;

Vyhnání z ráje: Jablko už není nedotknutelné

20. 3. 2012
Doba čtení: 4 minuty

Sdílet

 Autor: Fotolia © babimu
Hrozby pro platformu Mac rychle stoupají žebříčky četnosti výskytu malwaru – děje se tak proto, že si Mac OS X získává přízeň stále více uživatelů a výrazněji se uplatňuje také v podnikové sféře.

S ohledem na to, jak nízké povědomí o (ne)bezpečnosti této platformy uživatelé mají, se pro útočníky jedná o jednu z oblastí, na něž se v blízké budoucnosti zaměří nejintenzivněji.

Uvedené tvrzení se opírá o výsledky průzkumu provedeného v USA společností iSec Partners  – podle něj se jen 20?% Američanů domnívá, že počítače Mac mohou být náchylné k napadení počítačovými viry. Naproti tomu o PC si nadpoloviční většina respondentů myslela, že jsou „zranitelné“ nebo dokonce „velmi zranitelné“. To v konečném důsledku znamená, že si uživatelé Maců připadají velmi bezpečně a nepociťují potřebu se před hrozbami jakkoliv chránit. Stávají se tak paradoxně daleko zranitelnějšími v porovnání s uživateli PC, kteří již s nejvyšší pravděpodobností měli nějaký problém s malwarem, a tak se chovají výrazně zodpovědněji.

MacDefender již neútočí, ale...

Hrozby pro platformu Mac byly dosud povětšinou navrženy v duchu sociálního inženýrství  – příkladem může být například MacDefender, falešný antivirus, který se snažil vynutit pozornost uživatelů tím, že přímo zaútočil na jejich přesvědčení o domněle dokonalé bezpečnosti Maců a varoval je před možnými riziky. MacDefender se objevil v dubnu a květnu  – společnost Apple reagovala s mírným zpožděním tak, že vydala patch, který uvedenou zranitelnost odstranil a z nakažených počítačů nežádoucí software smazal.

Alex Stamos z iSec Partners tvrdí, že počítače Mac vybavené OS X Lion jsou tak zranitelné, že by neměly být sdružovány do počítačových sítí. Myslí si, že by Macy měly být využívány pouze jako samostatné počítače a měly by být zapojovány pouze do IP nebo Windows sítí, ne těch, které jsou primárně navrženy pro Mac. Síťové protokoly Mac Serveru, zejména pak DHX uživatelská autentizace, jsou podle něj navrženy pro snadné používání, ale rozhodně ne z hlediska zajištění potřebné bezpečnosti. Pro hackery je podle Stamose velmi snadné přesvědčit uživatele, aby realizoval download souboru, který následně způsobí přetečení bufferu v paměti serveru, a umožní tak útočníkovi přístup ke v zásadě libovolným právům. DNS služby v Apple sítích podle Stamose nevyžadují šifrování, a tak jsou náchylné na malware, který dokáže odposlechnout ID jednotlivých strojů a následně je replikovat. Rizikové je rovněž chování VPN spojení, kdy po jeho přerušení v paměti Macu zůstávají uloženy komunikační klíče, jež mohou být snadno zneužity. Mac servery uznávají celou řadu autentizačních protokolů, ale nedokážou zabránit malwaru v tom, aby prováděl postupný downgrade na nejméně bezpečný z nich, čímž mu v zásadě umožňují hledání nejméně bezpečného bodu a jeho následné prolomení.

„Provozujte svůj Mac jako malý ostrůvek v nepřátelském oceánu,“ navrhuje Stamos. „Jakmile jednou nainstalujete OS X Server, stáváte se až příliš snadnou kořistí,“ uzavírá celou problematiku.

Počítače Mac napadlo menší Tsunami

V průběhu října objevil výzkumný tým společnosti Eset novou hrozbu, jež byla původně vytvořena pro Linux a která nyní může ohrozit počítače s operačním systémem Mac OS X. Jedná se o modifikaci linuxového kódu, původně označovaného jako Linux/Tsunami a nyní detekovaného jako OSX/Tsunami.A.

Trojan pro Mac OS X přezdívaný Tsunami je backdoor řízený přes otevřený protokol IRC (Internet Relay Chat), který umožňuje, aby se nakažený počítač stal botem pro útoky typu distribuovaného odmítnutí služby (Distributed Denial of Service). Obsahuje pevně definovaný seznam IRC serverů a kanálů, k nimž se pokouší připojit, a následně jako klient „naslouchá“ a provádí příkazy přicházející z vytvořeného kanálu. Tento backdoor umožňuje vzdálenému uživateli stahování a posílání souborů, například dalšího malwaru nebo aktualizace kódu Tsunami, a navíc vykonávání příkazů v prostředí příkazového řádku, což mu v zásadě otevírá cestu k ovládnutí infikovaného počítače.

„Dva vzorky stejného kódu byly nalezeny v různých částech světa, byly mezi nimi však drobné rozdíly. Telemetrická data společnosti Eset navíc indikují velmi malý počet nakažených hostitelských počítačů, což naznačuje, že tento malware je zatím ve fázi testování. Tato hrozba není nijak vyspěle propracovaná ani složitá, takže riziko pro uživatele počítačů Mac není značné,“ říká Pierre-Marc Burelu, vedoucí výzkumu malwaru ve společnosti Eset.