Легенда потому и называется легендой, что в неё верят. Легенды не разрушаются в одночасье. Бывают промежуточные легенды, наполовину состоящие из вполне достоверных фактов.
Каждый, кто так или иначе причастен к миру IT, слышал легенду об отсутствии вредоносного софта под Mac. Принять для себя истину — а истина заключается в том, что такой софт существует — как минимум нелегко. Мы с вами уже ступили на этот путь, но он обещает быть долгим. В частности, он пролегает через те самые промежуточные легенды. Пускай сейчас уже не так много тех, кто уверен в тотальной неуязвимости настольной платформы от Apple. Однако вот вам расхожее утверждение: «поскольку это UNIX, то вирус ничего не сделает, пока вы не введёте пароль администратора». Правда ли это — зависит от вируса. Какие-то из вирусов и впрямь активируются вводом пароля, но какие-то — срабатывают автономно. Следовательно, это хоть и частичная, но всё-таки легенда. Умение не вводить свой пароль куда попало — не панацея в борьбе со злоумышленниками.
В конце прошлой недели я побывал в Монте-Карло, где специалисты Лаборатории Касперского провели для меня и моих коллег презентацию Kaspersky Internet Security под Mac. Сперва я хотел бы рассказать о самом интересном из услышанного, а затем перейду непосредственно к продукту.
Проблематика
Cтарший вирусный аналитик Лаборатории
Касперского Висенте ДиазЧто-то интересное — это не обязательно что-то новое. На страницах iPhones.ru мы не раз писали об уязвимостях OS X. Писали мы и про Flashback (он же Flashfake). Впервые эта троянская программа была обнаружена в сентябре 2011-го, но по-настоящему заговорили о ней лишь спустя полгода. Весной 2012-го насчитывалось, по одним данным, уже более 600 тысяч заражённых Mac. Затем стали говорить про 700 тысяч, и это именно то число, которое озвучил в прошедший уикенд старший вирусный аналитик Лаборатории Касперского Висенте Диаз. Каким образом житель Саранска Максим Селиханович смог сформировать ботнет на 700 тысяч машин? Предварительно заразив от 30 до 100 тысяч сайтов — из которых большинство базируются на платформе WordPress, точно как iPhones.ru. Пользователь заходил на сайт, после чего в его браузере запускался скрытый Java-апплет c эксплоитом. Перед вами карта распространения Flashback, как видите, злоумышленник целился в Штаты:
Кликабельно
Описанный случай является лучшим примером того, как можно «пролезть» через уязвимость в виртуальной Java-машине. Лучшим — но не единственным. В 2011-м и 2012-м активно эксплуатировались пять уязвимостей в Java, две — в многострадальном Flash Player, и одна — в Adobe Reader. Adobe и Oracle делают, что могут, однако у них есть две проблемы. Во-первых, выпустить патч — не означает защитить сразу весь мир. За 10 недель после обнаружения одной из уязвимостей в 2012 году количество подверженных риску пользователей снизилось лишь на 15%. Т.е. хакер имеет шансы заразить ваш компьютер даже спустя какое-то время после того, как с ним начнут бороться! Ну а во-вторых, в погоне за безопасностью вы можете вовсе отказаться от той же Java (потеряв при этом в функциональности).
Oracle теперь объясняет, как выключить Java через настройки плагина и как по ошибке не запустить какой-нибудь апплет. Т.е. даже сама компания косвенно продвигает отказ от использования Java как единственный способ избежать заражения… что само по себе довольно забавно.
— Висенте Диаз
Не меньший резонанс, чем в случае с Flashback, вызвала история псевдо-антивируса Mac Defender и его многочисленных разновидностей. Mac Defender, напомню, распространялся посредством специально продвинутых Google-ссылок. По ссылке обнаруживалось окно а-ля антивирус, через которое вам сообщали о якобы найденных угрозах и предлагали установить защитное приложение. Обосновавшись в системе (последние версии как раз не требовали ввода пароля), программа тут же начинала ангажировать вас на приобретение «полной версии». В действительности с кредитной карты разом снимали гораздо бóльшую сумму, данные по ней становились достоянием злоумышленников, а в браузере сами собой открывались порносайты. На презентации Висенте показал Mac Defender в действии — признаться, ранее мне приходилось о нём только писать.
С атаками на широкие массы всё ясно, но что насчёт таргетированных, целевых атак? Тут важно понимать вот что:
Если у вас своя компания и вы подверглись целевой атаке, вы никогда не расскажете об этом публично. Заниматься поисками такой информации — задача не из лёгких.
— Висенте Диаз
Тем не менее, Лаборатории Касперского удалось отследить несколько подобных атак. Одна из них, будучи направленной на борцов за независимость Тибета, началась той же злосчастной весной 2012-го. При чём тут Mac, спросите? Дело в том, что Далай-лама отдаёт предпочтение именно платформе от Apple, и, как следствие, то же самое можно сказать о многих его последователях. Им приходят письма с вложенным Word-документом под названием «10th March Statement». Неудивительно, что они смело его открывают — ведь под точно таким же заголовком когда-то вышло одно из заявлений Далай-ламы. По открытии выполняется вредоносный код, и хакеры получают удалённый доступ к файлам на компьютере жертвы. Я пишу в настоящем времени, поскольку конкретно эта атака продолжается и по сей день (!). Аналогичные методы были применены в нынешнем году против народа уйгуров, а Висенте показал нам ещё одну разновидность целевого бэкдора — которая создаёт и отправляет по определённому адресу снимки экрана. Разновидность эта совсем свежая — направленная уже на активистов из Африки, она была обнаружена буквально пару недель назад. И не политикой единой! Компьютеры Apple популярны среди высокопоставленных бизнесменов, что делает их не менее удобной мишенью для целевых атак. Знаете, почему атаковать OS X в каком-то смысле проще, чем Windows? Потому что осведомлённость пользователей OS X об угрозах сравнима с таковой у владельцев игровых консолей. По данным Forrester Technographics, лишь 17% любителей Mac задумываются о такого рода вещах.
Со слов старшего менеджера по продуктам Лаборатории Касперского Вартана Минасяна:
Каждый второй пользователь Windows, по крайней мере, знает, что кое-где в интернете существуют угрозы, и что против них стоит защититься. […] Большинство владельцев Mac думают, что угроз для их компьютеров не существует вовсе. С учётом этого факта пользователи Mac становятся ещё более интересной целью, ведь гораздо проще атаковать кого-то, кто не будет готов к атаке. Разумеется, такой пользователь не захочет обзаводиться средствами защиты.
Старший менеджер по продуктам Лаборатории
Касперского Вартан МинасянПодобные средства защиты, по идее, должна обеспечивать сама Apple. Но в Купертино идут своим путём — путём закрытости платформы. В идеальном (c точки зрения Apple) случае вы должны ставить софт исключительно из Mac App Store, где якобы строжайшая цензура, которая не допустит появления там вредоносного софта. Здесь следует вспомнить известного хакера Чарли Миллера и его эксперименты с мобильным App Store — такая параллель корректна, поскольку цензура там и тут практически одинаковая. Чарли ведь удалось обмануть цензоров и «протащить» в виртуальный магазин программу-клиент Instastock. В ней не было запрещённых фрагментов — но были средства для загрузки таковых с сервера Чарли! Как всякий пример в этой статье, этот не имел бы смысла, кабы не было другого примера. Извольте: Find and Call. Безобидная с виду программка, которая подвергала весь ваш список контактов спам-рассылке. Проверенная цензорами.
Если даже в Mac App Store вы можете встретить нечто вредоносное, то что уж говорить про натуральный Клондайк за пределами виртуального магазина. Хорошо, пускай в OS X Mountain Lion есть Gatekeeper, который по умолчанию запрещает установку неподписанного софта. Однако уже упомянутый бэкдор для съёмки скриншотов macs.app был как раз-таки подписан!
Не обязательно менять цензуру или ужесточать выдачу сертификатов, Apple. Можно просто доходчиво рассказать публике о том, как работают эти механизмы на самом деле (скажем, цензура занимается весьма поверхностной проверкой). Также можно побыстрее внедрять в OS X современные системы защиты. Почему такая технология, как ASLR, была внедрена лишь спустя четыре года после появления её в Windows? Почему с защитой от переполнения буфера опоздали на шесть лет?
Ускориться следовало бы и в том, что касается патчей. Тот же Flashback (а точнее — уязвимость в Java) Apple «вылечила» лишь к тому моменту, когда заражению подверглись сотни тысяч Mac.
Продукт
Ранее единственным решением для Mac от Лаборатории Касперского был пакет Kaspersky Security. В начале лета его расширят до Internet Security, тем самым оградив пользователей от неприятностей из первой части статьи.
- Защищённый веб-сёрфинг и шоппинг. Каждая посещаемая вами страница сверяется с расширенной антифишинговой базой, а её содержимое — проверяется на наличие вредоносного кода. Проверяются также и ссылки — напротив наиболее подозрительных вы увидите красный значок (заявлена поддержка Safari, Chrome и Firefox). С файловым и почтовым антивирусами всё и так ясно: первый сканирует содержимое дисков, второй — отвечает за входящую почту и вложения.
Кликабельно. Внимание на значки рядом со ссылками
- Защита персональных данных. Помимо стандартных технологий антифишинга, KIS для Mac включает экранную клавиатуру, нажатия с которой невозможно зарегистрировать никакими клавиатурными шпионами.
- Продвинутый родительский контроль. Содержит четыре компонента: веб-контроль (блокировка сайтов и загрузок по категориям, фильтрация поисковой выдачи), контроль времени (в какое время дня и насколько долго ребёнок может находиться в интернете), контроль всё тех же персональных данных (чтобы их нельзя было необдуманно ввести), а также контроль социальных сетей (для блокировки переписок неизвестно с кем).
Касательно любимой многими (в том числе и мной) темы потребляемых ресурсов:
Если вы запустите сканирование, то программа постарается как можно скорее его закончить и, как следствие, процент загрузки процессора будет высок. Но чаще всего продукт работает в фоновом режиме, потребляя менее одного процента мощности CPU и менее 100 мегабайт оперативной памяти.
— Вартан Минасян
В рамках мероприятия нам предоставили бета-версию Internet Security для Mac, и о чём я готов сказать уже сейчас — так это что выглядит она гораздо лучше предшественницы. Интерфейс не переработан с нуля, но хотя бы оптимизирован под Retina-разрешение MacBook Pro и приведён в соответствие стандартному софту OS X. Цена? Окончательных данных у меня нет, но ориентироваться можно на стоимость нынешнего Kaspersky Security — 1200 рублей в год для одной машины.
Российский релиз Kaspersky Internet Security с поддержкой OS X 10.6, 10.7 и 10.8 состоится 18 июня 2013 года.
(Проголосуйте первым за статью!)
🙈 Комментарии 144