Наверняка вы уже слышали о поддельных антивирусах – программах, представляющихся антивирусами, но в действительности инфицирующих системы вредоносным кодом.
На появление очередного поддельного антивируса Apple реагировала обновлениями блокирующего списка, который дебютировал парой лет раньше. Также Apple выпустила специальный инструмент, который избавляет зараженные машины от вредоносной программы Mac Defender и ее различных вариантов.
На этом Apple не остановилась. Этим летом она вместе с OS X Mountain Lion представит новую защитную модель – Gatekeeper. Gatekeeper будет блокировать самый распространенный тип вредоносных программ для Mac: троянских коней, которых пользователи регулярно качают из Интернета под видом взломанного софта и запускают на своих Mac.
По умолчанию, на Mountain Lion можно будет установить лишь те программы, которые скачаны с Mac App Store, либо программы с подписанные цифровыми сертификатами зарегистрированных пользователей.
Каждый цифровой сертификат привязан к отдельному разработчику или компании. Это позволит Apple выявлять, кто ответственен за конкретную вредоносную программу. Также Apple сможет аннулировать сертификаты и блокировать разработчиков.
Apple не будет просматривать программы от третьих лиц с цифровыми подписями, однако Gatekeeper позволит компании наказывать разработчиков вредоносных программ, и, аннулируя сертификаты, блокировать новые установки и подавлять вредоносные кампании на их ранних стадиях.
Экран настроек Security & Privacy в Mountain Lion предоставляет опции для усиления или ослабления бдительности Gatekeeper. При выборе опции "Mac App Store", установке подлежат лишь те программы, которые скачаны с магазина Apple. Выбор же опции "Anywhere" позволяет пользователям устанавливать программы из любых источников. Последняя опция, по сути, является широко распространенной моделью установки программ, которую Mac и Windows использовали с самого младенчества эпохи персональных компьютеров.
На настройках по умолчанию, Gatekeeper, основу которого Apple разрабатывала в течение нескольких лет, составляет список проверенных программ. Директор по безопасности nCircle Security, сравнил Gatekeeper с “гигантской белой кнопкой”. Некоторые другие эксперты по безопасности также полны энтузиазма относительно Gatekeeper.
Так, Рик Могулл (Rich Mogull), консультант по безопасности и аналитик Gartner, назвал Gatekeeper – возможностью, которая изменяет все и будет сильно мешать хакерам.
Со слов Могулла, Gatekeeper наносит удар по экономике широко распространенных вредоносных программ. И если больше пользователей станут использовать Gatekeeper, а т.к. данная возможность включена по умолчанию, то это, скорее всего так, то она ударит и по прибыльности индустрии фишинга.
Стивен Франк (Steven Frank), один из основателей компании Panic, сказал, что Gatekeeper является весьма приятным компромиссом между закрытой моделью, которую Apple использует в iOS, и свободной установкой. “Мы думаем, Gatekeeper является новой смелой возможностью, которая должна творить чудеса для безопасности вашего Mac долгие годы”, написал Франк.
В тоже время другие аналитики к Gatekeeper отнеслись довольно скептически.
Так, небезызвестный Чарли Миллер (Charlie Miller), старший консультант компании безопасности Accuvant и исследователь безопасности Mac и iOS, заявил, что проверка сигнатур при первом запуске скачанной программы – это не то же самое, что и принудительное подписание кода, какое есть в iOS.
В этой фразе Миллер имел ввиду практику Gatekeeper проверять сертификат приложения для Mac лишь один раз, после того как оно было скачано и до его установки: если сертификат недействителен, или был аннулирован, то пользователь не сможет установить его. Но уже установленные приложения остаются на Mac и могут продолжать свою работу, даже после того, как Apple аннулировала сертификат их разработчика.
Такой подход отличается от того, что принят для приложений iOS. Подписание кода приложений iOS запрещает им использовать неразрешенные команды, после того как они были скачаны и установлены. При этом, следует понимать, что Миллер является экспертом в этом вопросе. В прошлом ноябре он продемонстрировал ошибку в iOS, которая позволила ему обойти подписание кода в Apple iOS App Store.
Кроме того, еще один эксперт безопасности – Чет Вишневски (Chet Wisniewski), исследователь антивирусной компании Sophos, отметил, что Gatekeeper не сможет воспрепятствовать некоторым вредоносным программам, которые атакуют по более сложной схеме. С его слов, Gatekeeper в своей работе просматривает лишь исполняемые файлы. Поэтому все, что само по себе не является трояном, вроде вредоносных PDF, Flash, shell-скриптов и Java все-таки сможет работать.
Также смогут запуститься файлы с USB-накопителей и CD/DVD/BR. Таким образом, по мнению Вишневски, однократная проверка сертификата в совокупности с вышеупомянутыми ограничениями сканирования файлов значительно ослабляют полезность Gatekeeper.
Поэтому, за идею Gatekeeper, Вишневски поставил Apple “Отлично”, а за реализацию – “Единицу”.
К слову, он же вспомнил, что примерно 20 лет назад существовал антивирус для Mac, называвшийся Gatekeeper. И даже иконка оригинального Gatekeeper весьма похожа на новую попытку Apple.
Комментарии (0)