Kodėl dabar, kai Mac kompiuteriai tokie populiarūs jiems skirtų virusų nepadaugėja?

Pastaraisiais metais Mac kompiuterių populiarumas pradėjo augti geometrine progresija, tačiau kenkėjiškų programėlių jiems nepadaugėjo. Kodėl?

Tai, mano galva įdomus klausimas į kurį verta pabandyti atsakyti viešai.

Kenkėjiško kodo programėlių daugėja

2014 metų saugumo biuletenyje rašoma[1], kad kenkėjišką kodą turinčių programėlių skirtų OS X skaičius auga. Per 2014 metus buvo aptikta 1499 naujos OS X skirtos kenkėjų versijos ir tai yra 200-ais daugiau nei 2013 metais. Vidutiniškai vienam Mac kompiuterio vartotojui 2014 metais teko 9 kenkėjai. Ir nors beveik 1500 kenkėjų gali atrodyti didelis skaičius - jis yra juokingai mažas lyginant su tuo, kiek virusų priveisiama Windows operacinei sistemai.

Tiesa, daugiau nei pusė OS X kenkėjų yra AdWare moduliai, kurie patalpina nuorodas naršyklės mėgstamų svetainių sąraše, pakeičia numatytą naršyklės paieškos svetainę bei į lankomas svetaines įdiegia reklamas, kad šios generuotų pinigus.

Reikia paminėti, kad ne visi OS X skirti kenkėjai tokie „nekalti“. Yra ir Trojos keyloger’ių (sekančių klavišų paspaudimus ir tą informaciją perduodančių į programišių serverius), ekrano vaizdus fiksuojančių kodų bei juos taip pat išsiunčiančių į virusų komandinius centrus bei Wirelurker skirtas vogti duomenis iš prie Mac kompiuterio pajungtų iOS įrenginių.

  Pavadinimas atakų %*
1 AdWare.OSX.Geonei.b 9.04%
2 Trojan.Script.Generic 5.85%
3 Trojan.OSX.Vsrch.a 4.42%
4 Trojan.Script.Iframer 3.77%
5 AdWare.OSX.Geonei.d 3.43%
6 DangerousObject.Multi.Generic 2.40%
7 AdWare.OSX.Vsrch.a 2.18%
8 Trojan.Win32.Generic 2.09%
9 AdWare.OSX.FkCodec.b 1.35%
10 Trojan.OSX.Yontoo.i 1.29%
11 Trojan-PSW.Win32.LdPinch.ex 0.84%
12 AdWare.Win32.Yotoon.heur 0.82%
13 Trojan.OSX.Yontoo.j 0.80%
14 Exploit.Script.Generic 0.76%
15 AdWare.OSX.Bnodlero.a 0.58%
16 AdWare.JS.Agent.an 0.57%
17 Trojan.OSX.Yontoo.h 0.52%
18 Exploit.PDF.Generic 0.51%
19 AdWare.Win32.MegaSearch.am 0.50%
20 Trojan.Win32.AutoRun.gen 0.43%

* vartotojų patyrusių kenkėjo ataką procentas nuo visų ataką patyrusių vartotojų.

Vargu ar ką nustebinsiu pasakydamas, kad pagrindiniai būdai savo kompiuterį „apdovanoti“ tokiomis bacilomis yra Flash, Java , Adobe Reader, Microsoft Office bei aplikacijos atsisiųstos iš torent’ų.

OS X atsparesnė virusams

OS 9 saugumas buvo labai prastas ir kompiuteriuose su šia operacine sistema „slampinėjo“ nemažai virusų, tačiau pasirodžius OS X, joje senieji virusai neveikė, taip pat ir neveikė sukurti Windows operacinei sistemai. Tad OS X savo gyvavimą pradėjo be užkratų.

Sėkmingai Mac kompiuterį užkrėsti galintis kodas vadinamas „root kit“. Jis turi būti įdiegtas Mac kompiuteryje vartotojo turinčio root teises ir slepiasi maskuodamasis vienu iš OS (operacinės sistemos) komponentų. Apple saugumo komanda seniai apie tai žinojo ir ėmėsi eilės priemonių tokių užkratų atsiradimui sistemoje.

Atjungtos root teisės

Įdiegus OS X root vartotojas yra atjungtas. Visi root vartotojo teisių reikalaujantys veiksmai atliekami sudo komandos pagalba vartotojų turinčių administravimo teises. Tuo tarpu Windows operacinėje sistemoje vartotojai su teise administruoti kompiuterį turi ir root teises, o daugelis Windows kompiuterių apskritai turi tik vieną vartotoją - administratorių.

Paketų diegimas reikalauja vartotojo dėmesio

Diegiant paleidžiamus failus, jie yra blokuojami kaip „paketai“ ir apie tai informuojamas vartotojas bei prašoma leidimo tokį failą/aplikaciją įdiegti. Daugelis Windows schemų reikalauja leidimo įdiegti kiekvienam komponentui atskirai ir neretai vartotojas nežino ką atsakyti į tokius klausimus, kuriuose nurodomas failo pavadinimas. Klausimai užduodami taip dažnai, kad net patys atsargiausi vartotojai dažnai šią funkciją atjungia. Apple Mac kompiuteriams skirtoje OS įdiegta schema yra mažiau įkyri.

App Store

Apple sukūrė distribucinį modelį, kuriuo už tam tikrą mokestį gali naudotis programuotojai kuriantys aplikacijas Apple sistemoms. Prieš patekdamos į App Store, aplikacijos yra tikrinamos ir todėl vartotojas gali būti ramus, kad jose nėra jokio užkrato bei aplikacija atitiks Apple reikalavimus. Be to tai yra patogus būdas įsigyti aplikacijas - viskas vienoje vietoje. Tiesa, priešingai nei iOS aplikacijas, OS X skirtas aplikacijas nėra būtina pirkti iš Apple App Store ir vartotojai jas gali atsisiųsti iš kitų aplikacijų parduotuvių ar pirkti tiesiai iš aplikacijų kūrėjų (kas kartais būna vienintelis būdas arba šiek tiek pigiau).

Apple taiko labai griežtas sandbox (smėlio dėžės) taisyklės aplikacijoms platinamoms per App Store ir tai reiškia, kad kiekviena aplikacija „savo žaislus laiko savo smėlio dėžėje“ ir jei nori pažiūrėti į kitą (kitos aplikacijos) „smėlio dėžę“ - turi gauti išskirtinį leidimą, kurį suteikti arba atšaukti gali vartotojas. Ši apsauga yra sukurta Unix sistemos koncepto vadinamo chroot pagrindu verčiančiu kiekvieną aplikaciją veikti savo virtualios mašinos rėmuose (iOS tai vadinama „jail“). OS X šis metodas yra modifikuotas taip, kad aplikacijos diegiamos Applications aplanke, jų nustatymų ir konfigūraciniai failai saugomi vartotojo Library erdvėje, o bendros - daugiavartotojiškos aplikacijos diegiamos bendroje Library, tačiau joms nurodoma kiekvieno vartotojo atskirai klausti leidimo tam tikriems veiksmams atlikti. „Smėlio dėžės“ taisyklėms paklūstančios aplikacijos negali keisti sistemos nustatymų ar prieiti prie duomenų be vartotojo žinios.

Apple atsisako C

Apple dabar traukiasi nuo C kalbos palaikymo. C programavimo kalba atliko daug gero darbo OS X, tačiau jos besikartojančios klaidos atidaro aplikacijose saugumo spragas. Nors Apple stengdamasi pagreitinti procesą, galimybę kurti naująja Swift kalba suteikia nemokamai, nuo C ji per dieną nepabėgs ir pereinamasis laikotarpis truks metų metus, kol aplikacijos ir bibliotekos vis dar bus naudojamos ir palaikomos programuotojų, iki jų palaikymo terminas baigsis arba jie nuspręs jas perrašyti visiškai iš naujo.

Jei domina Apple sistemų saugumo informacija, ją paskaitinėti galite Apple svetainėje.

Baigiamasis žodis

Nežiūrint to, kad OS X yra labai saugi sistema, jos imuninei sistemai, dažniausiai, pirminę grėsmę kelia ne elektroniniai, o biologiniai faktoriai - vartotojai. Atsisiuntimas ir diegimas kompiuteryje bet kokių aplikacijų iš bet kokių, abejotino patikimumo šaltinių, aklas baksnojimas ir sutikimas su bet kokia informacija rodoma kompiuteryje patvirtinant leidimą diegti ar atlikti tam tikrus veiksmus ar net įdiegtų apsaugos sistemų atjungimas.

Yra Mac kompiuterių vartotojų, kurie rašo klausdami, kaip atjungti OS X apsaugas, kad sistema kaskart neklausinėtų ar vartotojas sutinka atidaryti iš interneto atsisiųstą failą. Yra ir tokių, kurie pageidauja nustatymo leidžiančio diegti net tas aplikacijas, kurias Apple apsaugos sistema identifikuoja kaip pavojingas. Taip, yra būdas leidžiantis panaikinti failų atributų tikrinimą sistemoje, tačiau aš to būdo čia nerašysiu, nes ir be jo kai kurie Mac Arena skaitytojai sugeba prisiveisti bacilų. Parašysiu tik tiek - smalsiems, kad per naršyklę atsisiųstam failui suteikiamas karantino (com.apple.quarantine) atributas, kuris informuoja sistemą apie tai ir ši klausia vartotojo sutikimo tokio failo atidarymui.

Jei norite patikrinti:

  • atsisiųskite kokį nors failą iš interneto svetainės (tai gali būti iš svetainės pertemptas paveiksliukas ar bet kas)
  • atidarykite Terminal aplikaciją ir jos lange parašykite xattr padėkite tarpą, pertempkite atsisiųstą failą į Terminal aplikacijos langą ir paspauskite Enter ↲

komandos gramatika:
xattr /kelias/i_faila/failo_pavadinimas
arba
xattr -l /kelias/i_faila/failo_pavadinimas

Terminal aplikacijos lange greičiausiai pamatysite: com.apple.quarantine eilutę. Dažnai tai nėra vienintelis atributas ir failas saugo svetainės iš, kurios buvo atsisiųstas adresą, naršyklės informaciją ir t.t. šiai informacijai pamatyti reikalingi papildomi komandiniai raktai informaciją apie kuriuos rasite xattr komandos pagalbos informacijoje.

Internete pilna įvairiausių aplikacijų ir dažnai nauji Mac vartotojai, vis dar neapsisprendę ko jiems iš sistemos reikia bei norintys viską išbandyti, užkimba ant įvairių, neretai nenaudingų, o kartais ir pavojingų aplikacijų.

  • Nenaudingomis aplikacijomis aš vadinu tas aplikacijas, kurios dubliuoja OS X galimybes. Tokių aplikacijų yra prikurta be galo daug. Mano patarimas naujiems OS X vartotojams būtų pradžioje pasidomėti ar tikrai nėra būdo, aplikacijos ar metodo atlikti jiems reikalingo veiksmo jau esančiomis OS X priemonėmis ir tik po to, gerai patikrinus šaltinį, diegti kitą aplikaciją.
  • Pavojingomis aplikacijomis aš vadinu aplikacijas, kurios daro pakeitimus sistemoje. Neretai tokios aplikacijos gali būti naudingos ir prieš atlikdamos vieną ar kitą veiksmą vartotojo klausia sutikimo. Dažniausiai bėda nutinka tada, kai vartotojas neturi jokio supratimo apie tai nei kas tie failai, kuriuose bus atliekami pakeitimai (ar jie bus trinami) ir aklai sutinka su aplikacijos rekomendacijomis.
    Kita pavojingų aplikacijų grupė yra tokios aplikacijos kaip MacKeeper, kurią platinančios įmonės turi labai prastą reputaciją, vykdo nepaprastai agresyvią aplikacijos reklamos politiką ir dažnai griebiasi nesąžiningos reklamos veiksmų (kaip pvz. staiga praneša, kad svetainėje aptiktas virusas ir yra tikimybė, kad ir Mac kompiuteris apsikrėtė ir todėl padėti gali tik MacKeeper). Iš kitos pusės žiūrint įdiegta MacKeeper ar panašios aplikacijos kompiuteryje pačios elgiasi taip kaip virusai ir todėl ar rekomenduočiau nuo tokių aplikacijų laikytis kiek galima nuošaliau.

Net kai kurios, mano galva, vis dar nereikalingos antivirusinės aplikacijos skirtos Mac, prisijungė prie AdWare komandų ir diegiant jas kompiuteryje įdiegia tai, su kuo pačios turėtų kovoti. Viena tokių adware Mac kompiuteryje įdiegiančių antivirusinių aplikacijų yra Avast.

Naudokitės tuo saugumu, kurį jums suteikia Apple sistemos, nepiktnaudžiaukite juo ir nemažinkite stengdamiesi apsisaugoti nuo poreikio papildomai įvesti slaptažodį (jei aplikacijų nediegiate kasdien, tai neturėtų trikdyti, o jei jas diegiate kasdien turėtumėte susimąstyti ar tikrai jums to reikia). Nediekite bet ko iš bet kur, nesinaudokite kompiuteriu dirbdami administratoriaus privilegijas turinčiu vartotoju (ypač jei esate jam įjungę root priėjimą), nediekite nereikalingų aplikacijų ir jūsų „obuolys“ bus sveikas kaip ridikas.


  1. Rašydama tokius biuletenius Kaspersky Lab bei kitos kibernetinės erdvės saugumu užsiimančios kompanijos yra suinteresuotos įtikinti vartotojus naudoti jų produktus ir atitinkamai dar geriau atrodyti skelbiant tokią informaciją, nes kiekviena antivirusinė aplikacija periodiškai siunčia kūrėjams duomenis apie sulaikytas bei aptiktas piktybinio kodo programėles.  ↩

Apytikslis skaitymo laikas – 7 minutės.
Pasidalinti straipsniu:

Apie Ramūną Blavaščiūną

Fotografijos, geros technikos ir kavos mylėtojas, didelę savo laisvalaikio dalį skiriantis straipsnių „Mac Arena“ rašymui.

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*