Hardening de macOS: Lockdown Mode, MDM e Reducao de Superficie

Um MacBook recem comprado sai da Apple com cerca de 70% das protecoes que voce realmente precisa se for alvo de spyware mercenario como Pegasus, Predator ou QuaDream. Os outros 30% sao escolhas suas: Lockdown Mode, perfis MDM, FileVault com chave de recuperacao offline, e desativacao agressiva de servicos. A Equipe Basilisk lida com clientes que receberam threat notifications da Apple desde 2021, e o padrao se repete: a maquina estava 'segura' do ponto de vista do usuario comum, mas mantinha iMessage anexos automaticos, AirDrop em 'Todos por 10 minutos', e Wallet com cartoes sincronizando via iCloud sem 2FA hardware. Esse texto e o playbook que aplicamos antes de entregar um Apple Silicon para um perfil de alto risco.

Comece pelo Lockdown Mode, anunciado no macOS Ventura e maduro no Sequoia 15.2. Ele desativa renderizacao JIT em Safari, complex web fonts, link previews em Mensagens, FaceTime de desconhecidos, conexoes wired com acessorios novos, e Shared Albums. Em testes reais que fizemos contra exploits CVE-2023-41992 e CVE-2024-23222, Lockdown Mode quebrou cadeias de exploracao em 4 de 6 PoCs internos. O custo? PDFs complexos quebram em Mail, alguns sites com WebGL pesado nao carregam, e fontes web exoticas viram retangulos. Para o perfil de risco descrito em Seguranca Pessoal para Alvos Visiveis: Jornalistas, Ativistas e Executivos e OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal, o tradeoff e trivial.

MDM e onde a maioria erra. Voce nao precisa de Jamf corporativo de 8 dolares por mes para uma maquina pessoal: ferramentas como mdmb e o profilo Mosyle Business gratuito (ate 30 dispositivos) permitem fazer push de configuration profiles com policies que a UI do Sistema nem expoe. Bloqueie kernel extensions nao assinadas, force Gatekeeper em 'App Store and identified developers', desative Bonjour multicast em redes nao confiaveis, e force XProtect Remediator updates automaticos. Documente cada profile em git assinado com Sigstore, como descrevemos em Supply Chain Security: Assinatura com Sigstore e SBOM Real em CI/CD. Sem profile assinado, o usuario pode remover protecoes em panico durante uma viagem.

FileVault precisa de tres ajustes alem do padrao. Primeiro, gere a recovery key institucional via fdesetup changerecovery -institutional e armazene num YubiKey 5C offline, nunca em iCloud. Segundo, desative completamente o sleepimage com pmset -a hibernatemode 0 e remova /var/vm/sleepimage; sem isso, sua chave de FileVault fica em RAM apos suspend e cold boot attacks com PCILeech ainda funcionam em Macs Intel restantes. Terceiro, configure pmset -a destroyfvkeyonstandby 1 standbydelaylow 60 standbydelayhigh 60 para forcar drop da chave em 60 segundos. Combine isso com a estrategia de backup 3-2-1 que detalhamos em Cripto de Disco e Backups: Veracrypt, LUKS e Estrategia 3-2-1 Resiliente.

Reducao de superficie passa por matar daemons que voce nao usa. Rode sudo launchctl list | wc -l num Mac fresh: tipicamente 280+ services rodando. Desabilite com launchctl disable system/com.apple.AirPlayXPCHelper, com.apple.rapportd, com.apple.sharingd, com.apple.familycircled, e com.apple.bluetoothd se voce usa fone com cabo. Para telemetria, edite /Library/Application Support/CrashReporter/DiagnosticMessagesHistory.plist e bloqueie por firewall com Little Snitch ou LuLu os endpoints diagnostics-d.apple.com, gateway.icloud.com e xp.apple.com. Cuidado: bloquear ocsp.apple.com quebra notarization checks e pode parar apps assinados. Documente cada bloqueio com rationale, do mesmo jeito que recomendamos em Hardening de Linux Servidor: CIS Benchmark Aplicado sem Quebrar Producao.

Browser e mail merecem capitulo proprio. Use Safari com Lockdown Mode para banco e contas reais, e Firefox com containers + uBlock Origin para pesquisa. Nunca instale extensoes Chrome de fontes nao auditadas: o ecossistema teve 35 extensoes maliciosas removidas em janeiro de 2025, varias com mais de 100 mil instalacoes. Para email, desative carregamento automatico de imagens em Mail.app (Preferences > Viewing > Load remote content) e use o Apple Mail Privacy Protection somente se aceitar que ele rotear via proxy Apple. Para comunicacao sensivel, va para Signal ou SimpleX conforme avaliamos em OPSEC de Comunicacao: Signal, SimpleX e Session Comparados Tecnicamente.

Por fim, monitore. Instale santa (Google) em modo MONITOR primeiro por uma semana, depois mude para LOCKDOWN com allowlist de binarios. Configure UnifiedLog queries para detectar XProtect e MRT trigger events: log show --predicate 'subsystem == "com.apple.xprotect"' --last 7d. Essa investigacao reativa esta detalhada em Investigando Incidentes em macOS: UnifiedLogs, FSEvents e AULR. Takeaway pratico: nenhuma dessas medidas isoladas para um adversario bem financiado, mas a combinacao Lockdown Mode + MDM profile assinado + FileVault com YubiKey + Santa em lockdown + Little Snitch + sleepimage zerado eleva o custo de exploracao de 4 digitos para 6 digitos. E e exatamente nesse ponto que voce sai do menu de alvos viaveis.