Mannomann, muß ich erst einmal übersetzten.
Quelle:
https://eclecticlight.co/2020/06/25/big-surs-signed-system-volume-added-security-protection/
Die letzten beiden Hauptversionen von macOS haben eine rasante Entwicklung beim Schutz der Systemdateien mit sich gebracht. Bevor ich erkläre, was in macOS 11 Big Sur passiert, fasse ich zusammen, was bisher geschehen ist.
In macOS Mojave 10.14 bootet macOS von einem einzigen APFS-Volume, in dem sensible Systemordner und -dateien mit denen gemischt sind, auf die Benutzer schreiben können. Die wichtigsten Schutzmechanismen für das System stammen von den klassischen Unix-Berechtigungen und werden durch die Software System Integrity Protection (SIP) in macOS ergänzt.
In Mojave muss Malware nur eine Schwachstelle in SIP ausnutzen, um erhöhte Rechte zu erlangen, und schon kann sie mit Systemdateien machen, was sie will.
Catalina 10.15 ändert das, indem es das Boot-Volume in zwei teilt: das System- und das Daten-Volume, die eine APFS-Volume-Gruppe bilden. Unveränderliche Systemdateien befinden sich nun auf dem System-Volume, das nicht nur vollständig durch SIP geschützt ist, sondern normalerweise auch schreibgeschützt gemountet wird.
Das macht es für Malware viel schwieriger, die nicht nur SIP umgehen, sondern auch das System-Volume als beschreibbar einbinden muss, bevor sie Systemdateien manipulieren kann.
Obwohl Big Sur dasselbe geschützte System-Volume und dieselbe APFS-Volume-Group wie Catalina verwendet, ändert es die Art und Weise, wie dieses Volume geschützt wird, um es zu einer noch größeren Herausforderung für die Entwickler bösartiger Software zu machen: Willkommen beim Signed System Volume (SSV).
Jede Datei auf dem System-Volume von Big Sur verfügt nun über einen kryptografischen SHA-256-Hash, der in den Metadaten des Dateisystems gespeichert ist. Wenn Daten aus dem SSV gelesen werden, wird ihr aktueller Hash mit dem gespeicherten Hash verglichen, um zu überprüfen, ob die Datei nicht manipuliert oder beschädigt wurde. Diejenigen, die mit meinen Dateiintegritätstools vertraut sind, werden erkennen, dass dies im Wesentlichen die gleiche Technik ist, die sie verwenden.
Weitere Hashes werden in den Metadaten des Dateisystems selbst verwendet, von den tiefsten Verzeichnissen bis hinauf zum Stammknoten, wo sie als Siegel bezeichnet werden. Dadurch wird sichergestellt, dass diese Hashes das gesamte Volume, seine Daten und seine Verzeichnisstruktur abdecken. Das Siegel wird bei jedem Start des Macs überprüft, vom Bootloader, bevor der Kernel geladen wird, und während der Installation und Aktualisierung der macOS-Systemdateien. Wenn die Überprüfung fehlschlägt, wird der Startvorgang angehalten und der Benutzer wird aufgefordert, macOS neu zu installieren, bevor er fortfährt.
Auch Aktualisierungen werden durch diesen Mechanismus zuverlässiger gemacht: Wenn sie nicht abgeschlossen werden können, wird das vorherige System mit seinem Snapshot wiederhergestellt.
Für die große Mehrheit der Benutzer sollte all dies transparent sein. Sie installieren macOS-Updates genauso wie bisher, und Ihr Mac startet genauso wie früher. Sie können sich voll und ganz darauf verlassen, dass Big Sur nichts an den Daten auf Ihrem Systemvolume verändert hat. Der einzige Fall, in dem Sie wahrscheinlich auf die SSV stoßen werden, ist die Verwendung von bootfähigen macOS-Volumes durch Klonen oder von einem macOS-Installationsprogramm. Was auch immer Sie dafür verwenden, muss alle Hashes und Siegel erhalten, oder das Volume wird nicht bootfähig sein. Jede gute Klon-Software sollte damit gut zurechtkommen.
Wenn Sie eine Kernel-Erweiterung installieren müssen (keine der neueren Systemerweiterungen, DriverKit-Erweiterungen usw.), ist diese nicht mehr in den vorverlinkten Kernel eingebaut, der zum Booten Ihres Systems verwendet wird, sondern in /Library/KernelCollections/AuxiliaryKernelExtensions.kc. Da sich diese Datei auf dem beschreibbaren Datenträger befindet, hat sie keine Auswirkungen auf den Schutz der SSV.
Was definitiv viel komplexer wird, ist das Ändern von irgendetwas auf der SSV, denn Sie können Ihren Mac nicht mehr einfach von einem "Live"-System-Volume booten: das wird diese neuen Prüfungen nicht bestehen. Apple hat die Funktionen des csrutil-Befehls erweitert, um Änderungen an der SSV vornehmen zu können. In groben Zügen müssen Sie im Wiederherstellungsmodus booten und den Befehl
csrutil authenticated-root disable
verwenden, um die kryptografische Verifizierung zu deaktivieren, dann das Systemvolume mounten und dessen Änderungen vornehmen. Um es wieder bootfähig zu machen, müssen Sie einen neuen Snapshot des Volumes mit einem Befehl wie dem folgenden blessen.
sudo bless --folder /[mountpfad]/System/Library/CoreServices --bootefi --create-snapshot
Sie können dann mit dem neuen Snapshot als Systemvolume und ohne SSV-Authentifizierung neu starten.
In Catalina sollten Sie Änderungen am Systemvolume nicht ohne triftigen Grund vornehmen. In Big Sur ist dies der letzte Ausweg.
Übersetzt mit
www.DeepL.com/Translator (kostenlose Version) und leicht editiert von mir.
