MacOS. История, миф и реальность
Сегодня мы поговорим о яблоках и их огрызках. Поговорим о продукции компании Apple и развеем несколько мифов связанных с ней.
История
Mac OS (Macintosh Operating System) была представлена в 1984 году наряду с первым персональным компьютером Macintosh от Apple. Идеи, которые были реализованы в первой версии Mac OS, были заимствованы у компании Xerox. Исследовательский центр Xerox PARC уже располагал компьютером с графической операционной системой, который на данном этапе стал настоящим прорывом и послужил в дальнейшем развитии ОС. Новинку применяли только для собственных нужд, не рассматривая возможность коммерческого распространения.
Первая версия Mac OS нуждалась лишь в 216 кб дискового пространства и запускалась даже после обычного копирования с одного компьютера на другой. К сожалению, на тот момент ОС не была защищена от подделки, поэтому одним из основных акцентом разработчиков стала именно защита продукта. Кроме того, система претерпела технические усовершенствования и значительно расширила свои функциональные возможности.
Самой главной и продвинутой версией Mac OS стала девятая ОС, в которой были реализованы основные возможности и обеспечена стабильная работа. Девятую версию и до сих пор можно встретить на некоторых компьютерах Macintosh, поскольку она по праву заслужила называться классикой операционных систем от Mac. Благодаря данной версии Macintosh обрел заслуженную популярность, а ОС стала пользоваться коммерческим успехом. Со временем фирма Apple пришла к выводу о необходимости глобальных изменений.
Уже в 1997 году в качестве основы для своей новой ОС компания Apple выбрала NEXTSTEP – ОС от компании NeXT с ядром, которое можно свободно распространять.
В 2000 году произошел выпуск открытой POSIX-совместимой ОС Darwin, которая совмещала код от самой Apple, код от NeXTSTEP, FreeBSD и прочих. Таким образом, Darwin стал прародителем Mac OS X и Apple iOS, который совместим с 3й версией спецификации единой UNIX (SUSv3) и POSIX-приложениями и утилитами.
После провала NeXT и возвращения Стива Джобса в компанию Apple в 1997 году NeXTSTEP легла в основу проекта Rhapsody, в рамках которого началась разработка системы-наследника Mac OS 9. В 2000 году из Rhapsody был выделен открытый проект Darwin, исходники которого опубликованы под лицензией APSL, а уже в 2001 году появилась на свет OS X 10.0, построенная на его основе. Спустя несколько лет Darwin лег в основу операционной системы для готовящегося к выпуску смартфона, о котором до 2007-го, кроме слухов, не было известно почти ничего.
По своей сути Darwin — это «голая» UNIX-подобная ОС, которая включает в себя POSIX API, шелл, набор команд и сервисов, минимально необходимых для работы системы в консольном режиме и запуска UNIX-софта. В этом плане он похож на базовую систему FreeBSD или минимальную установку какого-нибудь Arch Linux, которые позволяют запустить консольный UNIX-софт, но не имеют ни графической оболочки, ни всего необходимого для запуска серьезных графических приложений из сред GNOME или KDE.
Ключевой компонент Darwin — гибридное ядро XNU, основанное, как уже было сказано выше, на ядре Mach и компонентах ядра FreeBSD, таких как планировщик процессов, сетевой стек и виртуальная файловая система (слой VFS). В отличие от Mach и FreeBSD, ядро OS X использует собственный API драйверов, названный I/O Kit и позволяющий писать драйверы на C++, используя объектно-ориентированный подход, сильно упрощающий разработку.
Таким образом, в качестве основы для создания Mac OS была взята система UNIX. В качестве справки: UNIX представляет собой семейство переносимых, многозадачных и многопользовательских ОС.
Mac OS X 10.5 (Leopard) была сертифицирована Единой спецификацией UNIX и стала одной из первых операционных систем в мире, удостоенных сертификата Open Brand UNIX 03.
На сегодняшний день существует достаточное количество UNIX-подобных ОС, одной из которых и является Linux.
Изначально UNIX была создана в 1960х гг. компанией Bell Labs, затем в 80х компания AT&T, владеющая Bell Labs, начала создание коммерческой версии ОС на основе UNIX.
Запуск проекта GNU в 1983 году послужил отправной точкой для создания операционной системы, с которой могли работать все пользователи компьютера – использовать, изучать, вносить доработки и проч. Различные версии UNIX создавались по аналогии с GNU и очень часто использовались идентичные компоненты, которые стали замещением UNIX с достаточно высокой ценой. Одной из таких систем стала Linux, которая затем послужила основой ОС Mac OS X.
Миф о невероятной безопасности macOS
Неизвестно откуда произошел миф о безопасности, но вероятно из утверждения, что для macOS не нужны антивирусы, или из относительно небольшого количества новостей об уязвимостях в macOS.
Как бы там ни было, это ложное утверждение, и в этом материале я приведу несколько фактов, которые должны разубедить сторонников мифа о неуязвимости macOS.
Начнем с конференции Pwn2Own 2018. Pwn2Own – ежегодное соревнование белых хакеров, проводимое с 2007 года. В рамках соревнования хакеры со всего мира пытаются взломать операционные системы, браузеры, выйти за пределы виртуальной среды и многое другое.
Как вы можете догадаться, задача взломать macOS являлась частью соревнования, и хакеры успешно справились с ней. В рамках конкурса две команды смогли провести успешную атаку на браузер Safari и операционную систему macOS.
На второй день соревнований сотрудники Ret2 Systems продемонстрировали цепочку эксплойтов для Safari, проведя успешную атаку с 4-й попытки. Гораздо эффективнее оказалась команда исследователей из MWR Labs: сначала она осуществила «побег» из песочницы Safari, а затем, использовав уязвимость неинициализированной переменной стека в macOS, выполнила произвольный код. Напоминаю, что выполнение произвольного кода означает получение полного доступа к устройству.
MWR Labs заработала в рамках соревнования $55 000. Крупнейшие спецслужбы мира располагают гораздо более впечатляющими ресурсами и специалистами. Например, китайские хакеры всегда были на лидирующих позициях, на Pwn2Own 2017 китайская команда Qihoo360 успешно разобралась и с Safari, и с macOS, повысив привилегии до root. Однако весной 2018 года правительство КНР запретило своим IT-специалистам выступать на международных конференциях из соображений национальной безопасности.
Если ранее открытия и навыки китайских специалистов, выступающих на конференциях, шли на пользу общей безопасности, то теперь их талант и разработки будут использоваться в интересах национальной безопасности Китая. И если в интересах национальной безопасности Китай будет следить за вами, то знания китайских хакеров будут использованы против вас. С оригиналом информации о Pwn2Own 2018 вы можете ознакомиться тут.
Помимо данных с соревнований хакеров, я бы хотел познакомить вас с сайтом CVE Details, здесь публикуется информация об уязвимостях в продуктах и здесь можно посмотреть статистику, сколько уязвимостей найдено в браузере Safari и macOS за определенный промежуток времени. Возьмем статистику по macOS за 2018 год. На момент написания статьи было обнаружено 107 уязвимостей, но не все уязвимости равно опасны.
DoS – уязвимость, приводящая к отказу сервиса, это неприятно, но не более того, а вот Code Execution и Gain Privileges, исполнение кода и повышение привилегий,‒это очень опасные уязвимости, позволяющие злоумышленнику получить полный доступ к вашему Маку. Уязвимости macOS Некоторое время назад я опубликовал материал, где убедительно просил удалить все неиспользуемые программы, так как это увеличивает риски и уязвимость устройства.
Возьмем приложение iTunes, которое многие владельцы iPhone не используют, но при этом и не удаляют. Вот статистика уязвимостей по нему: Уязвимости itunes Как видите, опасные уязвимости появляются ежегодно и будут появляться в будущем.
Уязвимости в арсенале спецслужб хранятся в тайне, они не исправляются в обновлениях и называются 0day уязвимостями. Для настройки комплексной безопасности очень важно расстаться с мифами и иллюзиями.
Неуязвимость macOS – это миф, надеюсь, мне удалось его разрушить. Это не повод для паники, не повод замкнуться на убеждении из серии «захотят – взломают», просто вы должны понять: взломать macOS реально, и если вы представляете интерес для спецслужб, например вы политик, журналист или чиновник, вам стоит серьезно пересмотреть свою безопасность. В то же время в рамках статьи мы будем говорить о дополнительных мерах защиты, главной из которых является изоляция.
Каждый новый уровень изоляции – большая проблема для хакеров: если из стандартной песочницы Safari они выбираются, так как заранее готовы к ней, то встретить дополнительный уровень изоляции будет неприятным и неожиданным сюрпризом.
После того как атакующий разберется с Safari, например после перехода жертвы по специальной ссылке, у него есть очень немного времени, чтобы постараться выполнить произвольный код в рамках системы. Чаще этот процесс автоматизирован, и после выхода из песочницы Safari хакер, решив попробовать проэксплуатировать системную уязвимость, столкнется с ограничениями второго уровня изоляции, которые не учитывались при разработке атаки.
Проверяем настройки брандмауэра Mac OS X
Сегодня безопасность вашей машины во многом зависит от того, работает ли она автономно или подключена к какой-нибудь сети. С большой вероятностью в Интернет вы ходите каждый день, поэтому начнем именно с этого. Если вы в Сети, вам нужен брандмауэр. Эта служба – контролер сетевых соединений, с её помощью операционная система фильтрует все подключения к вашему компьютеру из сети – как внешней, так и внутренней. Существуют программные брандмауэры, над настройкой которых сломал голову не один системный администратор – настолько сложной она может быть. Однако в Mac OS X, как обычно, всё уже сделано за вас. Нужно только нажать кнопку “включить”, в остальном обычному пользователю разойтись не дадут.
Чтобы запустить брандмауэр, откройте Системные настройки, раздел “Защита и безопасность”, вкладку “Брандмауэр”. Ткните в кнопку “Включить”. Вы на полпути к успеху. Теперь желательно кликнуть кнопку “Параметры брандмауэра” и проверить то немногое, к чему нам оставили доступ.
Самым важным тут является последний пункт, он даёт возможность включить так называемый “невидимый режим”, в котором ваша машина не отвечает на служебные сетевые запросы, часто используемые неправоверными горожанами, например для выявления возможных дыр в системе безопасности. При этом функциональность обычных приложений никак не страдает. Посему рекомендую держать этот режим включённым.
Если вы не хотите заморачиваться в дальнейшем ответами на вопросы, которые время от времени будут вылезать, поставьте галку напротив пункта “Автоматически разрешать входящие подключения подписанному ПО”. В этом случае система сама разрулит большинство непоняток, за исключением случаев, когда она посчитает, что программа, запрашивающая входящее подключение, не имеет сертификата, выданного надёжным сервисом. Но такое случается довольно редко, и вы не слишком устанете от принятия трудных решений.
И последнее… этот пункт понравится фанатам безопасности. Тут можно заблокировать все входящие подключения, кроме самых базовых, обеспечивающих сетевые взаимодействия. В обычной ситуации от этого прежде всего пострадают ваши соседи по локальной сети, потому как просто не смогут пользоваться расшаренными ресурсами вашей машины. Все сервисы, использующие общий доступ к файлам, принтерам, веб-страницам, экрану, а также служба удалённого доступа к вашему компьютеру станут неработоспособными.
Эта штучка может оказаться полезной, если вы выходите в Интернет в какой-нибудь кафешке, или подключаетесь к корпоративной сети у себя на работе, и не хотите, чтобы чужие лапы шарили по вашим папкам со свадебными фотографиями. Одним кликом можно окоротить любого любопытного сетевого соседа. При этом остаётся возможность полноценно пользоваться браузером, почтовым клиентом, аськой и доступом по FTP. В общем, запомните эту галочку, однажды она вам пригодится.
К сожалению, встроенный брандмауэр Mac OS X не фильтрует исходящие соединения. Если вам не всё равно, что каждое третье установленное вами приложение пытается самовольно выйти в сеть, соединиться с каким-то непонятным сервером и передать ему неизвестно какие данные о вашем компьютере или о вас, подумайте о возможности использования специальных программ, которые призваны предупреждать подобный беспредел.
Общепризнаным любимцем в этой области является “стукачок” Little Snitch. К сожалению, за него просят целых 30 евро… но он того стоит. Если в вашей голове зашевелились крамольные мысли о торрентах, добавьте к ним одну отрезвляющую: эта программа призвана контролировать сетевые соединения. Это означает, что во-первых, она обеспечивает вашу безопасность. А во-вторых – её уже никто не контролирует. Известно предостаточно случаев, когда в комплекте с популярными программами торренты втюхивали жадным юзерам чудные наборы троянов. Кто даст гарантию, что вы не скачаете именно такой комплект? Последствия могут вам не понравиться…
Обеспечиваем безопасность Mac OS X при установке программ
Gatekeeper – такое название получил процесс, регулирующий запуск всех приложений, загруженных из глобальной Сети. Он значительно повысил уровень безопасности Mac OS X Mountain Lion, в составе которой впервые увидел свет. Его поведение регулируется параметрами на вкладке “Общие” раздела “Защита и безопасность”. Эти настройки в самом жестком варианте позволяют установить программу, только если она была загружена из Mac App Store. Максимальную же степень свободы представляет третий вариант – любая программа, независимо от ресурса, с которого она была скачана, запустится беспрепятственно, если не считать робкой попытки системы предупредить о возможных последствиях.
Рекомендуется держаться середины и разрешить запуск программ, загруженных от “установленных разработчиков” (в Калифорнии несколько странный русский язык). В этом случае Gatekeeper предотвращает запуск любого приложения, разработчик которого не имеет сертификата, выданного компанией Apple, что практически полностью исключает возможность попадания на вашу машину любой гадости (при условии, что для запуска трояна не используется “липовый” сертификат). При этом вы не теряете контроля над машиной и сохраняете способность запустить нужную программу, даже если она не имеет верительных бумаг от Apple.
Нужно всего лишь найти её в Finder’e и кликнуть правой кнопкой, после чего выбрать в появившемся меню пункт “Открыть”. Это лишнее телодвижение понадобится совершить однократно, поскольку Gatekeeper контролирует только первый запуск загруженного файла. Но прежде чем принимать такое решение, спросите себя, действительно ли вы доверяете источнику, из которого получено это приложение? Право же, не стоит качать с трекеров и устанавливать всё подряд только потому, что это халява. Если программа действительно хороша и вам без неё никак, подумайте – неужели у вас не найдётся несколько сотен рублей, чтобы оплатить её и скачать с сайта разработчика гарантированно чистый дистрибутив?
Создайте рабочую учётную запись с правами обычного пользователя
На любом новом Маке уже существует учётная запись, для которой задан “пустой” пароль и разрешён автоматический вход в систему. Если вспомнить, что этот аккаунт обладает правами администратора системы, можно смело сказать, что по умолчанию мы имеем худший из всех вариантов с точки зрения защищённости. Любой человек, получивший физический доступ к компьютеру, наделяется неограниченной властью над ним. Вся система и все ваши личные файлы в его руках. Нравится вам такой вариант? Думаю, нет…
Поэтому первое, что вы должны сделать после того, как примете решение притащить новый Air в универ – задать качественный пароль существующей учётке, записать его в секретный блокнот и… перестать пользоваться этим аккаунтом! Единственное, для чего он (аккаунт, а не пароль) понадобится вам в ближайшее время – создание рабочей учётной записи с ограниченными правами. Не существует абсолютно безопасных операционных систем, рано или поздно вашей машине придётся почувствовать на себе воздействие какого-нибудь “зловреда”. Последствия будут гораздо менее ощутимы, если троян, которого вы подцепите, не получит прав администратора. А для этого вы всегда и везде должны работать в учётке рядового пользователя.
Управление учётными записями производится в Системных настройках (серая иконка с шестерёнками в Доке) на вкладке “Пользователи и группы”. В белой колонке слева, где значится ваш единственный пользователь (он же – администратор), в нижней части найдите кнопку со знаком “+” и нажмите её. В появившемся окне, в первом сверху выпадающем списке необходимо выбрать тип “Стандартная”, после чего вписать имя и пароль нового пользователя и, при необходимости, фразу, которая может служить подсказкой в случае, когда вы этот пароль благополучно забыли. Мне такая предосторожность кажется излишней, но если решите эту подсказку сочинить, помните, что она будет видна любому, кто попытается войти в аккаунт. Поэтому не вписывайте туда пароль прямым текстом, а используйте какую-нибудь военную хитрость.
Защитите системные настройки паролем администратора
В системе безопасности Mac OS X предусмотрена возможность блокировки некоторых важных системных настроек паролем администратора. Всего таких значится 11 штук: “Защита и безопасность”, “Экономия энергии”, “Печать и сканирование”, “Сеть”, “Общий доступ”, “Пользователи и группы”, “Родительский контроль”, “Дата и время”, “Обновление ПО”, “Time Machine” и “Загрузочный том”. Окна этих настроек визуально отличаются наличием иконки замка в левом нижнем углу. Прежде чем сделать какие-то изменения в любом из перечисленных окон, нужно нажать на иконку, после чего система запросит у вас пароль администратора (хотя бы по этой причине не стоит его забывать.
При первоначальной настройке компьютера довольно утомительно вводить пароль в каждом третьем окне. Чтобы избавиться от этих запросов, зайдите в раздел “Защита и безопасность”, разблокируйте защиту паролем администратора и нажмите кнопку “Дополнительно” в правом нижнем углу. Дальше вам нужно найти пункт “Запрашивать пароль администратора для доступа к системным настройкам”, снять в нем галку и подтвердить свой выбор. Теперь большая часть настроек станет доступной без ввода пароля. Кроме самых критичных – “Защита и безопасность”, “Пользователи и группы” и “Родительский контроль”, которые по-прежнему останутся под замком.
После того, как вы убедитесь, что компьютер в целом настроен вполне достойно, можно снова установить эту галку. Либо оставить всё как есть, блокируя при необходимости только те параметры, которые кажутся важными лично вам. Для этого достаточно просто кликнуть на иконке открытого замка в окне нужного раздела. Беспокоиться о трёх вышеупомянутых не нужно, они будут блокироваться автоматически каждый раз после закрытия окна Системных настроек.
Проверьте общие настройки безопасности
Давайте закончим наши дела со вкладкой “Пользователи и группы”. Щелкнув в столбце со списком зарегистрированных пользователей на кнопке “Параметры входа”, вы получите доступ к настройкам, определяющим способ входа в систему и вид окна ввода пароля. Для начала отключите автоматический вход в систему для всех учётных записей. Вы отгрызёте ещё один маленький кусочек удобства, зато значительно обезопасите себя от чьих-нибудь шаловливых ручек.
Далее нужно настроить окно входа так, чтобы оно отображало не список пользователей, а только две строчки для ввода имени и пароля. Остальные галки опциональны, но если уж совсем озаботиться секретностью, можно держать отключенными подсказки пароля, меню быстрого переключения пользователей, а также кнопки перезагрузки, сна и выключения компьютера.
Теперь перейдем на вкладку “Защита и безопасность” в Системных настройках, а внутри неё – на вкладку “Общие”. Здесь вы можете задать пароль текущей учётной записи (если до сих пор ещё не сделали этого), написать сообщение для того, кто найдёт вашу потерянную/украденную машину и отключить возможность автоматического входа в систему для текущего аккаунта.
Тут же можно поставить галку, которая окажется полезной владельцу ноутбука в общественных местах, где бывает много любопытных глаз. Если установить её, машина будет требовать пароль для отключения скринсейвера или при выходе из спящего режима. То есть, если вам понадобится отлучиться из читального зала на пару минут, ноут можно отправить в спящий режим закрытием крышки, либо включить скринсейвер. Теперь можно не бояться, что пока вы пудрите носик, сосед от вашего имени назначит ВКонтакте свидание вашей девушке.
На вкладке “Конфиденциальность” вы можете управлять работой службы геолокации, определяющей местоположение вашей машины по некоторым параметрам сетевых подключений. Я предпочитаю держать эту службу в нерабочем состоянии, но если вам вам не обойтись без программ, активно использующих эту службу, включите ее. Здесь же можно ознакомиться со списком приложений, которые успели поинтересоваться вашими координатами.
Ну что же, нам осталось только ткнуть в уже знакомую кнопку “Дополнительно” в правом нижнем углу окна. Наблюдаем три пункта, пара из которых есть дело добровольное, а третий – автоматическое обновление списка сохранённых загрузок, – очень желательно держать включенным. Под этим загадочным названием скрывается возможность ежедневного обновления списка XProtect, необходимого для корректной работы функции файлового карантина. Браузер (и некоторые другие встроенные приложения) использует этот список, чтобы предотвратить установку неосторожно загруженного трояна. Apple запустила карантин в 2009 году, после чего безопасность Mac OS X 10.6 заметно усилилась. Эта функция, в общем, заменяет собой антивирус, так что в ваших интересах держать список в актуальном состоянии.
Если вы активно пользуетесь пультом ДУ, неразумно будет отключать ИК-приёмник компьютера. То же касается и настройки авто-выхода из учётной записи после нескольких минут вашего бездействия. Такая возможность хороша, когда одной рабочей станцией пользуются несколько человек, например, в маленькой небогатой корпорации. Если вы вышли покурить и заболтались с подружкой, коллеги не будут проклинать вас за невозможность поработать с компьютером – он автоматом выкинет вас из учётки через настроенное количество минут.
Установите пароль на доступ к EFI
Если вы перешли на Mac с Windows, вам вероятно известно, что такое BIOS. Тем, кто не знает, короткое пояснение: эта штучка нужна для инициализации компьютера при включении и представляет собой интерфейс, связывающий операционную систему и низкоуровневые микропрограммы, хранящиеся в чипах памяти. Сразу после включения компьютера эти программы запускаются, выполняют определенный набор действий и передают управление загрузчику ОС. В Макинтошах, работающих на процессорах Интел, используется более продвинутый аналог BIOS – Extensible Firmware Interface (EFI).
Одной из полезностей, которую предоставляет EFI пользователю, является возможность использования “горячих” клавиш в процессе включения компьютера для внесения некоторых корректив в его работу. В частности, такими клавишами можно сменить источник загрузки и сделать так, что Mac будет загружаться с любого из внутренних или внешних приводов (и даже флешек). А раз так, то получается, что вся наша отлаженная система безопасности летит ко всем чертям, поскольку действует она только в рамках “домашней” ОС, и бесполезна при загрузке другой системы, например с внешнего жесткого диска, подключенного к USB порту.
Чтобы устранить такую вероятность, пусть даже и крошечную, нам и понадобится пароль на доступ к EFI. После его активации все клавиатурные сочетания, так или иначе прерывающие стандартный процесс загрузки, становятся нерабочими. За исключением одной – клавиши “Option”(она же “Alt”), удержание которой при включении машины в обычном варианте выдает на экран меню с перечнем всех доступных на данный момент загрузочных дисков. Если же мы установим пароль, единственное, что будет появляться на экране – это строка для его ввода.
Чтобы установить пароль, нам понадобится загрузить машину со специального раздела на жестком диске под названием Recovery HD. Он создается в процессе установки систем 10.7 или 10.8, невидим по умолчанию и предназначен для служебных целей (в основном – для восстановления поврежденной ОС). Сразу после того, как в процессе загрузки экран подсветится и раздастся стартовый тон, нужно нажать клавишу “Option” и удерживать ее до тех пор, пока не появится загрузочное меню с отображением иконок все доступных для загрузки дисков.
В меню нужно выбрать раздел Recovery HD. После завершения загрузки вы увидите окно со списком доступных служебных программ. Однако, в этот раз оно вам не понадобится. Нужно просто найти в строке меню пункт “Utilities”, а в нём – “Firmware Password Utility”.
После запуска утилиты на экране появится уведомление о том, что защита не установлена и приглашение назначить новый пароль. После того, как вы это сделаете, можно завершить работу утилиты и перегружаться в рабочую систему.
В следующий раз, если вы захотите запустить Firmware Password Utility, на экран выскочит окошко с подтверждением того, что защита включена и двумя опциями: отключить защиту или сменить пароль.
На этом, собственно всё. Теперь любая попытка задействовать загрузочное меню или другие “горячие” клавиши для смены источника загрузки будут сопровождаться приглашением ввести пароль EFI.
Нелишним будет добавить, что раздел Recovery HD появился только в Mac OS X 10.7, и если у вас установлена более старая система, вам понадобится комплектный установочный диск под названием Mac OS X Install DVD, с которого и нужно будет загрузиться. Все действия при этом будут аналогичны.
И последнее, что может здесь пригодиться. Вам полезно будет знать, что это не абсолютный способ защиты. Если ваш Мас произведен до 2011 года, пароль можно сбросить самостоятельно, что, с одной стороны дает вам страховку на случай, если вы его забудете, а с другой – любой грамотный воришка также может сделать это. Что поделать, мир не идеален… Можно успокоить себя мыслью о том, что далеко не все знают, как именно это нужно делать. И потом, способ сам по себе не слишком прост и быстр. Нужно каким-либо образом изменить набор аппаратных компонентов компьютера. Самый простой вариант – вытащить один из модулей оперативной памяти. Если он всего один, то нужно добавить второй подходящий (иначе компьютер не загрузится). После чего машину надо включить и сразу нажать на клавиатуре комбинацию “Cmd + Option + P + R”. Нужно удерживать клавиши до тех пор, пока компьютер снова не перезагрузится. После этого пароль будет сброшен.
Помните пожалуйста о том, что если у вас нет доступа к оперативной памяти, или доступ есть, но установлен только один модуль, а вам нечего к нему добавить, у вас будет только один способ сбросить пароль – обратиться в сервис.
В итоге?
MacOS не является панацеей. И истории о его абсолютной безопасности - это миф. Хотя MacOS и является прямым потомком Unix, закрытость "фреймворков", таких, как Cocoa, в которых почти каждый месяц находят уязвимости - существенный недостаток. И если, при правильной настройке, вы сможете защитить свой компьютер от посягательств злоумышленников (хотя это спорно), то, используя MacOS вы никогда не будете уверены, что ГосДеп США не сможет его вскрыть.
Какой ОС пользоваться - личный выбор каждого. Но миф о безопасности Mac - остается мифом.