Kaspersky Internet Security для Mac. Про загрози та захист від них
Легенда тому і називається легендою, що в неї вірять. Легенди не руйнуються відразу. Бувають проміжні легенди, наполовину складаються з цілком достовірних фактів.
Кожен, хто так чи інакше причетний до світу IT, чув легенду про відсутність шкідливого софту під Mac. Прийняти для себе істину - а істина полягає в тому, що такий софт існує - як мінімум нелегко. Ми з вами вже ступили на цей шлях, але він обіцяє бути довгим. Зокрема, він пролягає через ті самі проміжні легенди. Нехай зараз вже не так багато тих, хто впевнений у тотальній невразливості настільної платформи від Apple. Проте ось вам розхоже твердження: «оскільки це UNIX, то вірус нічого не зробить, поки ви не введете пароль адміністратора». Чи Правда це - залежить від вірусу. Деякі з вірусів і справді активуються введенням пароля, але якісь-спрацьовують автономно. Отже, це хоч і часткова, але все-таки легенда. Вміння не вводити свій пароль куди попало - не панацея у боротьбі зі зловмисниками.
В кінці минулого тижня я побував у Монте-Карло, де фахівці Лабораторії Касперського провели для мене і моїх колег презентацію Kaspersky Internet Security під Mac. Спершу я хотів би розповісти про найцікавіше з почутого, а потім перейду безпосередньо до продукту.
Проблематика
Старший вірусний аналітик Лабораторії
Касперського Вісенте ДиазЧто щось цікаве - це не обов'язково щось нове. На сторінках iPhones.ru ми не раз писали про уразливості OS X. Писали ми і про Flashback (він же Flashfake). Вперше ця троянська програма була виявлена у вересні 2011-го, але по-справжньому заговорили про неї лише через півроку. Навесні 2012-го налічувалося, за одними даними, вже понад 600 тисяч заражених Mac. Потім стали говорити про 700 тисяч, і це саме те число, яке озвучив у минулий вікенд старший вірусний аналітик Лабораторії Касперського Вісенте Діаз. Яким чином житель Саранська Максим Селиханович зміг сформувати ботнет на 700 тисяч машин? Попередньо заразивши від 30 до 100 тисяч сайтів - з яких більшість базуються на платформі WordPress, точно як iPhones.ru. Користувач заходив на сайт, після чого в його браузері запускався прихований Java-аплет c эксплоитом. Перед вами карта поширення Flashback, як бачите, зловмисник цілився в Штати:
Кликабельно
Описаний випадок є найкращим прикладом того, як можна «пролізти» через уразливість у віртуальній Java-машині. Кращим - але не єдиним. У 2011-му і 2012-му активно експлуатувалися п'ять вразливостей в Java, дві - в багатостраждальному Flash Player, і одна - в Adobe Reader. Adobe і Oracle роблять, що можуть, однак у них є дві проблеми. По-перше, випустити патч - не означає захистити одразу увесь світ. За 10 тижнів після виявлення однією із вразливостей в 2012 році кількість схильних до ризику користувачів знизилося лише на 15%. Тобто хакер має шанси заразити ваш комп'ютер через якийсь час після того, як з ним почнуть боротися! Ну а по-друге, в гонитві за безпекою ви можете зовсім відмовитися від тієї ж Java (втративши при цьому в функціональності).
Oracle тепер пояснює, як вимкнути Java через налаштування плагіна і як помилково не запустити який-небудь аплет. Тобто навіть сама компанія побічно просуває відмова від використання Java як єдиний спосіб уникнути зараження... що саме по собі досить забавно.
- Вісенте Діаз
Не менший резонанс, ніж у випадку з Flashback, викликала історія псевдо-антивірусу Mac Defender і його численних різновидів. Mac Defender, нагадаю, поширювався допомогою спеціально просунутих Google-посилань. За посиланням виявлялося вікно а-ля антивірус, через яке вам повідомляли про нібито знайдені загрози і пропонували встановити захисне додаток. Влаштувавшись в системі (останні версії якраз не вимагали введення пароля), програма тут же починала ангажувати вас на придбання «повній версії». Насправді з кредитної карти разом знімали набагато більшу суму, дані щодо неї ставали надбанням зловмисників, а в браузері самі собою відкривалися порносайти. На презентації Вісенте показав Mac Defender в дії - зізнатися, раніше мені доводилося про нього писати.
З атаками на широкі маси все ясно, але що щодо цільових, цільових атак? Тут важливо розуміти ось що:
Якщо у вас своя компанія і ви піддалися цільової атаці, ви ніколи не розповісте про це публічно. Займатися пошуками такої інформації - завдання не з легких.
- Вісенте Діаз
Тим не менш, Лабораторії Касперського вдалося відстежити кілька подібних атак. Одна з них, будучи спрямованою на борців за незалежність Тибету, почалася тієї ж злощасної навесні 2012-го. При чому тут Mac, запитаєте? Справа в тому, що Далай-лама віддає перевагу саме платформі від Apple, і, як наслідок, те ж саме можна сказати про багатьох його послідовників. Їм приходять листи з вкладеним Word-документом під назвою «10th March Statement». Не дивно, що вони сміливо його відкривають - адже під точно таким же заголовком коли-то вийшло одне із заяв Далай-лами. По відкритті виконується шкідливий код, і хакери отримують віддалений доступ до файлів на комп'ютері жертви. Я пишу в теперішньому часі, оскільки конкретно ця атака продовжується і по сей день (!). Аналогічні методи були застосовані в нинішньому році проти народу уйгурів, а Вісенте показав нам ще один різновид цільового бекдор - яка створює та надсилає за адресою знімки екрану. Різновид ця зовсім свіжа - спрямована вже на активістів з Африки, вона була виявлена буквально пару тижнів тому. І не політикою єдиною! Комп'ютери Apple популярні серед високопоставлених бізнесменів, що робить їх не менш зручною мішенню для цільових атак. Знаєте, чому атакувати OS X в якомусь сенсі простіше, ніж Windows? Тому що обізнаність користувачів OS X про погрози порівнянна з такою у власників ігрових консолей. За даними Forrester Technographics, лише 17% любителів Mac замислюються про такого роду речі.
Зі слів старшого менеджера по продуктах Лабораторії Касперского Вартана Мінасяна:
Кожен другий користувач Windows, принаймні, знає, що подекуди в інтернеті існують загрози, і що проти них стоїть захиститися. [...] Більшість власників Mac думають, що загроз для їх комп'ютерів не існує зовсім. З урахуванням цього факту користувачі Mac стають ще більш цікавою метою, адже набагато простіше атакувати когось, хто не буде готовий до атаки. Зрозуміло, такий користувач не захоче обзаводитися засобами захисту.
Старший менеджер по продуктах Лабораторії
Касперського Вартан МинасянПодобные засоби захисту, по ідеї, повинна забезпечувати сама Apple. Але в Купертіно йдуть своїм шляхом - шляхом закритості платформи. В ідеальному (c точки зору Apple) випадку ви повинні ставити софт виключно Mac App Store, де нібито найсуворіша цензура, яка не допустить появи там шкідливого софту. Тут слід згадати відомого хакера Чарлі Міллера і його експерименти з мобільним App Store - така паралель коректна, оскільки цензура там і тут практично однакова. Чарлі адже вдалося обдурити цензорів і «протягнути» у віртуальний магазин програму-клієнт Instastock. В ній не було заборонених фрагментів - але були кошти для завантаження таких з сервера Чарлі! Як всякий приклад у цій статті, цей не мав би сенсу, якби не було іншого прикладу. Прошу: Find and Call. Невинна на вигляд програмка, яка піддавала весь ваш список контактів спам-розсилку. Перевірена цензорами.
Якщо навіть в Mac App Store ви можете зустріти щось шкідливе, то що вже говорити про натуральний Клондайк за межами віртуального магазину. Добре, нехай в OS X Mountain Lion є Gatekeeper за промовчанням , який забороняє встановлення непідписаного софту. Проте вже згаданий бекдор для зйомки скріншотів macs.app був як раз-таки підписано!
Не обов'язково міняти цензуру або посилювати видачу сертифікатів, Apple. Можна просто дохідливо розповісти публіці про те, як працюють ці механізми насправді (скажімо, цензура займається досить поверхневої перевіркою). Також можна швидше впроваджувати в OS X сучасні системи захисту. Чому така технологія, як ASLR, була впроваджена лише через чотири роки після появи її у Windows? Чому з захистом від переповнення буфера запізнилися на шість років?
Прискоритися варто було б і в тому, що стосується патчів. Той же Flashback (а точніше - уразливість в Java) Apple «вилікувала» лише до того моменту, коли зараженню піддалися сотні тисяч Mac.
Продукт
Раніше єдиним рішенням для Mac від Лабораторії Касперського був пакет Kaspersky Security. На початку літа його розширять до Internet Security, тим самим захистивши користувачів від неприємностей з першої частини статті.
- Захищений веб-серфінг і шопінг. Кожна відвідувана вами сторінка звіряється з розширеною антифішингових базою, а її вміст - перевіряється на наявність шкідливого коду. Перевіряються також і посилання - напроти найбільш підозрілих ви побачите червоний значок (заявлена підтримка Safari, Chrome і Firefox). З файлових і поштових антивірусами все і так ясно: перший сканує вміст дисків, другий - відповідає за вхідну пошту і вкладення.
Кликабельно. Увагу на значки поруч з посиланнями
- Захист персональних даних. Крім стандартних технологій антифишинга, KIS для Mac включає екранну клавіатуру, натискання з якої неможливо зареєструвати ніякими клавіатурними шпигунами.
- Просунутий батьківський контроль. Містить чотири компоненти: веб-контроль (блокування сайтів і завантажень за категоріями, фільтрація пошукової видачі), контроль часу (у який час дня і наскільки довго дитина може перебувати в інтернеті), контроль все тих же персональних даних (щоб їх не можна було необдумано ввести), а також контроль соціальних мереж (для блокування листувань невідомо з ким).
Щодо улюбленої багатьма (у тому числі і мною) теми споживаних ресурсів:
Якщо ви запустіть сканування, то програма намагатиметься якомога скоріше його закінчити і, як наслідок, відсоток завантаження процесора буде високий. Але найчастіше продукт працює у фоновому режимі, споживаючи менше одного відсотка потужності CPU і менше 100 мегабайт оперативної пам'яті.
- Вартан Мінасян
В рамках заходу нам надали бета-версію Internet Security для Mac, і про що я готовий сказати вже зараз - так це що виглядає вона набагато краще попередниці. Інтерфейс не перероблений з нуля, але хоча б оптимізовано під Retina-дозвіл MacBook Pro і приведений у відповідність стандартним софту OS X. Ціна? Остаточних даних у мене немає, але можна орієнтуватися на вартість нинішнього Kaspersky Security - 1200 рублів на рік для однієї машини.
Російський реліз Kaspersky Internet Security з підтримкою OS X 10.6, 10.7 і 10.8 відбудеться 18 червня 2013 року.