Matrix 精选

Matrix 是少数派的写作社区,我们主张分享真实的产品体验,有实用价值的经验与思考。我们会不定期挑选 Matrix 最优质的文章,展示来自用户的最真实的体验和观点。

文章代表作者个人观点,少数派仅对标题和排版略作修改。


前阵子和朋友了聊到 Setapp 的时候,他说他有点担心这个工具,主要是因为它请求的权限比较多。既要监控各 app 的使用时长,又会频繁地连接服务器,万一呢?

他顺便推荐了 Objective-See.com 这个网站,上面的工具都是围绕 Mac 安全的方方面面开发的。所有的工具都是开源的,源码都可以在 Github 上找到。

下面列举的所有 app 都可以通过 brew cask 安装:

  • Lulu: 阻止向外访问的防火墙
  • Do Not Disturb:防止武力入侵的工具
  • KnockKnock:监测 macOS 上各类 app 权限的工具
  • TaskExplorer:类似于 Activity Monitor 的全局任务管理工具
  • ReiKey:键盘记录监测工具
  • Netiquette:监测当前所有连接的工具
  • BlockBlock:监测所有反复安装/执行的工具
  • RansomWhere?:监测 ransomware 的工具
  • OverSight:监测摄像头/麦克风开启情况的工具
  • What's Your Sign?:监测软件签名的工具

LuLu

Lulu 在夏威夷方言里,意味着“保护,盾牌”,它是一款免费的防火墙,它的定位是阻止 Mac 上未经授权的 app 访问外部的服务器。目前很多 app 都会集成各类 SDK 将用户的使用数据上传到自己或者第三方的服务器,用以分析用户的使用行为。当然不少有害软件也会趁机把用户的数据窃取后发回自己的服务器。而 Lulu 的定位就是阻止类似的访问外部行为,至于入侵的有害数据,则不是它关心的方面(macOS 内置的防火墙可以阻止入侵,所以两者相辅相成)。

安装后,Lulu 会询问是否白名单之前已经安装的 app 和 Apple 官方的 app,我们可以根据自己的需求来选择。

在 System Preferences 里授予 Lulu 权限之后,它就会自动工作。任何未授权的访问外部行为发生之后,它都会提醒你是否放行,如果我们选择拒绝的话,它就会把这一行为添加到黑名单里;反之则放入白名单。

在 Lulu 的页面内,我们可以看到所有授权的汇总情况,可以根据具体需求对每个授权做调整。

Do Not Disturb

主要监测 MacBook Pro 和 MacBook Air 之类的笔记本被武力入侵,可以和 iOS 上的 Do Not Disturb Companion 绑定。一旦有物理入侵(开盖)发生,DND 会作出以下回应:

  1. 在本地发出警告;
  2. 像 iOS 上的 companion app 发出报警;
  3. 监测本地的入侵行为;
  4. 执行用户指定的操作

DND 的安装很简单,现在电脑上安装,然后在 iPhone 上下载指定的 app,然后通过一个二维码即可配对。

一旦有开盖的物理入侵发生,DND 就会按照指定的步骤执行相应操作,比如像下面一样拍照:

KnockKnock

有害软件经常自动安装,比如国内臭名昭著的全家桶安装,A 自动安装 B,B 自动安装 C。KnockKnock 正是为了防止类似的行为而开发的。安装完 KnockKnock 之后,可以用它扫描 macOS 上各种系统权限的请求情况,比如系统启动项等,它会结合外部的有害软件数据库对此作出判断。

如果你喜欢的话,也可以在命令行里使用 KnockKnock:

$ ./KnockKnock.app/Contents/MacOS/KnockKnock -h

KnockKnock 在启动时,会连接 Objective-see 官网检查是否有更新,并不会向外发送数据。这一行为会被上面的 Lulu 发现,也是蛮有意思的。

TaskExplorer

类似于 macOS 上的 Activity Monitor,TaskExplorer 监测各进程的签名/文件打开情况/网络连接情况。

内置的全局搜索功能可以帮助我们通过关键字快速找到关联进程:

ReiKey

不少有害软件会记录用户的键盘敲击记录,获得敏感信息。下图就是典型的键盘记录逻辑 CoreGraphics:用户的敲击记录会被记录下来,这一记录会被发送给入侵者。

ReiKey 就是为了阻止这类入侵行为开发的,不过它只能监测基于 CoreGraphics开发的有害软件。安装完 ReiKey 之后,可以用它对 Mac 进行扫描:

我们也可以在命令行里执行这一工具:

$ /ReiKey.app/Contents/MacOS/ReiKey -scan -pretty

Netiquette

与 Lulu 扫描所有 app 的方式不同,Netiquette 只监测目前活动的所有网络连接,而且更深层。

BlockBlock

前述的 KnockKnock 通过检测系统权限来判断有害软件,而 BlockBlock 则通过检测某些组件的持续安装来提醒用户防范此类有害软件。

RansomWhere?

与 ransomware 谐音,RansomWhere? 专门监测勒索类有害软件(主要是 thwart OS X ransomware)的入侵。

OverSight

很多有害软件会开启用户的摄像头或者麦克风来窃取数据,OverSight 正是这类有害软件的克星。一旦监测到摄像头或者麦克风被调用,OverSight 就会发出警报。

What's Your Sign

几乎所有的软件都有数字签名,这一签名可以用来校验我们安装的软件是否开发者发布/正规渠道获取的,而不是被第三方篡改的软件。我们当然可以通过命令行工具来获得某个软件的数字签名,WhatsYourSign 则把这一过程简化到一个可视化界面里,方便用户校验。

Recap

Objective-see 发布的一系列工具可以帮助我们全方位地保证 Mac 的安全。每一个工具各司其职,组合起来就变得无比强大。这也很像 Unix 的哲学,做且仅做好一件事。如果你喜欢这些工具的话,不妨去他们的 Pateron 页面上打赏吧。

本文所有截图皆源自 Objective-See 官网

> 下载少数派 客户端、关注 少数派公众号,找到数字时代更好的生活方式 🎊

> 特惠、好用的硬件产品,尽在 少数派sspai官方店铺 🛒