Apple-секюрити: 10 лет форы с правом переписки
Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом - в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.
На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны - мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?
Сначала немного истории.
В начале 2000-х на Винде случилось много неприятных глобальных вирусных эпидемий (например, Loveletter, Blaster, Sasser). В Микрософт тогда вовремя схватились за голову и начали думать - что же делать дальше. Ясно, что решить проблему на 100% не получится никогда, но, по крайней мере, можно подумать как минимизировать масштаб угрозы, проинформировать, консолидировать и скоординировать усилия секюрити-индустрии. Тогда 10 лет назад родилась концепция ‘Trustworthy Computing’ - интересная программа, затронувшая много аспектов деятельности компании. Например, Микрософт настроила процесс обновления своего ПО и информирования пользователей/партнёров, ввела в практику принципы SDL (Security Development Lifecycle), выпустила SP2 для Windows XP с серьёзными доработками в плане безопасности.
Примерно то же самое сейчас происходит с МакОСом. Flashfake - это первый звонок. В плане распространения малвары, сетевых атак и прочей iГадости, а также в плане реагирования на эти угрозы Apple сейчас находится на том же этапе, что и Микрософт 10 лет назад. Есть проблема и её надо решать - чем раньше, тем проще. Как поступит Apple? Вообще будет ли какое-то решение или продолжится политика игнорирования?
Чтобы понять природу отношения Apple к безопасности давайте вспомним одну её рекламную кампанию. В серии роликов Бодрый Мак подтрунивает над типичным лузером PC, продвигая простой тезис: на Маках нет (читай: «и не может быть») вирусов, вирусы - удел PC.
Кампания действительно была очень прикольная и даже породила шлейф ремейков, по популярности сравнимых со знаменитым «Вазаааап!». В то же время она сеяла ложное чувство защищённости и вводила пользователей в заблуждение - не столько по поводу сиюминутной угрозы, сколько на перспективу.
В результате такой политики не только десятки миллионы владельцев Маков до сих пор уверены в неуязвимости своих компьютеров. Сама Apple как будто поверила в это и расслабилась в плане безопасности. Судите сами, пример: Oracle исправила критическую уязвимость в Java (ту самую, через которую Flashfake заражал Маки) 14 февраля. Apple портировала обновление на МакОС только через 49 дней - 3 апреля. И это при том, что первые сведения об использовании уязвимости появились уже в марте! Вы представляете, что бы сделали с Микрософт за такое?
На самом деле таких примеров много. Особенно Apple запаздывает в патчах к open-source приложениям. А WebKit и Safari секюрити-эксперты уже давно называют не иначе как «ночной кошмар».
Отметим две важные особенности эпидемии Flashfake.
Во-первых, она показала, что самый опасный и, увы, один из самых распространённых сценариев атаки на Винду запросто реализуем на МакОСе. Троян использовал drive-by download атаку - чтобы подцепить «макость» достаточно было зайти на зараженный сайт. Никаких дополнительных кликов, админских паролей, каких-либо других форм вовлечённости пользователя. Вредонос устанавливался абсолютно незаметно и автоматически. Плюс у Flashback была опция закачки дополнительных модулей по команде из управляющего центра. Тут уже функциональность трояна ограничена только больной фантазией кибер-негодяев.
Во-вторых, по соотношению зараженных компьютеров к общему числу маков масштабы эпидемии можно сравнить с … Kido (он же Conficker) - самым большим ботнетом в истории PC, размеры которого на пике достигали 12 миллионов компьютеров.
Эти обстоятельства подтверждают, что количество Мак-машинок наконец-то перевалило некий порог, что привлекло к этой платформе внимание кибер-негодяев. Хотя в действительности это случилось не неожиданно. Секюрити-эксперты уже долгое время и много раз предупреждали о такой угрозе. Да и на пользователей МакОС уже долгое время ведётся охота с помощью DNS Changer’ов, фейковых антивирусов и «старого-доброго» фишинга. То, что произошло в апреле 2012г. - логичное развитие цепочки событий, усугублённое политикой убеждения пользователей в неуязвимости платформы.
Помимо насаждения ложного чувства защищённости у этой политики есть и другие особенности: задержки в обновлении софта, отсутствие информирования об угрозах, ровно как какой-либо инициативы по сотрудничеству с секюрити-индустрией и создания партнёрской экосистемы для защиты клиентов. Наконец, пресловутая «завеса секретности» надо всем, включая любые аспекты безопасности. Я не раз слышал от журналистов и аналитиков, что очень трудно получить вразумительный ответ на вопросы по этой теме. Не говоря о том, что обычно такие вопросы просто игнорируются. Да и вообще: это как-то дико, когда пользователь какой-либо системы получает информацию о проблемах этой системы и способах их решения от третьих лиц.
Дальнейшее игнорирование проблемы и отсутствие шагов в плане реагирования на новые угрозы может иметь неприятные последствия не только для Apple и пользователей её продуктов, но и для сети в целом. Сто миллионов потенциальных жертв по всему миру - страшно представить для каких целей их могут использовать злоумышленники. Или террористы?
Apple действительно могла бы многому научиться у Микрософт в плане безопасности. Да, с фундаментальной точки зрения это может быть уступкой в плане вечного противостояния PC-Mac. Но тут речь идёт не об эфемерных принципах, а о безопасности пользователей и Всемирной сети. Лично я не вижу в таком сотрудничестве никакого ущерба репутации. Наоборот - случись такое, первым пошлю «респект» в Купертино. Повышение скорости и качества реагирования на новые угрозы, кстати, в интересах самой Apple. Увы, Flashback’ом дело не ограничится. На сколько у пользователей хватит толерантности? Чем раньше взяться за решение проблемы, тем меньше риск. Для всех.
10 лет назад “Trustworthy Computing” фактически спасла Винду от тотального бана и обструкции. Трудно представить, что бы было с ней (да и с Микрософтом) без этой программы. Сейчас её успешно копируют другие компании и даже правительства. Очередь за Apple сделать хоть что-нибудь.
На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны - мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?
Сначала немного истории.
В начале 2000-х на Винде случилось много неприятных глобальных вирусных эпидемий (например, Loveletter, Blaster, Sasser). В Микрософт тогда вовремя схватились за голову и начали думать - что же делать дальше. Ясно, что решить проблему на 100% не получится никогда, но, по крайней мере, можно подумать как минимизировать масштаб угрозы, проинформировать, консолидировать и скоординировать усилия секюрити-индустрии. Тогда 10 лет назад родилась концепция ‘Trustworthy Computing’ - интересная программа, затронувшая много аспектов деятельности компании. Например, Микрософт настроила процесс обновления своего ПО и информирования пользователей/партнёров, ввела в практику принципы SDL (Security Development Lifecycle), выпустила SP2 для Windows XP с серьёзными доработками в плане безопасности.
Примерно то же самое сейчас происходит с МакОСом. Flashfake - это первый звонок. В плане распространения малвары, сетевых атак и прочей iГадости, а также в плане реагирования на эти угрозы Apple сейчас находится на том же этапе, что и Микрософт 10 лет назад. Есть проблема и её надо решать - чем раньше, тем проще. Как поступит Apple? Вообще будет ли какое-то решение или продолжится политика игнорирования?
Чтобы понять природу отношения Apple к безопасности давайте вспомним одну её рекламную кампанию. В серии роликов Бодрый Мак подтрунивает над типичным лузером PC, продвигая простой тезис: на Маках нет (читай: «и не может быть») вирусов, вирусы - удел PC.
Click to viewКампания действительно была очень прикольная и даже породила шлейф ремейков, по популярности сравнимых со знаменитым «Вазаааап!». В то же время она сеяла ложное чувство защищённости и вводила пользователей в заблуждение - не столько по поводу сиюминутной угрозы, сколько на перспективу.
В результате такой политики не только десятки миллионы владельцев Маков до сих пор уверены в неуязвимости своих компьютеров. Сама Apple как будто поверила в это и расслабилась в плане безопасности. Судите сами, пример: Oracle исправила критическую уязвимость в Java (ту самую, через которую Flashfake заражал Маки) 14 февраля. Apple портировала обновление на МакОС только через 49 дней - 3 апреля. И это при том, что первые сведения об использовании уязвимости появились уже в марте! Вы представляете, что бы сделали с Микрософт за такое?
На самом деле таких примеров много. Особенно Apple запаздывает в патчах к open-source приложениям. А WebKit и Safari секюрити-эксперты уже давно называют не иначе как «ночной кошмар».
Отметим две важные особенности эпидемии Flashfake.
Во-первых, она показала, что самый опасный и, увы, один из самых распространённых сценариев атаки на Винду запросто реализуем на МакОСе. Троян использовал drive-by download атаку - чтобы подцепить «макость» достаточно было зайти на зараженный сайт. Никаких дополнительных кликов, админских паролей, каких-либо других форм вовлечённости пользователя. Вредонос устанавливался абсолютно незаметно и автоматически. Плюс у Flashback была опция закачки дополнительных модулей по команде из управляющего центра. Тут уже функциональность трояна ограничена только больной фантазией кибер-негодяев.
Во-вторых, по соотношению зараженных компьютеров к общему числу маков масштабы эпидемии можно сравнить с … Kido (он же Conficker) - самым большим ботнетом в истории PC, размеры которого на пике достигали 12 миллионов компьютеров.
Эти обстоятельства подтверждают, что количество Мак-машинок наконец-то перевалило некий порог, что привлекло к этой платформе внимание кибер-негодяев. Хотя в действительности это случилось не неожиданно. Секюрити-эксперты уже долгое время и много раз предупреждали о такой угрозе. Да и на пользователей МакОС уже долгое время ведётся охота с помощью DNS Changer’ов, фейковых антивирусов и «старого-доброго» фишинга. То, что произошло в апреле 2012г. - логичное развитие цепочки событий, усугублённое политикой убеждения пользователей в неуязвимости платформы.
Помимо насаждения ложного чувства защищённости у этой политики есть и другие особенности: задержки в обновлении софта, отсутствие информирования об угрозах, ровно как какой-либо инициативы по сотрудничеству с секюрити-индустрией и создания партнёрской экосистемы для защиты клиентов. Наконец, пресловутая «завеса секретности» надо всем, включая любые аспекты безопасности. Я не раз слышал от журналистов и аналитиков, что очень трудно получить вразумительный ответ на вопросы по этой теме. Не говоря о том, что обычно такие вопросы просто игнорируются. Да и вообще: это как-то дико, когда пользователь какой-либо системы получает информацию о проблемах этой системы и способах их решения от третьих лиц.
Дальнейшее игнорирование проблемы и отсутствие шагов в плане реагирования на новые угрозы может иметь неприятные последствия не только для Apple и пользователей её продуктов, но и для сети в целом. Сто миллионов потенциальных жертв по всему миру - страшно представить для каких целей их могут использовать злоумышленники. Или террористы?
Apple действительно могла бы многому научиться у Микрософт в плане безопасности. Да, с фундаментальной точки зрения это может быть уступкой в плане вечного противостояния PC-Mac. Но тут речь идёт не об эфемерных принципах, а о безопасности пользователей и Всемирной сети. Лично я не вижу в таком сотрудничестве никакого ущерба репутации. Наоборот - случись такое, первым пошлю «респект» в Купертино. Повышение скорости и качества реагирования на новые угрозы, кстати, в интересах самой Apple. Увы, Flashback’ом дело не ограничится. На сколько у пользователей хватит толерантности? Чем раньше взяться за решение проблемы, тем меньше риск. Для всех.
10 лет назад “Trustworthy Computing” фактически спасла Винду от тотального бана и обструкции. Трудно представить, что бы было с ней (да и с Микрософтом) без этой программы. Сейчас её успешно копируют другие компании и даже правительства. Очередь за Apple сделать хоть что-нибудь.