Koń trojański atakuje!
… Mac OS X. Napisali tak na portalu DobreProgramy i rzecz jasna pojawiła się tona znów ludzi mówiących na zmianę, że system producenta z Redmond jest lepszy i żeby się zarazić wirusem trzeba być głupim i zgraja użytkowników jednego z systemów alternatywnych którzy mówią, że ich rozwiązanie jest bezpieczniejsze. Rozbrajają mnie komentarze, zresztą takie dyskusje są prawie pod każdym newsem na tym portalu, ale już się przyzwyczaiłem.
To prawda, czasem się we mnie krew gotuje, gdy ktoś pisze oczywiste bzdury, ale i tak nauczyłem się po prostu komentarze na takich portalach czytać, pomijać i pisać cokolwiek tylko w bardzo, bardzo rzadkich przypadkach. A swoją drogą to na DP.pl używam nicka “Nemhein”, jakiś “ktosiów” tam jest od groma, nawet na podobnych systemach/przeglądarkach.
Jednak ów koń trojański występuje w postaci obrazu DMG i użytkownik musi go zainstalować samemu. Wynika z tego wyraźnie, że to od użytkownika zależy, czy do jego systemu dostanie się niebezpieczna aplikacja - a sama architektura MacOS X, jako pochodna Uniksa, wspomaga użytkownika dzięki temu, że domyślnie się na koncie roota nie pracuje. Tak przynajmniej głosi rozsądek i takie są zalecenia. Stąd program sam namieszać nie może, i to użytkownik musi mu zezwolić. Windows - standardowo jak wiadomo - ma tutaj znacznie gorsze podejście (do Visty rzecz jasna - może i te popierdółki “Czy chcesz zezwolić?” są za częste i wkurzające, ale naprawdę są ważne!).
Teraz powstaje pytanie - czy zatem pod Linuksem nie można by zastosować identycznego manewru? Gdy pobieramy kod źródłowy aplikacji i wykonujemy te magiczne ./configure, make, sudo make install, to co stoi na przeszkodzie, by w trakcie wykonywania make install (które zwykle wykonuje się jednak na prawach roota) wykonać “dodatkowo” jakiś złośliwy kod? Co stoi na przeszkodzie, by to samo zrobić przy instalacji paczki .rpm czy .deb? Może ja o czymś nie wiem?
Powiecie, że jeżeli pobieramy kod źródłowy i go ręcznie kompilujemy to wiemy dokładnie co robimy. No okej, może i tak. Ale ja tego kodu nie przeglądam. A jeżeli ktoś by się włamał na serwer producenta i dał kod nieco zmodyfikowany (WordPress miał coś w tym stylu)? Ilu z nas sprawdza przed kompilacją cały kod źródłowy, ile osób go nawet przegląda? A paczki, gdy są do pobrania?
Powiecie zatem, że nikt nie instaluje paczek ze strony, tylko pobiera z repozytoriów. A co, jeżeli danej aplikacji nie ma repozytorium, wydaje się ciekawa, a w rzeczywistości to nawet nie istnieje, a jest tylko przynętą do zainstalowania konia trojańskiego? Sytuacja hipotetyczna, ale możliwa.
Narzekanie na Vistę to jakoś ostatnio jest w modzie. A ja dzisiaj powiem rzecz taką - oprócz tego, że jest UAC, który uważam za świetne rozwiązanie (to, jak wyglądała praca z uprawnieniami obniżonymi w XP, to nie było tak przyjemne miejscami), to nawet głupie poprawienie autoruna, w ten sposób że i tak system się pyta czy uruchomić autorun.inf, jest podyktowane względami bezpieczeństwa (i dla mnie jest wygodne, bo częściej otwieram folder płyty CD niż uruchamiam startujące z niej aplikacje). Włożyłem pendrive’a mojego, który wcześniej przebywał w pewnym komputerze. A tu system się mnie pyta, czy uruchomić aplikację copy.exe jak nakazuje mu autorun.inf. “WTF?”. Otwieram folder, a na nim znajduje się parę plików ewidentnie do jakiegoś wirusa należących…
A, jeszcze mała dygresja odnośnie MacOS X, a dokładnie jego najnowszej edycji, “Leoparda”. Wiecie, że wprowadza ponad 300 ulepszeń w tym tak rewolucyjne jak cień pod aktualnie aktywnym oknem. Są jednak i nowości w kwestii bezpieczeństwa - między innymi do plików pobieranych z Internetu dodaje specjalny tag, który przy próbie ich otwarcia powoduje wyświetlenie ostrzeżenia.
Tagging Downloaded Applications
Protect yourself from potential threats. Any application downloaded to your Mac is tagged. Before it runs for the first time, the system asks for your consent — telling you when it was downloaded, what application was used to download it, and, if applicable, what URL it came from.
Kto z was uważa to rozwiązanie za nowatorskie, rewolucyjne i znakomite? Czy ono jakkolwiek może pomóc?
Technorati Tags: MacOS X, Leopard, Linux, Windows, security, trojan horse
Liczba komentarzy: 5
»Wątek RSS dla komentarzy tego wpisu · Adres trackback
listopad 1, 2007 godzina 21:23
Dla mnie to całe gadanie o wirusach/trojanach/spyware’ach w kontekście różnych OSów, to bezcelowe mielenie ozorem. Windows to prawie 90% użytkowników komputera! Ciekaw jestem jak ww. zagrożenia wyglądałyby gdyby pozostałe systemy miały powiedzmy 50% rynku.
listopad 1, 2007 godzina 22:09
a) Nikt nie sprawdza całości kodu - to prawda.
1. Z różnych powodów sprawdza się po kawałku. Mnożąc to przez ilość użytkowników otrzymujemy pewne dość sprawne sito (CVS/SVN/Bazaar/Git/Darcs i inne tylko polepszają sprawę)
2. Paczki rpm/deb chyba są podpisywane. Więc jeśli klucz jest bezpieczny to wiemy kogo winić.
b) Nie mam Mac OS X ale czy jak się ściągnie grozny_wirus.rb to system taguje ruby czy grozny_wirus.rb? To może mieć znaczenie.
listopad 1, 2007 godzina 22:12
> Ciekaw jestem jak ww. zagrożenia wyglądałyby gdyby pozostałe systemy miały powiedzmy 50% rynku.
Nie wiem jak w przypadku 50% rynku ale można zauważyć pewną tendencje. Z tego co wiem, mimo że wraz ze wrostem popularności GNU/Linuksa zwiększa się ilość wykrytych błędów, poziom ‘błędogodzin’ pozostaje na dość niskim poziomie (nie mówiąc już o godzinach na błąd).
listopad 2, 2007 godzina 02:44
Oczywiście, jest zagrożenie :) Overlaye do gentoo nieznanego pochodzenia, niepodpisane paczki debiana, anonimowe rpm, svn na nieznanych serwerach albo zwykłe kody źródłowe *.tgz… IMO na *nixie jest więcej dróg dla intruza, ale na razie udział w rynku jest na tyle mały, że raczej się nie opłaca. Poza tym większość użytkowników *nixów ma olej w głowie (co się zaczyna zmieniać, bo Linux jest coraz bardziej zrozumiały dla zwykłych użytkowników… Nadal jednak ów zwykły użytkownik korzysta jedynie z repozytoriów, bo raczej nie rozumie o co chodzi w kompilacji.)
A ja wchodzę na Dobreprogramy tylko po to, żeby się pośmiać z komentarzy :)
listopad 2, 2007 godzina 03:55
każdy rozsądny system repozytoriów ma zabezpieczenie w postaci sum kontrolnych/certyfikatów, ściąganych z zupełnie innych maszyn niż paczki/źródła. a od instalacji potencjalnych granatów na własne życzenie jest jail.
Nie przemawia do mnie traktowanie użytkownika, pod pozorem zachowania bezpieczeństwa, jak potencjalnego idiotę.