Mac OS X: статус защиты

На протяжении многих лет Mac OS X пользовалась репутацией безопасной системы, которую почти не затрагивают киберугрозы, донимавшие другие ОС, в первую очередь, естественно, Windows. Но так ли она неуязвима, как принято думать? Откладывая в сторону денежный аспект, может ли замена корпоративных компьютеров на Windows «Маками» послужить средством решения всех проблем с кибербезопасностью? Давайте попробуем разобраться.

Не так интересно, но вниманием не обходим

Выпущенная в 2001 году, Mac OS X долгое время считалась полностью защищённой от многочисленных проблем, с которыми сталкивались пользователи Windows конца 1990-х — начала 2000-х. Стоит отметить, что тогда Windows (версии 95, 98, 2000, NT, ну и, безусловно, XP) стремительно захватывали мир. В чём и преуспели. Большинство производителей персональных компьютеров сегодня выпускают Intel-совместимые машины под управлением Windows.

Apple пошла другим путём: Mac OS X можно запускать только на компьютерах, произведённых под брендом Apple. Никакого лицензирования сторонним производителям не предполагается.

«Маки» были и остаются куда менее популярными среди конечных пользователей, нежели машины под Windows, по целому ряду причин. Первая — это цена, конечно, однако Mac — очень хороший инструмент для работы с мультимедиа, по мнению любителей «Маков», оставляющий машины под Windows далеко позади. Как бы там ни было, для киберпреступников «Маки» малоинтересны. Их почти не трогали во времена, когда главной проблемой был кибервандализм, и даже сейчас это в лучшем случае «вторичные» мишени для преступников, ищущих, где бы «поднять денег».

Но «вторичные», вы, не означает, что Mac целиком обходят вниманием. Тем более, что репутация «безопасной» системы снижает вероятность, что владелец компьютера будет морочиться установкой дополнительных средств безопасности. А хакерам только этого и надобно.

Средства безопасности

В прошлом году мы специально писали о новых функциях безопасности в только что вышедшей тогда версии Mac OS X Yosemite (10.10). Apple тогда утверждала, что о безопасности «думали в первую очередь, а не потом». Похвальный девиз.

Но вот проходят пять с лишним месяцев и специалист по безопасности (Патри Уордл из Synack) объявляет, что все защитные функции системы легко обойти, так что получить доступ к системе для хакера несложно. Даже тривиально: например, Gatekeeper не проверяет на безопасность дополнительный контент в приложениях Apple, так что если перехитрить «одобренное» безопасное приложение и заставить его загружать внешний контент, можно протащить контрабандой вредоносную начинку. Gatekeeper её пропустит.

Кроме того, по утверждению исследователя, перекомпилировав известный вредоносный код под OS X, меняющий хэш, удалось обдурить XProtect и запустить зловред на машине. И даже того проще: поменяв имя зловреда, снова удалось заразить им машину. Что как минимум удручает.

Подробности доступны на Threatpost. Если коротко, то безопасность Mac OS X выглядит некоторым образом слабо реализованной.

Другой вопрос, насколько просто в реальности эксплуатировать обнаруженные бреши, но, как бы там ни было, они подлежат исправлению как можно скорее.

Реальные проблемы

В то время как Mac OS X считается куда более защищённой, нежели Windows, неуязвимой она ни в коем случае не является, и проблема вредоносного ПО для него существует, хотя и не в тех масштабах, что для Windows.

Но, вот например, в 2012 году обнаружилось, что более чем 700 тысяч «маков» заражены троянцем Flashfake — крупнейшая эпидемия за всю историю.

В конце прошлого года исследователи отловили целое семейство зловредов под общим названием WireLurker, которая заражала одновременно компьютеры под Mac OS X и устройства под iOS. В начале ноября 2014 года C&C-инфраструктура WireLurker была разгромлена, а Apple отозвал легитимные сертификаты, использовавшиеся для цифровой подписи WireLurker, так что зловреды могли заражать и те смартфоны и планшеты Apple, которые не подвергались джейлбрейкингу. Подробности операции доступны здесь.

В начале января этого года ещё один исследователь безопасности представил концептуальный буткит под Mac OS X — Thunderstrike. Эксплуатируя уязвимость в Mac OS X, после установки он бы противился всем попыткам его удалить и обеспечивал хакерам постоянное присутствие и неявный контроль над скомпрометированным «маком». Мечта для операторов APT. Apple закрыла эту брешь (и множество других) в обновлении 10.10.2.

В марте уже упомянутый Патрик Уордл рассказал Threatpost о перехвате DLL, методе атак, который применялся в отношении Windows аж с 2000 года. Теперь его можно использовать и против Mac OS X. Уордл отметил, помимо прочего, что этот стиль атаки великолепно подходит для обеспечения длительного «присутствия» на заражённых машинах.

8 апреля Apple выпустила ещё один громадный патч для OS X и iOS; в Mac OS X были закрыты сразу 80 багов. В числе таковых — брешь в среде OS X Admin, которую использует бэкдор Rootpipe. К сожалению, баг сохранился в Mac OS X 10.9 и ниже — Apple решила не портировать патчи на более старые версии. Убрана также ошибка, известная как Darwin Nuke, позволявшая удалённо вызывать сбои системы на устройствах Apple (её выявили и описали Apple эксперты «Лаборатории Касперского»), а также ошибки в ядре, в исполнении кода, баги, позволяющие повышать привилегии, организовывать DoS-атаки и т.д.

В общем, закрыто относительно здоровое количество багов, появившихся в силу неизбежных ошибок, которые совершают программисты — Errare humanum est.

Система хороша, продолжает улучшаться, но не безупречна

В целом вокруг Mac OS X происходит немало всякого. Пост этот написан не для того, чтобы очернить систему, которая хороша сама по себе и продолжает совершенствоваться. Смысл в том, чтобы свести воедино восприятие и действительно: как и с другими операционными системами, у Mac OS X есть свои недостатки, свои баги, и хотя исторически более компактная аудитория компьютеров Apple привлекает меньший интерес со стороны киберпреступников, Mac OS X небезупречна. И, кстати, пользовательская база растёт, а с ней растёт и интерес злоумышленников.

Как минимум пять известных сегодня APT-кампаний эксплуатируют уязвимости в Mac OS X, вместе с другими платформами. Две эти кампании до сих пор активны. Возможно, в будущем появятся (будут выявлены) и другие.

Таким образом, машины под Mac OS X по-прежнему требуют дополнительной защиты, несмотря на их «безопасную» репутацию.

Разработки «Лаборатории Касперского» для защиты бизнеса — Kaspersky Endpoint Security и Kaspersky Small Office Security — способны защищать Mac OS X от любых известных и не известных на сегодняшний день IT-угроз в течение длительного времени. Поддерживаются как новые, так и старые версии системы.