Apple-секюрити: 10 лет форы с правом переписки.

Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом – в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.

На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны — мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?

Сначала немного истории.

В начале 2000-х на Винде случилось много неприятных глобальных вирусных эпидемий (например, Loveletter, Blaster, Sasser). В Микрософт тогда вовремя схватились за голову и начали думать — что же делать дальше. Ясно, что решить проблему на 100% не получится никогда, но, по крайней мере, можно подумать как минимизировать масштаб угрозы, проинформировать, консолидировать и скоординировать усилия секюрити-индустрии. Тогда 10 лет назад родилась концепция ‘Trustworthy Computing‘ – интересная программа, затронувшая много аспектов деятельности компании. Например, Микрософт настроила процесс обновления своего ПО и информирования пользователей/партнёров, ввела в практику принципы SDL (Security Development Lifecycle), выпустила SP2 для Windows XP с серьёзными доработками в плане безопасности.

Примерно то же самое сейчас происходит с МакОСом. Flashfake – это первый звонок. В плане распространения малвары, сетевых атак и прочей iГадости, а также в плане реагирования на эти угрозы Apple сейчас находится на том же этапе, что и Микрософт 10 лет назад. Есть проблема и её надо решать – чем раньше, тем проще. Как поступит Apple? Вообще будет ли какое-то решение или продолжится политика игнорирования?

Чтобы понять природу отношения Apple к безопасности давайте вспомним одну её рекламную кампанию. В серии роликов Бодрый Мак подтрунивает над типичным лузером PC, продвигая простой тезис: на Маках нет (читай: «и не может быть») вирусов, вирусы – удел PC.

Кампания действительно была очень прикольная и даже породила шлейф ремейков, по популярности сравнимых со знаменитым «Вазаааап!». В то же время она сеяла ложное чувство защищённости и вводила пользователей в заблуждение – не столько по поводу сиюминутной угрозы, сколько на перспективу.

В результате такой политики не только десятки миллионы владельцев Маков до сих пор уверены в неуязвимости своих компьютеров. Сама Apple как будто поверила в это и расслабилась в плане безопасности. Судите сами, пример: Oracle исправила критическую уязвимость в Java (ту самую, через которую Flashfake заражал Маки) 14 февраля. Apple портировала обновление на МакОС только через 49 дней — 3 апреля. И это при том, что первые сведения об использовании уязвимости появились уже в марте! Вы представляете, что бы сделали с Микрософт за такое?

На самом деле таких примеров много. Особенно Apple запаздывает в патчах к open-source приложениям. А WebKit и Safari секюрити-эксперты уже давно называют не иначе как «ночной кошмар».

Отметим две важные особенности эпидемии Flashfake.

Во-первых, она показала, что самый опасный и, увы, один из самых распространённых сценариев атаки на Винду запросто реализуем на МакОСе. Троян использовал drive-by download атаку — чтобы подцепить «макость» достаточно было зайти на зараженный сайт. Никаких дополнительных кликов, админских паролей, каких-либо других форм вовлечённости пользователя. Вредонос устанавливался абсолютно незаметно и автоматически.  Плюс у Flashback была опция закачки дополнительных модулей по команде из управляющего центра. Тут уже функциональность трояна ограничена только больной фантазией кибер-негодяев.

Во-вторых, по соотношению зараженных компьютеров к общему числу маков масштабы эпидемии  можно сравнить с … Kido (он же Conficker) – самым большим ботнетом в истории PC, размеры которого на пике достигали 12 миллионов компьютеров.

Эти обстоятельства подтверждают, что количество Мак-машинок наконец-то перевалило некий порог, что привлекло к этой платформе внимание кибер-негодяев. Хотя в действительности это случилось не неожиданно. Секюрити-эксперты уже долгое время и много раз предупреждали о такой угрозе. Да и на пользователей МакОС уже долгое время ведётся охота с помощью DNS Changer’ов, фейковых антивирусов и «старого-доброго» фишинга. То, что произошло в апреле 2012г. – логичное развитие цепочки событий, усугублённое политикой убеждения пользователей в неуязвимости платформы.

Помимо насаждения ложного чувства защищённости у этой политики есть и другие особенности: задержки в обновлении софта, отсутствие информирования об угрозах, ровно как какой-либо инициативы по сотрудничеству с секюрити-индустрией и создания партнёрской экосистемы для защиты клиентов. Наконец, пресловутая «завеса секретности» надо всем, включая любые аспекты безопасности. Я не раз слышал от журналистов и аналитиков, что очень трудно получить вразумительный ответ на вопросы по этой теме. Не говоря о том, что обычно такие вопросы просто игнорируются. Да и вообще: это как-то дико, когда пользователь какой-либо системы получает информацию о проблемах этой системы и способах их решения от третьих лиц.

Дальнейшее игнорирование проблемы и отсутствие шагов в плане реагирования на новые угрозы может иметь неприятные последствия не только для Apple и пользователей её продуктов, но и для сети в целом. Сто миллионов потенциальных жертв по всему миру – страшно представить для каких целей их могут использовать злоумышленники. Или террористы?

Apple действительно могла бы многому научиться у Микрософт в плане безопасности. Да, с фундаментальной точки зрения это может быть уступкой в плане вечного противостояния PC-Mac. Но тут речь идёт не об эфемерных принципах, а о безопасности пользователей и Всемирной сети. Лично я не вижу в таком сотрудничестве никакого ущерба репутации. Наоборот – случись такое, первым пошлю «респект» в Купертино. Повышение скорости и качества реагирования на новые угрозы, кстати, в интересах самой Apple. Увы, Flashback’ом дело не ограничится. На сколько у пользователей хватит толерантности? Чем раньше взяться за решение проблемы, тем меньше риск. Для всех.

10 лет назад «Trustworthy Computing» фактически спасла Винду от тотального бана и обструкции. Трудно представить, что бы было с ней (да и с Микрософтом) без этой программы. Сейчас её успешно копируют другие компании и даже правительства. Очередь за Apple сделать хоть что-нибудь.

Прочитать комментарии 11
Комментарии 7 Оставить заметку

    Alex (@activedaily)

    Весьма успешный бизнес у охотников за приведениями. Пиф-паф все приведения лежат — с Вас 100$ :). Тоже самое у создателей антивирусов. Информационная безопасность обеспечивается грамотностью пользователей, а не установкой очередного меганавороченного антивируса. Индустрия могла бы сфокусироваться на обучении и создании новых решений предотвращающих инциденты, вместо лечения последствий.

    e_kaspersky

    Информационная безопасность обеспечивается грамотностью пользователей И ОДНОВРЕМЕННО установкой меганавороченного антивируса.

    Кстати, образовательными программами по IT security мы тоже активно занимаемся. Бесплатно.

    Laparev

    Прилагаю копию жалобы на антивирус Dr.Web, отправленный в службу поддержки, которое цинично проигнорировано. Жду комментариев по-возможности. Спс Павел Лапарев
    Господину Шарову, директору ООО «Др.Веб»
    Добрый день!
    «модуль spider gate dr.web»
    Вы называете себя антивирусом-«програма ловящая вирусы», такое понятие сложилось у всех пользователей, работающих с антивирусными программами. Пользователь подразумевает, что если антивирусная программа блокирует сайт, значит, на этом сайте находится вирус, который повредит данные, находящиеся на компьютере, или повредит работоспособность операционной системы, что сделает в дальнейшем невозможность работы на компьютере. Что получается: я пользователь,работая в интернете, натыкаюсь на знакомый мне сайт, и что я вижу? он, оказывается, содержит вредоносные коды и не рекомендуемый вами, я пониманию, что он не вредоносный, но как же другие пользователи, которым интересно содержание сайта? На самом деле на сайте нет никаких вирусов-это можно проверить даже на вашем сайте онлайн проверки. На заблокированном вами сайте могут находиться ссылки на сайты-партнеров или материалы обмена информацией между сайтами, из-за которых блокируется весь сайт, а не эти «вредоносные», как вы считаете, элементы сайта. Таким образом, вы наносите ущерб деловой репутации не только этому сайту, но и множеству других, которые вы блокируете,подчеркиваю-именно весь сайт, или часть неугодного вам контента, вы об этом знаете. Чем вы руководствуетесь, принимая такие блокировки: это связано с дополнительными вашими доходами (один заблокировал-разблокировка платная?), или по «праву телефонного звонка»? Разьясните пожалуйста вашу политику, и соответствует ли она выданным вам лицензиям.

    йцу

    Маков становится больше. Рынок становится интереснее в т.ч. и для Касперского. Это понятно.
    Не понятно другое: Где вирусы? Трояны? В описании того же Flashfake указывалось, что нужно раза 2-3 ввести админский пароль.

    Пока реальных угроз нет. Понятно, что они могут появиться. Но зачем ходить в ОЗК в мирное время?

    Возможность наличия угроз — пока инфа для антивирусописателей, но ни как не для пользователей.

    …или все же советуете жить в бункере на случай ядерной войны, ходить в ОЗК на случай химатаки и брать в кино противогаз?

    Chocho

    Apple те ещё зазнайки. Проигнорируют и ваше предупреждение как это было с Dr.Web. Ведь по прежнему у них «непробиваемая» защита. Но такого не бывает. Как было сказано интереса у вирусописателей к ним не было, так как их доля была относительно мала. Но это вопрос времени, или они всё таки признают это, или так и останутся в своей нише.

    mindkiller

    Евгений…как Вы наверное знаете,Mac Osь прямой приемник Unix’a,и онаядовольно долгое время была в тени поделок Microsoft.
    Посему,даже если сиюминутно за нее возьмутся все багтрекеры,китеры и просто програмисты всего мира-пройдет не один год,прежде чем появится что-то достойное «дыр» в виндовсе и софте к нему

    Kirill

    Почитай про результаты PHD. Там и в FreeBSD нашли уязвимости.

Обратные ссылки 4

Как быстро обновить ПО на Android,Windows Phone 7,Windows 7 « Moozg_ru (Николай Баранов) – жёсткий обзор

Как быстро обновить ПО на Android,Windows Phone 7,Windows 7 | Moozg_ru (Николай Баранов) — жёсткий обзор

Безопасны ли новые мобильные ОС? | Спасаем мир словом | Официальный русский блог Лаборатории Касперского

Ай-да-новости 20.06.2014 | Nota Bene: официальный блог Евгения Касперского

Оставить заметку