Как яблоки стали червивыми

Самая-распространенная-в-мире-ОС не случайно носит титул также и самой «дырявой». Уже полтора десятка лет наиболее популярной целью среди вирусописателей и разработчиков прочего вредоносного ПО остаются компьютеры на базе ОС Windows. Это позволяет владельцам Linux-систем и ПК на платформе Mac OS гордо показывать язык – дескать, «а вот мы никаких вирусов не боимся, и антивирусы нам ни к чему». Но стоп! Описанная ситуация уже в прошлом. По крайней мере, для продуктов Apple. Буквально за полгода компьютеры «яблочной компании» потеряли имидж систем, не подверженных вирусным заражениям. Что же произошло с хваленой безопасностью платформы Mac OS?

Хакеры полюбили яблоки

Как следует из очередного отчета антивирусной компании McAfee, сейчас количество вредоносного ПО растет быстрее, чем за последние четыре года. При этом эксперты McAfee указывают на быстро растущее число атак на компьютеры Mac компании Apple. «За последний квартал мы обнаружили яркие примеры вредоносных программ, жертвами которых становятся пользователи, предприятия и важные объекты критической инфраструктуры, – пишет вице-президент McAfee Labs Винсент Уифер. – Атаки, которые были ранее направлены на Windows-ПК, теперь открывают свой путь к другим устройствам. Во II квартале мы зафиксировали вирус Flashback, который был нацелен на устройства Macintosh. Вредоносной программе Flashback удалось заразить 600 тыс. компьютеров по всему миру. Вирус выдавал себя за Adobe Flash-плагин для браузеров». Про Flashback я дальше расскажу подробнее. Однако этот случай хоть и самый яркий, но вовсе не единичный. В отчете McAfee сообщается, что только во II квартале 2012 года специалистами компании было обнаружено более 100 новых образцов вредоносов для Macintosh. Тогда же эксперты «Лаборатории Касперского» предупредили пользователей о появлении нового трояна для платформы Mac. А в ближайшее время, по их словам, появится еще несколько разновидностей вредоносного приложения. Сам Евгений Касперский в своем блоге написал: «Эпидемия Flashback – это лишь первая ласточка, и со временем число вредоносных программ для Mac будет нарастать, как снежный ком. Технически Windows и Mac мало чем отличаются друг от друга, а руководство Apple осознанно обманывает пользователей. В угоду маркетинговой отстройке Apple на протяжении многих лет вводила своих пользователей в заблуждение относительно безопасности Мак ОС». Замечу, что эта запись вызвала настоящую бурю гнева у маководов. Вот лишь один из комментариев на форуме, весьма мягкий: «Касперский, ты дурак! "Технически Windows и Mac мало чем отличаются друг от друга" – Касперыч, а скажи, ложка сильно похожа на ведро? Или птичка на коня? Идиот, это кардинально разные системы с разной архитектурой ядра и подходами к работе. Каспер реально ты жжошь! Бабла не хватает, решил за счет Яблов пропиариться?». В принципе, гнев оппонентов Касперского понятен. Mac OS X официально сертифицирована как UNIX-система; она базируется на ОС NeXTSTEP, разработанной корпорацией NeXT, – а это самая что ни есть UNIX-подобная ОС. То есть вряд ли корректно говорить о «малых отличиях Windows и Mac». При случае обязательно спросим у Касперского, что же он имел ввиду. Однако и тот факт, что Mac OS (и iOS) от Apple – суть UNIX-подобные ОС, вовсе не указывает на их некую «особую защищенность» от вирусов. Вспомните: самая популярная сейчас мобильная ОС – Android – она же основана на ядре Linux. Между тем, сегодня Android – самая завирусованная операционка в мире, по многим оценкам, вредоносы присутствуют в 40% Android-устройств.

Страшная история Flashback

Апрель нынешнего года наверняка навсегда запомнится специалистам по инфобезу. Запомнится тем, что в его начале была обнаружена первая в истории масштабная бот-сеть, состоящая из ПК, работающих под управлением Mac OS X. Фактически «Маки» подверглись глобальной атаке. Речь идет о ботнете, созданном с использованием вредоносной программы BackDoor.Flashback.39. В этот ботнет на момент его обнаружения были включены уже более 800.000 компьютеров на платформе Mac OS X. Собственно, еще в конце марта в антивирусные компании начали поступать сообщения о том, что злоумышленники активно используют известные уязвимости Java для распространения вредоносов для Mac OS X. Вскоре эксперты предположили, что использующий Java-уязвимости троянец BackDoor.Flashback.39 может образовать бот-сеть на Apple-совместимых компьютерах. BackDoor.Flashback.39, как и другие вредоносы этого семейства, имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются в качестве управляющих серверов. Такой подход значительно увеличивает живучесть бот-сети и оперативно перераспределяет нагрузку между командными центрами, если создаваемый ботами трафик превысит некие критические значения. Чтобы «рассекретить» действия BackDoor.Flashback.39, специалисты по информбезопасности использовали подход, именуемый «sinkhole». Они создали фальшивый командный сервер, способный собрать необходимую статистику или даже перехватить управление сетью. Уже 3 апреля специалистами компании «Доктор Веб» было зарегистрировано несколько доменов управляющих серверов BackDoor.Flashback.39. (Тем же самым занимались и другие антивирусные компании, но представители «Доктор Веб» описали свои действия наиболее подробно.) В первые же часы серверы, контролируемые специалистами «Доктор Веб» зафиксировали активность более чем 130.000 ботов, к утру их число достигло 550.000, и управляющие центры просто перестали справляться с нагрузкой. 16 апреля были зарегистрированы дополнительные домены, имена которых генерировались на основе даты. Эти домены использовались всеми подверсиями ботнета BackDoor.Flashback.39, что позволило точнее подсчитать размер вредоносной сети. Выяснилось, что большая доля заражений приходится на США (56,6% инфицированных ПК), на втором месте – Канада (19,8% заражений), на третьем – Великобритания (12,8% случаев заражения), на четвертой позиции – Австралия (6,1%). «Яблочная компания» отреагировала достаточно оперативно. Уже 4 апреля Apple выпустила обновление Java, закрывающее используемую BackDoor.Flashback уязвимость. Но если ПК был уже инфицирован ранее, установка обновления не защищала пользователя от действия троянца. По данным на 28 апреля, в сети BackDoor.Flashback.39 было зарегистрировано 824.739 ботов, из них активных – 334 592. Тут стоит сказать пару слов о том, как работает BackDoor.Flashback.39. Чтобы заразиться этим троянцем, в ОС пользователя должна быть установлена Java и пользователь должен посетить инфицированный сайт. Это может быть как специально созданная злоумышленниками веб-страница, так и взломанный сторонний ресурс. С вредоносной веб-страницы автоматически загружается Java-апплет. Используя уязвимость Java-машины, апплет сохраняет на HDD исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл – это позволяет запустить троянца без участия пользователя. По сути, пользователь вообще не осознает момент заражения – он еще просматривает веб-страницу, а его «Мак» уже инфицирован вредоносом и участвует в строительстве ботнета. Файл, загружаемый троянцем BackDoor.Flashback.39 на зараженные ПК, использует два типа управляющих серверов. В первом типе реализованы функции перехвата поискового трафика, перенаправления пользователя на контролируемые хакерами сайты и ряд других действий. Вторая группа командных центров позволяет отдавать ботам различные команды, реализующие на инфицированных машинах функции бэкдора. Впрочем, я тут весьма вкратце описал технологию только одной – первой – бот-сети, созданной из ПК на платформе Mac OS. Как я упоминал, вредоносов для «яблочной» ОС выявлено уже более сотни, и это только начало. Так что, думаю, впереди у нас еще много интересного.

Пришел Салонен и все испортил

Злоумышленникам, желающим хозяйничать внутри Mac OS, вовсе не обязательно для этого писать вирусы. Можно, например, воспользоваться софтинкой, которая позволяет с легкостью украсть связку ключей и пароли пользователей, входивших в систему. Она же предоставляет несанкционированным приложениям администраторский уровень доступа. Речь идет о программе Keychaindump, которую написал финский программист Юуусо Салонен. Он же, кстати, является автором программного фаерволла Radio Silence для Mac OS X. Что в очередной раз подтверждает давно известный тезис: лучшие взломщики сейфов – это сотрудники фирм по их изготовлению. В Mac OS X связка ключей – это система управления паролями, задача которой – хранить и получать быстрый доступ к пользовательским логинам и паролям от разных сервисов. Понятно, что внутренние данные в связке ключей хорошо защищены. Так, пароли в связке шифруются многократно различными способами. Некоторые из этих ключей шифруются по принципу матрешки – одни ключи шифруются другими. Сам Юуусо Салонен так рассказывает об этом механизме: «Мастер-ключ открывает первый слой шифрования и дальше доступ к соответствующим ключам осуществляется по цепочке, тогда как весь каскад дешифрования происходит при помощи шифровальной функции PBKDF2». Салонен в своей программе применил изощренную технику распознавания, которая сканирует оперативную память ПК в поисках процесса securyd – он управляет операциями, связанными со связкой ключей. «Моя программа не использует никаких уязвимостей, так как для начала она требует root-доступ к системе, а как знают большинство администраторов, root-доступ – это уже многое», – говорит Салонен. Самое примечательное – Keychaindump не используют никаких уязвимостей в Mac OS X или процессе securityd. Вместо этого используется особенность подхода Apple – автоматически дешифровывать пользовательские связки ключей, когда те входят в их аккаунты, а также хранить их в памяти для наиболее быстрого доступа.

И iOS туда же…

Итак, ПК Macintosh лишились ореола безопасности, который много лет был одной из маркетинговых «фишек» Apple. То же самое происходит теперь и с основой благополучия «яблочной компании» – гаджетами iPhone и iPad разных поколений. Хотя iOS и считается довольно безопасной мобильной ОС, она не совершенна. Например, еще весной в браузере Safari для iOS обнаружилась уязвимость, позволяющая злоумышленникам публиковать измененный URL, не совпадающий с реальным адресом сайта. Баг кроется в ошибке обработки URL-ов при использовании метода Javascript's «window.open()». Баг могут использовать злоумышленники: сайт, отображаемый в адресной строке, может быть заменен любым другим – а пользователь будет верить, что посещает безопасный ресурс. Позднее, 16 августа, Apple выпустила обновление iOS для iPhone, iPad и iPod Touch, которое ликвидировало другую серьезную проблему с безопасностью – она возникала при просмотре PDF-файлов во все том же Safari. Проблемы с безопасной работой iOS возникали из-за переполнения буфера при обработке шрифтов True Type и Free Type. Все еще незакрытым остается выявленный недавно недостаток в защите iOS устройств, в результате которого злоумышленники могут присылать SMS-сообщения с фальшивого номера, а пользователь не может определить, что это – поддельное сообщение. Более того, в Apple сперва заявили, что это – проблема технологии SMS в целом. Но вскоре эксперты AdaptiveMobile констатировали: «Дефект, недавно обнаруженный в iPhone, может позволить злоумышленникам отправлять поддельные SMS. Оказывается, только iPhone имеет эту проблему, а устройства под управлением Android, BlackBerry, Symbian и Windows Mobile оказались более надежными в вопросах работы с SMS-сообщениями». Тем не менее, Apple ничего не сообщила о возможном исправлении этой уязвимости. Ее эксперты лишь порекомендовали использовать фирменный сервис iMessage... А вы, уважаемые читатели, – чувствуете ли вы себя достаточно защищенными, используя технику Apple?

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.