Внезапный 2012 год: что будет с безопасностью в OS X дальше?

от автора

image

2012 был «освежающим» годом для безопасности OS X — как минимум для специалистов или исследователей. Все дело в том, что за год произошло несколько событий, сумевших потрепать всем нервы. Но, несмотря на то, что некоторые из них сумели смутить и саму Apple, компания серьезно взялась за дело, когда оно коснулось безопасности ее пользователей.

Эта статья как минимум познакомит вас с мнениями нескольких деятелей в области компьютерной безопасности, которые внимательно следили за событиями в мире OS X в течение года.

Назад к Flashback

Помните Flashback? Это вредоносное ПО впервые появилось на Mac в 2011 году, но оно было не слишком распространенным и вряд ли угрожало всем пользователям — до начала этого года. Внезапно, Apple столкнулась с первым действительно достойным «вирусом» для OS X, и как раз в то время, когда Apple чаще чем когда-либо появлялась на страницах прессы.

Инцидент поднял волну обсуждения о конце эры «безопасности благодаря неизвестности» (в оригинале — «security through obscurity») для Apple. Исследователи и ученые тогда в один голос заявили, что растущая популярность Apple приведет к возрастанию атак на системы безопасности OS X и iOS. Конечно, сложно отрицать то, что вредоносные атаки на пользователей Mac становятся все более частыми, да и сама Apple допустила досадную промашку, оставив в своей Java дыру на целых два месяца после того, как она была исправлена патчем от Oracle.

Удаление Java

И все же, несмотря на проволочки Apple, провал Flashback стал толчком к одному из важнейших решений относительно безопасности OS X.

«Flashback привел к обеим инициативам Apple: к удалению Java из стандартной поставки системы и создания отдельной программы для очистки системы», говорит специалист по компьютерной безопасности (и старший инженер по компьютерной безопасности Обамы в Америке). «Когда производитель OS выпускает специальную утилиту для очистки системы, то это значит только одно — дела идут паршиво».

Хаген указывает на то, что необходимость для Apple выпустить свою собственную программу для очистки системы от Flashback указывает на то, что магазин приложений Mac и пользователи «не созрели для этого». Но гораздо более значимым решением было уменьшение роли Java в жизни пользователей OS X до такой степени, насколько это возможно — то есть вплоть до загрузки и установки самим пользователем.

«Удаление Java — очень интересное решение, и де-факто это заявление от Apple. Java на пользовательских системах имеет определенные способы для вскрытия; новые, удаленные уязвимости находились не раз и не два только за этот год», говорит Хаген. «Удаление Java упрощает жизнь Apple и позволяет пользователям жить проще и безопаснее».

Широко известный в узких кругах Чарли Миллер («хакер» iOS и OS X) соглашается с этим утверждением, добавляя, что возможно это самое значимое решение из всех, что сделала Apple в 2012 году.

«Сейчас количество усилий, необходимых для того, чтобы написать эксплойт под OS X примерно одинаково с написанием подобного под Windows. Все дело в том, что под Windows больше пользователей, чем под OS X — поэтому под OS X эксплойт найти не так-то просто. Но это условие действительно только если мы исключим из списка эксплойты для Java», говорит Миллер. «Для Java-апплетов»

Миллер также завляет, что Java — это фактически единственная причина, по которой мы видим эксплойты для Mac. «Так что любая попытка Apple уменьшить количество установленных пакетов Java на OS X это плюс к безопасности всей системы, реальная польза для реальной жизни пользователей», говорит он.

Переход к подписанным приложениям

Но даже если Flashback «загнулся», а Java «сама» уходила прочь, Apple уже была в процессе создания нескольких других важных изменений в способе взаимодействия пользователей с их приложениями на Mac. Новая возможность в Mountain Lion, выпущенном летом 2012 года, будет (по умолчанию) ограничивать установку сторонних приложений на систему, таким образом защищая пользователя от установки приложений из неизвестных источников — в том числе и вредоносных.

Эта функция, названная Gatekeeper, потребовала от экосистемы разработчиков Apple даже подписывать их приложения с помощью зарегистрированного сертификата — по-прежнему оставляя на них всю ответственность за тот случай, когда все пойдет не так — или продавали свои приложения через Mac App Store и отдавать Apple 30 процентов своей прибыли. Реакция от разработчиков оказалась на удивление спокойной, большинство сообщало, что они оптимистично смотрят на контроль, отданный в руки пользователям, и о том, что это несильно помешает распространению действительно стоящих приложений.

Когда через несколько месяцев мы снова обратились к разработчикам под Mac, они все еще были очень хорошего менния об эффекте, оказываемом Gatekeeper на всю экосистему. «Мне кажется, что Gatekeepre — это только плюс для пользователя. Он достаточно эффективен против замаскированных атак, а они очень популярны среди разработчиков вредоносного ПО», — поведал нам в сентябре Вил Шипли из Delicious Monster. Craig Hockenberry согласился с ним: «Определенно, мне кажется что Gate Keeper помогает пользователям. Теперь-то я даже случайно кликнув по приложению и увидев сообщение про то, что оно не подписано, могу подумать сто раз, прежде чем его устанавливать».

На самом деле, мы не ожидали, что впечатления от Gatekeeper будут настолько позитивными — гораздо лучше, чем мы ожидали. И эксперты по безопасности с оптимизмом смотрят на то, как далеко эта задумка их привела. «С точки зрения безопасности, Apple продолжает движение к AppStore в OS X и добавление строго проверяемых сертификатов для приложений делает значительное изменение в экосистеме», говорит Хаген. «Контроль качества, который происходит в App Store — это способ значительно поднять качество ПО для пользователей. А попутно можно и избавиться от возможности заражения вирусами.»

Удачный хак в удачное время

Все, о чем мы говорили до сих пор, было не единственной темой для обсуждения в мире пользователей Mac в плане компьютерной безопасности в 2012 году. Августовский "хак" редактора Wired Мэта Хонана стал причиной громких заголовков не просто так — с iPhone, iPad и Mac Хонана были стерты все данные при помощи удаленной атаки, и у него не получилось сделать бэкап. Но удивительно в этом случае другое — какие технологии были задействованы для этого. В общем-то, это технологии Apple — те самые, что обычно ассоциируются с новейшей версией облачного сервиса iCloud.

Это была не просто ошибка iCloud. Amazon также оказался вовлечен в это, и атакующим хватило навыков социальной инженерии и на Amazon, и на Apple — они получили доступ ко всему, что им требовалось для разрушения цифровой жизни Хонана.

Причем тут Apple, по правде говоря? Компания ведь не была напрямую вовлечена в стирание данных Хонана, но, как указывает Хаген, этот случай стал настолько заметен в этом году потому, что «подчеркнул недочеты в плане человеческого фактора в нескольких системах с онлайновыми аккаунтами и использовал iCloud от Apple как средство обмана».

После того, как аккаунт Хонана в iCloud был скомпрометирован, его устройства стали открыты для атаки с полным стиранием. «С такой проблемой пользователи еще не сталкивались; невозможность защитить свои онлайновые аккаунты делает их устройства бесполезными», говорит Хаген. «Эта атака подчеркнула необходимость для Apple начать защищать аккаунты от социальных атак и напомнила, что каждому следует относиться к своим аккаунтам у Apple с особым трепетом и внимательностью».

По факту же, вскрытие Конана стало причиной для того, чтобы многие из нас сменили свои пароли, включили двухэтапную авторизацию и убедились, что бэкапы всегда имеют место быть в нашей жизни. И Amazon, и Apple сделали свои выводы и изменили условия соглашений, так что теперь подобный вид атаки осуществить будет гораздо сложнее. У этой истории нет хэппи энда, но потеря Хонана обернулась хорошими новостями для нас.

Прогноз на 2013

Получилось, что 2012 стал годом уязвимостей для Apple и безопасности OS X, но, в конце концов, «Мне кажется, что Apple в довольно приличной форме», считает Миллер.

Но не зря говорится, что нет предела совершенству. Чего бы хотелось увидеть пользователям и специалистам в OS X в 2013-м году?

Миллер хочет получить больше прозрачности от самой Apple. «Я бы хотел получить возможность большей „прозрачности“ и взаимодействия с сообществом по информационной безопасности. Их выступление на BlackHat, где им нельзя было задать ни одного вопроса, скорее напоминало фарс», говорит Миллер. «Я бы хотел увидеть больше подробностей про их методики тестирования, узнать о процессе ревью в AppStore и услышать наконец ответы на вопросы об безопасности их системы».

Все мы знаем, что слова «прозрачность» и «Apple» редко можно встретить вместе в одном предложении, но заметно, как CEO Тим Кук медленно (и очень осторожно) начинает менять положение дел относительно открытости Apple всему остальному миру. Но то, что хотел бы видеть Хаген, выходит далеко за их нынешнее поведение — ему хотелось бы, чтобы сообщество смогло взять на себя заботу о собственной безопасности.

«Мне кажется, что антивирусам и противошпионскому ПО для OSX предстоит быстро набрать мощность на случай ближайших возможных угроз. Подход Microsoft с созданием своего собственного ПО такого рода оправдал себя, так что будет отлично, если и Apple последуют их примеру», — говорит Хаген. «Объединение App Store и обновлений системы значительно упрощает вещи, а пользователям OSX просто пора привыкать к регулярным обновлениям».

ссылка на оригинал статьи http://habrahabr.ru/post/164039/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *