Комментарии к статье "Один Барс и два троянца"

Printable View

01.09.2009, 00:22
SDA

Комментарии к статье "Один Барс и два троянца"

Александр Гостев
опубликовано 29 авг. 2009

Слухи о том, что в релизной сборке Барса имеется некий антивирусный функционал, появились несколько дней назад. В Сети были опубликованы скриншоты, на которых было изображено окно детектирования одного из известных троянцев под MacOS. Это вызвало эффект бомбы, ведь совсем недавно компания Apple выступала с крайне непоследовательными заявлениями, относительно необходимости наличия ( или отсутствия необходимости) антивирусных программ для их операционной системы.
[url]http://www.securelist.com/ru/weblog/39135/Odin_Bars_i_dva_troyantsa[/url]

Прочтение статьи у мягко говоря вызвало недоумение, поэтому решил прокоментировать с точки зрения начинающего маковода и пользователя Windows с 15-ти летним стажем.
Для начала хотел напомнить несбывшиеся прогнозы А. Гостева о грандиозном всплеске активности вирусописателей на iPhone ( о чем я писал [url]http://virusinfo.info/showthread.php?t=41700[/url] ), для того чтобы оценить его статью в правильном ключе.
Начнем:
1. ....Антивирус способен обнаруживать только два троянца, в то время как антивирусная индустрия знает о нескольких десятках вредоносных программ для Mac....
На самом деле "несколько десятков "вирусов под Mac OS X это не больше 2-х десятков( у всех антивирусов базы разные, беру в среднем, немного округляю) например выжимка тех маковских вредоносов, которые есть в базах Dr.Web:
Mac.Integ
Mac.Siggen.2
Mac.Siggen.3
Mac.Siggen.4
Mac.Siggen.5
Mac.Siggen.6
Mac.Siggen.7
Mac.Siggen.8
Mac.Siggen.9
Mac.Siggen.10
Mac.Siggen.11
Mac.Siggen.12
Mac.Iservice
Mac.Iservice.2 Mac.Iservice
Mac.Leap.1
Mac.Leap.2
Mac.Inqtana.1
Mac.Inqtana.2
Mac.DnsChange
Не густо, даже база мобильных вредоносов под Symbian и Windows Mobile в 20 раз больше. А если мы уберем те вирусы которые не действуют под версии под Intel и OSX 10.5.8, не говоря уж о новом "Снежном барсе", то скорее всего и остануться 2 трояна :) под которых Apple и выпустила антивирусный сканер - "это всего лишь мера против нескольких известных на сегодняшний день троянских программ под Мак".
Лукавит Гостев ;) все таки вирусный аналитик должен об этом знать.
Кроме того, хотел напомнить, как работают приложения в Mac OS X:
если в Windows все приложения запускаются под активным пользователем, и если он имеет права администратора, то и преград для вируса нет; в то время, как приложения в *nix системах работают по-другому – даже если пользователь с правами администратора, любые операции, требующие больше прав все-равно пройдут через запрос пароля, что, в свою очередь, как минимум, заставит пользователя задуматься, зачем текстовому редактору или gif'ке права админа?
2...Ряд экспертов уже высказали мнение, которое я категорически поддерживаю - подобное антивирусное решение абсолютно неспособно решать задачи антивирусной защиты пользователя и, более того, дает ложное чувство защищенности....(зато Бета-версия Антивируса Касперского для MacOS дает истинное чувство защищенности от пары вирусов :) Утрирую, но зачем предлагать сырую, пару лет готовящуюся бету, когда есть готовые продукты от Dr.Web и Symantec :)
....Apple вступает в область прямой конкуренции с другими антивирусными компаниями, само становится членом антивирусной индустрии и должно иметь соответствующие подразделения - антивирусную лабораторию, службу мониторинга, службу антивирусной поддержки и так далее. Ничего из этого в структуре нынешнего Apple нет. А "антивирус" уже есть....
Отвечу коротко- Не надо считать Джобса за идиота, который из-за десятка вирусов будет создавать антивирусное подразделение по типу ЛК или Symantec, да и читателей тоже идиотами считать не надо;)
3. ....Готова ли Applе вступить на путь Microsoft, которой пришлось заниматься антивирусами, причем уделяя этому массу времени и ресурсов...
опять что ли, Гостев всех идиотами считает, сравнивая Microsoft т.е. Windows под которого сотни тысяч вирусов и 2 десятка под MacOS.
4. .... С другой стороны, появление антивируса в MacOS может подстегнуть вирусописателей к началу массового создания вредоносных программ для данной платформы. Это как красная тряпка для быка - и ей уже взмахнули...
А когда антивируса не было, массового было создавать вредоносов трудно :) ? Теперь "махнули красной тряпкой и понеслось" Нострадамус ты наш :) (читаем прогнозы про Айфон).
5. .....таким образом, данным антивирусом, с одной стороны, Apple не делает ничего для реальной защиты пользователей и, с другой стороны, вступает в гонку не только с другими антивирусными компаниями, но и с киберпреступниками. Пока, для меня, ситуация в которой оказалась Applе, выглядит весьма сложно разрешимой...
Пользуйтесь сырой бетой Антивируса Касперского для MacOS :)
А если серьезно, то антивирусные компании уже давно в гонке с киберпреступниками....только в основном в среде Windows :) и продукт Касперского один из лидеров в войне с вредоносами. Стив Джобс наверное бы сильно удивился, узнав, что вступает в гонку с ведущими антивирусными компаниями :)
Подведу итог: наверное лучше приложить усилия для исправлениями багов на последней версии КАВ/КIS (большинство пользователей Касперского будут счастливы, избавиться от багов, а я один из них, как пользователь Windows :) ), а не заниматься "раздуванием из мухи слона" и впариванием маководам сырой беты. Я думаю 99% из них идиотами не являются.

Дополнительные комментарии, особенно знающих матчасть (маководов) приветствуются :)
02.09.2009, 00:00
strat

[QUOTE] А если мы уберем те вирусы которые не действуют под версии под Intel и OSX 10.5.8[/QUOTE]
а зачем убирать? файл может быть скачан на snow и перенесен на предыдущую версию на соседний компьютер

[QUOTE]любые операции, требующие больше прав все-равно пройдут через запрос пароля, что, в свою очередь, как минимум, заставит пользователя задуматься[/QUOTE]
уже писали что ввод пароля у 95% пользователей проходит на автомате под мак т.е. это не защита и не препятствие

п.с. я не маковод
02.09.2009, 00:39
SDA

[QUOTE=strat;460426]а зачем убирать? файл может быть скачан на snow и перенесен на предыдущую версию на соседний компьютер

уже писали что ввод пароля у 95% пользователей проходит на автомате под мак т.е. это не защита и не препятствие

п.с. я не маковод[/QUOTE]

Большинство владельцев Маков обновили свои версии до Leopard 10.5.8, которое в отличии от Snow Leopard происходило бесплатно. Маки с Intelовским чипом идут уже с 2008 года. Так что, круг и того немногочисленных вирусов под Мак сужается до мизера.
И это мизерное количество еще надо умидриться подцепить и проинсталировать.
Как я уже писал, даже на мобильные оси зловредов больше, раз в 20-30. А сколько случаев заражения смартфонов? Я уж не говорю об мобильных вирусных эпидемиях, которых никогда не было. Конечно и среди маководов встречаются пользователи качающиее всё подряд гигами и вводящие пароль на автомате, но даже этому "безбашенному" пользователю надо еще умудриться наткнуться на вирус для Мака :)
08.09.2009, 17:17
Helgin

[QUOTE=SDA;460443]Так что, круг и того немногочисленных вирусов под Мак сужается до мизера.
И это мизерное количество еще надо умидриться подцепить и проинсталировать.
[/QUOTE]
Ура, опасных вирусов под мак нет. Вернее есть 2 но их ловит и Mac OS сама.
Отлично. А как с уязвимостями в flash, adobe и пр. Они пробивают защиту MAC OS?
08.09.2009, 17:38
SDA

[QUOTE=Helgin;464261]Ура, опасных вирусов под мак нет. Вернее есть 2 но их ловит и Mac OS сама.
Отлично. А как с уязвимостями в flash, adobe и пр. Они пробивают защиту MAC OS?[/QUOTE]

Если эксплойты и пробьют уязвимости в в flash, adobe и пр., то вредоносное приложение на Mac OS все равно не установиться, если оно только не написано под Mac OS. А если предположим и есть такое приложение, то его нужно будет проинсталлировать собственноручно, с вводом рутовского пароля. Вообще вероятность нахождения вируса под Mac OS, повторяю нахождения, а не заражения, равна вероятности падения кирпича на голову на прогулке :)
08.09.2009, 19:58
Helgin

Я просто помню результаты Pwn2Own, где люди получали контроль над Mac системой на раз..
А скриптовые задачи? Начиная от брутального стереть всё до какого нибудь - показать 10000 окон с замечательной рекламой..
08.09.2009, 20:11
aintrust

В этой заметке вообще немало странностей... Почему, к примеру, А.Гостев считает, что "Snow Leopard" переводится как "Барс"? Барс - это, вообще-то, то же самое, что и леопард, так что барсом следовало бы называть Mac OS X 10.5 (Leopard), но никак не 10.6 (Snow Leopard), а последнюю нужно было бы называть или "Снежным барсом", или "Ирбисом".

Комментировать саму заметку, наверное, не имеет большого смысла: вы же прекрасно понимаете, что не отреагировать на факт появления "антивируса в Mac OS" А.Гостев попросту не мог - работа у него такая! Может получилось и не очень удачно, зато появился лишний повод напомнить о том, что ЛК тоже как-бы занимается написанием антивируса для макоси...
08.09.2009, 22:04
SDA

[QUOTE=aintrust;464354]
Комментировать саму заметку, наверное, не имеет большого смысла: вы же прекрасно понимаете, что не отреагировать на факт появления "антивируса в Mac OS" А.Гостев попросту не мог - работа у него такая! Может получилось и не очень удачно, зато появился лишний повод напомнить о том, что ЛК тоже как-бы занимается написанием антивируса для макоси...[/QUOTE]

Уже написали [url]http://av-school.ru/index.php?dn=blogs&to=comment&id=898&mp[/url]
[url]http://av-school.ru/index.php?dn=blogs&to=comment&id=897&mp[/url] пока не объявляют :)

[size="1"][color="#666686"][B][I]Добавлено через 30 минут[/I][/B][/color][/size]

[QUOTE=Helgin;464346]Я просто помню результаты Pwn2Own, где люди получали контроль над Mac системой на раз..
А скриптовые задачи? Начиная от брутального стереть всё до какого нибудь - показать 10000 окон с замечательной рекламой..[/QUOTE]

Ну профессионалы с Pwn2Own типа Чарли Миллера... - "Это заняло пару мгновений. Они кликнули по ссылке и я получил контроль над машиной" – сказал Миллер спустя несколько мгновений после того, как все было кончено".... это не показатель. :) Он мог трудиться до этого полгода, чтобы сломать за пару кликов. Кроме того, я не понимаю, управление системой это внедрение бекдора т.е. приложения контролирующее систему(открывающее черный ход), которое должно проинсталироваться, без участия пользователя. Скорее всего, если я не ошибаюсь тот же Чарли Миллер показал, как эксплоитом реализуется вход через уязвимость в Safari, т.е. этого достаточно для победы на конкурсе, но не для реального внедрения вредоноса для управления системой.
Насчет скриптовых сценариев. Возьмем для примера Windows, как можно удаленно через скрипты без контролируемого приложения, стереть какие то системные данные? ну а при выполнении скрипта 1000 окон (он вообще в природе существует? :) ), достаточно просто прибить приложение и запустить его снова :)
Кроме того, заниматься хулиганством будет только начинающий скрипткидди, а не киберпреступник нацеленный на получение прибыли.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

[QUOTE=aintrust;464354]на факт появления "антивируса в Mac OS" А.Гостев попросту не мог - работа у него такая! .[/QUOTE]
Но так коряво, впаривая при этом маководам бету :)
08.09.2009, 23:07
aintrust

Хм, у сотрудников ЛК явные проблемы с названием новой макоси: Станислав Шевченко почему-то называет ее "белый леопард" (хотя это и более корректно, чем обзывание ирбиса просто барсом, так как мех у ирбиса серовато-белый с темными пятнами в виде колец)... =)
09.09.2009, 14:47
Helgin

[QUOTE=SDA;464389]
Кроме того, я не понимаю, управление системой это внедрение бекдора т.е. приложения контролирующее систему(открывающее черный ход), которое должно проинсталироваться, без участия пользователя. Скорее всего, если я не ошибаюсь тот же Чарли Миллер показал, как эксплоитом реализуется вход через уязвимость в Safari, т.е. этого достаточно для победы на конкурсе, но не для реального внедрения вредоноса для управления системой.
Насчет скриптовых сценариев. Возьмем для примера Windows, как можно удаленно через скрипты без контролируемого приложения, стереть какие то системные данные? ну а при выполнении скрипта 1000 окон (он вообще в природе существует? :) ), достаточно просто прибить приложение и запустить его снова :)
Кроме того, заниматься хулиганством будет только начинающий скрипткидди, а не киберпреступник нацеленный на получение прибыли.

[/QUOTE]
Насколько я помню в маке достаточно мощный скриптовый язык..
Я на самом деле интересуюсь вашей оценкой угроз для мака, учитывая что эксплойты для него имеются и в нарастающем количестве...
09.09.2009, 15:20
SDA

[QUOTE=Helgin;464778]Насколько я помню в маке достаточно мощный скриптовый язык..
Я на самом деле интересуюсь вашей оценкой угроз для мака, учитывая что эксплойты для него имеются и в нарастающем количестве...[/QUOTE]

Эксплойт распространяется в виде исходного кода для процесса портирования приложения или исполняемый модуль (также исполнимый файл, executable file).Т.е. и в одном и в другом случае надо внедрить приложение, которое невозможно без согласия пользователя мака. Это мой ответ по оценке угрозы (в принципе он идет во всем посте :) ), практически нулевой на данный момент. Кстати не так давно в прессе пытались раздуть шумиху о 10-ти тысячной ботнетовской сети на маках. Представляете какой компетентности был журналист пытавшийся "навешать лапшу" на уши глупым юзерам. :) А другие интернет источники эти глупости тупо перепечатывали.
Впрочем, если у Вас другое мнение, обоснуйте его. Будем дискутировать :)
09.09.2009, 16:11
Helgin

Ну вот малоизвестная компания WestCoastLabs вводит исследование антивирусов для Маков:
[url]http://virusinfo.info/showthread.php?t=54325[/url]
09.09.2009, 17:15
SDA

[QUOTE=Helgin;464850]Ну вот малоизвестная компания WestCoastLabs вводит исследование антивирусов для Маков:
[url]http://virusinfo.info/showthread.php?t=54325[/url][/QUOTE]
Cамый боянистый боян :)

[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]

Им надо задуматься о HIPS на Линукс :)