Processo di avvio per i Mac dotati di processore Intel
Mac dotati di processore Intel con chip di sicurezza Apple T2
Quando un Mac dotato di processore Intel con chip di sicurezza Apple T2 viene acceso, il chip esegue un avvio protetto dalla propria ROM di avvio in maniera analoga a ciò che avviene su iPhone, su iPad e sui Mac dotati di chip Apple. In questo modo viene verificato il bootloader iBoot ed è il primo passaggio della catena di attendibilità. iBoot verifica il kernel e il codice di estensione del kernel con il chip T2, il quale successivamente verifica il firmware UEFI Intel. Il firmware UEFI e la relativa firma inizialmente sono disponibili solo per il chip T2.
Dopo la verifica, l’immagine del firmware UEFI viene mappata in una parte della memoria del chip T2, che è resa disponibile alla CPU Intel tramite l’eSPI (enhanced Serial Peripheral Interface). Quando la CPU Intel si avvia per la prima volta, recupera il firmware UEFI tramite il protocollo eSPI dalla copia del firmware, mappata sulla memoria e di cui è stata previamente verificata l’integrità, situata nel chip T2.
Il processo di valutazione della catena di attendibilità continua sulla CPU Intel, con il firmware UEFI che valuta la firma per boot.efi, il bootloader di macOS. Le firme di avvio protetto di macOS di Intel sono archiviate nello stesso formato Image4 usato per l’avvio protetto del chip T2, iOS e iPadOS; inoltre, il codice che analizza i file Image4 è lo stesso codice sottoposto a hardening attualmente implementato per l’avvio protetto su iOS e iPadOS. Il boot.efi verifica la firma di un nuovo file chiamato immutablekernel. Quando viene abilitato un avvio protetto, il file immutablekernel rappresenta l’insieme completo di estensioni del kernel di Apple richieste per avviare macOS. La politica relativa all’avvio protetto termina nel momento del passaggio all’immutablekernel e, da lì in poi, entrano in vigore le politiche di sicurezza di macOS (come la protezione dell’integrità del sistema e le estensioni del kernel firmate).
Eventuali errori o problemi riscontrati durante il processo faranno entrare il Mac in modalità di recupero, in modalità di recupero del chip di sicurezza Apple T2 o in modalità DFU per il chip di sicurezza Apple T2.
Microsoft Windows sui Mac dotati di processore Intel con chip T2
Di default, i Mac dotati di processore Intel che supportano l’avvio protetto ritengono affidabili unicamente i contenuti firmati da Apple. Tuttavia, per migliorare la sicurezza delle installazioni Boot Camp, Apple supporta anche l’avvio protetto per Windows. Il firmware UEFI (Unified Extensible Firmware Interface) include una copia del certificato Microsoft Windows Production CA 2011 utilizzato per autenticare i bootloader Microsoft.
Nota: attualmente non viene fornita attendibilità per Microsoft Corporation UEFI CA 2011, che consentirebbe la verifica del codice firmato dai partner di Microsoft. Questa autorità di certificazione UEFI viene usata solitamente per verificare l’autenticità dei bootloader per altri sistemi operativi, come le varianti di Linux.
Il supporto per l’avvio protetto di Windows non è abilitato di default, ma tramite Assistente Boot Camp. Quando un utente esegue Assistente Boot Camp, macOS viene riconfigurato per ritenere affidabile il codice firmato di prima mano da Microsoft durante l’avvio. Una volta completato Assistente Boot Camp, se macOS non supera la verifica dell’affidabilità di Apple durante l’avvio protetto, il firmware UEFI cerca di verificare l’affidabilità dell’oggetto secondo la formattazione dell’avvio protetto UEFI. Se la verifica dell’affidabilità avviene correttamente, il Mac continua e avvia Windows. In caso di esito negativo invece, entra in recoveryOS e informa l’utente dell’errore della verifica di affidabilità.
Computer Mac dotati di processore Intel sprovvisti di chip T2
I Mac dotati di processore Intel sprovvisti di chip T2 non supportano l’avvio protetto. Quindi il firmware UEFI carica il bootloader di macOS (boot.efi) dal file system senza verificarlo, e il bootloader carica il kernel (prelinkedkernel) dal file system senza verificarlo. Per proteggere l’integrità della catena di avvio, gli utenti dovrebbero abilitare tutti i meccanismi di sicurezza seguenti:
Protezione dell’integrità del sistema (SIP): abilitata di default, quest’opzione protegge il bootloader e il kernel da processi di scrittura dannosi provenienti da un macOS in esecuzione.
FileVault: può essere abilitato dall’utente oppure da un amministratore MDM (Mobile Device Management). Protegge dagli attacchi di un hacker fisicamente presente che usa la modalità disco di destinazione per sovrascrivere il bootloader.
Password del firmware: può essere abilitata dall’utente oppure da un amministratore MDM (Mobile Device Management). Aiuta a proteggere dall’attivazione di modalità di avvio alternative da parte di un hacker fisicamente presente, quali ad esempio recoveryOS, “Modalità utente singolo” o “Modalità disco di destinazione”, da cui può essere sovrascritto il bootloader. Questa password aiuta inoltre a impedire l’avvio da supporti multimediali alternativi, da cui un hacker potrebbe eseguire del codice per sovrascrivere il bootloader.
