Nieuwe Mac-security bouwt op Apple's game-engine

Dat vertelde Wardle op de RSA-conferentie in San Francisco. Het team maakte als eerste MonitorKit, open-source software die binnenkort op GitHub verschijnt. MonitorKit bundelt meerdere onderdelen van macOS en stuurt de computergebruiker een notificatie bij een verdachte actie. Voorbeelden zijn gesimuleerde kliks, ongevraagde downloads en het registreren van toetsaanslagen (keylogging).

Game-engine blijkt geschikt voor securitydoeleinden

Door verschillende macOS-onderdelen te combineren, kan de software volgens Wardle signalen herkennen van een ransomware-aanval, malwarebesmetting en een poging tot misbruik van een zero-day. De achterliggende engine moet in staat zijn om acties te registreren, regels toe te passen en een gefundeerde uitkomst te bieden, vertellen de onderzoekers op de RSA-conferentie. De security suite moet immers geen of in ieder geval zo min mogelijk valse alarmen geven, maar mag ook geen daadwerkelijke bedreiging missen.

Volgens Wardle is een computer game engine uitermate geschikt voor deze toepassingen, wat leidde tot de keuze voor Apple’s Gameplaykit. Het team koppelde acties aan de engine en stelt dat IT-beheerders eigen regels en acties kunnen toevoegen om eigen medewerkers in de gaten te houden. Wardle noemt als voorbeelden het inloggen na werktijd, het misbruiken van superuser-rechten en het gebruik van usb-sticks (als dit niet is toegestaan).  

‘Mac-gebruikers zijn overmoedig’

Het team beveiligingsonderzoekers noemt de nieuwe security suite voor macOS broodnodig, tekent TheRegister op. “Als je kijkt naar de markt voor zero-days, zijn kwetsbaarheden in Safari goedkoper dan in browsers voor Windows. Dat is geen kwestie van vraag en aanbod. Macs zijn eenvoudigere doelwitten omdat het makkelijker is ze aan te vallen en omdat Mac-gebruikers overmoedig zijn”, zegt Wardle.