Apple-секюрити: 10 лет форы с правом переписки.

Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом – в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.

На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны – мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?

Сначала немного истории.

В начале 2000-х на Винде случилось много неприятных глобальных вирусных эпидемий (например, Loveletter, Blaster, Sasser). В Микрософт тогда вовремя схватились за голову и начали думать – что же делать дальше. Ясно, что решить проблему на 100% не получится никогда, но, по крайней мере, можно подумать как минимизировать масштаб угрозы, проинформировать, консолидировать и скоординировать усилия секюрити-индустрии. Тогда 10 лет назад родилась концепция ‘Trustworthy Computing’ – интересная программа, затронувшая много аспектов деятельности компании. Например, Микрософт настроила процесс обновления своего ПО и информирования пользователей/партнёров, ввела в практику принципы SDL (Security Development Lifecycle), выпустила SP2 для Windows XP с серьёзными доработками в плане безопасности.

Примерно то же самое сейчас происходит с МакОСом. Flashfake – это первый звонок. В плане распространения малвары, сетевых атак и прочей iГадости, а также в плане реагирования на эти угрозы Apple сейчас находится на том же этапе, что и Микрософт 10 лет назад. Есть проблема и её надо решать – чем раньше, тем проще. Как поступит Apple? Вообще будет ли какое-то решение или продолжится политика игнорирования?

Чтобы понять природу отношения Apple к безопасности давайте вспомним одну её рекламную кампанию. В серии роликов Бодрый Мак подтрунивает над типичным лузером PC, продвигая простой тезис: на Маках нет (читай: «и не может быть») вирусов, вирусы – удел PC.


 
Кампания действительно была очень прикольная и даже породила шлейф ремейков, по популярности сравнимых со знаменитым «Вазаааап!». В то же время она сеяла ложное чувство защищённости и вводила пользователей в заблуждение – не столько по поводу сиюминутной угрозы, сколько на перспективу.

В результате такой политики не только десятки миллионы владельцев Маков до сих пор уверены в неуязвимости своих компьютеров. Сама Apple как будто поверила в это и расслабилась в плане безопасности. Судите сами, пример: Oracle исправила критическую уязвимость в Java (ту самую, через которую Flashfake заражал Маки) 14 февраля. Apple портировала обновление на МакОС только через 49 дней – 3 апреля. И это при том, что первые сведения об использовании уязвимости появились уже в марте! Вы представляете, что бы сделали с Микрософт за такое?

На самом деле таких примеров много. Особенно Apple запаздывает в патчах к open-source приложениям. А WebKit и Safari секюрити-эксперты уже давно называют не иначе как «ночной кошмар».

Отметим две важные особенности эпидемии Flashfake.

Во-первых, она показала, что самый опасный и, увы, один из самых распространённых сценариев атаки на Винду запросто реализуем на МакОСе. Троян использовал drive-by download атаку – чтобы подцепить «макость» достаточно было зайти на зараженный сайт. Никаких дополнительных кликов, админских паролей, каких-либо других форм вовлечённости пользователя. Вредонос устанавливался абсолютно незаметно и автоматически.  Плюс у Flashback была опция закачки дополнительных модулей по команде из управляющего центра. Тут уже функциональность трояна ограничена только больной фантазией кибер-негодяев.

Во-вторых, по соотношению зараженных компьютеров к общему числу маков масштабы эпидемии  можно сравнить с … Kido (он же Conficker) – самым большим ботнетом в истории PC, размеры которого на пике достигали 12 миллионов компьютеров.

Эти обстоятельства подтверждают, что количество Мак-машинок наконец-то перевалило некий порог, что привлекло к этой платформе внимание кибер-негодяев. Хотя в действительности это случилось не неожиданно. Секюрити-эксперты уже долгое время и много раз предупреждали о такой угрозе. Да и на пользователей МакОС уже долгое время ведётся охота с помощью DNS Changer’ов, фейковых антивирусов и «старого-доброго» фишинга. То, что произошло в апреле 2012г. – логичное развитие цепочки событий, усугублённое политикой убеждения пользователей в неуязвимости платформы.

Помимо насаждения ложного чувства защищённости у этой политики есть и другие особенности: задержки в обновлении софта, отсутствие информирования об угрозах, ровно как какой-либо инициативы по сотрудничеству с секюрити-индустрией и создания партнёрской экосистемы для защиты клиентов. Наконец, пресловутая «завеса секретности» надо всем, включая любые аспекты безопасности. Я не раз слышал от журналистов и аналитиков, что очень трудно получить вразумительный ответ на вопросы по этой теме. Не говоря о том, что обычно такие вопросы просто игнорируются. Да и вообще: это как-то дико, когда пользователь какой-либо системы получает информацию о проблемах этой системы и способах их решения от третьих лиц.

Дальнейшее игнорирование проблемы и отсутствие шагов в плане реагирования на новые угрозы может иметь неприятные последствия не только для Apple и пользователей её продуктов, но и для сети в целом. Сто миллионов потенциальных жертв по всему миру – страшно представить для каких целей их могут использовать злоумышленники. Или террористы?

Apple действительно могла бы многому научиться у Микрософт в плане безопасности. Да, с фундаментальной точки зрения это может быть уступкой в плане вечного противостояния PC-Mac. Но тут речь идёт не об эфемерных принципах, а о безопасности пользователей и Всемирной сети. Лично я не вижу в таком сотрудничестве никакого ущерба репутации. Наоборот – случись такое, первым пошлю «респект» в Купертино. Повышение скорости и качества реагирования на новые угрозы, кстати, в интересах самой Apple. Увы, Flashback’ом дело не ограничится. На сколько у пользователей хватит толерантности? Чем раньше взяться за решение проблемы, тем меньше риск. Для всех.

10 лет назад “Trustworthy Computing” фактически спасла Винду от тотального бана и обструкции. Трудно представить, что бы было с ней (да и с Микрософтом) без этой программы. Сейчас её успешно копируют другие компании и даже правительства. Очередь за Apple сделать хоть что-нибудь.

8 Responses to “Apple-секюрити: 10 лет форы с правом переписки.”

  1. Весьма успешный бизнес у охотников за приведениями. Пиф-паф все приведения лежат – с Вас 100$ :). Тоже самое у создателей антивирусов. Информационная безопасность обеспечивается грамотностью пользователей, а не установкой очередного меганавороченного антивируса. Индустрия могла бы сфокусироваться на обучении и создании новых решений предотвращающих инциденты, вместо лечения последствий.

    • Информационная безопасность обеспечивается грамотностью пользователей И ОДНОВРЕМЕННО установкой меганавороченного антивируса.

      Кстати, образовательными программами по IT security мы тоже активно занимаемся. Бесплатно.

  2. Прилагаю копию жалобы на антивирус Dr.Web, отправленный в службу поддержки, которое цинично проигнорировано. Жду комментариев по-возможности. Спс Павел Лапарев
    Господину Шарову, директору ООО “Др.Веб”
    Добрый день!
    “модуль spider gate dr.web”
    Вы называете себя антивирусом-“програма ловящая вирусы”, такое понятие сложилось у всех пользователей, работающих с антивирусными программами. Пользователь подразумевает, что если антивирусная программа блокирует сайт, значит, на этом сайте находится вирус, который повредит данные, находящиеся на компьютере, или повредит работоспособность операционной системы, что сделает в дальнейшем невозможность работы на компьютере. Что получается: я пользователь,работая в интернете, натыкаюсь на знакомый мне сайт, и что я вижу? он, оказывается, содержит вредоносные коды и не рекомендуемый вами, я пониманию, что он не вредоносный, но как же другие пользователи, которым интересно содержание сайта? На самом деле на сайте нет никаких вирусов-это можно проверить даже на вашем сайте онлайн проверки. На заблокированном вами сайте могут находиться ссылки на сайты-партнеров или материалы обмена информацией между сайтами, из-за которых блокируется весь сайт, а не эти “вредоносные”, как вы считаете, элементы сайта. Таким образом, вы наносите ущерб деловой репутации не только этому сайту, но и множеству других, которые вы блокируете,подчеркиваю-именно весь сайт, или часть неугодного вам контента, вы об этом знаете. Чем вы руководствуетесь, принимая такие блокировки: это связано с дополнительными вашими доходами (один заблокировал-разблокировка платная?), или по “праву телефонного звонка”? Разьясните пожалуйста вашу политику, и соответствует ли она выданным вам лицензиям.

  3. Маков становится больше. Рынок становится интереснее в т.ч. и для Касперского. Это понятно.
    Не понятно другое: Где вирусы? Трояны? В описании того же Flashfake указывалось, что нужно раза 2-3 ввести админский пароль.

    Пока реальных угроз нет. Понятно, что они могут появиться. Но зачем ходить в ОЗК в мирное время?

    Возможность наличия угроз – пока инфа для антивирусописателей, но ни как не для пользователей.

    …или все же советуете жить в бункере на случай ядерной войны, ходить в ОЗК на случай химатаки и брать в кино противогаз?

  4. Apple те ещё зазнайки. Проигнорируют и ваше предупреждение как это было с Dr.Web. Ведь по прежнему у них “непробиваемая” защита. Но такого не бывает. Как было сказано интереса у вирусописателей к ним не было, так как их доля была относительно мала. Но это вопрос времени, или они всё таки признают это, или так и останутся в своей нише.

  5. Евгений…как Вы наверное знаете,Mac Osь прямой приемник Unix’a,и онаядовольно долгое время была в тени поделок Microsoft.
    Посему,даже если сиюминутно за нее возьмутся все багтрекеры,китеры и просто програмисты всего мира-пройдет не один год,прежде чем появится что-то достойное “дыр” в виндовсе и софте к нему

    • Почитай про результаты PHD. Там и в FreeBSD нашли уязвимости.

Trackbacks/Pingbacks

  1. Как быстро обновить ПО на Android,Windows Phone 7,Windows 7 « Moozg_ru (Николай Баранов) – жёсткий обзор - August 29, 2012

    […] В данной статье я рассмотрю способы максимально автоматизировать процесс обновления программ на следующих ОСях: Google Android, Windows Phone 7, Windows (на примере Windows 7). Ябломанчики не в теме, у них же нет вирусов. […]

Оставить комментарий

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: