Ciao sono Giorgio Pozzi e in questa grande guida ti spiegherò tutto quello che puoi fare per blindare il Mac il più possibile, tenendo presente che la sicurezza assoluta non si ha mai, ma si può fare molto per mettere i bastoni tra le ruote di eventuali malintenzionati.

Premesse

Nota: Leggete tutta la guida prima di procedere. Non mi assumo alcuna responsabilità per eventuali problemi che potrebbero emergere seguendo la guida.
Nota3: Nel dubbio fermatevi e informatevi meglio prima di seguire le mie indicazioni.

Password efficaci

La prima cosa di cui occuparsi per blindare il Mac e tenere i dati al sicuro è la qualità delle proprie password. Devono essere tutte diverse e possibilmente non troppo semplici: devono contenere lettere maiuscole e minuscole, numeri, e magari qualche carattere speciale. Avete paura di perdervi con tutte queste password da ricordare? Usate il Portachiavi di iCloud e/o una app dedicata ad archiviare e recuperare le password al volo quando necessarie (ad esempio vi ho già parlato di mSecure). Parlo di questo più in dettaglio in un articolo dedicato.

No al login automatico

Se il Mac all’avvio lascia accedere a tutti i dati, chiunque ne entri in possesso avrà tutto a sua disposizione anche senza password, quindi è necessario richiedere la richiesta della password di amministrazione all’avvio, all’uscita dallo stop e dal salvaschermo.

Disattivare il login automatico:

1. Vai nel menu Apple in alto a sinistra e clicca su Preferenze di Sistema;
2. Clicca su Utenti e Gruppi;
3. Clicca su “Opzioni login”;
4. Sblocca il pannello cliccando sul lucchetto in basso a sinistra e inserisci i dati di amministrazione del computer.
5. Clicca su “Login automatico”, quindi scegli Inattivo o Non attivo.

Attivare la richiesta della password dopo lo stop o il salvaschermo.

1. Vai nel menu Apple in alto a sinistra e clicca su Preferenze di Sistema;
2. Clicca su Sicurezza e Privacy (dovresti già essere in Generali);
3. Metti la spunta di fianco a “Richiedi password ___ dopo lo stop o l’avvio del salvaschermo”.

Ti consiglio di impostare pochi secondi.

Autenticazione a due fattori

Una volta che le password sono sistemate e il Mac non fa entrare chiunque, è il momento di blindare il Mac mettendo al sicuro il profilo che vi permette di gestire (e anche formattare da remoto) i vostri dispositivi Apple: il cosiddetto Apple ID.
Con l’autenticazione a due fattori, quando vuoi accedere col tuo profilo a un nuovo dispositivo (o sul sito di iCloud) dovrai fornire la password ma anche il codice numerico che apparirà automaticamente su tutti i tuoi dispositivi (è possibile richiedere il dato anche via SMS). In questo modo non è più sufficiente indovinare i vostri dati di accesso, è anche necessario l’accesso a uno dei vostri dispositivi autenticati. Non fornite mai a nessuno questi codici.

Requisiti per essere protetti: iPhone, iPad o iPod touch con iOS 9 o successivi; Mac con OSX El Capitan o successivi.

Come attivare l’autenticazione a due fattori su iOS:

1. Apri Impostazioni;
2. Apri iCloud (nelle ultime versioni devi cliccare in alto sul tuo nome per accederci);
3. Apri Password e Sicurezza;
4. Tocca “Abilita l’autenticazione a due fattori“;
5. Tocca continua e segui le istruzioni.

Ti verrà chiesto il tuo numero di telefono che potrà ricevere l’SMS per l’autenticazione e lo verificherà subito inviandovi un codice da inserire per completare la procedura.

Come attivare l’autenticazione a due fattori su macOS:

1. Apri il menu Apple in alto a sinistra;
2. Clicca su Preferenze di Sistema;
3. Clicca su ID Apple o iCloud (a seconda della versione del macOS);
4. Clicca su Sicurezza o Password e sicurezza (a seconda della versione del macOS);
5. Clicca su Abilita l’autenticazione a due fattori.

L’unico modo per bucare l’autenticazione a due fattori è riuscire ad accedere fisicamente a uno dei dispositivi registrati o, al numero di telefono. Purtroppo alcuni riescono in questa seconda strada clonando la SIM della vittima, quindi fate attenzione alla ricezione di strani messaggi o chiamate che potrebbero far pensare che qualcuno stia usando il vostro numero, e nel caso chiamate subito la vostra compagnia telefonica per verificare che non ci siano problemi.

Password Firmware

I nuovi Mac con processore T2 di default non consentono l’avvio da dispositivi esterni. Questa è una ottima pratica per la vostra sicurezza. Se anche non avete questi nuovi Mac (ma lo consiglio anche agli altri), potete ovviare impostando una password al Firmware del Mac.
In questo modo, se provate ad avviare il vostro Mac da un dispositivo esterno o interno diverso dal disco di avvio, non potrete farlo senza inserire la password.

Come attivare la password del Firmware

Requisiti: OSX Mountain Lion o successivi.

1. Riavvia il Mac e tieni premuto “cmd” + R per lanciare la partizione di ripristino macOS Recovery;
2. Quando a schermo appaiono le utility disponibili, ignorale e vai nel menu Utility;
3. Nel menu clicca Utility Password Firmware o Utility Sicurezza Avvio (a seconda della versione di macOS);
4. Clicca su Attiva la password del firmware;
5. Inserisci la password;
6. Clicca su Imposta e segnati subito questa password nel tuo gestore password preferito (Se la perdi dovrai andare in Apple Store con una prova di acquisto per richiedere lo sblocco);
7. Chiudi l’utility e Riavvia il Mac dal menu Apple.

Come disattivare la password del Firmware

1. Riavvia il Mac e tieni premuto “cmd” + R per lanciare la partizione di ripristino macOS Recovery
2. Ti verrà chiesta la password del Firmware;
3. Quando a schermo appaiono le utility disponibili, ignorale e vai nel menu Utility
4. Nel menu clicca Utility Password Firmware o Utility Sicurezza Avvio (a seconda della versione di macOS);
5. Clicca su Disattiva la password del Firmware;
6. Inserisci la password del Firmware quando richiesto;
7. Chiudi l’utility e Riavvia il Mac dal menu Apple.

FileVault 2

FileVault 2 utilizza la codifica XTS-AES-128 con una chiave a 256 bit per codificare il disco del Mac e impedire così l’accesso non autorizzato ai dati contenuti anche se uno dovesse entrare in possesso del vostro Mac. La procedura di codifica può richiedere tempo, ma poi nell’uso del Mac non si avverte alcuna differenza in termini di velocità. Se FileVault è attivo il login non può essere automatico.

Come attivare FileVault

Requisiti: OSX Lion o successivi.

1. Vai nel menu Apple in alto a sinistra e clicca su Preferenze di Sistema;
2. Clicca su Sicurezza e Privacy;
3. Clicca su FileVault;
4. Sblocca il pannello cliccando sul lucchetto in basso a sinistra e inserisci i dati di amministrazione del computer;
5. Clicca su Attiva FileVault.

La codifica procede il background se il Mac è collegato alla corrente, e sarà effettiva solo a codifica completata e dopo il riavvio. Tutti i file creati successivamente saranno codificati durante il salvataggio.

Se sul tuo Mac sono presenti account di altri utenti, potresti visualizzare un messaggio che richiede che ogni utente digiti la propria password prima di poter sbloccare il disco. Per ciascun utente, fai clic sul pulsante Abilita utente e inserisci la password dell’utente per procedere con la codifica.

Puoi scegliere se sbloccare il disco o reimpostare la password tramite il tuo profilo iCloud o con una chiave di recupero diversa. Se scegli la chiave di recupero ovviamente segnatela subito. Se perdi sia la password del tuo account che la chiave di recupero di FileVault, non potrai accedere al Mac o ai dati archiviati sul disco di avvio.

Come disattivare FileVault

1. Vai nel menu Apple in alto a sinistra e clicca su Preferenze di Sistema;
2. Clicca su Sicurezza e Privacy;
3. Clicca su FileVault;
4. Sblocca il pannello cliccando sul lucchetto in basso a sinistra e inserisci i dati di amministrazione del computer;
5. Clicca su Disattiva FileVault.

La decodifica procede in background se il Mac è collegato alla corrente.

Codifica dischi esterni

Così come il disco interno del Mac, anche i dischi esterni possono essere codificati e forse è ancora più importante farlo visto che più facilmente possono essere dimenticati, smarriti e rubati. Con la codifica sarà impossibile accedere ai dati contenuti senza password (ma sarà possibile formattare il disco e utilizzarlo per altro).

Ho scritto un articolo per spiegarvi come codificare i dischi esterni.

Firewall in entrata

Per blindare il Mac ed essere ancora più sicuri è importante attivare il Firewall di serie. Questo filtrerà (con qualche limite) le connessioni in entrata lasciando fuori eventuali ficcanaso.

Come attivare il firewall

1. Vai nel Menu Apple in alto a sinistra e clicca Preferenze di Sistema.
2. Clicca su Sicurezza o Sicurezza e Privacy.
3. Clicca su Firewall.
4. Sblocca il pannello cliccando sul lucchetto in basso a sinistra e inserisci i dati di amministrazione del computer.
5. Clicca su “Attiva Firewall” o “Avvia” per abilitare il firewall.

Tramite il pulsante Opzioni è poi possibile personalizzare il comportamento del Firewall con ogni app e standard, specificando ad esempio anche se si vuole che le app attendibili non vengano filtrate. Addirittura si possono anche bloccare tutte le connessioni in entrata. Consiglio l’attivazione della Modalità Stealth che fa ignorare le richieste impreviste, come le richieste ICMP (ping).

Come disattivare il firewall

1. Vai nel Menu Apple in alto a sinistra e clicca Preferenze di Sistema.
2. Clicca su Sicurezza o Sicurezza e Privacy.
3. Clicca su Firewall.
4. Sblocca il pannello cliccando sul lucchetto in basso a sinistra e inserisci i dati di amministrazione del computer.
5. Clicca su “Disattiva Firewall” o “Stop” per abilitare il firewall.

Gatekeeper

Il macOS è provvisto di una tecnologia pensata per garantire che vengano eseguiti solo software affidabili, questo garantisce che le applicazioni non facciano qualcosa contro di te, quindi è molto importante nell’ottica di blindare il Mac.
È possibile scegliere tra più opzioni di sicurezza, ovvero permettere l’esecuzione di applicazioni solo da Mac App Store (app controllate da Apple), oppure anche da sviluppatori identificati (l’impostazione consigliabile), oppure qualsiasi sviluppatore.

Personalizzare le impostazioni di Gatekeeper:

1. Vai nel Menu Apple in alto a sinistra e clicca Preferenze di Sistema.
2. Clicca su Sicurezza o Sicurezza e Privacy.

In fondo alla finestra “Generali” ci sono le impostazioni di Gatekeeper.

Se cercando di installare o aprire una applicazione, visualizzi un messaggio di avviso e non riesci a procedere, probabilmente non è autorizzata al funzionamento. Se vuoi procedere comunque devi aprirla in un modo particolare: Nel Finder, fai tasto desto sull’app, scegli Apri dal menu e, nella finestra di dialogo visualizzata, fai clic su Apri. Quando richiesto, inserisci nome e password dell’amministratore. In certo casi potrebbe essere necessario andare in Preferenze di Sistema/Sicurezza e Privacy/Generali e cliccare Consenti in basso a destra.

Controlla chi ha accesso a cosa

Blindare il Mac non significa solo evitare l’accesso ai malintenzionati, ma controllare anche a che dati accedono le app già installate. Le versioni più recenti del macOS ti consentono di sapere tutti i dettagli sui dati a cui accedono le varie applicazioni installate. Le informazioni sono la localizzazione, i contatti, i calendari, i promemoria e le foto, la fotocamera, il microfono. il riconoscimento vocale, gli script per l’accessibilità, quanto viene digitato, registrazione dello schermo, file e cartelle, automazioni, pubblicità, lucchetto, analisi, e quali app hanno accesso completo al disco.

Come controllare chi ha accesso a cosa:

1. Vai nel Menu Apple in alto a sinistra e clicca Preferenze di Sistema.
2. Clicca su Sicurezza o Sicurezza e Privacy.
3. Clicca su Privacy.

Visualizzerai l’elenco dei vari gruppi di dati e il relativo elenco delle applicazioni che vi accedono.

Condivisioni sotto controllo

Tieni attive le opzioni di Condivisione solo se ti servono perché possono essere sfruttate come una porta socchiusa dai malintenzionati.

Come controllare le opzioni di condivisione:

1. Vai nel Menu Apple in alto a sinistra e clicca Preferenze di Sistema.
2. Clicca su Condivisione.

Troverai l’elenco dei vari tipi di Condivisione. Togli la spunta da tutte quelle che non ti servono, potrai sempre riattivarle se necessario.

Router Homekit

Recentemente hanno cominciato ad arrivare sul mercato i primi router compatibili con la sicurezza Homekit, una maggiore protezione che impedisce che una eventuale vulnerabilità di un accessorio domotico possa aprire la porta a eventuali malintenzionati che vogliano mettere le mani sui tuoi dati.

Configura il tuo router sicuro

1. Scarica l’app del router nell’App Store e usala per configurare il router.
2. Attendi che l’app ti chieda di aggiungere il router all’app Casa e poi tocca Accetta.
3. Se l’app non ti chiede di aggiungere il router all’app Casa, fai riferimento alle istruzioni del produttore del router.

Per una maggiore sicurezza, sarebbe il caso di eliminare gli accessori presenti in Casa e riaggiungerli subito dopo, in questo modo viene creata una chiave di accesso unica conosciuta solo dal router e da ogni accessorio.

Puoi controllare il livello di protezione offerto dal router per gli accessori HomeKit nell’app Casa. Le impostazioni si raggiungono cliccando la casetta in alto a sinistra, poi cliccando su Impostazioni Abitazione, poi il nome dell’abitazione, poi Rete WiFi e Router.
Sono disponibili tre livelli di sicurezza:

• Limita all’abitazione: L’accessorio può interagire solo con HomeKit e i tuoi dispositivi Apple. Non si connetterà a internet o ad alcun dispositivo locale, eventuali servizi di terze parti, come gli aggiornamenti del firmware, potrebbero essere bloccati.
• Automatico: livello di sicurezza di default. L’accessorio può comunicare con HomeKit e con le connessioni proposte dal produttore.
• Nessuna restrizione: rende inutile la sicurezza Homekit per il router.

Abbiamo visto le cose più importanti da fare per blindare il Mac, ora vediamo altri consigli che potrebbero aiutarti ulteriormente.

Safari

Blindare il Mac può significare anche non lasciare tracce non necessarie sulla rete. Safari con le ultime versioni che tutelano come nessun altro la privacy, ha fatto crollare il valore di mercato dei suoi utenti per tutti quelli che si occupano di marketing. In pratica i profili ottenuti sono anonimizzati e rendono impossibile il retargeting. Safari quindi riesce a confondere le vostre tracce sul web, proteggendovi dai pubblicitari ma anche da eventuali malintenzionati. Potete anche abilitare la navigazione privata per essere ancora più nascosti.

Firewall in uscita

Può fare comodo anche tenere sotto controllo le connessioni in uscita dal vostro Mac, per evitare che alcune applicazioni considerate affidabili inviino dati chissà dove. Vi consiglio di utilizzare Lulu (opensource) o Little Snitch (a pagamento).

Malwarebytes

Per essere più sicuri è importante anche controllare che nel nostro computer non si sia infilato qualche software spyware (cosa comunque molto difficile se avete seguito tutti gli step più importanti). Malwarebytes ci permette di scoprirlo facilmente e gratis (non è necessario il piano a pagamento).

NordVPN

Durante la navigazione potete trovarvi esposti a spioni e malintenzionati, soprattutto nelle reti pubbliche. I vostri dati potrebbero essere intercettati e rubati, per evitarlo e navigare in tranquillità potete usare una VPN come quella di NordVPN (a pagamento). Approfondisci la questione.

Conclusioni

Abbiamo visto come blindare il Mac. Ci sono davvero tante cose che possiamo fare, alcune (come la gestione delle password o il router sicuro) si ripercuotono su tutti i nostri dispositivi, altri invece sono accorgimenti specifici per il Mac. Spero che questa guida vi sia stata utile, se avete domande scrivetemi o commentate!

Come blindare iPhone (e iPad)

[content-egg module=Amazon template=list]

Fonti: Supporto Apple Supporto Apple Supporto Apple Supporto Apple

Supporto Apple Supporto Apple Supporto Apple Supporto Apple Supporto Apple Amazon LittleSnitch Malwarebytes NordVPN