Развеян миф о неприступности платформы MacOS X для вредоносного кода
Символ компании Apple — надкушенное яблоко. До недавнего времени этот символ было принято объяснять тезисами о простоте и доступности компьютеров Apple, пользоваться которыми не сложнее, чем яблоко откусить. Совсем другого рода объяснения появились в феврале нынешнего года, вслед за первыми сообщениями о червях и взломах MacOS.
Разрушение имиджа MacOS X как абсолютно безопасной операционной системы начал червь Leap (CME-4). Он использовал для распространения компонент MacOS X iChat, который является средством обмена мгновенными сообщениями. Червь рассылал себя пользователю, который изменял свой статус в системе, маскируясь под архив изображений latestpics.tgz. Заражение происходило, когда доверчивый пользователь распаковывал этот архив и запускал исполнимый файл. Червь был замечен в живом виде, хотя и в незначительных количествах.
Второй червь Inqtana появился буквально на следующий день. Он был написан на языке Java и использовал уязвимость в реализации Bluetooth, но самоуничтожался после 24 февраля. Впрочем, спустя несколько дней антивирусные компании выявили еще два варианта этого червя, у которых уже не было функции самоуничтожения. Как только появились первые сообщения о червях для MacOS, компания Sophos провела опрос пользователей и выяснила, что 79% из них считают, что MacOS столь же подвержена вирусам, как и Windows, но большинство (59%) надеются, что вирусов для этой операционной системы будет меньше.
Параллельно шел процесс взлома защищенного варианта MacOS для Intel. Некоторое время назад компания Apple назад выпустила компьютеры на процессорах Intel, а к ним и соответствующую версию MacOS, у которой была одна особенность — ОС не запускалась на компьютерах других производителей. Защита основана на широко рекламируемой специальной микросхеме TPM, в которой, в частности, хранятся ключи для дешифрования операционной системы. Однако хакер, назвавшийся Maxxuss, снял эту защиту и дешифровал MacOS, которую с его исправлениями можно установить и на других компьютерах с подходящим процессором. Впрочем, буквально в то же самое время в Apple выпустили обновления для ОС. Но спустя девять дней Maxxuss вскрыл и эту защиту. Таким образом, простой аппаратной защиты недостаточно — ее еще нужно и правильно использовать.
Обновления, которая выпустила Apple, исправляли известные на тот момент ошибки, но уже после была найдена ошибка обработки ZIP-архивов, которая позволяла исполнить код при помощи манипулирования метаданными архива. А затем компания iDefense опубликовала сообщения о еще двух ошибках в MacOS X. Одна была связана с неправильной работой с файлом /usr/bin/passwd, где хранились хеши паролей. Вторая ошибка обнаружилась в компоненте BOMArchiveHelper, который можно было заставить исполнить любой код из браузера Safari. Следует отметить, что MacOS (точнее, ее ядро Darwin), является операционной системой с открытыми кодами, которые доступны любому. При этом в ней используются компоненты, которые распространяются на условиях лицензии GPL, являясь более общими проектами. Поэтому найденные в них ошибки будут распространяться и на MacOS. Поэтому MacOS является потенциально уязвимой для поиска дефектов защиты, поскольку для нее открыты исходные тексты; к тому же она, в отличие от Linux, является клиентской операционной системой.
Примерно в то же время, когда появились первые черви для MacOS X, один шведский любитель MacOS пожертвовал собственным компьютером Mac mini для проведения конкурса rm-my-mac. Он сымитировал условия работы сервера под управлением MacOS, на котором был запущен ряд сетевых сервисов. Условия конкурса предполагали, что хакер должен получить права доступа с привилегиями администратора, который может удалить любой файл или установить свое программное обеспечение. Спустя несколько часов машина оказалась взломанной; победитель, который выступал под псевдонимом gwerdna, объявил, что взлом машины занял у него полчаса. Правда, сначала он пытался найти ошибку в конфигурации сервисов, но затем просто воспользовался одним из эксплойтов, который был рассчитан на неизвестную еще ошибку. Таким образом, оказалось, что защита MacOS так же непрочна, как и защита других операционных систем, и к тому же в ней есть несколько неизвестных ошибок, которые позволяют установить над ОС удаленный контроль.
Хронология
Краткая история крушения мифа о неприступности платформы MacOS X для вредоносного кода
14 февраля Взломана защита MacOS for Intel; выпущена ее новая версия MacOS X 10.4.5
16 февраля Обнаружен червь Leap (CME-4)
17 февраля Зарегистрирован червь Inqtana
21 февраля Обнаружены еще две модификации Inqtana
22 февраля Зарегистрирована ошибка в ZIP-архивах
22 февраля Проведен конкурс rm-my-mac
23 февраля Взломана защита MacOS X 10.4.5
2 марта Опубликована информация о еще двух ошибках в MacOS X
6 марта Выпущены исправления для 20 ошибок в MacOS X