Driver HoRNDIS

[PierluigiT]

Questi driver permettono di navigare tramite un dispositivo Android mediante la funzione tethering. Purtroppo sembra non siano più sviluppati e fino a Catalina basta approvare l’installazione in Sicurezza e Privacy, ma con la versioni successive di macOS l’unica soluzione è disabilitare SIP. Che rischi si corrono ad usare Monterey senza tale protezione?

[paolinoweb]

SIP è la piattaforma System Integrity Protection integrata in macOS X El Capitan (2015, OS X 10.11) e successivi. La sua funzione principale è quella di proteggere il Mac da file dannosi come malware, virus, malware e ransomware che possono modificare o attaccare i file e le cartelle protette del Mac. Funziona bloccando l'accesso all'account utente root e limitando le azioni che l'utente root Può eseguire sulle cartelle protette del Mac OS.

Senza SIP, non ci sono restrizioni per l'utente principale. Può avere accesso illimitato a tutte le cartelle di sistema e alle applicazioni installate sul Mac. È necessario inserire le proprie credenziali di amministratore per dare al software i permessi di livello root per installarlo. Quindi, il programma o l'applicazione potrebbe apportare modifiche a qualsiasi applicazione o programma.

Per proteggere un Mac dagli attacchi di software dannoso, SIP protegge i file e le cartelle essenziali e le applicazioni preinstallate con OS X. Funziona con le seguenti directory:

/System
/sbin
/bin
/usr
/var

Questo è quello che fa SIP... c'è chi ne fa a meno insieme a Gatekeeper.

Sugli M1 disabilitare Sip comporta non poter utilizzare Apple Pay e credo delle app dello Store.

Totalfinder un software abbastanza noto, per aumentare le opzioni del Finder ha bisogno di Sip disabilitato

Già che ci siamo questi sono comandi terminale per disabilitare vari sistemi di sicurezza di Mac

Disabilitare Skel Secure kernel Extension Loading

Codice: Seleziona tutto

spctl kext-consent disable

Disabilitare per caricare librerie non firmate

Codice: Seleziona tutto

sudo defaults write /Library/Preferences/com.apple.security.libraryvalidation.plist DisableLibraryValidation -bool true

Disabilitare Apple Mobile File Integrity (AMFI)

Codice: Seleziona tutto

vram boot-args="amfi_get_out_of_my_way=0x1"

Disabilitare SVV

Codice: Seleziona tutto

csrutil authenticated-root disable

Disabilitare Sip

Codice: Seleziona tutto

csrutil disable

Disabilitare Gatekeeper

Codice: Seleziona tutto

sudo spctl --master-disable

gli ultimi due sono piuttosto noti come comandi, messi per ultimi per completezza.

vedi tu...

[PierluigiT]

La comodità di questi driver è che mentre dal cavo USB si ricevono i dati per navigare, contemporaneamente si ricarica la batteria del telefono.
Disabilitare SIP abbassa ovviamente il livello di sicurezza, ma visto che in ogni caso servono le credenziali direi che facendo attenzione non si dovrebbero avere problemi.
Mi piacerebbe capire cosa cambia tra software che si possono installare regolarmente e quelli, come appunto questi driver HoRNDIS, che vengono invece bloccati dal Sistema. Soprattutto visto che con Catalina basta autorizzarli in Sicurezza e Privacy, nelle versioni precedenti tipo High Sierra addirittura non è richiesta neanche tale operazione.

[paolinoweb]

Si trovano software pirata che senza SIP disabilitato non funzionano, idem software per recupero dati che hanno bisogno di SIP disabilitato per funzionare.

Anche chi programma per testare le proprie app ha spesso bisogno di disabilitare SIP

A te serve sempre tenerlo collegato da quel che capisco, non so che Mac hai, che porta hai se usb-c o le classiche usb-a

non so che cellulare hai, esistono comunque adattatori che fanno da splitter, hanno due usb, alimentano con una e con l'altra passano i dati.

Non ti garantisco funzionamento ma cerca su amazon in base alle porte che hai, metti alimentazione nella ricerca, molti non alimentano.

Non è pericolosissimo disabilitarlo, dipende sempre dall'uso che fai del Mac, quanto sei attento a non installare software malware.

Certo hai meno protezione, magari installi Santa, app che lavora in background che protegge da insidie possibili, possono installarlo tutti, anche chi ha SIP attivo,

ha un database con definizioni malware. una protezione extra open source. https://santa.dev/

un firewall come Lulu ad esempio, https://objective-see.org/products in modo da bloccare traffico, anche questo per tutti valido,

sempre nella stessa pagina trovi BlockBlock, anche lui protegge chiedendoti il permesso quando c'è un qualche file che vuole accedere al sistema. valido per tutti.

[PierluigiT]

La prima cosa da capire credo sia cosa cambia quando si installa un software che richiede le credenziali in un Sistema con SIP attivo e un altro dove invece è disabilitato.

[paolinoweb]

La prima cosa da capire credo sia cosa cambia quando si installa un software che richiede le credenziali in un Sistema con SIP attivo e un altro dove invece è disabilitato.

il SIP limita l'utente root a compiere scritture su parti del sistema del Mac

/System
/usr
/bin
/sbin
App preinstallate con OS

su queste directory con il SIP attivo un software non può scrivere, mentre si può continuare a scrivere/modificare con il SIP attivo su queste -

/Applications
/Library
/usr/local

se lo disabiliti le cartelle del primo elenco sono rootless, un malware, uno script dannoso, anche un software buono che ha bisogno di poter accedere lo può fare.

ovvio che il pericolo è la possibilità di poter scrivere e/o modificare nelle cartelle di sistema, ma è anche indispensabile per determinati software che sia disabilitato.

prima di el capitan non esisteva sip, quindi si poteva modificare il sistema, ma malware ce n'erano ben pochi ai tempi, mackeeper e pochi altri.

oggi giorno, avendo preso quote di mercato, i mac sono soggetti a più vulnerabilità, ma bisogna andarsele a cercare a mio parere. l'utente newbie non dovrebbe

disabilitarlo, l'utente più avanzato non credo possa avere problemi.

Capito che cambia? che si può installare software non firmato che va a modificare cartelle di sistema con il sip disabilitato, sempre che tu dia la password.

se sei sicuro di quello che installi, disabilitalo, non è un grosso problema, non si autoinstallano come in windows i possibili malware senza dare la password.

[PierluigiT]

Vuol dire che le cartelle:

/System
/usr
/bin
/sbin

sono quelle più delicate e potenzialmente pericolose e nello specifico i driver HoRNDIS finiscono lì dentro.

Però il comportamento di SIP è anche cambiato perché in Catalina si riceve il messaggio che i driver non sono stati installati e se si vuole procedere occorre dare l’autorizzazione in Sicurezza e Privacy nelle Preferenze di Sistema, che infatti permette di completare l’operazione. Invece in Monterey non c’è proprio modo e l’unica è appunto disabilitare SIP per poterli utilizzare, solo che se poi lo si abilita di nuovo i driver smettono di funzionare.

Secondo me il punto fondamentale della questione è quando parli di “software buono”, ossia sicuro e di cui ci si può fidare, ma comunque non installabile con SIP attivo: la scelta è disabilitarlo oppure rinunciare all’installazione.
Invece per “software non firmato” il concetto sembrerebbe che in mancanza di tale caratteristica SIP non permetta la sua installazione proteggendo le 4 cartelle citate. Ma se invece il software è firmato vuol dire SIP lo lascia passare?

[paolinoweb]

https://www.stellarinfo.com/support/kb/ ... d-to-disab

programma di software famosa, per recupero foto, che ha bisogno di SIP disabilitato per fare scansione approdondita.

non ti so dire perchè necessita di averlo disabilitato, le foto non si trovano nelle directory che sip protegge, direi, c'è bisogno di disabilitalo

perchè va in conflitto leggo.

quindi se perdi foto pensi che la software house sia valida come il prodotto, o disabiliti o non lo compri. da dire che qui lo disabiliti solo per tentare recupero foto

poi lo riabiliti. a te serve sempre averlo disabilitato.

non penso che stellar abbia problemi a far firmare il suo prodotto, è che software di terze parti, come anche TotalFinder, se vanno in conflitto con il sistema SIP non

permette installazione. questione di programmazione credo. di quanto vanno a modificare root.

[PierluigiT]

Ci sono software la cui installazione scrive nelle cartelle

/System
/usr
/bin
/sbin

e non vengono bloccati da SIP?

[paolinoweb]

Ci sono software la cui installazione scrive nelle cartelle

/System
/usr
/bin
/sbin

e non vengono bloccati da SIP?

si quelle firmate da Apple, gli aggiornamenti, tutte le app dello store, che tecnicamente lavorano in sanbox, ma support apple dice questo

[PierluigiT]

Quindi SIP in realtà non "blinda" quelle cartelle, bensì verifica che il software sia attendibile. Ed evidentemente per Apple è importante, visto che per disabilitarlo non c'è un controllo nelle Preferenze di Sistema ma bisogna ricorrere al Terminale con un riavvio.

Se lo sviluppo dei driver HoRNDIS fosse continuato magari sarebbero stati inseriti nell'Apple store funzionando quindi con SIP attivo. Sembra strano che non ci sia una alternativa per fare tethering con telefoni Android, o perlomeno io non l'ho trovata.

[paolinoweb]

Nell'App Store non troverai mai un' app che scrive nel sistema, se non un'app di Apple. non di terzi. Le app sullo store lavorano in sandbox, alcune sono vendute con limitazioni di funzionamento, si deve poi andare sul sito del produtttore che fornisce gratuitamente add-on per superare gatekeeper, quindi poi diventa app con tutte le funzionalità. un esempio di app famosa è istat menus, che nella versione web è completa, sullo store - è anche scritto che bisogna scaricare add-on.

Solo le app firmate apple hanno autorizzazioni speciali per superare sip, altrimenti, ad ogni aggiornamento, dovremmo andare in recovery e disabilitarlo con il terminale.
HoRDNIS anche se avessero continuato lo sviluppo ha bisogno di sip disabilitato, impossibile che apple anche se firmata, andrebbe firmata con le autorizzazioni apple.
non le daranno mai a nessuno. quindi sip blinda tutto tranne che le app, aggiornamenti etc di apple ma non con la firma semplice, con una firma con autorizzazioni più alte

disattiva sip e fregatene. non succede nulla. in teoria.... installa i software che ti ho scritto se vuoi sicurezza in piu.
non ti sto a chiedere perchè non usi wifi o al limite bluethoot per collegarti, se hai bisogno del cavo ci sarà un motivo che ti impedisce di usare hotspot.
disable......

[PierluigiT]

Sì, l'ho disabilitato e tutto funziona regolarmente. La considerazione finale è che molti software vengono "bloccati" da SIP e per poterli usare occorre effettuare tutta la procedura in Recovery mode. Che sia un eccesso di prudenza da parte di Apple?

[paolinoweb]

Apple tiene alla sicurezza, privacy, dei propri clienti, i loro sistemi operativi per iphone, ipad e Mac hanno restrizioni che da molte persone vengono viste come dei limiti, possono esserlo, - lo sono - rispetto a windows e android, dove le protezioni sono molto più "blande", ma abbiamo molte sicurezze in più.
Il Sip fino ad el capitan non esisteva, è una protezione che limita in alcuni frangenti, come il tuo, ma può essere un eccesso di zelo come tu dici?

Un utente di enorme esperienza, il più bravo che il forum abbia avuto, senza togliere nulla agli altri, non è più qui sul forum, diceva che per lui era disattivabile se ricordo bene,
non vorrei ricordare male, dire il contrario.

la penso allo stesso modo, ma a patto che l'utente che lo disabiliti, sappia quello che fa, che sia un utente un poco evoluto che non clicchi ed accetti ogni cosa navigando, installando e mettendo password senza cognizione di causa. sip o non sip è l'utente che fa il danno, questo anche su windows ed android, che per quanto siano effettivamente
meno sicuri, se si utilizzano con esperienza, su windows ad esempio, l'antivirus in autoprotezione è quasi inutile, si può fare una scansione come si fa su mac con le relative app

su mac non troverò mai nulla con detectx swift, su windows con malwarebytes, software di riferimento, posso trovare quale PUP... e qualche trojan, ma di norma sono i crack
di eventuali programmi che vengono visti come rischio.

non ho la presunzione di essere un utente evoluto, so quel che faccio di norma, gatekeeper è sempre disabilitato, SIP se ne ho bisogno lo disabilito, senza farmi problemi.