Авторский вариант. Оригинал материала находится по адресу www.computerra.ru/cio/659
10.06.2012

Будь здоров, Мак!

Минувшая весна запомнится приверженцам платформы Mac OS X надолго. Эпидемия вируса Flashback, полыхнувшая в апреле, охватила десятки стран, сотни тысяч машин — чуть-чуть не дотянув на пике до одного миллиона. И пусть в пересчёте на общую численность Макинтошей инфицированным оказался лишь каждый сотый из них, для Apple и её сторонников размах происходящего был невиданным. Никогда за свою историю «фруктовый гигант» ещё не переживал ничего подобного.

Теперь, когда известны и механизм работы вируса, и метод управления им (а Flashback — весьма современная разработка, включающая каждый заражённый компьютер в единую бот-сеть, подконтрольную авторам), масштаб уже не вызывает удивления. Удивляться приходится скорее тому, как безобидно всё завершилось. У Мак-сообщества просто не было времени на подготовку: тревогу забили только когда число заражений уже превысило полмиллиона (цифры, называемые разными экспертами — Доктор Веб, Лабораторией Касперского, Sophos, Symantec и другими — слегка различаются). Честь первооткрывателя Flashback, кстати, принадлежит российским специалистам (уже упомянутой компании Доктор Веб), но основной удар пришёлся на Северную Америку (США, Канада) и Европу. Впрочем повезло и Америке, и всем остальным, так как Flashback только по счастливой случайности не был оснащён деструктивными функциями. Может быть поэтому, переведя дух, западная пресса бросилась делать выводы из случившегося. Выводы тяжёлые, неприятные — и не только для Mac OS X. Впрочем давайте по порядку.

Опасные связи

Flashback — или, как его ещё называют, Flashfake — проникает на компьютер через браузер. Чтобы заразиться, пользователю достаточно открыть с помощью Safari или любого другого веб-обозревателя содержащую вирус страничку (в середине апреля, в период наибольшей активности, на просторах Сети эксперты насчитывали свыше 4 миллионов таких страниц, главным образом во взломанных блогах). Запустившись благодаря «дыре» в браузере, Flashback получает доступ к жёсткому диску компьютера и прописывается в операционной системе. Чтобы расширить свои полномочия и внедриться ещё глубже, он обманом пытается выяснить у пользователя пароль администратора, но успех этой попытки в общем не критичен: заражение уже произошло и с этого момента вирус может контролировать всё происходящее.

Такова общая схема работы Flashback. Однако есть пара тонкостей, которые необходимо учесть, чтобы составить полное представление. Во-первых, если быть точным, вирус проникает на компьютер не через браузер, а через уязвимость в виртуальной машине Java. Данные «дыра» известна security-сообществу уже несколько месяцев. Больше того, Oracle «залатала» её в версиях Java для MS Windows и Linux ещё зимой. Но Java для Mac OS X контролирует Apple — а она по какой-то причине с релизом не спешила и выпустила патч (да и тот не для всех версий ОС) только в апреле. После того, как разгорелась эпидемия.

Во-вторых, изначально Flashback выполнял сравнительно безобидную функцию: «на лету» анализировал веб-странички и заменял встреченные там рекламные объявления, так что пользователь заражённой машины видел только рекламу, выгодную авторам вируса. Но, поскольку инфицированный компьютер поддерживал постоянную связь с контролируемыми авторами вируса серверами, никто не мог гарантировать, что однажды создатели Flashback не прикажут ему, скажем, красть номера кредитных карт, пароли, а то и вовсе уничтожить содержимое жёстких дисков.

Столкнувшись вместе, эти обстоятельства обеспечили эпидемии Flashback беспрецедентное внимание прессы. Уже через неделю после первого сообщения, средства для обнаружения и уничтожения новой заразы (как бесплатные, так и платные) выпустили, кажется, все мало-мальски крупные антивирусные вендоры. И не осталось, пожалуй, ни единого агентства новостей, которое не посвятило бы Мак-эпидемии хотя бы несколько строчек. Но — увы! — поскольку потенциально уязвимы были десятки миллионов Макинтошей и достучаться до каждого пользователя в столь сжатые сроки было нереально, кривая, демонстрирующая численность инфицированных машин, спускалась куда как медленней, нежели за неделю до того росла. Спустя семь дней после кульминации, двести тысяч Макинтошей всё ещё были заражены Flashback. Неделей позже их количество уменьшилось примерно до 150 тысяч — и на этой отметке стабилизировалось. По данным Intego, даже сейчас (вторая половина мая) инфицированными остаются свыше ста тысяч машин и наметилась тенденция к росту.

Диагноз

«Конец спокойных времён» для Мак: так встретила популярная пресса Flashback. И — промахнулась. Вирусы для персоналок Apple появились не вчера, не год назад, и даже не десять. Отсчёт следует вести с середины 80-х, когда эта платформа уже была достаточно популярной, а программисты достаточно изобретательны: семейство вирусов nVir для Mac OS наделало немало шуму в 1987 году. Вторая волна вредоносного софта накрыла Маки через двадцать лет. Начиная с середины нулевых специалисты по компьютерной безопасности один за другим выступали с предупреждением, что и сама Apple, и пользователи её продуктов слишком легко относятся к вопросам защищённости Mac OS X и прикладного софта. Счёт обнаруженным в Maк-программах уязвимостям шёл на десятки — и в конечном итоге это привело к неизбежному результату: если ещё в 2005 освещающие Apple-тематику блоггеры были готовы заключать с пессимистами пари (покажите хотя бы один вирус!), сегодня они же составляют списки самых опасных штаммов. Leap, RSPlug, MacSweeper, Jahlav, MacDefender — вот лишь самые известные вирусные семейства, а ведь есть ещё и не поддающиеся классификации «трояны», маскируемые под пиратские версии популярных программных продуктов.

Однако Flashback всё же стал «самым-самым», если оценивать по суммарной тяжести последствий. И прислушаться тут следует не к антивирусным компаниям (которые, конечно, окрестили его самой жуткой из бед, но не могут считаться беспристрастными, ибо живут за счёт продажи «лекарства») и не средствам массовой информации (которые расскажут о чём угодно, лишь бы нашлись слушатели), но за независимыми командами специалистов по ИТ-безопасности, в частности, из вузов по обе стороны Атлантики (0xCERT из Оксфорда и др.). Последние ставят эпидемию Flashback в один ряд с наиболее массовыми эпидемиями вирусов для MS Windows (Blaster/Welchia, Conficker и т.п.). Конечно Windows-вирусы инфицируют многократно больше компьютеров за раз, но ведь и общая численность парка машин под управлением Mac OS X в мире примерно на порядок меньше парка MS Windows. Зато головной боли Мак-пользователям Flashback подарил ровно столько же.

Шок. Вот точная характеристика того, что пережило Мак-сообщество, когда узнало о масштабах эпидемии. Сегодня алгоритм действий ясен: воспользоваться утилитой для проверки, антивирусом для лечения, установить патч для Mac OS X версий 10.6 и 10.7, выпущенный Apple, и обновиться (увы, не бесплатно), если вы работаете с версией 10.5.8 или меньше (или хотя бы отключить Java-машину, если обновиться возможности нет). Но первые неделю-две в панической неразберихе рядовому пользователю трудно было отыскать ответы даже на самые простые вопросы. Как узнать, инфицирована ли машина? Как вылечить вирус и можно ли это сделать своими силами? Как предупредить повторное заражение? Какие версии Mac OS X уязвимы?

Ответственность

Но как такое вообще стало возможным? Почему Apple не «залатала» дыру в Java-машине вместе со всеми, ещё в феврале? И если не могла сделать этого самостоятельно, почему не предупредила пользователей, не попыталась предпринять других мер (скажем, можно было обратиться к антивирусным компаниям за помощью)? Ведь команда Тима Кука не могла не знать о спрятанной в системе бомбе! Так почему же действовать начали только после того, как эпидемия уже разгорелась?

Ответ на этот вопрос неприятный. Борис Шаров, руководитель той самой Доктор Веб, которая Flashback и обнаружила, дал несколько интервью западным изданиям, где весьма жёстко отозвался о способности Apple противостоять вирусной угрозе, контактировать со сторонними специалистами по ИТ-безопасности, и вообще адекватно реагировать на неожиданно вскрывшиеся опасные баги в её продуктах. Доктор Веб попыталась немедленно проинформировать Apple о своей находке и ведущихся работах. Российские спецы, в частности, перехватили управление несколькими веб-сайтами, с которых велось управление Flashback. Но реакции не последовало: Apple просто проигнорировала сообщение, а чуть позже даже потребовала закрыть один из тех сайтов, которые команда Шарова использовала для анализа работы вируса. В общем повела себя так, словно бы антивирусные эксперты пытались навредить ей или помешать. Что свидетельствует только об одном: у компании нет опыта контактов с security-сообществом, как нет и своих специалистов по безопасности, и даже, вероятно, чёткого плана на случай форс-мажора.

Пусть и неприятный, вывод этот хорошо согласуется с коллективной характеристикой, давно уже выданной западными критиками Apple. Звучит она примерно так: построенный Стивом Джобсом бизнес похож на Microsoft, Google и IBM внешне, но изнутри не имеет с ними ничего общего. Apple — компания, умеющая продавать, но не умеющая наладить нормальный производственный цикл, учитывающий и устраняющий неизбежно выявляющиеся ошибки. Отсюда — многомесячная задержка с патчем для «дыры» в Java-машине. Отсюда странная реакция на многочисленные сообщения о дефективном аккумуляторе iPhone 4S, нежелание признавать конструктивный дефект радиопередающей части iPhone 4 (помните «Антеннагейт»?), «необъяснимо» медленный отзыв скомпрометированных цифровых сертификатов прошлой осенью, и так далее, и так далее. За Apple тянется пугающе длинный шлейф скандалов и неприятностей, избежать которых можно было бы, если б она действительно занималась технологиями, а не маркетингом.

Хорошая новость в том, что все критики сходятся во мнении: ещё недавно считавшаяся невосприимчивой к вирусам Mac OS X теряет свою славу защищённой операционной системы слишком быстро, чтобы Apple могла и дальше этот процесс игнорировать. А значит можно надеяться, что в самое ближайшее время команда Тима Кука даст адекватный ответ. Правда сперва наследникам Джобса предстоит переступить через свою гордость.

Гордыня

Маки не болеют — и об этом знают все! Всю свою новейшую историю (с момента возвращения Стива в компанию в конце 90-х) Apple отделяет образ Мак-персоналки от страдающей хворями Windows PC. В её рекламных роликах симпатичный, нескучный паренёк (играющий конечно же за Мак) утирает нос незадачливому товарищу, снова подхватившему простуду (не болей, Windows!). А на её сайте каждый желающий и по сей день отыщет в списке достоинств Mac OS X «отсутствие PC-вирусов». Apple сделала всё, чтобы у пользователя сложилось впечатление, что для обеспечения защищённости Мака никаких усилий прилагать не нужно: иммунитет у системы, якобы, врождённый. Что ж, в смысле Windows-вирусов так оно и есть: ни один из них не сможет навредить Маку. Да вот незадача, теперь у Mac OS X хватает и своей «заразы».

С Flashback худо-бедно разобрались. Apple залатала «дыру» в том числе и на Mac OS X 10.5 Leopard, и даже пошла на уступки Oracle (теперь та будет заботиться о Java для Маков). Но нет никаких сомнений, что список мак-инфекций отныне будет только пополняться. Даже с момента обнаружения оригинального Flashback уже выявлено несколько новых штаммов, пусть и эксплуатирующих ту же уязвимость (в их числе Sabpub). Но вот Microsoft в мае нашла вирус, паразитирующий на старых версиях Office for Mac. А сторонние эксперты предупреждают, что даже с Flashback удалось справиться сравнительно легко лишь по счастливой случайности: авторы его оказались недостаточно упрямы, сдавшись без борьбы.

Игнорировать вирусную угрозу для Apple более невыгодно. И тут ей есть чему поучиться у Microsoft. Та была в аналогичной ситуации лет десять назад — и с проблемой справилась, наладив тесный контакт с security-сообществом, обзаведясь собственной командой спецов по безопасности, выпустив свой инструментарий для защиты системы (MS Security Essentials входит сегодня в пятёрку самых популярных продуктов в своей категории). А ещё Microsoft научилась регулярно и оперативно выдавать патчи, честно описывая для чего нужен каждый из них, насколько опасна закрываемая уязвимость, вероятно ли появление эксплоитов. Apple, выпускающая «заплатки» чуть ли не раз в квартал и весьма туманно объясняющая их смысл, отстала от Microsoft на годы.

Маки не болеют!

Итак, первое, чего следует ждать от Apple, это честного признания: вирусы под Mac OS X всё-таки существуют. Но вот что важно: это вовсе не означает, что пользователи с ними столкнутся! Без всякого сомнения компания попытается удержать за Mac OS X статус безопасной системы. Как такое возможно? Да очень просто: уже сейчас Мак-пользователям есть из чего выбрать в смысле антивирусных программ. Касперский, Intego, F-Secure, Avast, Sophos и другие предлагают Мак-антивирусы по самым разным ценам. Однако Тим Кук и его соратники вряд ли отдадут столь щепетильный вопрос, как обеспечение защищённости операционной системы, в чужие руки.

Полагаясь на чужие решения, можно попасть в неприятную ситуацию. К примеру, утилита для обнаружения и удаления Flashback, выпущенная Лабораторией Касперского, сперва работала не совсем корректно (удаляла полезные файлы). Что само по себе вполне объяснимо: кто же не ошибается, да ещё в спешке? Но Apple это вряд ли устроит. Она привыкла гарантировать функционал своих продуктов и их единообразие, так что и антивирус у неё скорее всего будет свой. А купит ли она кого-то из действующих антивирусных вендоров (как сделала в своё время Microsoft) или начнёт с нуля, не так важно: располагая невероятным по толщине корпоративным кошельком (в котором около 100 млрд. долл.), компания может позволить себе любой вариант.

Свой антивирус поможет облегчить и проблемы, вызванные нарастающей фрагментированностью Mac OS X. Сегодня пользовательская масса «размазана» по нескольким версиям системы, в основном от 10.5 до 10.7 (не считая тех, кто работает с более ранними релизами, ещё на компьютерах с процессором PowerPC). Apple пыталась было ограничить поддержку только двумя самыми свежими версиями, но Flashback показал порочность такого подхода: не все пользователи 10.5 желают платить за обновление ОС, а ведь вирус-то заразил и их машины. Так что пришлось в конце-концов выпустить заплатку и для 10.5.

Прогноз

В истории Flashback есть ещё одна замечательная деталь, о которой пока упоминалось лишь вскользь. Авторами вируса очевидно двигал чисто деловой интерес: они не собирались вредить, они хотели заработать! Подменяя рекламные объявления на сотнях тысяч машин, Flashback — теоретически — мог приносить своим авторам (оценка, конечно, приблизительная) по 10 тысяч долларов ежедневно. И пусть в действительности добиться этого не удалось (как утверждает Symantec, доход оказался в разы меньше, да и его обналичить не получилось), сам факт говорит о многом.

Во-первых, он замечательно вписывается в свежий прогноз относительно ближайшего будущего «вирусной индустрии», согласно которому пандемии цифровой заразы должны уступить место сравнительно небольшим эпидемиям, вызываемым вирусами, направленными на какой-либо один узкий пользовательский сегмент (географический, профессиональный и т.п.). Посредством такого, если позволите выразиться, таргетинга, тщательно нацелив своё оружие на особенности конкретной платформы, конкретных программ, вирусописатели могут нынче заработать больше, чем с помощью грубых эпидемий, поражающих без разбору всех и вся.

Конечно спрос на вирусы, способные заражать десятки миллионов машин, останется, хотя бы потому, что ресурсы инфицированных компьютеров потом можно сдавать в аренду на чёрном рынке (рассылая через них спам, применяя для сетевых атак). Но у заточенных под конкретный сегмент «узконаправленных» вирусов своё преимущество: они могут эффективно применяться для промышленного шпионажа против отдельно взятой компании, кражи платёжной информации у клиентов конкретного банка и так далее. Flashback, умеющий подменять рекламные блоки в браузерах для Mac OS X — одна из первых ласточек нового вирусного поколения.

Во-вторых, Flashback если и не доказал, то показал теоретическую экономическую целесообразность создания вирусов для альтернативных платформ. Что бы там ни говорили поклонники, Mac OS X пока существует в тени Главной операционной системы, MS Windows. Но уже несколько лет назад эксперты предрекали, что с преодолением планки в 5-10% от общей численности компьютерных пользователей, любая альтернатива привлечёт внимание авторов вредоносного софта. Mac OS X, по некоторым данным, перешагнула эту отметку год назад — и теперь пожинает плоды своей популярности.

Но то же самое почти одновременно случилось и с Android: став к настоящему моменту самой продаваемой мобильной ОС, она может «похвастаться» четырёхкратным (за год!) ростом количества вредоносных программ (если подразделить их на семейства; оценка Sophos). При этом львиная доля Android-заразы преследует ту же самую цель: заработать.

Сторонникам Mac OS X придётся нелегко. За последние годы вокруг этой платформы сформировалась прослойка деловых пользователей, мигрировавших с MS Windows в поисках свободной от цифровой заразы «тихой гавани». Именно эти пользователи — расслабленные, привыкшие к тому, что защищённость системы превратилась для них из процесса (чем она на самом деле является) в свойство, не требующее усилий — станут основной целью вирусных атак. И выбор перед ними небогатый: либо вспоминать те навыки, которые были приобретены когда-то на Windows (регулярные обновления системы, прикладных программ; антивирусы, файрволы и т.д.). Либо мигрировать дальше — на единственную из Большой Тройки систему, всё ещё свободную от вредоносного софта. На Linux.

Обсуждение сильных и слабых сторон Linux выходит за рамки данного материала, но всем, кого не оставили равнодушными весенние события, следует иметь в виду вот что. Linux не только обладает сравнительно более крепким иммунитетом, у неё есть хороший шанс сохранить этот иммунитет навсегда. Почему? «Заплатки» тут распространяются максимально быстро (ведь пользователи системы в данном случае выступают и в качестве её разработчиков), дистрибуция приложений организована через репозитарии, опять же контролируемые пользователями (не уверены, что сможете отличить вредоносную программу от нормальной — ставьте софт только из официального репозитария, это гарантирует его безвредность), а сверх всего каждый дистрибутив отличается своим внутренним устройством (что осложняет написание вируса, способного работать на всех вариантах системы).

Так что, пока Apple трудится над вакциной для Mac OS X, дайте Линуксу шанс!


Apple,OS_X,вирус,Flashback,ZDV,уязвимость,open_source,Linux,антивирус,Flashfake,корпоративный_эгоизм




Евгений Золотов, 1999-2018. Личный архив. Некоторые права защищены