Уважаемые коллеги, участники и гости проекта!

Антивирусный портал VirusInfo анонсирует новое онлайн-интервью.

В этот раз мы проводим беседу, посвященную вопросам безопасности компьютеров под управлением операционных систем семейства Mac OS. На вопросы зарегистрированных участников VirusInfo ответит вирусный аналитик "Лаборатории Касперского", занимающийся исследованием угроз для вышеуказанных ОС - Сергей Голованов.

Формат интервью:

1) каждый участник может задать не более 2 вопросов;
2) вопросы принимаются с момента публикации настоящего анонса;
3) ответы на предложенные участниками вопросы будут поступать с 1 по 4 декабря включительно.

Регистрация (http://virusinfo.info/register.php) (для гостей)
Задать вопрос (http://virusinfo.info/newreply.php?do=newreply&noquote=1&p=511075) (для уже зарегистрированных участников)

Напоминаем, что респондент может проигнорировать вопрос, если сочтет его неподобающим, оскорбительным, бессодержательным и т.д. Будьте корректны и задавайте вопросы исключительно по теме анонсируемого интервью.


О Сергее Голованове:
Родился в 1984 году, в Москве. Закончил Московский инженерно-физический институт, в 2007 году, по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем». Аспирант кафедры «Стратегических информационных исследований». Преподаватель курса «Безопасность вычислительных сетей». Начал карьеру в «Московском центре научно-технической информации» в 2003 году, в качестве старшего эксперта. В «Лаборатории Касперского» с 2005 года. Специализация: онлайн игры, социальные сети, технологии вирусописателей, датамайнинг, поиск вирусописателей, анализ преступных группировок. Женат. Хобби: рок-музыка, онлайн РПГ.
http://bestpics.ru/full/Golovanov.jpg

Здравствуйте,
насколько мне известно, вирусов для МаcOS существует менее сотни и для того, чтобы выполнить вредоносные операции, они должны быть установлены пользователем.
Кроме того - по состоянию на сегодняшний день - количество используемых МаcOS по сравнению с Windows ничтожно мало, ergo разработка зловредного ПО для МаcOS не оправдана экономически.

Вопрос: Имеет ли сегодня смысл разработка антивирусного ПО для МаcOS?

Спасибо.

Здравствуйте,
Вопрос 1 о вирусах:
Какое число вирусов под МаcOS в настоящиий момент числится в базе Вирлаба ЛК, и какое количество вирусов реально действует под "Леопард" и "Снежный барс".
Если возможно с разбивкой по "кошкам".

Вопрос 2 о безопасности МаcOS :
Можете ли Вы прокоментировать заявление известного специалиста по безопасности МаcOS Чарли Миллера, о том, что антивирус под МаcOS не нужен.

Здравствуйте.
Расскажи пожалуйста о способах распространения МаcOS-зловредов. Как происходит заражение (флэшки с автораном, зараженные сайты, сетевые черви и т.д.)?

Каковы Ваши прогнозы по увеличению кол-ва компьютеров, под данной ОСью и что этому способствует?

Простой вопрос:
Зачем нужен антивирус на MacOS, если попавший на компьютер вирус - не несет ничего вредного, пока конечный юзер не запустит его ?!
Или же с последними апдейтами там что-то изменилось?


P.S. Я не отрицаю, вирусы есть, но... все же не такие страшные как под win.

P.P.S. Единственный красивый "вирус", который я когда либо видел:
http://www.youtube.com/watch?v=aBJQ5085kSo

Под MacOS есть Microsoft Office.
"Работают" ли VBA вирусы в документах Word? И что произойдет, если вирус сработает?

Какие тенденции прослеживаются в сфере развития kernel-mode и user-space руткитов под Mac OS X? Готовятся ли программные средства для обнаружения и удаления руткитов?

зачем, простите, давать банер на iPhones.ru и не позволять людям задвать свои вопросы без лишних сложностей, таких как регистрация на этом форуме (которая занимает по меньшей мере пять минут)? :)

и где все? почему предыдущий вопрос был запощен четыре дня назад?
и откуда вообще банер взялся? и где ответы? не слишком много вопросов? :)

batkobelomor, регистрация на форуме - вынужденная мера, так как в противном случае мы получим гору спама. Если Вы действительно хотите задать вопрос Сергею, и его ответ Вам интересен, пять минут не будут для Вас препятствием.
Последний вопрос 4 дня назад - ну что-ж, видимо, тема безопасности MacOS неинтересна ни посетителям сайтов, где давался анонс ( в их числе http://www.iphones.ru/, http://habrahabr.ru/ и некоторые другие).
Ответы Сергей будет давать начиная с 1 декабря, до 4 декабря - внимательнее читайте первое сообщение.
Спасибо за Ваши вопросы.

да, верно. прошу прощения за свою оплошность. вообще, меня интересуют скорее общие вопросы – чего стоит бояться и как предохраняться? честно говоря, о вирусах не задумывался очень давно. на Windows – с тех пор как поставил антивирусную защиту (и просто не запускаю никакие файлы из странных и страшных источников), а на Mac... даже не знаю, что на Mac. Так что на Mac? Думаю, вопрос не только меня интересует, и раз уж выдаётся такая возможность, его просто необходимо задать. Спасибо заранее за ответ, и, надеюсь, первые мои дурацкие вопросы не помешают задать в ходе обсуждения ещё парочку уточняющих? ;)

Скажите пожалуйста, а новая версия Антивируса для Мака будет также загружать оперативную память компьютера как и версия для Windows?

Добавлено через 51 секунду

Скажите пожалуйста, а если производители антивирусов взялись на написание программа для MAC, то теперь и количество вирусов вырастит?
Такая тенденция наблюдается всегда?

Работая на столь ответственной должности и в столь ответственном предприятии, уверен, любой из ваших коллег (в том числе и вы) должны представлять себе максимальную угрозу, возможную для реализации вредителями...для того, чтобы уметь её предупредить, либо предотвратить в кротчайшие сроки. Иными словами - вы сами должны являться вирусописателями, только со знаком "+", работающими и творящими во благо простому пользователю...
Уважаемый Сергей, вы, как один из лучших специалистов в этой области, пробовали ли сами (вместе с коллегами) написать вирус под мак ос и каковых успехов вы в этом достигли? Иными словами - какого максимального ущерба для информации пользователя и собственно самого мака вы добились таким образом? Чего нам бояться? Интересует не минимум, а тот самый максимум. И не в теоретическом плане, а именно интересуют результаты подтверждённые вами же и достигнутые опытным путём.
Заранее благодарю за развёрнутый ответ.

Вопрос простой, как обстоят дела с защитой в серверах макинтошь с сноу леопардовской серверной операционной системой.

Здравствуйте,
насколько мне известно, вирусов для МаcOS существует менее сотни и для того, чтобы выполнить вредоносные операции, они должны быть установлены пользователем.
Кроме того - по состоянию на сегодняшний день - количество используемых МаcOS по сравнению с Windows ничтожно мало, ergo разработка зловредного ПО для МаcOS не оправдана экономически.

Вопрос: Имеет ли сегодня смысл разработка антивирусного ПО для МаcOS?

Спасибо.

Тут целых 3ри вопроса:
1. > Вопрос: Имеет ли сегодня смысл разработка антивирусного ПО для МаcOS?
С моей точки зрения, разрабатывать антивирус имеет смысл при наличии даже одного единственного вируса, и иных случаях разрабатывать антивирус я думаю не нужно…
2.> Насколько мне известно, вирусов для МаcOS существует менее сотни и для того, чтобы выполнить вредоносные операции, они должны быть установлены пользователем.
Если взять «классическое» определение вируса (программа, внедряющая свой код в исполняемые файлы) то для платформы OSX (MAC OS под процессоры Intel) нам известен только один подобный экземпляр - Virus.OSX.Macarena.a. Что касается других вредоносных программ, то их существует много десятков и для запуска большинства их действительно требуется пароль root’a для установки. Однако данное ограничение обходится злоумышленниками с помощью классических эксплойтов повышения привилегий и методами социальной инженерии.
3. >Кроме того - по состоянию на сегодняшний день - количество используемых МаcOS по сравнению с Windows ничтожно мало, ergo разработка зловредного ПО для МаcOS не оправдана экономически
На самом деле экономическая целесообразность при малой доле распространённости оправдывается отсутствием конкуренции среди злоумышленников и навязанной пользователям безопасностью ОС. Так же при анализе пользователей разных ОС не следует забывать о ценности информации для злоумышленников, которая содержится у пользователей разных ОС.


Здравствуйте,
Вопрос 1 о вирусах:
Какое число вирусов под МаcOS в настоящиий момент числится в базе Вирлаба ЛК, и какое количество вирусов реально действует под "Леопард" и "Снежный барс".
Если возможно с разбивкой по "кошкам".


См. предыдущий ответ:
Если взять «классическое» определение вируса – программа, внедряющая свой код в исполняемые файлы, - то для платформы OS X (Mac OS под процессоры Intel всех версий) нам известен только один подобный экземпляр. Это Virus.OSX.Macarena.a.Что же касается других вредоносных программ, то под Маc OS их написано уже несколько десятков.


Вопрос 2 о безопасности МаcOS :
Можете ли Вы прокоментировать заявление известного специалиста по безопасности МаcOS Чарли Миллера, о том, что антивирус под МаcOS не нужен.


К сожалению, мне не удалось найти полную расшифровку интервью с Чарли Миллером, а комментировать фразы, вырванные из контекста, было бы неправильно.
В том же интервью, кстати, Чарли сказал: «Snow Leopard's more secure than Leopard, but it's not as secure as Vista or Windows 7», то есть «Операционная система Snow Leopard является более безопасной, чем Leopard. Однако до уровня безопасности систем Vista или Windows 7 ей далеко». Я думаю, что оспаривать необходимость антивируса под эти ОС ни кому в голову не придет, не так ли?


Здравствуйте.
Расскажи пожалуйста о способах распространения МаcOS-зловредов. Как происходит заражение (флэшки с автораном, зараженные сайты, сетевые черви и т.д.)?
Мы встречали всевозможные варианты установки вредоносного ПО на компьютеры под управлением Mac OS: и с внешних накопителей с «автораном», и с зараженных сайтов, с помошью сетевых червей и т.д. Однако в настоящее время самым опасным и активным способом распространения «вредоносов» под Mac OS являются ссылки на кодеки и игры: пользователю в блоге, на форуме или в Skype дают ссылку на игру или на видеоролик, для запуска которого нужно установить специальный кодек. Игра и кодек, естественно, являются троянами. Таким образом злоумышленники с легкостью обходят необходимость ввода пароля и могут затем управлять компьютером, совершая на нем любые действия.

Каковы Ваши прогнозы по увеличению кол-ва компьютеров, под данной ОСью и что этому способствует?
Количество вредоносных программ, написанных под MacOS, растет с каждым годом, и эта тенденция неизменна. Количественный рост можно наблюдать на графике, отображающем данные. Источник: «Лаборатория Касперского».
Увеличению числа «зловредов» под Mac OS способствует множество факторов: как рост популярности ОС, так и рост «профессионализма» вирусописателей, незащищенность пользователей и т.д.

Простой вопрос:
Зачем нужен антивирус на MacOS, если попавший на компьютер вирус - не несет ничего вредного, пока конечный юзер не запустит его ?!
Или же с последними апдейтами там что-то изменилось?


P.S. Я не отрицаю, вирусы есть, но... все же не такие страшные как под win.

P.P.S. Единственный красивый "вирус", который я когда либо видел:
http://www.youtube.com/watch?v=aBJQ5085kSo
Практика показывает, что даже опытного пользователя можно обвести вокруг пальца. Информацию же об изменениях, которые внесло последнее обновление от Apple, можно получить здесь: http://support.apple.com/kb/HT3937?viewlocale=ru_RU. Самыми «страшными» в этом обновлении являются уязвимости выполнения произвольного кода при воспроизведении видеофайлов (CVE-2009-2202, CVE-2009-2799, CVE-2009-2203), что в купе с уязвимостью выполнения кода с системными привилегиями (CVE-2009-3235) дает все необходимые условия для эпидемии на «маках». Благо, уязвимость CVE-2009-3235 относится только к Mac OS X Server v10.6 и v10.6.1.

P.S. Этот троян «веселее» http://www.youtube.com/watch?v=_AM6AN1hTCY

обходится злоумышленниками с помощью классических эксплойтов повышения привилегий
А много реально работающих эксплойтов для MacOS X?

Хотел задать повторный и дополнительный вопросы:
Какая в численном количестве на сегодняшний момент база вирлаба, всех вредоносов MacOS, если на август этого года их было 48 http://www.securelist.com/ru/analysi...8/rss/analysis
Вопрос о запуске вредоносных приложений в Snow Leopard в 64-битной среде (64-битное системное ядро Snow Leopard). Т.е. запуске вредоносов в среде 64-бит, есть ли такие, которые смогут запуститься?
Атаке через незакрытую уязвимость могут быть подвергнуты любые ОС и Mac OS в том числе. но совсем другой вопрос, на сколько легко или сложно это реализовать на той или иной архитектуре... если, например, взять механизм эксплуатирующий переполнения буфера с целью изменения адреса возврата, что в свою очередь может привести к передаче управления вредоносному коду, то на PC x86 это куда более легко реализуемо, т.к. по умолчанию адрес возврата расположен в стеке сразу же после буфера... и намного сложнее на том же Mac OS, у которого, если не путаю, адрес возврата располагается всегда перед буфером. Ваш взгляд.

Внедрение/запуск вредоносного кода путем эксплойта на Mac OS возможен ли без активного участия пользователя. И есть ли у Вас такие примеры?

Некоторые люди считают что распространенность гадостей (вредоносных программ любого типа) прямопропорциональна популярности операционной системы. Какое соотношение популярности всех Mac OS к кол-ву вредоносов по сравнению с системами Windows и Linux?

Под MacOS есть Microsoft Office.
"Работают" ли VBA вирусы в документах Word? И что произойдет, если вирус сработает?

Макровирусы на «маках» прекрасно работаю. При открытии зараженного файла пользователю выводится предупреждение о наличии в файле макроса (http://images.macworld.com/images/legacy/2006/06/images/content/goodmacro.jpg). Если пользователь соглашается на его выполнение, то результат работы зависит только от воображения вирусописателя. Обычно злоумышленники просто портят содержимое всех документов, вставляя в них или свое «послание» или удаляя все содержимое.

Знаю случай, когда один студент попросил другого распечатать диплом. У первого был MS Office под Windows, у второго – под Mac OS. Результат работы вируса по порче всех документов был одинаков. О том, как эти студенты защитили свои дипломы, история умалчивает…



Какие тенденции прослеживаются в сфере развития kernel-mode и user-space руткитов под Mac OS X? Готовятся ли программные средства для обнаружения и удаления руткитов?

Тенденции развития подобных угроз аналогичны для всех ОС. Про руткиты под Mac OS подробно написано здесь: http://trailofbits.files.wordpress.com/2009/08/advanced-mac-os-x-rootkits.pdf. Если вкратце, то «внутри» Mac OS находится FreeBSD, а значит, методы внедрения остаются теми же, с поправками на окружение. Что же касается средств защиты, то естественно такие разработки ведутся, и это при наличии только одного «боевого» руткита: Rootkit.OSX.Weapox



да, верно. прошу прощения за свою оплошность. вообще, меня интересуют скорее общие вопросы – чего стоит бояться и как предохраняться? честно говоря, о вирусах не задумывался очень давно. на Windows – с тех пор как поставил антивирусную защиту (и просто не запускаю никакие файлы из странных и страшных источников), а на Mac... даже не знаю, что на Mac. Так что на Mac? Думаю, вопрос не только меня интересует, и раз уж выдаётся такая возможность, его просто необходимо задать. Спасибо заранее за ответ, и, надеюсь, первые мои дурацкие вопросы не помешают задать в ходе обсуждения ещё парочку уточняющих? ;)
Бояться ничего не стоит. Угрозы при работе на «маках» аналогичны тем, что есть на Windows: вирусы, троянские программы, хакерские атаки, фишинг и т.д. И рекомендации по безопасной работе на компьютере (из серии – не посещать подозрительные сайты и др.) относятся ко всем операционным системам и платформам. Также нельзя игнорировать проблемы безопасности (например, распространение сетевых червей), которые могут решить только специалисты антивирусных компаний и разработчики уязвимого ПО.



Скажите пожалуйста, а новая версия Антивируса для Мака будет также загружать оперативную память компьютера как и версия для Windows?
Загрузка оперативной памяти компьютера антивирусом зависит в основном от размера сканируемого файла. При этом в неактивном режиме память тратится только на загруженные антивирусные базы. Учитывая, что набор баз для систем Windows и Mac одинаковый, то потребляемая память идентична. Хотя различия в антивирусных решениях под эти ОС существенны – они обусловлены разными наборами модулей защиты от конкретных угроз.

Последнее время пользователи зараженных машин на XP жалуются на "порно-баннеры с требования отправить смс", а каковы жалобы от пользователей Mac OS и на сколько их меньше?

1. Почему количество пользователей Mac OS меньше чем пользователей Windows?
2. Почему количество пользователей Mac OS больше чем пользователей Linux?

Насчет линукса более-менее понятно, Мак и Виндовс платные, юзабилити у обоих хорошее прокоментируйте.

1. Понятно что большинство ИЕ-ориентированых и M$ мальвар не будут работать под Сафари и X, но не повредит ли такая ядреная гибридность подходу "целостной безопасности" ?

2. Почему нет нормальных проактивок для МаКа? Если это обусловлено первым вопросом, то понятно, но если это чрезмерная уверенность в TimeMachine и крутизне Джобса...

Сергей, добрый день!

На мой взгляд многим будут интересны статистические данные об угрозах для Mac OS X, накопленные "Лабораторией Касперского" за последние годы, в частности:

1. Количество пойманных уникальных образцов малвар за последние 4-5 лет, с разбивкой по годам, например:


2005-й год: ... шт.
2006-й год: ... шт.
...
2009-й год: ... шт.

2. Текущее распределение малвар для Mac OS X по типам (можно в терминологии "ЛК"), с подведением общего итога, например:


Трояны: ... шт.
Черви: ... шт.
Руткиты: ... шт.
Вирусы (классические): ... шт.
...
--- --- --- ---
Всего: ... шт.


Заранее спасибо за ответ.

Работая на столь ответственной должности и в столь ответственном предприятии, уверен, любой из ваших коллег (в том числе и вы) должны представлять себе максимальную угрозу, возможную для реализации вредителями...для того, чтобы уметь её предупредить, либо предотвратить в кротчайшие сроки. Иными словами - вы сами должны являться вирусописателями, только со знаком "+", работающими и творящими во благо простому пользователю...
Уважаемый Сергей, вы, как один из лучших специалистов в этой области, пробовали ли сами (вместе с коллегами) написать вирус под мак ос и каковых успехов вы в этом достигли? Иными словами - какого максимального ущерба для информации пользователя и собственно самого мака вы добились таким образом? Чего нам бояться? Интересует не минимум, а тот самый максимум. И не в теоретическом плане, а именно интересуют результаты подтверждённые вами же и достигнутые опытным путём.
Заранее благодарю за развёрнутый ответ.
Ни я, ни один из моих коллег никогда не писали вирус ни под одну из ОС. В УК РФ есть статья 273, предусматривающая наказание в виде лишения свободы на срок до семи лет за создание, использование и распространение вредоносных программ. Специалисты вроде меня могут лишь проводить технологические исследования в интересующей нас области и давать оценку тем или иным угрозам и рискам, которым нам удалось обнаружить, и с которыми впоследствии сталкиваются рядовые пользователи. Использовать эти знания для создания вирусов нам не позволяют ни право, ни «религия». «Пожарные не разводят пожары», - как говорит Евгений Касперский.
Тогда как максимальный ущерб для каждого пользователя индивидуален: для одного это – потерять всю информацию на жестком диске без возможности ее восстановления; для другого – прийти в банк и увидеть ноль на своем счету; еще для кого-то – обнаружить детскую порнографию на своем «маке» и милиционеров на пороге дома и т.д. К счастью, нам нечасто приходится сталкиваться с такими «жестокими» инцидентами…



Вопрос простой, как обстоят дела с защитой в серверах макинтошь с сноу леопардовской серверной операционной системой.
Snow Leopard Server, на мой взгляд, сейчас является одним из самых безопасных серверных решений, и это объясняется в основном двумя причинами: наследованием основных принципов обеспечения безопасности Unix систем и малой распространенностью – и, как следствие, малой популярностью данной ОС у злоумышленников. При этом надо отметить, что практически любая безопасная операционная система может считаться таковой только при грамотном администрировании и соблюдении всех политик обеспечения информационной безопасности.


А много реально работающих эксплойтов для MacOS X?
Число эксплойтов зависит от конкретной версии ОС, но в целом можно говорить о большом их количестве. Подробно об этом можно почитать здесь: http://secunia.com/advisories/product/96/?task=advisories_2009. На этом ресурсе следует особо отметить две еще не закрытые уязвимости в Mac OS X: локальную и удаленную. В коллекции «Лаборатории Касперского» уже присутствуют 11 вредоносных объектов, эксплуатирующих данные уязвимости.


Хотел задать повторный и дополнительный вопросы:
Какая в численном количестве на сегодняшний момент база вирлаба, всех вредоносов MacOS, если на август этого года их было 48 http://www.securelist.com/ru/analysi...8/rss/analysis
Вопрос о запуске вредоносных приложений в Snow Leopard в 64-битной среде (64-битное системное ядро Snow Leopard). Т.е. запуске вредоносов в среде 64-бит, есть ли такие, которые смогут запуститься?
Атаке через незакрытую уязвимость могут быть подвергнуты любые ОС и Mac OS в том числе. но совсем другой вопрос, на сколько легко или сложно это реализовать на той или иной архитектуре... если, например, взять механизм эксплуатирующий переполнения буфера с целью изменения адреса возврата, что в свою очередь может привести к передаче управления вредоносному коду, то на PC x86 это куда более легко реализуемо, т.к. по умолчанию адрес возврата расположен в стеке сразу же после буфера... и намного сложнее на том же Mac OS, у которого, если не путаю, адрес возврата располагается всегда перед буфером. Ваш взгляд.

Внедрение/запуск вредоносного кода путем эксплойта на Mac OS возможен ли без активного участия пользователя. И есть ли у Вас такие примеры?
1.Про числа.
К сожалению, ссылка битая, но я так понимаю, что речь идет об этой статье: http://www.securelist.com/ru/analysis/208050538/Vredonosnye_programmy_dlya_alternativnykh_OS
Фраза «Что касается OS X (операционной системы Apple) — для нее на сегодняшний день обнаружено всего 48 зловредов» означает, что в антивирусных базах «Лаборатории Касперского» содержатся 48 уникальных имен (таких как, например, Email-Worm.OSX.Tored.a) зловредов, атакующих исключительно Mac OS X. При этом следует различать следующие понятия:
1. Вредоносные объекты (семплы) – это файлы с уникальным MD5, которые содержатся в коллекции «Лаборатории Касперского» и связаны с той или иной угрозой.
2. Записи в антивирусной базе – это сигнатуры или специальный код, детектирующие вредоносные объекты.
3. Имена зловредов – это имя вредоносной программы (строка в формате “поведение”.”платформа”.”уникальное имя”.”модификация”, характеризующая ту или иную программу), возвращаемое пользователю при срабатывании записи из антивирусной базы.
В настоящий момент мы имеем такую ситуацию:
1. В коллекции «Лаборатории Касперского» содержится 13 уникальных зараженных бинарных файлов (объектов) для Mac OS X, присланных пользователями для анализа.
2. Эти 13 файлов детектируются двумя записями в антивирусной базе.
3. Эти 2 записи идентифицируются одним именем - Virus.OSX.Macarena.a.
В итоге, в статье указаны 48 уникальных вредоносных программ, имеющих в имени платформу «OSX», а коллекция «Лаборатории Касперского» при этом содержит 842 уникальных вредоносных объекта суммарным объемом около 300 Мб.

2.Про 64 бита.
Компания Apple позиционирует 64 бита как еще одно преимущество, повышающее уровень безопасности своей ОС. Однако о том, как на самом деле устроена работа Snow Leopard с 64 битами, можно прочитать: http://alexmak.net/blog/2009/09/02/64-bit-in-snow-leopard/.
При этом также необходимо разделять зловреды, для которых наличие 64-битной платформы критично и не критично. К примеру:
1. Макровирусы – 64 бит не критичны, так как их работа завязана на «изолированную» среду.
2. Вредоносные bash, perl и т.д. скрипты – 64 бит не критичны.
3. Файловые вирусы – 64 бит критичны. При заражении 64-битной программы запущенный 32-битный вирус (без специальных проверок) просто повредит ее и сделает нерабочей. На текущий момент 64-битных файловых вирусов для Mac OS X в коллекции «Лаборатории Касперского» нет, однако это не помешает тому же вирусу Virus.OSX.Macarena.a «убить» 64-битный «мак» при установке зараженного Adobe CS3.
4. Эксплойты – 64 бит критичны. При эксплуатации какой-либо уязвимости внедряемый код должен понимать «окружение», в котором ему приходится работать. При этом следует знать, что эксплойты для 32-битных приложений, запущенных на 64-битной системе, будут работать. Применительно к эксплойтам, содержащимся в коллекции «Лаборатории Касперского» и их действии на 64-битных «маках», это означает что эксплойт для ssh «не пробьет» Mac OS X Server Snow Leopard, а специальная html страничка для FireFox’a прекрасно отработает.

3.Про эксплойты.
Насколько легко или сложно реализовывать уязвимости в различных ОС, зависит от технического уровня специалиста, который этим занимается. На мой взгляд, самым интересным для анализа в свое время был случай «побега» из Word документа в ядро Mac OS X для PowerPC 64 бит.

4.Про примеры.
Примеры есть, и даже 0-day.

Некоторые люди считают что распространенность гадостей (вредоносных программ любого типа) прямопропорциональна популярности операционной системы. Какое соотношение популярности всех Mac OS к кол-ву вредоносов по сравнению с системами Windows и Linux?
Статистика показывает, что количество угроз напрямую зависит от популярности ОС. Если посчитать соотношение количества записей в антивирусной базе для различных ОС и популярность различных ОС, основываясь на статистике поисковых запросов к Google (http://www.google.com/insights/search/#q=windows%2C%20freebsd%2C%20OS%20X%2C%20linux&cmpt=q ), то можно получить следующую картину...
При этом такая корреляция объясняется многими факторами: экономической целесообразностью, технической подготовкой злоумышленников, «открытостью» ОС и т.д.

Для справки читающих интервью:
0-day-эксплойтами называют те уязвимости, которые обнаруживают хакеры, но не сообщают соответствующим органам безопасности компаний.

Например компания Immunity http://www.immunitysec.com/ подсчитала, что 0-day-эксплойт в среднем остается актуальным 348 дней от своего открытия, до того времени, когда его обнаружат и исправят. Одна из уязвимостей оставалась неисправленной в течение трех лет с момента обнаружения хакером.

Также специалисты Immunity отмечают, что проблема 0-day-эксплойтов особенно актуальна в финансовой сфере, включая системы торговли на биржах, где наблюдается особенно большое количество 0-day-уязвимостей.

Хакерам, которые находят уязвимости, выгоднее продать их тому, кто предложит наибольшее вознаграждение. Immunity заявляет, что слишком большое количество компаний полагается на публичные информационные каналы в обнаружении эксплойтов, тогда как им нужно нанимать хакеров для целенаправленной работы в этой области.
Т.е. Сегрей Глованов вероятно имел ввиду неизвестные уязвимости Mac OS X.

Здравствуйте.Скажите пожалуйста,неужели так трудно написать программу против плохих программ.Всем известно что программисты пишущие антивирусы пропускают трояны специально для поднятия рейтинга и покупаемости своего антивируса и совсем не хотят обезопасить компьютеры от хакеров?

Здравствуйте.Скажите пожалуйста,неужели так трудно написать программу против плохих программ.Всем известно что программисты пишущие антивирусы пропускают трояны специально для поднятия рейтинга и покупаемости своего антивируса и совсем не хотят обезопасить компьютеры от хакеров?
Скажу от себя лично. Програмисты, которые специально допускают ошибки в антивирусных программах существуют только в "горячечном" бреду. Это примерно тоже самое, что врач, который специально делает прогноз для дополнительного лечения, которое не нужно, вымогая у пациента денег для последующего лечения.
Одно из серии мифов, что производители антивирусов, пишут вирусы, чтобы их лечить и сооответственно сдирать деньги с пострадавших пользователелей.
Следующие вопросы такого рода будут удалятся, а пользователи задавшие такие вопросы банится, как злостные тролли

SDA

0-day-эксплойтами называют те уязвимости, которые обнаруживают хакеры, но не сообщают соответствующим органам безопасности компаний.
По-моему ваше определение неправильно. Zero day-эксплоит - это код или программа, использующая уязвимость, о которой стало известно только после выхода этого эксплоита. То есть эксплоит вышел раньше заплатки для уязвимости, поэтому с момента появления заплатки до появления эксплоита произошло 0 дней.
Опасность, как вы верно сказали именно в том, что на момент выхода эксплоита защиты от него еще не существует, значит существует реальный риск поражения.

SDA

По-моему ваше определение неправильно. Zero day-эксплоит - это код или программа, использующая уязвимость, о которой стало известно только после выхода этого эксплоита. То есть эксплоит вышел раньше заплатки для уязвимости, поэтому с момента появления заплатки до появления эксплоита произошло 0 дней.
Опасность, как вы верно сказали именно в том, что на момент выхода эксплоита защиты от него еще не существует, значит существует реальный риск поражения.
Zero Day - опасность "Нулевого дня"(или нуль-час) опасность угрозы представляет собой угрозу, которую компьютер пытается использовать приложение уязвимостей, которые неизвестны другим....A zero-day (or zero-hour) attack or threat is a computer threat that tries to exploit computer application vulnerabilities that are unknown to others, undisclosed to the software vendor, or for which no security fix is available. Zero-day exploits (actual code that can use a security hole to carry out an attack) are used or shared by attackers before the software vendor knows about the vulnerability....
Zero Day может звучать, как Вирус Zero Day который является ранее неизвестным вирусом компьютера ...A Zero day virus is a previously-unknown computer virus or other malware for which specific antivirus software signatures are not yet available...

(Заранее прошу прощения за мой Бобруйский)

Может ли вредоносное ПО нанести вред операционной системе Mac OS X, через установленную параллельно (в Boot Camp) OS Windows?

Последнее время пользователи зараженных машин на XP жалуются на "порно-баннеры с требования отправить смс", а каковы жалобы от пользователей Mac OS и на сколько их меньше?
Данные сообщения выводятся специальным JS скриптом, который не дает закрыть браузер. Существуют две основные разновидности подобных порно-баннеров, определяемых «Лабораторией Касперского» как Trojan.JS.Popupper:
1. локальные – выводят сообщение на зараженной системе каждый раз во время работы пользователя;
2. удаленные – выводят сообщение при посещении зараженного сайта.
Пользователям Мac OS будет приятно узнать, что мы не встречали «вымогателей», работающих локально в этой системе. Тогда как удаленные вымогатели работают под всеми браузерами, вне зависимости от установленной ОС.
Число обращений от пользователей «маков» очень невелико, так как в целом пользователей Mac OS немного…



1. Почему количество пользователей Mac OS меньше чем пользователей Windows?
2. Почему количество пользователей Mac OS больше чем пользователей Linux?

Насчет линукса более-менее понятно, Мак и Виндовс платные, юзабилити у обоих хорошее прокоментируйте.
Популярность различных ОС зависит от многих факторов. На мой взгляд, основными являются маркетинговая политика компании-разработчика и востребованность рынком. При этом юзабилити, безопасность, требования к ресурсам и т.д. играют второстепенную роль и должны быть включены в требования к решению конкретных задач.
К примеру, платформа Windows установлена на подавляющем большинстве продаваемых компьютеров и популярна сред домашних пользователей:
1. благодаря продуманной маркетинговой стратегии,
2. потому что отвечает требованию рынка по соотношению цена/качество.
Компания Apple при этом, на мой взгляд, существенно проиграл свои позиции из-за закрытости платформы Mac и запрета на использование на компьютерах сторонних производителей.



1. Понятно что большинство ИЕ-ориентированых и M$ мальвар не будут работать под Сафари и X, но не повредит ли такая ядреная гибридность подходу "целостной безопасности" ?

2. Почему нет нормальных проактивок для МаКа? Если это обусловлено первым вопросом, то понятно, но если это чрезмерная уверенность в TimeMachine и крутизне Джобса...
Можно попросить переформулировать вопросы?



Сергей, добрый день!

На мой взгляд многим будут интересны статистические данные об угрозах для Mac OS X, накопленные "Лабораторией Касперского" за последние годы, в частности:

1. Количество пойманных уникальных образцов малвар за последние 4-5 лет, с разбивкой по годам, например:


2005-й год: ... шт.
2006-й год: ... шт.
...
2009-й год: ... шт.

2. Текущее распределение малвар для Mac OS X по типам (можно в терминологии "ЛК"), с подведением общего итога, например:


Трояны: ... шт.
Черви: ... шт.
Руткиты: ... шт.
Вирусы (классические): ... шт.
...
--- --- --- ---
Всего: ... шт.


Заранее спасибо за ответ.
Количество уникальных вредоносных файлов для платформы OSX, содержащихся в коллекции «Лаборатории Касперского», в год:
· 2005 - 0
· 2006 - 34
· 2007 - 54
· 2008 - 90
· 2009 – 250

Количество уникальных вредоносных файлов для платформы OSX, в коллекции «Лаборатории Касперского», по поведению вредоносных программ:
1. Worm - 25
2. IM-Worm - 5
3. Rootkit - 1
4. Exploit - 8
5. Virus - 13
6. Hoax - 7
7. Trojan-PSW - 2
8. Backdoor - 14
9. Trojan-Downloader - 128
10. FraudTool - 17
11. Email-Worm - 2
12. Trojan - 1
13. RemoteAdmin - 4
14. RiskTool – 3
Итого: 230

Разница в 20 файлов вызвана трояном Trojan.Mac.Dnscha, у которого платформа Mac.



Здравствуйте.Скажите пожалуйста,неужели так трудно написать программу против плохих программ.Всем известно что программисты пишущие антивирусы пропускают трояны специально для поднятия рейтинга и покупаемости своего антивируса и совсем не хотят обезопасить компьютеры от хакеров?
1. Трудно, потому что злоумышленники, зарабатывающие деньги на обычных пользователях, постоянно ищут пути для обхода средств защиты. Ибо при удачной блокировке работы вредоносной программы бизнес киберпреступников «терпит убытки».
2. Выше есть ответ: «Ни я, ни один из моих коллег никогда не писали вирус ни под одну из ОС. В УК РФ есть статья 273, предусматривающая наказание в виде лишения свободы на срок до семи лет за создание, использование и распространение вредоносных программ».



(Заранее прошу прощения за мой Бобруйский)

Может ли вредоносное ПО нанести вред операционной системе Mac OS X, через установленную параллельно (в Boot Camp) OS Windows?
Нет. И так будет до тех пор, пока область диска c Mac OS X находится в режиме «только чтение».

Можно попросить переформулировать вопросы?

1) /если с М$ всё более-менее понятно, то/ как обеспечивается АВ защита ядра работающего на гибриде микроядер с подсистемами (открытый + закрытый код)?

2) если ли ХИПС для Мака?

1) /если с М$ всё более-менее понятно, то/ как обеспечивается АВ защита ядра работающего на гибриде микроядер с подсистемами (открытый + закрытый код)?

2) если ли ХИПС для Мака?
К сожалению, на сегодняшний момент ни одной из систем защиты, о которых говорится в вопросе, нет. Однако разработки прототипов ведутся и вполне возможно, что будущие версии антивирусных решений будут включать в себя части подобных «продвинутых» компонентов.

Ну вроде бы и всё. Благодарю за интересные вопросы и обсуждения! Надеюсь, мои ответы были просты и полезны. В заключении хочу напомнить адрес [email protected], куда следуют направлять любые вызывающие подозрения файлы вне зависимости от платформы или среды их исполнения. Делать Интернет чистым и безопасным – Наша общая задача и нельзя давать киберпреступникам шанс лёгкой добычи, коим к моему превеликому сожалению может стать и сама платформа Mac и её пользователи…

Большое спасибо, за интересное интервью! :)