Как правильно читать новости, где рассказывают об “очередной” проблеме безопасности Mac OS X (да и не только).
——————
Иногда мне кажется, что весь мир затаил дыхание в ожидании эпического провала так называемой “непробиваемой” безопасности Маков. От публикаций экспертов до популярной прессы, даже самая маленькая ерунда касательно безопасности Маков превращается в лавину статей, обсуждений и даже периодических новостей по телеканалам. Некоторые журналисты утверждают, что мы неуязвимы для атак, в то время как другие создают впечатление, что пока вы добежите от кресла до вашего Мака, он будет заражен и успеет перекачать все ваши сбережения и семейный фотоархив к нигерийским спамерам. Для нас, Мак-пользователей, иногда бывает сложно провести грань между правдой, очковтирательством и откровенной фантазией.

Как человек, который проводит большинство своего времени читая, публикуясь и выступая на тему безопасности, есть 5 вещей, на которые я обращаю внимание в новостях, когда речь заходит о безопасности Маков. После всего этого шума в последнее время касательно “Маковской бот-сети”, я подумал, что настало время поделиться своими мыслями.
История основана на пресс-релизе вендора?
Многие вендоры по безопасности предоставляют бесценные услуги компьютерному сообществу, выпуская информацию об уязвимостях, которые обнаруживают их команды, занимающиеся исследованиями. И хотя эта информация невероятно ценна для изучения новых угроз безопасности, у нее есть и вторая сторона: маркетинговые подразделения этих вендоров зачастую рассматривает эти открытия как отличный способ запугать людей, чтобы они покупали их продукты.
Они выпускают пресс-релизы, чтобы привлечь максимальное внимание к проблеме, надеясь, что это привлечет больше пользователей к их продуктам (поскольку они, конечно же, могут защитить от этого нового риска). Эти релизы оставались бы незамеченными, если бы не пресса, ищущая читателей. Все любят пугающие истории, и это все стало эквивалентом “кровавые истории притягивают читателя” для цифровых СМИ.
Когда я читаю любую новость о каком-нить новом виде угрозы, первое, что я проверяю — источник новости. Если я вижу только цитаты от вендора, или же просто перепечатанный пресс-релиз (что тоже часто бывает), мой измеритель скептицизма обычно зашкаливает. (Я не считаю вендоров обманщиками, но когда ты по-настоящему веришь в свой продукт, то вместе с этим появляется и определенная предвзятость).
А эта новость точно новая?
Новости о безопасности часто циркулируют месяцами или даже годами в специализированной прессе, прежде чем они попадают в общедоступную прессу. Даже в специализированных СМИ мы иногда видим небольшую коллекцию инцидентов, постоянно всплывающих в новых статьях, обычно обрастая при этом дополнительной дозой приукрашивания.
[ad#intext-inside]
История с Маковским ботнетом, которую активно муссировали СМИ на позапрошлой неделе — классический пример старой истории, вытащенной из запылившегося сундука. Это злоумышленное ПО изначально появилось еще в январе 2009 года, скрытое внутри пиратских версий iWork’09 и Adobe Photoshop CS4.
Эта история была “оживлена” в связи с появлением дополнительной информации, но многими была воспринята как некий новый вид атаки. Это зловредное ПО продемонстрировало интересное поведение, но ничего в истории не указывало на дополнительный риск для пользователей. Быстрый поиск по Google обычно покажет вам, откуда возникла история, и поможет вам выяснить, не столкнулись ли вы с новой опасностью
А эта проблема безопасности на самом деле новая? Довольно часто бывает череда статей о проблемах с безопасностью, которые на самом деле рассказывают об одной и той же проблеме. Это регулярно случается даже в индустрии безопасности; как только какая-то уязвимость становится широко известной, появляется целая серия вариантов вредоносного ПО по мере того, как злодеи пытаются обойти нашу защиту. Но эти варианты, как правило, той же формы, но другого цвета, и не означают увеличения риска по сравнению с первоначальной проблемой.
К примеру, одна вредная Маковская софтинка прикидывается фальшивым видео-плеером на сайтах для взрослых, и в прошлом году мы отметили появление нескольких новых версий. Подобное замаскированное вредоносное ПО, прикидывающееся невинно-выглядящей программой, нацеленное на любителей порнографии, возникло почти одновременно с желанием некоторых людей смотреть на цифровые фото других людей без одежды. Когда я читаю статьи, которые пытаются раскручивать старые новости, или описывают вариант давно известной проблемы, я начинаю смотреть на них более скептично.
Меня обычно не поражают истории, в которых пользователя обманывают для ручной установки вредоносного ПО. Иногда мы видим по-настоящему креативный обман, и меня может беспокоить факт появления замаскированного вредоносного ПО в популярном приложении, но то, что кто-то сам устанавливает что-то плохое на своей системе — это ошибка человеческого мозга, а не их операционной системы.
Какой механизм воздействия?
С любым риском безопасности появляется и какой-то механизм воздействия. Иногда это новая уязвимость в операционной системе или ПО, иногда — это новый метод атаки. Если в новостях не дают информацию о механизме воздействия, я начинаю копать первоисточники, чтобы выяснить, что на самом деле происходит. Как только я идентифицирую механизм, я могу определить уровень риска.
К примеру, как мы уже обсуждали раньше, меня меньше беспокоит ПО, которое требует ручной установки, за исключением ситуации, когда оно спрятано в крайне популярном источнике, оказывающем влияние на большую часть сообщества. (Да, можно спорить, что прятанье вредоносного ПО в видео-плеере для взрослых затрагивает большую часть сообщества, но у нас тут приличное издание). Если я вижу что-то, что работает только в случае ограниченного набора непривычных обстоятельств, то риск, как правило, небольшой.
Однако, когда я вижу что-то, что позволяет нападающему захватить вашу систему с помощью письма по почте, или просмотра вредоносной веб-страницы, или с помощью сетевой атаки на известный порт или другой популярный сервис, это меня беспокоит больше.
[ad#intext-inside]
Сначала спросите себя как это работает (каков механизм атаки?), затем насколько все плохо (что именно оно повреждает или какие возможности открываются у нападающего?), а затем — кого это затрагивает (любого пользователя Маков, или же только тех, кто запускает какую-то малоизвестную программу?). Конечно, для того, чтобы понять это, вам могут понадобиться определенные знания, но обычно вам не надо быть специалистом по безопасности, чтобы выяснить некоторые базовые вещи.
Возвращаясь к истории с Мак-ботнетом, в статьях было написано, что вредоносное ПО было спрятано только внутри пиратских версий iWork’09 и Photoshop CS4. Если вы их не закачивали или не копировали (возможно, незаконную) версию у друга, то вы в безопасности. Конец истории.
История защищает безопасность Маков исключительно на основе истории?
У нас, Мак-юзеров, все вроде бы хорошо. Нам угрожает лишь миниатюрная доля того риска безопасности, с которым сталкивается наша братия на Windows. Но то, что мы живем в “хорошем районе”, не означает, что у нас иммунитет к рискам. На протяжении многих лет у Mac OS X было врожденное преимущество в плане безопасности, по сравнению с Windows, но для тех, кто понимает технологии внутри операционных систем, эти дни давно позади.
Последняя версия Windows (Vista, хотя большинство ее не использует), доказанно более безопасна, чем последняя версия Mac OS X 10.5 Leopard. У Leopard отсутствуют правильные имплементации новых технологий по предотвращению взломов, которые входят в состав Vista, и, судя по количеству обновлений безопасности для системы, уязвимостей у Mac OS X не меньше.
Когда я вижу статьи, которые защищают Mac OS X, основываясь на историческом отсутствии вредоносного ПО под Мак, а не на текущих технических возможностях, динамике киберпреступлений или методах нападений, это вызывает у меня сомнения.
Unix-ядро Mac OS X было мощным рубежом безопасности многие годы, особенно в части требования спрашивать пароль перед установкой большинства приложений, но современные методы атак способы обойти эту защиту. Зато Apple начала добавлять некоторые из этих технологий в Mac OS X начиная с Leopard (хотя и не целиком), и если они закончат имплементацию, и продолжат добавлять новые возможности в сфере безопасности, есть шанс, что мы никогда не столкнемся с тем высоким уровнем опасности, с которым сталкиваются пользователи Windows.
Вы можете сделать это
Потребность в компьютерной безопасности давно уже перешла из мелкой досады в что-то, что может затронуть нашу личную и финансовую безопасность. Как и бедствие, преступление и рассказы о трагедиях обычно доминируют в новостях, истории о провалах в информационной безопасности всегда смогут попасть на первую страницу в новостях. Когда это история с потенциалом оставить грязное пятно на любимчике СМИ вроде Apple, то можете быть уверенными, что статья будет рядом с очередным замешательством какой-нибудь знаменитости. Но используя эти пять советов, вы сможете оценить уровень реальности практически любой новости про безопасность.
Оригинал