Оригинал материала находится по адресу ibusiness.ru/blogs/11980
24.05.2011

Вирусная паника в стане Apple: куда податься жаждущим защищённости?

По мере того как компьютерный мир всё дальше уходит от модели «одна архитектура, одна операционная система» — вспомните о последних успехах Mac OS X, Linux/Android, ARM-процессоров — всё чаще поднимается старый вопрос: насколько надёжны альтернативные платформы в смысле сохранности информации и сколь подвержены они атакам злоумышленников? Десять лет назад все цифровые дороги вели к MS Windows — неудивительно, что на неё был направлен и киберкриминальный вектор. Сегодня ситуация в значительной степени изменилась, свидетельством чему — «эпидемия» «вируса» MAC Defender, свирепствующая на Мак’ах.

MAC Defender (далее MD), известный также как FakeMacdef, это хитроумная поделка неизвестных злоумышленников, замаскированная под антивирусную программу. С момента её первого обнаружения компанией Intego в начале мая, появилось множество вариантов, незначительно различающихся как внешним видом, так и поведением.

Впрочем, стратегия одна для всех разновидностей. Как правило, заражение начинается с того, что Mac-пользователь натыкается на веб-страничку, которая имитирует быструю проверку его компьютера на предмет наличия вирусов. Естественно, выдаётся несколько предупреждений о найденных заражениях и, якобы, для проведения полного анализа предлагается скачать и установить пробную версию антивирусной программы (собственно MD). Где-то в процессе всего этого запрашивается и необходимый для инсталляции пароль администратора.

Прежде чем предложить поставить FakeMacdef, жертву пытаются убедить, что проверке подвергся именно её жёсткий диск. Трюк простой, но эффективный.

Если пользователя удалось убедить и MD оказался установлен, он будет запускаться автоматически с каждым стартом системы, настойчиво предлагая приобрести свою полную версию (введённые номера кредиток, очевидно, передаются создателям). Чтобы несчастный юзер был сговорчивей, временами ему демонстрируют уже знакомые сообщения о найденных инфекциях, а также имитируют поведение заражённой машины, отправляя браузер на порносайты. Какими бы то ни было антивирусными способностями MD, конечно же, не наделён, но по крайней мере ничего не портит.

Поднятая вокруг MAC Defender шумиха явно не соответствует его статусу. MD не вирус и уже тем более не «червь». Это классический «троянский конь», неспособный и шагу сделать без разрешения и помощи пользователя. Вот почему подобные программы ещё называют scareware (от англ. scare — страх): пользователя нужно напугать, заинтересовать или любым другим способом заставить проделать ряд операций, необходимых для проникновения заразы в операционную систему.

Потому же специалисты Intego присвоили своей находке статус «почти не опасна». И промахнулись. Пару недель спустя началась настоящая паника. На текущий момент только на официальных форумах Apple.com насчитывается почти 8 тысяч сообщений, упоминающих MD. А если верить анонимному источнику внутри компании, на прошлой неделе половина звонков в службу поддержки AppleCare была связана с «вирусом», причём общее число обращений выросло чуть ли не впятеро.

Справедливости ради следует отметить, что разные источники оценивают тяжесть ситуации по-разному. Одни, как Эд Ботт, первым вышедший на контакт с инсайдером Apple, разделяют панические настроения. Другие более осторожны в выражениях, хоть и признают важность произошедшего. Третьи вовсе предлагают не делать из мухи слона, приводя в пример семилетнюю подборку публикаций, авторы которых каждый год заново констатируют кончину тотальной защищённости Mac. Впрочем, большинство комментаторов согласны с мнением, что ничего близкого по масштабам в лагере Apple ещё не случалось.

Но тем удивительней, что Mac OS X оказалась в прицеле мошенников только сейчас. Ведь scareware платформонезависим и строго говоря, не имеет ничего общего с защищённостью собственно вычислительной техники. Такого рода программы эксплуатируют дыры не в операционных системах, а в человеческих головах!

Каким наивным нужно быть, чтобы поверить в непонятно откуда возникшее заявление, что ваш компьютер заражён непонятно чем? Раскрыть по первому требованию главный пароль системы и установить программу, о которой до того вы никогда не слышали? Тем более что жанр scareware придуман не вчера — он до боли знаком пользователям MS Windows, которые сталкиваются с MD-подобными поделками ежедневно на протяжении уже многих лет. Впрочем, даже здесь всё ещё каждый четырнадцатый скачиваемый файл имеет мошенническую природу (статистика Microsoft).

Вообще Microsoft, поднаторевшая в борьбе с цифровой заразой, проявила себя в этой истории с лучшей стороны. Её специалисты проанализировали MD и показали, что новая поделка — лишь вариант давно известного Windows-трояна Winwebsec. Быстро и согласованно корпорация расставила фильтры, в результате чего и Winwebsec, и его Мак-родственник теперь блокируются поисковиком Bing, почтовой службой Hotmail, прокси-сервером Forefront Threat Management Gateway.

Были даны чёткие рекомендации по защите, в том числе и пользователям Макинтошей (последним рекомендовано установить антивирусы от заслуживающих доверия производителей-партнёров Microsoft). А вот Apple, как и её клиентская база, к такому повороту оказались не готовы.

Жертву не обязательно пугать. Можно, например, соврать, что ролик убийства Осамы требует установки нового кодека или предложить обновку для другого софта.

Рядовому юзеру Mac неизвестны нудные стандартные предосторожности («не ходи, не запускай, не скачивай» — ну напечатайте вы их уже на бумажке и выдавайте вместе с компьютерами!). До последнего времени они казались излишними, большинство Mac-пользователей и сегодня пребывает в полной уверенности, что им ничто не грозит. Попавшись на удочку мошенников, они дисциплинированно звонят в службу поддержки, где получают… тот самый список стандартных мер предосторожности.

Если верить утекшим из Apple документам, компания запретила своим сотрудникам консультировать клиентов по вопросу удаления MD: проблема возникла не по вине компании, а значит и обсуждать тут нечего. Схожий пунктик обнаружили энтузиасты и в условиях, с которыми соглашается покупатель продукции Apple. Пока случаи заражения мошенническими программами были единичными, такая схема выглядела разумно. Но ситуация изменилась.

Многочисленность вариантов MD и их эффективность говорят о том, что Mac OS X наконец стала достаточно популярной, чтобы заинтересовать киберкриминал и окупить вложенные в организацию атак усилия. А значит необходимо начать готовить пользователей к неизбежным неприятностям.

И чем менее технически подкован человек, тем более строгим правилам он должен следовать. Не раздавать пароли направо и налево, не использовать программ, назначения которых не понимаешь, запускать только программы из официальных источников, пользоваться антивирусами, наконец.

Очень многих проблем можно было бы избежать, реализовав параноидальную модель дистрибуции, в которой список источников софта сужен до одного-единственного, магазина Apple App Store. К сожалению, по крайней мере в данный момент, реализации такой схемы мешает сама Apple. Пытаясь анализировать качество и работу каждого приложения в своём магазине, компания невольно тормозит процесс распространения обновок. В результате версии многих программ на App Store отстают от оригиналов, доступных на сайтах их разработчиков (вспомните недавнюю историю с браузером Opera).

Linux и её наследники пока считаются свободными от цифровой заразы. Но и это временно. Android, например, может пострадать от отсутствия надлежащего контроля за софтом, лежащим на виртуальных прилавках его главного веб-магазина.

Хорошая новость в том, что такая модель всё-таки реализована. Правда, не для Mac OS X или MS Windows. Речь о Linux. Эту систему можно ругать или хвалить, но нельзя не признавать её особого положения: жизнеспособных вирусов здесь нет, а вероятность успешного проведения scareware-атак, подобных MAC Defender, стремится к нулю. Почему?

Пользователи Linux, в отличие от других платформ, могут и часто ограничивают себя одним официальным источником программ — репозитарием, где хранятся все системные и прикладные инструменты. Например, в репозитарии Debian GNU/Linux, одном из самых популярных вариантов свободной ОС, содержится около 30 тысяч пакетов, и поместить туда свою разработку считается за честь.

Следуя нескольким простым правилам, важнейшее из которых не устанавливать ничего со стороны, даже абсолютный новичок может чувствовать себя в Линуксе спокойно. Если позволите личное мнение, кажется странным, что мелкие сборщики PC до сих пор не воспользовались этой идеей, выпустив простые, дешёвые компьютеры, пригодные для работы и развлечений в Сети, но самое главное — красной нитью в рекламной кампании! — на сто процентов свободные от современных цифровых угроз.

К сожалению, даже Linux со временем неизбежно потеряет пусть не иммунитет, но ауру защищённой системы. И причиной тому не слабости в коде, а всё те же пользователи, которым лень вспомнить азы информационной безопасности, а часто лень следовать даже прямому предупреждению об опасности, выданному браузером или поисковой машиной (опять же по данным Microsoft, 5% пользователей Internet Explorer скачивают троянов невзирая на предупреждения).

Следует признать, что для обывателя проще заплатить и переложить бремя ответственности на чужие плечи. А значит создатели антивирусов могут спать спокойно: спрос на их продукцию будет во все времена и на любых платформах.


Apple,вирус,Linux,open_source,Debian,MAC_Defender,scareware




Евгений Золотов, 1999-2018. Личный архив. Некоторые права защищены