของมูลที่เราเก็บในเครื่อง ดังนั้น ถ้าโหด ๆ หน่อย มีคนอยากล้วงข้อมูลของเราจริง ๆ และได้เครื่องเราไปแล้ว แกะ SSD ของเราออกมา แล้วไปใส่ในเครื่องใหม่มันก็จะเปิดข้อมูลของเราขึ้นมาไม่ได้แน่นอน ทำให้ข้อมูลของเราปลอดภัยจากการโจรกรรม

ทำให้พวก Application ต่าง ๆ ถ้าเกิดเรารันแล้วมันเป็นพวก Malware มันก็จะโดนพวกกลไกอย่าง XProtect ตรวจหาเจอก่อนจะได้ทำงาน หรือถ้ารอดไปได้แล้ว MRT มันรู้จัก มันก็จะกำจัดออกจากระบบเราได้ทันที แต่ถ้าเกิด Worst Case จริง ๆ มันหลุดมาได้ มันก็จะทำร้ายเครื่องเราได้แค่ใน Data Volume เท่านั้น ยังไม่นับว่ามันต้องผ่าน Permission อีกนะ ดังนั้นสุดท้าย แล้วระบบของเราจะไม่ได้รับผลกระทบอะไรเลยเมื่อเราโดน

เพราะถ้าเราลองเข้าไปดูในโลกของ Malware มันก็จะมี Malware บางพวกที่จะฝังตัวอยู่ในระบบ เพื่อรออะไรบางอย่างเช่น Botnet ด้วย แต่ถ้าเป็นใน macOS โดยทั่วไป มันจะทำแบบนั้นไม่ได้เลย เพราะ System Volume มันจะต่อเข้ามาในเครื่องของเราเมื่อเราเข้าเครื่องแล้วเป็น Read-Only หรืออ่านได้อย่างเดียว เขียนไม่ได้นั่นเอง หรือถ้ามันหาทางที่จะ Mount ได้ใหม่เป็นแบบเขียนได้ด้วย มันก็จะไปเจอ SIP (System Integrity Protection) ดักอีกทาง ทำให้มันรันไม่ได้เลยด้วยซ้ำ

ตัว SIP เองมันโหดมาก ๆ ขนาดที่ตัว Update ระบบของ macOS เองมันยังเข้าไปแก้ระบบตัวเองไม่ได้เลย ฮ่า ๆ (เป็น root ยังทำไม่ได้เลย เดือดจัด ๆ) ทำให้ในขั้นตอนของการ Update ระบบมันจำเป็นที่จะต้องมีการเข้าไปปิดการทำงานของ SIP และเพื่อความปลอดภัยของข้อมูลเรา มันจะต้องไป Unmount Data Volume ออกด้วย เผื่อว่าใน Data Volume มีอะไรที่ไม่พึงประสงค์อยู่ และ เผื่อ System Update มันมีอะไรไปโดน Data Volume ทางที่ดีคือ ปิดมันไปเลย เรามั่นใจอยู่แล้วว่า เราไม่ใช้แน่ ๆ ในการ Update ตัวระบบเอง

นอกจากนั้น ระบบมันยังมีการป้องกันอีกชั้นในการอัพเดทด้วย เช่น เราบอกว่า เราเล่นท่า Man-in-the-middle attack (MITM Attack) เลย คือ เราไปอยู่ระหว่าง เหยื่อกับ Server Apple เราปลอมเป็น Apple Server เพื่อให้เหยื่อดาวน์โหลด System Update ที่เราแอบใส่พวก Malware เข้าไป ระบบจะเช็คได้ว่า Update ตัวที่ติดตั้งลงไปมันถูกต้องเป็นตัวเดียวกับที่ Apple ทำมาให้มั้ย โดยมันจะมีการ Generate พวก Seal Value จากระบบขึ้นมา (เอาแต่ละไฟล์มาหา SHA-256 แล้วเอาทั้งหมดมา Hash ด้วย SHA-256 อีกทีเป็น Seal) เหมือนกับพวก กาวแปะจดหมายแหละ แล้วมันต้องไปคุยกับ Apple Server ว่า โอเค Seal แบบนี้มันถูกต้องมั้ย ถ้าเราโดนพวก MITM Attack คนที่โจมตีเราจะต้องปลอมปลายทางของ Validation Server ขึ้นมาด้วย ไม่งั้น User จะติดตั้งไม่ผ่าน ซึ่งพวกนี้เครื่องมันก็จะรู้ว่านี่มัน Rogue Server หรือไม่ ได้การใช้งาน Asymmetric Encryption เหมือนกับ SSL และ HTTPS ที่เราใช้งานกันบนเว็บ สุดท้าย ทำให้เรามั่นใจได้เลยว่า ระบบที่เราทำการ Update ใหม่ทั้งหมดจะตรงกับที่ Apple ทำมาใน ทุก ทุก BIT เลย

ถ้าเกิดว่ามันไม่ตรงละ จะทำยังไง สิ่งที่มันทำคือ มันจะไม่ยอม Boot เข้าเครื่องเราเลย เราจะเจออาการที่พอเราเปิดเครื่องมา มันจะวิ่งเข้า Recovery Mode อย่างเดียวเลย เพื่อให้เรา Reinstall OS ใหม่จาก Apple เลย ถือว่าดุดันมาก

Secure Enclave

ใน Mac ที่เป็น Apple Silicon จะมีสิ่งนึงที่เรียกว่า Secure Enclave อยู่ภายใน SoC ด้วย มันเป็นส่วนที่จะช่วยปกป้องเครื่อง และ ข้อมูลของเราจากการโดนโจรกรรม และ ระบบจากภัยคุกคามต่าง ๆ ได้ด้วย

โดยปกติแล้ว การที่จะทำให้ข้อมูลของเรามันปลอดภัยหน่อย เราจะต้องทำการเข้ารหัส เพื่อไม่ให้คนที่ไม่ได้รับอนุญาติเข้ามาเปิดข้อมูลของเราได้ง่าย ๆ ถ้าจะถอดรหัส ก็ต้องใช้เวลาหลายปี ถึงหลายพันปี ในการถอดรหัสข้อมูลทั้งเครื่องออกมาได้ (เว้นแต่มี Quantum Computer ที่มี Algorithm ในการถอดรหัสอะนะ) แต่เมื่อก่อน การเข้ารหัสไฟล์ในเครื่องของเราเป็นเรื่องที่ยากมาก ๆ เพราะการเข้ารหัสมันก็คือการคำนวณค่าของไฟล์ต่าง ๆ ออกมา เพื่อไม่ให้อ่านได้ง่าย ๆ นั่นเอง สุดท้าย เราก็จะเจอกับปัญหาที่ว่า มันก็จะมากิน CPU ในเครื่องของเราทำให้ระบบมันใช้ทรัพยากรหนักว่าที่ควรจะเป็นมาก ๆ เลยทำให้เทคโนโลยีพวกนี้เป็นของราคาแพงในสมัยก่อน

แต่ด้วย Secure Enclave ของ Apple เองใน SoC เขาก็จะมีส่วนที่เข้ารหัสข้อมูลโดยเฉพาะ ทำให้เราสามารถเข้ารหัส และ ถอดรหัสข้อมูลได้แบบแทบจะ Real-time เลย โดยที่ใช้พลังงานน้อยมาก ๆ ได้เลย นั่นทำให้เทคโนโลยีตัวนี้มันสามารถเอามาใช้จริงได้กับหลาย ๆ อุปกรณ์นั่นเอง เรียกได้ว่า เมื่อเราพับฝาข้อมูลก็จะโดนเข้ารหัสทันที

นอกจากนั้น ยังมีพวกเทคโนโลยีการปกป้องระบบของเรา แบบเดียวกับที่ Enterprise ใช้เลยคือพวก Secure Boot ที่เดี๋ยวนี้ไม่ได้พิเศษอะไรละ เราใช้กันเยอะมาก ๆ ในระบบสมัยใหม่ สิ่งที่มันทำคือ ทุกครั้งที่เรา Boot เครื่องขึ้นมา มันจะทำการเช็คไฟล์ระบบทุกครั้ง เพื่อให้มั่นใจว่า มันเป็นระบบที่ถูกต้อง ไม่ได้ถูกแก้ไข หรือทำอะไรมาก่อนที่ไม่ได้เป็น Version ต้นฉบับของ Apple เอง ทำให้พวก Malware ที่อาจจะเข้าไปฝังในระบบได้ ก็จะทำงานไม่ได้ เพราะเครื่องมันจะไม่ให้ตัวเอง Boot เลย

นอกจากนั้นมันยังทำให้เราสามารถที่จะทำ Remote Wipe เครื่องของเราได้ด้วย ถ้าเกิดเราบอกว่าเครื่องของเราโดนโจรกรรม แล้วเรามีข้อมูลที่ Sensitive เราก็สามารถ สั่งให้เครื่องมันลบข้อมูลใน Data Volume ออกไปหมดได้เลย ทำให้ข้อมูลของเราปลอดภัยขึ้นมาก

เทคโนโลยีพวกนี้ไม่ได้พึ่งเกิดในช่วงของ Apple Silicon เพราะจริง ๆ แล้วมันมีมาตั้งแต่ช่วงที่เป็น Intel แล้ว โดยเครื่องที่รองรับ Feature พวกนี้จะเป็นเครื่องที่มาพร้อมกับ Chip T1 และ T2 นั่นเอง

เราสามารถตรวจสอบสถานะการทำงานของแต่ละระบบได้อย่างไร

อย่างที่เราบอกว่า ตัวระบบป้องกันทั้งหลายใน macOS มันทำงานเป็นเบื้องหลังทั้งหมด ทำให้มันไม่มี Interface หรือหน้าตาของโปรแกรมมาเพื่อบอกว่า อ่อ เรากำลังทำงานอยู่นะ ทำให้ถ้าเราอยากดูสถานะ เราจะต้องใช้คำสั่งบน Command Line แต่มันก็ไม่เป็นมิตรเท่าไหร่ เลยทำให้มีคนที่ทำโปรแกรมออกมาเพื่อดูสถานะของส่วนการทำงานพวกนี้​ โดยตัวอย่างที่เราเอามาให้ดูคือ SilentKnight เมื่อเราโหลดมาแล้ว มันจะบอกหมดเลยว่า พวก XProtect, MRT อะไรที่เราว่าไปมันยังทำงานอยู่มั้ย หรืออย่างที่เห็นที่เป็นธงเหลือง Warning Platform Security Partial ก็เพราะเราจะต้องใช้ Audio Capture ของ Elgato เลยทำให้เราจะต้องเปิด Security บนระบบบางส่วนเพื่อให้ Audio Capture ทำงานได้นั่นเอง

สรุป

ใน macOS ถือว่าเป็นระบบปฏิบัติการที่มีความทันสมัยมาก ๆ ในการ Implement พวก Security Feature หลาย ๆ ตัวเข้ามาให้เราใช้งานโดยที่เราไม่รู้ตัวเลยว่าเรากำลังใช้อยู่ แต่เราบอกได้เลยว่า ระหว่างที่อ่านอยู่ตอนนี้ระบบพวกนี้มันกำลังทำงานอยู่ตลอดเวลาเลย ทำให้เราสามารถคิดได้ 2 เรื่องจากตรงนี้เลยว่า Apple เก่งมากที่ทำให้ระบบมันทำงานได้ด้วยตัวเอง พร้อมกับการสื่อสารได้โดยที่ผู้ใช้ไม่ตกใจเลย และยังสามารถทำงานได้โดยที่ไม่ได้กินทรัพยากรมากจนเราต้อง งง ว่า ห่ะมันใช้ขนาดนั้นเลยเหรอ เหมือนกับที่เรา Install พวก Antivirus ลงไปเพิ่ม ที่มันเตือน ๆ นั่นนี่เต็มไปหมด เด้งนั่น เด้งนี้อะไรของมันนักหนา ทำให้เรา Focus กับการทำงานของเราได้ดีขึ้น เป็นระบบที่ดีเลยละ เราชอบมาก ๆ