Mountain Lion Gatekeeper атакует вирусы

10

Червяк на яблочке

Сумеет ли Gatekeeper, новая модель безопасности Mountain Lion, заставить вредоносные программы забыть дорогу на Mac? Мнения экспертов в области компьютерной безопасности разделились. В то время как одни уверяют, что Gatekeeper является невиданным прорывом в области защиты компьютера от угроз, другие считают, что этой технологии безопасности нечего противопоставить некоторым видам зловредного ПО.

Новый подход к решению старой проблемы

В OS X Mountain Lion компания Apple реализовала новый подход к обеспечению безопасности, который состоит в том, что по умолчанию пользователь сможет устанавливать программное обеспечение только из Mac App Store или те приложения, которые подписаны зарегистрированными разработчиками.

Некоторые эксперты в восторге от этой новой технологии защиты по имени Gatekeeper, другие же критикуют ее, считая слишком ограниченной в своих возможностях.

Gatekeeper предотвращает установку большинства видов вредоносных программ для Mac, а именно «троянов», которые маскируются под полезные программы и могут быть установлены пользователем.

В прошлом году было несколько «эпидемий» вредоносных программ для Mac, маскирующихся под антивирусы. Надо сказать, что их было очень немного, но, поскольку Mac считается абсолютно защищенной системой, они наделали немало шума на просторах Интернета. Компания Apple отреагировала на распространение этих программ обновлением появившегося два года назад списка блокировки.

Apple пришлось потрудиться над разработкой средства для очистки компьютеров, заразившихся вредоносной программой «Mac Defender». По всей видимости, в Купертино решили окончательно поставить точку в вирусной истории. Поэтому в Mountain Lion, операционной системе, которая станет доступна пользователям летом 2012 года, используется механизм, ставящий практически непреодолимый барьер для большинства вредоносных программ.

Таким образом, в новой операционной системе по умолчанию допускается установка программ только из Mac App Store или приложений от сертифицированных разработчиков.

Подписанные сторонними разработчиками Apple не исследует, но Gatekeeper позволяет компании предпринимать действия против разработчиков вредоносного ПО. Apple может аннулировать сертификат, блокировав таким образом дальнейшие установки вредоносного приложения. Это позволит компании не допустить развития «эпидемии», погасив ее очаг в самом начале.

Впрочем, настройки безопасности и приватности Mountain Lion позволяют сделать ограничения Gatekeeper более строгими или, наоборот, ослабить бдительность инструментария безопасности. Если выбрано только «Mac App Store», программное обеспечение сможет быть установлено только из источника приложений Apple. Если пользователь выберет «Anywhere», то ограничения будут сняты и приложения можно будет устанавливать из любого источника, то есть вернуться к той привычной открытой модели, которая применяется в Mac и Windows PC изначально.

Настройки Gatekeeper по умолчанию стали очередным шагом в тенденции Apple отхода от этой традиционной открытой модели. OS X шла к подобному «белому списку» приложений несколько лет. Директор по операциям безопасности nCircle Security считает Gatekeeper «гигантской кнопкой белого списка приложений».

Некоторые эксперты в восторге от Gatekeeper

Ряд экспертов в области безопасности встретили Gatekeeper с энтузиазмом. Консультант в области безопасности и бывший аналитик Gartner Рич Могалл (Rich Mogull) в опубликованной вчера блогом TidBits назвал новую технологию защиты компьютера от угроз «меняющей правила игры». Опубликовав некоторые соображения о технических особенностях новой технологии, он уверяет, что эта модель безопасности «атакует» хакеров. Как отметил Рич Могалл:

Gatekeeper атакует экономическую сторону широко распространенного вредоносного ПО. Если большинство пользователей сохранят его настройки по умолчанию, очень вероятно, что Gatekeeper нанесет удар по доходам от фишинговых троянов.

Сооснователь Portland Стивен Фрэнк (Steven Frank) считает Gatekeeper «замечательным компромиссом» между полной открытостью и закрытой моделью iOS. Некоторых разработчиков пугает мысль о необходимости распространять свое программное обеспечение только через Mac App Store. Но и для таких разработчиков остается выход. Если пользователь не слишком обеспокоен безопасностью своего компьютера, он сможет на свой страх и риск разрешить установку приложений из любых источников. В блоге Panic Фрэнк написал следующее:

Мы считаем Gatekeeper смелой новой функцией, которая произведет нечто удивительное в области безопасности вашего Mac.

У ряда специалистов Gatekeeper вызывает сомнения

Впрочем, другие эксперты сомневаются в способности Gatekeeper поставить создателей вредоносного ПО в тупик.

Ведущий консультант в области исследований денверской фирмы Accuvant, специализирующейся на консультациях в сфере безопасности считает Чарли Миллер (Charlie Miller), что…

…сопоставление подписей при первом запуске загруженной программы и принудительная подпись кода в iOS совсем не одно и то же.

Этим кратким сопоставлением моделей безопасности двух платформ Apple он поделился с читателями в Твиттере. Миллер отмечает, что сертификат приложения Mac проверяется единожды, после того, как приложение уже загружено, но еще не установлено. Если сертификат невалиден или отозван, то пользователь не сможет установить это приложение. В то же время, уже установленные приложения останутся в системе и продолжат запускаться даже в том случае, если Apple отзовет сертификат.

Это отличается от модели безопасности iOS, предотвращающей загрузку и установку неавторизированных приложений. Но и эта система несовершенна. В ноябре 2011 года Миллер продемонстрировал прореху в системе безопасности iOS, которая позволяла обойти подпись кода в iOS App Store.

Занимающийся исследованием вопросов безопасности специалист Чет Вишневский (Chet Wisniewski), работающий в британской компании Sophos, которая занимается антивирусами, отметил, что существуют такие тактические подходы к распространению вредоносных программ, которым Gatekeeper нечего противопоставить:

[Поскольку] подпись кода Gatekeeper применяется только к исполняемым файлам… все, что не является непосредственно «трояном», что-то вроде вредоносных PDF-файлов, Flash-роликов, скриптов Shell и Java, и далее сможет без каких-либо проблем наносить вред.

Об этом Вишневский сообщил вчера в блоге Sophos.

Источник: Macworld.co.uk (Грегг Кайзер), Tidbits.com (Рич Могалл) Panic.com (Стивен Фрэнк), twitter.com/#!/0xcharlie (Чарли Миллер), Nakedsecurity.sophos.com (Чет Вишневский), Wormworks.org

10 комментариев

  1. 0

    Да, полностью закрытая оь будет еще лучше работать. Но и появится джейл, для тех, кому вирусы нужны и сторонний софт
    (отправлено из приложения AppleInsider.ru)

    • 0
      Довбня Олег

      xmax, Ее открыть будет пара щелчков. Чисто психологический эффект. Большинство оставит настройки по умолчанию.

      • 0

        Довбня, Это не окончательное решение эппла — дать волю рукам пользователей решать. Мне кажется закроют полностью, т.к. Это уже середина слияния айоси и мак оси. К концу уж точно онли мак аппстор будет. Имхо
        (отправлено из приложения AppleInsider.ru)

        • 0
          Довбня Олег

          xmax, Пока что именно так.

        • 0

          xmax, Что-то я сомневаюсь, что Adobe, Microsoft, IBM полезут в App Store. Они что, сумасшедшие отдавать 30% стоимости своих продуктов «Яблоку»? А «Яблоко» что, сумасшедшее закрывать им доступ на платформу? А есть еще Steam, с которым «Яблоку» не сравниться.

  2. 0
    Королев Михаил

    Вроде и так, если мозг есть то все ок.
    А тут, те кто захотят глянуть sex.exe отключат все.
    Не вижу особой разницы.

    • 0
      Довбня Олег

      Королев, На самом деле обычные пользователи просто не станут менять изначальных настроек. Для тех, кто захочет, психологический барьер: он понижает безопасность своими руками. Кто-то, конечно, на этой пойдет, но сомнительно, что большинство.

      • 0
        Игорь Соловьев

        Довбня, Я двумя руками за то, чтобы приложения подписывались и проверялись — это единственная действенная защита от пользователя-лоха, покупающегося на вские там антивирусные программы для OS X и прочий развод.
        А программы от разработчиков, нежелающих подписывать свои программы — «ф топку» 🙂

    • 0

      Королев, Кто захочет глянуть sex.exe, как вы говорите, будет вынужден поставить windows как минимум :))))

Авторизуйтесь Чтобы оставить комментарий