Apple-секюрити: 10 лет форы с правом переписки.

Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом – в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.

На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны — мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?

Сначала немного истории.

В начале 2000-х на Винде случилось много неприятных глобальных вирусных эпидемий (например, Loveletter, Blaster, Sasser). В Микрософт тогда вовремя схватились за голову и начали думать — что же делать дальше. Ясно, что решить проблему на 100% не получится никогда, но, по крайней мере, можно подумать как минимизировать масштаб угрозы, проинформировать, консолидировать и скоординировать усилия секюрити-индустрии. Тогда 10 лет назад родилась концепция ‘Trustworthy Computing‘ – интересная программа, затронувшая много аспектов деятельности компании. Например, Микрософт настроила процесс обновления своего ПО и информирования пользователей/партнёров, ввела в практику принципы SDL (Security Development Lifecycle), выпустила SP2 для Windows XP с серьёзными доработками в плане безопасности.

Примерно то же самое сейчас происходит с МакОСом. Flashfake – это первый звонок. В плане распространения малвары, сетевых атак и прочей iГадости, а также в плане реагирования на эти угрозы Apple сейчас находится на том же этапе, что и Микрософт 10 лет назад. Есть проблема и её надо решать – чем раньше, тем проще. Как поступит Apple? Вообще будет ли какое-то решение или продолжится политика игнорирования?

Чтобы понять природу отношения Apple к безопасности давайте вспомним одну её рекламную кампанию. В серии роликов Бодрый Мак подтрунивает над типичным лузером PC, продвигая простой тезис: на Маках нет (читай: «и не может быть») вирусов, вирусы – удел PC.

Кампания действительно была очень прикольная и даже породила шлейф ремейков, по популярности сравнимых со знаменитым «Вазаааап!». В то же время она сеяла ложное чувство защищённости и вводила пользователей в заблуждение – не столько по поводу сиюминутной угрозы, сколько на перспективу.

В результате такой политики не только десятки миллионы владельцев Маков до сих пор уверены в неуязвимости своих компьютеров. Сама Apple как будто поверила в это и расслабилась в плане безопасности. Судите сами, пример: Oracle исправила критическую уязвимость в Java (ту самую, через которую Flashfake заражал Маки) 14 февраля. Apple портировала обновление на МакОС только через 49 дней — 3 апреля. И это при том, что первые сведения об использовании уязвимости появились уже в марте! Вы представляете, что бы сделали с Микрософт за такое?

На самом деле таких примеров много. Особенно Apple запаздывает в патчах к open-source приложениям. А WebKit и Safari секюрити-эксперты уже давно называют не иначе как «ночной кошмар».

Отметим две важные особенности эпидемии Flashfake.

Во-первых, она показала, что самый опасный и, увы, один из самых распространённых сценариев атаки на Винду запросто реализуем на МакОСе. Троян использовал drive-by download атаку — чтобы подцепить «макость» достаточно было зайти на зараженный сайт. Никаких дополнительных кликов, админских паролей, каких-либо других форм вовлечённости пользователя. Вредонос устанавливался абсолютно незаметно и автоматически.  Плюс у Flashback была опция закачки дополнительных модулей по команде из управляющего центра. Тут уже функциональность трояна ограничена только больной фантазией кибер-негодяев.

Во-вторых, по соотношению зараженных компьютеров к общему числу маков масштабы эпидемии  можно сравнить с … Kido (он же Conficker) – самым большим ботнетом в истории PC, размеры которого на пике достигали 12 миллионов компьютеров.

Эти обстоятельства подтверждают, что количество Мак-машинок наконец-то перевалило некий порог, что привлекло к этой платформе внимание кибер-негодяев. Хотя в действительности это случилось не неожиданно. Секюрити-эксперты уже долгое время и много раз предупреждали о такой угрозе. Да и на пользователей МакОС уже долгое время ведётся охота с помощью DNS Changer’ов, фейковых антивирусов и «старого-доброго» фишинга. То, что произошло в апреле 2012г. – логичное развитие цепочки событий, усугублённое политикой убеждения пользователей в неуязвимости платформы.

Помимо насаждения ложного чувства защищённости у этой политики есть и другие особенности: задержки в обновлении софта, отсутствие информирования об угрозах, ровно как какой-либо инициативы по сотрудничеству с секюрити-индустрией и создания партнёрской экосистемы для защиты клиентов. Наконец, пресловутая «завеса секретности» надо всем, включая любые аспекты безопасности. Я не раз слышал от журналистов и аналитиков, что очень трудно получить вразумительный ответ на вопросы по этой теме. Не говоря о том, что обычно такие вопросы просто игнорируются. Да и вообще: это как-то дико, когда пользователь какой-либо системы получает информацию о проблемах этой системы и способах их решения от третьих лиц.

Дальнейшее игнорирование проблемы и отсутствие шагов в плане реагирования на новые угрозы может иметь неприятные последствия не только для Apple и пользователей её продуктов, но и для сети в целом. Сто миллионов потенциальных жертв по всему миру – страшно представить для каких целей их могут использовать злоумышленники. Или террористы?

Apple действительно могла бы многому научиться у Микрософт в плане безопасности. Да, с фундаментальной точки зрения это может быть уступкой в плане вечного противостояния PC-Mac. Но тут речь идёт не об эфемерных принципах, а о безопасности пользователей и Всемирной сети. Лично я не вижу в таком сотрудничестве никакого ущерба репутации. Наоборот – случись такое, первым пошлю «респект» в Купертино. Повышение скорости и качества реагирования на новые угрозы, кстати, в интересах самой Apple. Увы, Flashback’ом дело не ограничится. На сколько у пользователей хватит толерантности? Чем раньше взяться за решение проблемы, тем меньше риск. Для всех.

10 лет назад «Trustworthy Computing» фактически спасла Винду от тотального бана и обструкции. Трудно представить, что бы было с ней (да и с Микрософтом) без этой программы. Сейчас её успешно копируют другие компании и даже правительства. Очередь за Apple сделать хоть что-нибудь.