macnotes.gr
a blog for first time Mac users

Διαχείριση κακόβουλου λογισμικού (malware) στο Mac OS X

Aug. 16th 2013 0 comments

Το περιβάλλον Windows βρίθει από malicious software (malware) ή κακόβουλο λογισμικό αν προτιμάτε και ιδιαίτερα από ιούς (virus). Ετσι δημιουργήθηκε η κοινή πλέον πεποίθηση ότι όλα τα computers είναι εκτεθειμένα σ’ αυτές τις απειλές και ότι είναι επιπόλαιο να γίνεται χρήση τους χωρίς κάποιας μορφής προφύλαξη.

Αυτή η άποψη είναι ολοφάνερη σε χρήστες PC / Windows computers που μετακινήθηκαν σε συστήματα Mac και που αμέσως σπεύδουν να εγκαταστήσουν antivirus utilities στα μηχανήματα τους πιστεύοντας ότι είναι απαραίτητο στοιχείο και του νέου τους computer.

Στο περιβάλλον Mac OS X δεν απαντώνται ιοί, πάντως επικράτησε ο χαρακτηρισμός virus και για το trojan ή trojan horse, το malware που απαντάται σε Mac computers.

Virus είναι software σχεδιασμένο να καταστρέφει αρχεία και φακέλους σε συστήματα Windows. Ο τεχνικός δε προσδιορισμός του είναι ένα κακόβουλο πρόγραμμα που εγκαθίσταται, ενσωματώνεται αυτόβουλα μέσα σε ένα άλλο πρόγραμμα (εφαρμογή) ή σε αρχείο και εξαπλώνεται, διαδίδεται σε άλλα computers.

Trojan ή trojan horse αποκαλούνται όλες οι μορφές malware που μπορεί να προσβάλλουν το Mac OS X. Πρόκειται για software (εφαρμογές, preference panes, utilities) που δεν κινεί υποψίες, όμως στην πραγματικότητα εγκαθιστά λογισμικό που ανοίγει μια “πίσω πόρτα” (back door) στο σύστημα. Αυτή η πίσω πόρτα λοιπόν επιτρέπει στον hacker πρόσβαση στα αρχεία και θεωρητικά σε όλο το OS X. Ένα μολυσμένο από trojan μηχάνημα τυπικά γίνεται τμήμα ενός botnet (μηχανήματα, που τα συστήματα ασφαλείας τους έχουν παραβιασθεί και ελέγχονται πλέον από τρίτους μέσω network protocols όπως IRC και HTTP).

Το blog The Safe Mac έχει αναρτήσει μια λίστα με γνωστά Mac malware, όπου ο βαθμός επικινδυνότητας τους είναι από μηδενικός, έως πολύ χαμηλός σε ελάχιστα από αυτά.

Σε μια συνεχή προσπάθεια της Apple λοιπόν για ανάπτυξη και βελτίωση του επίπεδου ασφάλειας, τo OS X έχει σήμερα σε ισχύ τρεις διατάξεις ασφάλειας ή τρεις γραμμές άμυνας αν προτιμάτε για αντιμετώπιση malware· το XProtect, το Gatekeeper και το Malware Removal Tool (MRT) που περιγράφονται στη συνέχεια.

1. XProtect. Εντοπίζει γνωστό Mac malware σε αρχεία που κατεβαίνουν από το δίκτυο και μπλοκάρει επισφαλή web plugins. Το XProtect δεν έχει user interface, ενώ η malware database ελέγχεται για updates μια φορά την ημέρα, συνεπώς δεν θα πρέπει κανείς να βασίζεται σε αυτό αφού προφανώς οι επιτιθέμενοι είναι τουλάχιστον μια ημέρα μπροστά από τους αμυνόμενους.


(παράδειγμα XProtect warning. Image credit Apple)

2. Gatekeeper. Εγγενώς, μπορούν να τρέξουν πλέον μόνο signed εφαρμογές και installer packages που κατεβαίνουν από το Mac App Store και από τα sites πιστοποιημένων developers. Μπορείτε να ανατρέξετε τον οδηγό του εδώ.

3. Malware Removal Tool (MRT). Τρέχει αυτόματα στο background σε updates του OS X. Ελέγχει και απομακρύνει malware που μπορεί να διέφυγε από τα άλλα επίπεδα ασφάλειας εκμεταλλευόμενο το Java (δείτε την § 5). Επίσης, το MRT τρέχει όταν εγκαθιστάτε ή αναβαθμίζετε (update) το Apple-συνοδευτικό Java runtime (όχι όμως το Oracle runtime). Όπως και το XProtect, το MRT τεκμαρτά είναι αποτελεσματικό για γνωστό malware, αλλά ίσως όχι σε άγνωστο. Ενημερώνει σε εντοπισμό malware, αλλά δεν έχει user interface.

XProtect, Gatekeeper και MRT περιστέλλουν μεν τον κίνδυνο από επίθεση malware, αλλά δεν μπορούν να χαρακτηρισθούν σαν η απόλυτη προστασία.

➠ Ενώ μπορείτε να δημιουργήσετε μια ακόμη γραμμή άμυνας μέσω του OS X. Λεπτομέρειες στο άρθρο.

Πάντως η πρώτη και καθοριστική γραμμή άμυνας είναι ο ίδιος ο χρήστης, αφού το σύστημα ασφαλείας του OS X δεν επιτρέπει να εγκατασταθεί η οποιαδήποτε εφαρμογή, χωρίς την δική του έγκριση.

4. Με την πιθανή εξαίρεση της “πίσω πόρτας” του Java, όλα τα γνωστά malware που κυκλοφορούν στο δίκτυο και που προσβάλλουν εγκαταστάσεις του OS X 10.6 και μεταγενέστερες όπως αναφέρθηκε προηγούμενα έχουν την μορφή trojan, ενώ μπορεί να ενεργοποιηθούν μόνο όταν ο χρήστης εξαπατηθεί ή πεισθεί αν θέλετε και τα τρέξει.

Σε παρουσία λοιπόν ενός trojan, πιθανότατα θα προκύψει κάποιο warning από το MRT, ενώ αν θελήσετε να το εγκαταστήσετε θα εμφανισθεί τουλάχιστον το μήνυμα και περισσότερα μηνύματα όταν πρόκειται για δόλια ιστοσελίδα.

Για πρόληψη δυσάρεστων καταστάσεων λοιπόν συνιστάται το ασφαλές (safe) computing, όπου αποφεύγετε :

  • Κάθε ιστοσελίδα που ζητά να εγκαταστήσετε ένα “codec”, “plug-in”, “player”, “extractor” ή “certificate” που προέρχεται από την ίδια ιστοσελίδα
  • Τον web operator που λέει ότι έχετε έναν virus ή ότι συμβαίνει κάτι άλλο με το μηχάνημα σας
  • Πειρατικές κόπιες ή “cracks” εμπορικού λογισμικού, ανεξάρτητα από την προέλευση τους
  • Λογισμικό κάθε είδους που κατεβαίνει από ένα BitTorrent ή από ένα Usenet binary newsgroup
  • Λογισμικό που φέρεται να σας βοηθάει σε κάτι μη σύννομο ή παραβιάζει copyright όπως αποθήκευση streamed audio ή video για χρήση χωρίς άδεια. Τα YouTube “downloaders” εμπίπτουν στην κατηγορία, παρότι δεν είναι όλα εκ προοιμίου επιζήμια
  • Λογισμικό με εταιρικό σήμα, για παράδειγμα το Adobe Flash Player, πρέπει να κατεβεί απ’ ευθείας από την σελίδα του developer. Από οποιαδήποτε άλλη πηγή, το Flash Player κι όχι μόνο δεν είναι ασφαλές. Δείτε και το άρθρο
  • Free εφαρμογές από τις σελίδες· Download.com, Softonic.com, Installmac.com, οι περισσότερες από αυτές τις εφαρμογές είναι φορείς frameworks κακόβουλου λογισμικού
  • Άνοιγμα email άγνωστου αποστολέα και κατ’ επέκταση άνοιγμα τυχόν links και attachments του
  • Εφαρμογές, ακόμη και signed, όταν κάνουν κάτι απρόσμενο όπως να ζητούν άδεια πρόσβασης στις επαφές σας, το location σας, ή στο Internet, χωρίς προφανή λόγο
  • Στο Safari ▹ Preferences ▹ General, δεν τικάρετε το box Open “safe” files after downloading. Αντίθετα στο Security, τικάρετε το box Warn when visiting a fraudulent website. Λεπτομέρειες στο άρθρο
  • Χρήση κοινόχρηστων δικτύων (Wi-Fi hot spots) χωρίς λήψη μέτρων προστασίας που αναφέρονται στο άρθρο tips για ασφαλές browsing σε Wi-Fi hot spots

5. To Java της Oracle (καμία σχέση με το JavaScript του OS X), είναι το ασθενές σημείο στην ασφάλεια όλων των λειτουργικών συστημάτων. Το Java είναι, μεταξύ άλλων, μια πλατφόρμα για να τρέξουν περίπλοκες εφαρμογές σε μια ιστοσελίδα, στην πλευρά του client. Αυτό ήταν ανέκαθεν προβληματικό, όπου οι developers του Java δεν κατάφεραν να το βελτιώσουν κλείνοντας την πίσω πόρτα σε malware. Απλά και μόνο λοιπόν φορτώνοντας μια σελίδα με κακόβουλο περιεχόμενο Java μπορεί να αποδειχθεί επιζήμιο.

Ευτυχώς, client-site Java στο δίκτυο είναι ξεπερασμένο και έχει σχεδόν εκλείψει. Μόνο μερικές παλιομοδίτικες σελίδες το χρησιμοποιούν ακόμη, οπότε προσπαθείτε να τις αποφύγετε κατά το δυνατόν. Επίσης, ξεχνάτε μη ουσιαστικές δραστηριότητες ή παιγνίδια με Java.

Το Java δεν περιλαμβάνεται πλέον στο OS X 10.7 και μεταγενέστερο, ενώ discrete Java installers διατίθενται από την Apple και τον παραγωγό του Java, Oracle. Μην εγκαθιστάτε καμία version, εκτός και την χρειάζεστε. Οι περισσότεροι χρήστες δεν την χρειάζονται, ενώ την απ-ενεργοποιείτε (όχι το JavaScript) εφ’ όσον βρίσκεται στους browser σας.

Ανεξάρτητα από την version, η εμπειρία έχει δείξει ότι το Java στο δίκτυο είναι αναξιόπιστο. Αν λοιπόν πρέπει να χρησιμοποιήσετε ένα Java applet για εργασία σε συγκεκριμένη σελίδα ενεργοποιείτε το Java για το Safari όπως περιγράφεται μόνο για την συγκεκριμένη σελίδα.

Δεν ενεργοποιείτε ποτέ το Java για σελίδα που περιέχει διαφημίσεις. Το χρησιμοποιείτε μόνο σε γνωστές log-in προστατευμένες σελίδες. Στο Safari 6 και μεταγενέστερο στο address bar θα δείτε ένα λουκέτο και την σύντμηση “https” όταν επισκέπτεστε μια ασφαλή σελίδα.

Κλείνοντας την ενότητα, ακολουθώντας τις παραπάνω οδηγίες θα είστε ασφαλείς από malware στο μέγιστο βαθμό.

Τι ΔΕΝ πρέπει να κάνετε για προστασία από malware

1. Δεν εγκαθιστάτε ποτέ anti-virus ή Internet security utilities (scanners) για Mac, για τους παρακάτω λόγους.

  • Ο σχεδιασμός τους βασίζεται στην ανύπαρκτη απειλή ότι το malware μπορεί να προκύψει οποτεδήποτε, σε οποιοδήποτε σημείο του file system. Όμως το malware κατεβαίνει από το δίκτυο, δεν εμφανίζεται από το πουθενά, ούτε εγκαθίσταται αυτόβουλα.
  • Για να αντιμετωπισθεί λοιπόν αυτή η ανύπαρκτη απειλή, το utility μετατρέπει ή κοπιάρει low-level functions του OS X, κάτι που συνιστά σπατάλη πόρων ενώ είναι σύνηθες αίτιο πρόκλησης αστάθειας στο σύστημα, bugs και μείωσης επιδόσεων.
  • Λόγω παρεμβάσεων στο OS X, μπορεί να προκύψουν αδυναμίες που ενδέχεται να το εκθέσουν σε επίθεση malware.

Πάντως αν τρέχετε και Windows, μόνο τότε εγκαθιστάτε το free ClamXav – τίποτε άλλο. Το ClamXav δεν έχει τα αναφερόμενα μειονεκτήματα, κάτι που δεν σημαίνει βέβαια ότι είναι απόλυτα ασφαλές.

Επιπλέον ενδέχεται να αναφέρει ότι μηνύματα email έχουν “phishing” links στο σώμα τους ή Windows malware σε attachments, μολυσμένους φακέλους και να προτείνει να τα διαγράψει ή να τα μεταφέρει κάτι που θα αλλοιώσει την Mail database. Αν αποφασίσετε να τα διαγράψετε το κάνετε μέσω του Mail app (Edit ▹ Delete). Σε κάθε περίπτωση και προτού προβείτε σε οποιαδήποτε ενέργεια συνιστάται να αναζητήσετε το θέμα σας στο ClamXav forum.

Σαφώς, το ClamXav δεν χρειάζεται για το Mac OS X και δεν πρέπει να το εμπιστεύεται κανείς για προστασία από OS X malware. Είναι χρήσιμο μόνο σε εντοπισμό Windows malware που δεν μπορεί να βλάψει άμεσα το OS X.

2. Φαίνεται να είναι κοινή πεποίθηση, ότι το Firewall του OS X λειτουργεί σαν φραγή στην μόλυνση από malware ή ότι αποτρέπει την λειτουργία του, κάτι που δεν ισχύει αφού απλά μπλοκάρει μόνο ανεπιθύμητες εισερχόμενες συνδέσεις. Λεπτομέρειες στο άρθρο διαχείριση του Firewall στο OS X.

3. Σαν Mac user δεν πρέπει να ζείτε με τον φόβο ότι το μηχάνημα σας πρόκειται να μολυνθεί κάθε φορά που εγκαθιστάτε μια εφαρμογή, διαβάζετε email, ή επισκέπτεστε μια σελίδα. Αλλά ούτε πρέπει να έχετε την εσφαλμένη άποψη ότι θα είστε πάντοτε ασφαλείς, ανεξάρτητα του τι κάνετε.

Η μεγαλύτερη ζημιά που προκαλείται από το security software είναι το βασικό του επιχείρημα για πώληση : κάνει τον χρήστη να αισθάνεται ασφαλής. Οπότε μπορεί κανείς να αισθάνεται τόσο ασφαλής και να διακινδυνεύει την ασφάλεια του με ενέργειες από τις οποίες το software δεν τον προστατεύει.

Τίποτα δεν μπορεί να περιορίσει την αναγκαιότητα για πρακτικές ασφαλούς (safe) computing !.

Related posts :

0 comments Add a comment


No comments yet.

Add a Comment





reset all fields