На прошлой неделе суперновостью, задвинувшей даже новости про здоровье Джобса (которому, по слухам, даже пересадку печени сделали, дай бог ему здоровья), оказалась новость про обнаруженный троян для Mac OS X, “внедренный” в установщик пакета iWork’09, распространяющийся через сети BitTorrent. (Позже модификация этого же трояна была обнаружена в точно также циркулирующей в торрентах копии Adobe Photoshop).
Поскольку сам iWork при установке требует админского пароля, то и троян вместе с ним ставится “под шумок” в определенную системную папку. Будучи установленным, он может подкачивать дополнительные модули для совершения каких-нибудь “вредоносных” действий. Говорят, установить такую штуку умудрилось около 20 тыс человек, хотя как это считали — я не знаю, поэтому проверить очень сложно. Учитывая мое отношение к пиратам, я считаю, что и поделом им, но есть еще несколько интересных моментов. Собственно, их очень хорошо изложил Крис Ховард (Chris Howard) из AppleMatters.
В IT кругах трояны еще называют “детекторами идиотов”. Это обобщение, потому что некоторые трояны очень скрытны, но в основном трояны попадают на компьютер человека, потому что он просто глупый (человек, не троян или компьютер). И вы не можете защитить компьютер, даже Мак, от глупости. Установка чего-либо из неизвестного источника — это, наверно, одно из самых глупых действий, которое вы можете сделать на компьютере. Когда речь заходит о троянах, вы и определяете свою безопасность. И как обнаружили несчастные жители Трои, несмотря на наличие непробиваемых стен, самое слабое место в вашей безопасности — это мозги каких-то идиотов.
[ad#intext-inside]
Если это происшествие заставило вас задуматься, не надо ли вам купить антивирусное приложение для Мака, подумайте еще разок. Антивирусное ПО может защитить вас от известного трояна, так как оно будет сканировать приложения перед запуском. Однако, трояны размножаются с помощью идиотов. Если вы не хотите с ними сталкиваться — сэкономьте деньги и просто ведите себя осторожно. И никакое антивирусное ПО не защитит вас от новых угроз, так что их производители всегда догоняют вирусописателей. Что означает, что если у вас есть PC и неплохое А/В ПО, вы защищены только от известных угроз. На PC их миллионы, на Маке… вирусов для OS X нет, а троянов можно пересчитать пальцами одной руки. И если это — рука умного человека, то троянов ему можно не бояться.
Это происшествие снова подтверждает безопасность Маков от вирусов. Он показывает, что пока что еще никто успешно не взломал Мак для того, чтобы создать самозапускающуюся и самозамножающуюся угрозу, которой является вирус. Максимум, что они могут сделать — это создать трояна, который рассчитан на идиотов, его устанавливающих и распространяющих.
Отсюда
По этому поводу актуальными остаются статьи, опубликованные в блоге ранее:
• Правда о вирусах для Mac OS X
• Яблочные антивирусы и всякое разное
и даже
Антивирус — выброшенные на ветер деньги?
[ad#intext-inside]
Мое мнение остается прежним — “Все дело в прокладке”, той самой “прокладке”, которая находится между клавиатурой и стулом, и вряд ли даже самые лучшие антивирусные приложения помогут, если человек будет “тянуть все, что попало, в рот” и кликать куда не надо, и вводить пароль, как только попросят. Я помню, как я однажды чуть не стал жертвой фишинга, когда мне на учетную запись в eBay пришло письмо о какой-то мегавыгодной продаже, со ссылкой на лот. Открывшийся по ссылке сайт был точь-в-точь как eBay, но для показа какой-то там информации надо было ввести пароль, и я уже занес руку для того, чтобы его набрать, как вдруг… wait a minute… я ведь уже вводил пароль для входа на eBay, откуда это требование повторной авторизации? Я начал внимательней присматриваться, и стало понятно, что сайт — фишинговый. Я тут же отправил ссылку знакомому, который работает в eBay, и он лишь подтвердил мои подозрения, и уже изнутри инициировал процесс “разборки” службой безопасности.
Конечно, я бы не дошел даже до ввода пароля, пользуйся я тогда Firefox или IE7, в которые на то время уже была встроена антифишинговая защита (в Safari она появилась лишь недавно, по требованию eBay, кстати), но мораль здесь в другом — думайте, прежде, чем вводить логины и пароли, не качайте все подряд — и все у вас будет хорошо, по крайней мере, на Маке 🙂
Интересно, с какой версии Safari был устранен (если существовал) баг с xss, позволявший, например, получать доступ к почте на том же mail.ru?
А мне кажется, что более сильная защита в маках связана с тем, что Apple просто не допустила ту же ошибку, что в свое время совершила MS, которая проигнорировала такую вещь как права доступа и соотв. разделение на “администраторов” и “пользователей”. Ну и конечно, тут еще дело кроется в *nix-корнях дарвина. Ведь фактически до win2k в десктопных системах от MS вообще не было таких понятий, а теперь приходится наверстывать (ИМХО пока безуспешно) упущенное и вдалбливать пользователям, что хорошо бы не работать под админом. Даже в висте с UAC опять не получилось, и “продвинутые” пользователи отключают эту функцию, про ХР вообще нет речи – там даже календарь нельзя открыть от ограниченной учетки из часов в трее, потому как он является сразу и редактором времени системы. Ну а в маке оно как-то сделано просто и прозрачно, и в то же время достаточно надежно и правильно.
По-моему “про идиотов” верно для обеих платформ. Умному и опытному пользователю PC также мало что угрожает на самом деле. И тут большее количество вирусов вряд ли играет значительную роль, так как методы распространения и установки у них такие же.
Да, в общем, и подхватывает их тоже в основном вместе с пиратским софтом.
Хотя, я в общем даже немного рад появлению этих троянов вместе с iWork – меньше будет разговор о безупречности защиты и абсолютной безопасности (мол вирусов-то нет) пользователя на маке.
один из механизмов защиты – контроль источника кода с посмощью сертификатов. Как показал небольшой пост в ru_mac, в MacOS X такой контроль есть, но им не подписываются пакеты. Кроме того, его деятельность видна только если польователь собирается выполнить неподписаный код (если веритьдокументации Apple). Лично я такого не видел, но у меня мало чего установлено со “стороны”. Нужно проверить, подписан ли, скажем SuperDuper!
В этом отношении Windows более подозрительно, и средства проверки сертификатов/подписей там ближе к пользователю (в свойствах исполняемых файлов есть закладка). Но судя по всему, эта “большая подозрительность” приводит к тому, что предупреждения выключают совсем.
Идеальных решений пока нет, пользователей нужно воспитывать и объяснять, в какие моменты нужно быть особо бдительными.