Miért most, miért én, miért a Mac?

2012. április 23. 13:40 - Csizmazia Darab István [Rambo]

Eljött-e az idő? Van-e valódi érdemi áttörés? Megpróbálunk benézni a paravánok mögé, okokat keresgélünk az újabban egyre gyakoribb OS X kártevők megjelenésére.

Alaphelyzetben le kell szögezzük, vírusszempontból a Windowshoz képest még mindig jó menedék egy Mac vagy egy bármilyen Linux. Ennek ellenére nem lehet nem észrevenni, vannak változások az OS X-eket érintő kártevők frontján, ezek történetét, miértjeit próbáljuk meg most nagy vonalakban összefoglalni.

Nem is igazi platform az, amire PoC (Proof of Concept) kártevőt még ne írtak volna, a vírusgyűjteményben erősen limitált számban, de azért találhatóak ilyenek. Még 2010. októberében beszélgettünk az Apple blog munkatársaival arról, kell-e vírusirtó erre a gépre. Az akkori vélemények szerint klasszikus értelemben vett terjedő, fertőző vírus ugyan valóban nincs, de trójai kártevők időnként feltűnnek a színen, és aki védeni akar valamit, annak érdemes ehhez megfelelő eszközöket használni, mert nem azzal tartja tisztán a felhasználó a környezetét, ha tagadja a kártevők puszta létezését vagy ha úgy véli, ő úgyis mindent észrevesz. Noch da zu, még egy figyelmes desktop Linux felhasználó is legalább havonta megnézi a chkrootkittel és rkhunterrel, nem fészkelte-e be magát valami rootkit a rendszerébe. Valamint emberbarát dolog a kliens gépek felé továbbított dokumentumok, levelezés ellenőrzése is, ami ha helyben nem is okozna gondot, Windowsra továbbküldve, vagy letöltve viszont már igen.

Mindannyian ugyanazt a netet nézzük, ugyanazt a Facebookot koptatjuk, és az internetes böngészés közben jelentkező támadások száma azóta is emelkedőben van, vagyis vigyázni mindenkinek kell. Ennek leginkább a megtévesztés - magyarul social engineering ;-) - alapú akcióknál van létjogosultsága, mert ha valakit becsapnak, és emiatt maga telepíti a kártevőt, maga gépeli be az admin jelszót, azt semmilyen antivírus nem tudja megakadályozni. Ezek a próbálkozások nagyjából 2007 óta valóban e "thin red line" mentén haladtak, elinte gyermeteg kodekletöltő trójai, Adobe Flash frissítő trójai, trójait letöltő trójai következtek pár havonta nagy sajtóvisszhanggal, kevés valódi kárral. A megtévesztés vonal aztán olyannyira beindult, hogy később már hamis antivírust terjesztő kampány is készült direkt erre a platformra, hátha kattint és fizet a felhasználók 5%-a. Ott is bekövetkezett aztán egy újabb mérföldkő, egy lélektani határ átlépése, az Apple kénytelen volt kiadni egy külön frissítést kifejezetten a Mac Defender ellen.

2009-ben aztán kicsit felpezsdültek a dolgok, akkor az ingyen letölthető, de egyébként fizetős iWork csomagok voltak trójaival megfertőzve, és ez relatíve sok felhasználót érinthetett, másfelől a Mac alatti botnet első szárnypróbálgatásainak is tanúi lehettünk.

Közben egyfelől láttuk azt, hogy a felhozatalban különféle exploitok itt is kerülnek elő szép számmal, illetve a Pwnage, Pwn2Own és egyéb megmérettetéseken bőven meg volt már az a szellemi kapacitás, ami a nem is olyan egyszerűen kihasználható gyengeségeket megvalósító kódokat a gyakorlatban valóban el is készíti - magyarán itt megdőlt az a teória, hogy elméletileg ugyan lehetséges, de ezt senki nem fogja megtenni. De igen, megteszi, és a jövőben is meg fogja tenni, és arra alapozni a védelmet, hogy á ugyan, ezt senki nem fogja megtenni, nem ésszerű.

Legvégül aztán eljutottunk oda, hogy 2012-ben a Flashback-nek nem kevesebb, mint 600 ezer gépet sikerült megfertőznie egy Java sebezhetőség révén, ami már nem intézhető el egy kézlegyintéssel, sőt ehhez az Oracle javítása mellett hivatalos Apple frissítés is megjelent "Flashback Malware Removal Tool" néven, és sajnos azóta újabb kártevő verziókról is szóltak már a híradások.

Nagyjából 2011-re a Linux igen alacsony 2%-os szintjéhez képest a Mac elérte a nagyjából 5%-os piaci részesedést, és ez már valószínűleg egy olyan logikai határ, ami legalábbis a korábbi időszakhoz képest jobban előtérbe helyezi ezt a platformot. Szőr Peti szerint komoly átrendeződés a 30%-os tortaszeletnél várható, majd meglátjuk lesz-e a Mac egyáltalán ezen a szinten egyszer, és ha igen, hány darab OS X kártevőt ismer majd akkor az adatbázis.

A mai kártevők már szinte kivétel nélkül a pénzszerzésről szólnak, személyes adatok után kémkednek, jelszavakat és banki azonosítókat lopnak a bűnbandák részére, és ebben a küzdelemben a Mac tulajdonos számlája is ugyanolyan vonzó célpont lehet, és a fentiek fényében a számítógépe is bizonyíthatóan alkalmas eszköz az ilyen botnetes támadásokhoz.

Emellett a helyzet kialakulásában még az a körülmény is közrejátszhat, hogy az Apple biztonsági javítások kiadási gyorsasága tekintetében nem igen kerülhet be a Guinness Rekordok aranyévkönyvébe, mint a rendszeresen legazonnalibb gyorsreagálás kategória győztese, így valószínűleg ez is biztatóan hathat a kártevő készítőkre.  A korábbi "kell-e Macre antivírus" kérdést így jó másfél évvel később újragombolva, akkor most hogyan legyünk okosak? Kell-e őr az ajtó elé vagy nem? Szerintünk álljon csak ott valaki, maximum egyelőre kevés dolga lesz, de azért csak figyeljen Árgus szemekkel :-)

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.04.24. 13:14:19

Itt egy jó kis ontopik cikk még erről:
www.virushirado.hu/hirek_tart.php?id=2016&p=2

"Szó sincs tehát arról, hogy az elmúlt hetek Apple fertőzés-hulláma váratlan fejlemény lenne! Inkább azt mondatjuk, hogy a Windows-on elkényelmesedett kiber-bűnbandák bealudtak, miközben már jó ideje - az Apple 6,5% és a 11% piaci részesedése közötti különbséget jelentő évek során - lett volna lehetőségük arra, hogy az ártó tevékenységüket számukra jövedelmező módon kiterjesszék a Mac OS X gépekre."

nyos 2012.04.27. 11:23:51

Joreszt egyetertunk. Abban viszont nem, hogy az alacsony Linuxos reszesedes miatt azt a rendszert nem erdemes tamadni. Egy server altalaban nem ADSL-en log, es eleg gyakran van rajta valami erdekes adat. Szoval akar spamkuldesre (azert egy 1Gb-es vonal csak jobb egy DSL-nel) akar "egyeb celra" kivalo. Raadasul sokan ugyanazt a jelszot hasznaljak tobb helyen, szoval ha egy weboldal (mondjuk nem hashelt) jelszoadatbazisat megszerzik, akkor ugyanazoknak a felhasznaloknak a tobbi accountjahoz is hozzafernek.
Mondjuk az al-virusirto uzletag tenyleg nem mukodne rajta (tul sok a hozzaerto az uzemeltetok kozt).
süti beállítások módosítása