[Mac OS X] «Где деньги, Зин?»

156

pic_0-1

Вчера в подкасте вместе с представителями компании Dr.Web мы обсудили ситуацию со скандальным ботнетом, обнаруженным специалистами компании. Чисто из-за временных ограничений подкаста все вопросы обсудить не удалось, а они, к сожалению остались. И в этой статье я попробую сформулировать их.

Но сначала факты

Действительно существует уязвимость Exploit:Java/CVE-2012-0507, которая 17 февраля была закрыта обновлением JRE от Oracle:

pic_1

Тем не менее Apple по совершенно непонятной причине, проигнорировала это критическое обновление и соответственно не обновила свой пакет Java для OS X, тем самым оставив серьезную уязвимость.

20 марта (т.е. через месяц) специалисты компании Microsoft в своем блоге опубликовали сообщение, озаглавленное как «An interesting case of JRE sandbox breach (CVE-2012-0507)», в котором поведали об интересном способе выполнения Java-кода за пределами «песочницы» JRE, т.е. фактически сообщили об актуальности этой уязвимости.

29 марта появилось сообщение о публичном эксплойте для CVE-2012-0507. Также было заявлено и о его кроссплатформенности – о возможности эксплуатации на системах Windows, Linux, Solaris и OS X.

4 апреля компания Dr.Web заявила об обнаружении ботнета «из более чем 550 тысяч «маков», пораженных этим эксплойтом компьютеров Mac. Причем по их сообщению, этот эксплойт начал эксплуатироваться злоумышленниками еще 16 марта.

6 апреля Apple закрывает эту уязвимость, выпустив обновление пакета Java для OS X.

Кстати, в статье компании Dr.Web опечатка – дата выхода обновления от Apple указана как 3 апреля, на самом деле это было 6 апреля.

Краткое резюме

17 февраля Oracle выпускает обновление JRE и JDK, которым закрывает опасную уязвимость CVE-2012-0507. Через месяц (16 марта) появляется эксплойт, эксплуатирующий эту уязвимость на компьютерах с OS X, на тот момент еще не имеющих обновления Java для OS X. 4 апреля Dr.Web сообщает о ботнете. И наконец, 6 апреля Apple таки выпускает это обновление.

Или если еще короче – Apple проигнорировала критическое обновление Java, в результате появился ботнет из «маков». Компания Dr.Web забила тревогу и, в конце концов, в Apple залатали пакет Java для OS X. Именно за это спасибо компании Dr.Web.

Вроде бы все понятно, и вина Apple не вызывает никакого сомнения.

Но у меня, как я уже написал в самом начале, остались вопросы. И вопросы эти – о скандальном ботнете. В подкасте я высказал свое сомнение о собственно существовании ботнета. К сожалению, представители Dr.Web отказались привести фактические доказательства его существования. И естественно, это не могло развеять мои сомнения.

Поскольку обнаружение следов проникновения эксплойта в систему не представляет особой сложности, и способ это сделать был опубликован на множестве ресурсов, в том числе он есть и на нашем сайте, то я ожидал, что появятся и массовые сообщения об обнаружении эксплойта от пользователей.

Увы. До сих пор я этого не наблюдаю. Есть упоминания, что вроде такие сообщения появлялись, но речь шла буквально о единичных случаях. Да и конкретных ссылок даже на эти сообщения никто не приводил.

Правда, есть подтверждение от Лаборатории Касперского, о чем тоже было сообщение на нашем сайте. Это единственное подтверждение существования ботнета.

Странная какая-то ситуация получается. Вроде бы ботнет есть, количество скомпрометированных компьютеров в нем совсем не шуточное. По словам представителей Dr.Web в подкасте – ботнет продолжает, хоть и не большими темпами, но все-таки расти. А массового обнаружения эксплойта до сих пор нет. Что за чудеса?

Моя попытка найти страницу с апплетом, внедряющим эксплойт, тоже не удалась. Зараженные сайты, перечисленные в сообщении на сайте Dr.Web либо не существуют вообще, либо «припаркованы», что они объясняют их блокировкой вследствие того, что с них происходило распространение эксплойта.

Попытка попросить в подкасте у представителей Dr.Web оказать помощь в получении на своем компьютере эксплойта для возможности проконтролировать его сетевую активность тоже не увенчалась успехом.

Другими словами, у меня так и нет ни одного реального доказательства существования ботнета. Всерьез воспринимать подтверждение от Лаборатории Касперского, я тоже не могу по причинам, о которых я скажу в конце статьи.

Так как мне узнать «а была ли девочка?». Пока не знаю. Я, безусловно, понимаю теоретическую возможность существования такого ботнета, но теория теорией, а в практическом смысле быть уверенным я почему-то не могу. Странно все это.

Не могу промолчать и еще об одном аспекте этой истории. Как нам сообщили в подкасте представители компании Dr.Web, они с помощью перехвата генерируемых эксплойтом адресов, контролируют активность ботнета. Правда, отказались дать прямой ответ на вопрос: могут ли они перехватить управление ботнетом. А это очень интересный вопрос.

Вот смотрите. Эксплойт генерирует произвольные адреса, с которыми зараженные компьютеры осуществляют взаимодействие. Компания Dr.Web знает, какие адреса генерирует эксплойт и осуществляет перехват таких адресов, тем самым контролируя ботнет.

Но тогда у меня возникает вопрос. Поскольку адреса, с которыми взаимодействует ботнет, перехвачены, то почему бы компании не разместить по этим адресам «ловушки» в виде эксплойта подобного тому, что поразил компьютеры ботнета и осуществляющим точно такое же проникновение в пораженную систему, но с целью зачистки «плохого» эксплойта? То есть сделать «хороший» эксплойт, уничтожающий «плохой» эксплойт. Как говорится «выбить клин клином». Ведь в этом случае они бы быстро деактивировали ботнет в достаточно краткие сроки. Но нет. Такого они не сделали.

А теперь мне только и осталось задать вопрос словами очень известной песни – «Где деньги, Зин?». Но это не вопрос о том, где ботнет. А вопрос о том, кому выгодна эта скандальная история с ботнетом?

Несложно догадаться, что выгодно это тем, кто пытается попасть на рынок OS X. А кто так сильно пытается на него попасть? Ответ вполне очевиден — компании, выпускающие антивирусные средства. И именно поэтому, я не могу доверять подтверждению существования ботнета Лабораторией Касперского. Не могу доверять и компании F-Secure и всем остальным подобным компаниям, пытающимся попасть на рынок OS X.

В мире Unix-систем, безусловно, были, есть и будут появляться уязвимости. Но бороться с ними в этом мире принято отнюдь не установкой антивирусных программ. И так было еще с тех времен, когда не существовала Windows, благодаря которой вирусы стали настоящим бедствием современности. И очень надеюсь, что так будет и дальше, что мир Unix-систем не станет рабом антивирусных компаний, как бы им того не хотелось!

Популярность OS X хоть и медленно, но все-таки растет. Растет и рынок этой системы. А ведь именно этим и вызваны кампании по запугиванию пользователей OS X страшилками про то, что и в их мире вирусам место найдется. Но не найдется.

В готовящейся к выходу эти летом системе 10.8 Mountain Lion принят еще целый ряд мер по усилению безопасности системы. Так что не стоит поддаваться страхам, все будет нормально. Я не призываю к беспечности пользователей OS X, но и поддаваться нагоняемому антивирусными компаниями страху, тоже не стоит.

И я очень надеюсь, что эта история станет серьезным уроком для Apple.

Удачи!

156 комментариев

  1. 0
    Ренат Гришин

    Игорь, отлично написано, спасибо!

    • 0
      Andrey Beshkov

      Ренат, > то я ожидал, что появятся и массовые сообщения об обнаружении эксплойта от пользователей.

      Вы можете и не получать сообщений о заражениях т.к ботнет отсекает Россию. Не выгодно с местными пользователями MacOS X работать. И интернет каналы слабые и кредитками платят в России не так часто как в США, Канаде и Европе.

      > Зараженные сайты, перечисленные в сообщении на сайте Dr.Web либо не существуют вообще, либо «припаркованы», что они объясняют их блокировкой вследствие того, что с них происходило распространение эксплойта.

      В этом нет ничего удивительного Apple посылает пачками письма провайдерам с требованием блокировать сервера распространяющие Flashback.

      Более того представители dr. web заявили что их домен который использовался для захвата ботнета тоже был заблокирован в связи с жалобами Apple.

      • 0
        Andrey Beshkov

        Andrey, > А теперь мне только и осталось задать вопрос словами очень известной песни – «Где деньги, Зин?».

        Монетизация ботнета происходит не обязательно сразу и не обязательно с помощью DDoS или спама. Очень часто заработок происходит за счет собирания кредитных карт, паролей и прочих ценностей с целью последующей перепродажи.

        И только потом начинается спам и DDoS, потому что как только ботнет начинает такую активность его достаточно быстро обнаруживают.

        Например зловред Alureon заразил примерно 100000 машин с Windows и не проявлял никакой активности. Достаточно долго заражались только системы находящиеся в Северной Америке. Затем Alureon был обнаружен случайно когда Microsoft выпустила обновление для Windows сломавшее механизм закрепления Alureon в системе. В результате зараженные системы после обновления стали падать в синий экран что и привело к обнаружению Alureon.

  2. 0

    «Т.е. сделать «хороший» эксплойт» — и получить за это срок или штраф. Такого не будет.
    Я могу предположить что бот-нет может и есть, вопрос только в размерах. В такие цифры верится с трудом.

    • 0
      Конформист

      Stas, Microsoft тоже захватывали управление ботнетам и зачищали зараженные машини самостоятельно, это взрослый поступок.

      • 0
        Игорь Соловьев

        Конформист, Согласен. Действительно Взрослый поступок.

      • 0
        Andrey Beshkov

        Конформист, Microsoft захватывал ботнеты и не раз.

        Но вы ошибаетесь в том что он чистил пользовательские машины используя канал контроля над ботнетом. Практически во всех странах мира устанавливать или удалять ПО на пользовательский компьютер без его ведома противозаконно. Такие действия классифицируются как вмешательство в тайну частной жизни. За это можно надолго сесть в тюрьму.

        Обращение вендора ОС к владельцу зараженного ПК напрямую с просьбой очиситить свою машину от зловреда, так же будет квалифицироваться в суде как вмешательство в тайну частной жизни.

        Microsoft добавляет сигнатуры ботов в базы своих антивирусных систем и передает сигнатуры всем антивирусным вендорам, чтобы они тоже могли защитить своих клиентов.

        Единственный способ борьбы с ботнетом — оповещаться пользователей систем через провайдеров к которым они подключены.

        У многих провайдеров есть пункты в договоре с пользователей позволяющие отключить пользователя от сети если его машина выполняет зловредную активность.

        Подробности о современных ботнетах и о том как их обезвреживают тут.

        http://www.slideshare.net/abeshkov/ss-11753854

    • 0
      Конформист

      Stas, Хотелось бы добавить по поводу Java, Apple по сути отказались от поддержки своей реализации JVM, делегировав полномочия команде порта OpenJDK 7. Собственно под эгидой Apple больше не будут выходить новые версии Java, только критические обновления. Та же судьба постигнет x11.

      • 0

        Конформист, Apple отдала все наробтки команде OpenJDK, а Oracle в свою очередь сказала что эталонной JVM будет теперь OpenJDK. Грубо говоря теперь Java будет обновлятся более регулярно и скорей всего станет более интегрированной с UI mac os. Сейчас как раз идёт активная разработка JavaFX

      • 0

        Конформист, Так может попробовать самии запустить эксплоит? кто знает как откатить обновление по нормальному, а потом накатить обратно. Готово по коду здесь http://habrahabr.ru/company/eset/blog/141365/ проверить как оно работает.

  3. 0
    Тарас Спивак

    Игорь, просто шикарно! Разложил т.к. сказать всё по полкам, если бы не ты, то я бы под вчерашний подкаст заснул, а так ещё и успел в мафию поиграть 😉

  4. 0
    Виктор Александрович

    Очень похоже на правду. Спасибо!
    (отправлено из приложения AppleInsider.ru)

  5. 0

    По поводу Касперского, они там сами не могут определиться. Вот скрин одного пользователя в твиттере: http://cl.ly/FjFZ. Переадресация Евгению Касперскому осталась пока без ответа.

  6. 0

    Все верно.
    » Где деньги ,Зин»
    Ночью тоже слушал подкаст, но не чего существенного не услышал. Диалог был больше похож на разговор с партизанами ))))
    (отправлено из приложения AppleInsider.ru)

    • 0

      Макс, дрвеб были похожи на партизан это да… только на заикающихся партизан, которые какбудто не владеют информацией (или владеют по услышаному в инете) и не понимают чего от них хотят. Но при этом думают что все знают.

      З.Ы. а когдато помню давно на какойто работе, для организации покупал корпоративный антивирус от дрвеб. фу фу фу

      • 0

        Serg, Да, впечатление полного незнания темы, которую сами создали присутствовало на протяжении всего подкаста.

        • 0

          TOVVV, Тему-то знают. Как простым юзверям без профессиональных жаргонизмов все объяснить? Иначе бескончный подкаст, который бы состоял из объяснения значений каждого слова, к кторым понадобились бы пояснения, которые еще потяли бы разъяснения. Уверен, могли ДрВеб все объяснить, но на «проф. языке», который понятен и прозрачен специалисту. Я вынес то, что случай на столько экстраординарный, что всех нюансов не стоит раскрывать. Да и повальное влечение «заразите меня» превратится в массовую лабораторию для исследований, в которой не только антивирусники заинтересованы. Хотя, на мой взгляд масштабы трагедии преувеличены.
          Откуда новые инфицированные компы берутся? Так это ж самые удачливые из тех, кто «заразите меня». И кол-во инфицированных компов в бот-сетке можно делить, эдак, на 100, мне кажется.

          • 0

            Dohtur, Человека, который не может донести свою мысль до других общепринятым языком называют аутистом. Не думаю, что ребята из Др.Веб аутисты, значит они партизанили. То есть, всеми силами пытались недосказать что то.
            (отправлено из приложения AppleInsider.ru)

            • 0
              Andrey Beshkov

              AlMac, А вам не приходит в голову что есть много людей не готовых к публичным выступлениям и не умеющих объяснять свои мысли. При этом аутистами они не являются.

              • 0

                Andrey, Так я и написал, что не считаю их (Др.Веб) аутистами. Это раз. А два — зачем шли на публичное мероприятие если боятся/не могут /не умеют навыков публичных выступлений и не могут внятно отвечать на вопросы под прицелом, как я понимаю, собственного микрофона своего же ПК? Ради черного самопиара? Непанятна и печальна…
                (отправлено из приложения AppleInsider.ru)

                • 0
                  Andrey Beshkov

                  AlMac, В своей компании я тренирую докладчиков для крупнейших конференций проводимых Microsoft.

                  Вы не представляете как много людей верят что являются хорошими ораторами и могут внятно говорить опираясь лишь на тот факт что их более или менее понимают окружающие.

                  Когда даешь им посмотреть запись их выступления многие впадают в глубокое уныние от результатов своих трудов.

                  Есть много людей которые думают что излагают очевидные вещи и их не нужно объяснять. Рассказы про 0day и дроппер в подкасте яркий пример этого.

                  Другие думают что не нужно готовиться и думать о вопросах которые зададут, ибо они всегда смогут импровизировать.

                  Я считаю что партизанства никакого не было. А были лишь непрофессиональные ораторы с кучей симптомов которые я перечислил выше.

                  • 0

                    Andrey, Ну раз пошла такая… В общем, если говорить серьезно,то да, докладчики из MS говорить умеют и на простом языке и используя семантику, чего уж там, что правда, то правда. Совершенство оно как горизонт — ты думаешь, что к нему приближаешься, а оно недостижимо, на самом то деле. Регулярненько нам на работе проводят промывк… то есть, проводят презентации и конференции MS. И польза от этого есть (была) — у меня, например, бесплатная W7 и MSOffice за 1000ре имеются, коробочные, лицензионные, честь по чести, за красивые глаза, от самих представителей MS, по какому то там контракту с нашей конторой и, что не маловажно, все официально — чин чином. Только вот, MS Office для MAC OS не дали, зажо… пожалели то есть 🙂 Ой чёй то меня на лирику понесло…
                    (отправлено из приложения AppleInsider.ru)

  7. 0
    Евгений Алешин

    Отличная статья, отличное вчера выступление. Повторю свой комментарий из чата и твиттера:
    Почему Dr.Web говорит о фатальной дыре в безопасности, что это крах, это критично, возможно можно запускать любой код из вне песочницы, на установку не требуется пароль т.п. Но: не могут этого продемонстрировать, как это все происходит. Имея ботнет у себя под плечом. Показали бы они всё, а не терминами кидались бы. Толку от слов, если в реалии этого не существует?

  8. 0

    Игорь, Mac OSX ломают ежегодно. В том числе на специализированных мероприятиях посвященных взлому.
    Проблемы возникают во всех осях, браузерах, и вобще в любом софте.

    Но коль уж вы говорите про Win. Давайте говорить откровенно. Ваши заявления можно только осмеять. Если пользователь не клинический идиот, то словить что-то действительно опасное на свой компьютер практически не возможно. Я почти 3 года с Win7. Ни одного срабатывания антивируса, ни одного заражения.

    • 0

      riod, Кстати да, до 2008 года сидел исключительно на Windows. За более 10 лет словил что-то один раз. И то удалил руками. Так что соглашусь.

    • 0
      Игорь Соловьев

      riod, Опа! Вы точно про мою статью? Я про win вроде ничего особенного не говорил…
      И про уязвимости в unix-системах вроде написал, что они были, есть и будут…
      🙂

      • 0

        Игорь, Да, что-то я с самим подкастом перепутал. Однако нельзя не сказать что безопасность Win очень сильно выросла за последние годы и отделять ее от остальных систем не стоит уже.

        • 0
          Andrey Beshkov

          riod, Вы ошибаетесь. На данный момент в Windows ОС систем безопасности гораздо больше чем в MacOS X

          Презентация с конференции специалистов по безопасность USA BlackHat показывает что Apple потихоньку добавляет в свои продукты то что MS сделала еще 5-6 лет назад.

          https://media.blackhat.com/bh-us-11/Stamos/BH_US_11_Stamos_MacsAPT_Slides.pdf

          Встроила простенький антивирус File Quarantine и Xprotect. Которые повторяют Windows Defender и Smart Screen Internet Explorer

          http://www.zdnet.com/blog/bott/new-apple-antivirus-signatures-bypassed-within-hours-by-malware-authors-update/3396

          http://support.apple.com/kb/HT4657

          Например Filevault это копия Bitlocker встроенного в Windows 7 три года назад.

          А вот мнение директоров по информационной безопасности. И они в один голос говорят «Apple’s Mac OS X NEVER had superior security»

          http://blogs.csoonline.com/1506/apples_mac_os_x_never_had_superior_security

          В OSX Mountain Lion Apple добавил Gatekeeper и запретил запускать код не подписаный сертификатом.

          http://www.slashgear.com/apple-gatekeeper-is-the-game-changer-16213805/

          Это же возможность появившаяся еще в Windows Vista под названием Authenticode
          http://msdn.microsoft.com/en-us/windows/hardware/gg463180

          • 0
            Andrey Beshkov

            Andrey, C точки зрения защиты от уязвимостей Apple в 2006 году добавила частичный механизм ASLR позволяющий загружать некоторые библиотеки по случайным адресам памяти.

            Подобные функции в появились еще в Windows NT 4.0.

            В Windows уже давно работает полный ASLR. И вдобавок к нему работает еще куча технологий защиты от срыва стека таких DEP, ASLR, SEHOP, EAT/EAF, HSA, NPA, BUR которых нет в продукции Apple.

            http://kb.atraining.ru/new-emet-2-1/

            Это позволяет ломать работу кучи эксплотов.

            • 0
              Andrey Beshkov

              Andrey, Чарли Миллер которой каждый год выигрывает призы на конференции PWN2OWN взламывая Windows и MacOS X говорит:

              «Windows 7 взломать сложнее, чем Mac OS X»

              http://www.webplanet.ru/interview/security/2010/03/22/miller_pwn2own.html

              Его ответы в данном интервью показывают что MacOS X реально отстающий в технологиях безопасности.

              — Windows 7 или Snow Leopard — какую из этих двух коммерческих ОС будет труднее взломать и почему?

              — Windows 7 — чуть сложнее, потому что в ней имеется полноценная технология ASLR (случайное распределение адресного пространства), а фронт атаки меньше (например, по умолчанию не включены Java и Flash).

              — Какая комбинация ОС и браузера, по твоему мнению, наиболее безопасна?

              — Хороший вопрос. Chrome или IE8 на Windows 7 без установленного Flash. Возможно, нет большой разницы между браузерами, чтобы об этом беспокоиться. Самое главное — не устанавливать Flash!

              • 0
                Игорь Соловьев

                Andrey, Дело в том, что «взломать» — это не синоним возможности распространения вирусов. Другими словами — не каждая уязвимость в системе является дырой для вируса.
                А Flash — наряду с JRE уже давно не в почете у Apple.

  9. 0

    > Кстати, в статье компании Dr.Web опечатка – дата выхода обновления от Apple указана как 3 апреля, на самом деле это было 6 апреля.

    А теперь смотрим на даты:
    http://support.apple.com/kb/DL1515
    http://support.apple.com/kb/DL1516

    И еще цитата с http://support.apple.com/kb/HT1222 :
    Name and information link Released for
    Release date
    Java for OS X Lion 2012-002 and Java for Mac OS X 10.6 Update 7 Mac OS X v10.6.8, Mac OS X v10.7.3 03 Apr 2012

    И кто не прав?

    • 0
      Конформист

      Virasio, Было два апдейта, 3 и 6.

    • 0
      Игорь Соловьев

      Virasio, Я писал, что кто-то не прав? Предположил, что у них на сайте опечатка, поскольку обновление появилось в Software Updates именно 6 апреля.
      Может я и не прав. Это имеет какое-то серьезное значение? 🙂

      • 0

        Игорь, Ну просто не стоит бросаться словами, т.к. такие мелочи подрываю авторитет всей статьи, и показывает, что вопрос не исследован толком, а делается попытка при этом что-то написать. 🙂

        • 0
          Игорь Соловьев

          Virasio, Если для Вас подрывает авторитет ничего не значащее уточнение, которое абсолютно не влияет на смысл статьи ни коим образом, то Вы батенька сноб! 🙂
          Да скажите честно, просто хотелось докопаться до чего-нибудь… 🙂

  10. 0

    > Попытка попросить в подкасте у представителей Dr.Web оказать помощь в получении на своем компьютере эксплойта для возможности проконтролировать его сетевую активность тоже не увенчалась успехом.

    Распространение вирусов в любом виде наказывается по ст. 273 УК РФ лишением свободы до 3-ех лет.

    • 0

      Virasio, Юваль Бен-Ицхак, технический директор AVG Technologies: «..антивирусные компании давно обмениваются между собой данными о вновь обнаруженных вирусах». Как только сей господин пересечет границу РФ, его не медленно необходимо привлечь по статье 273 УК РФ.
      Господина Касперского тоже давно нужно посадить по этой же статье, цитирую сайт http://www.kaspersky.ru: «Обычно разработчики антивирусных программ обмениваются образцами и технической информацией о новых вредоносных программах и методах их обнаружения и удаления». (http://goo.gl/2313s)
      Право сообщить в соответствующие органы об этих двух господах, конторы которых распространяют вирусы по версии господина Virasio, я уступаю самому господину Virasio за широкое толкование им УК РФ.

      • 0

        beekay, Послушайте подкаст, там эта тема раскрыта. 😉 У антивирусных компаний имеются юридические договоры, по которым они и передают эти данные.

        • 0
          Игорь Соловьев

          Virasio, Ну и ладно, пусть договорами прячут ботнет. Лучше от этого никому не стало.

          • 0

            Игорь, Самый большой ботнет — это сеть компов с Win. Кто его знает что там закрытом коде?? А вдруг по кнопке на клаве Б.Гейтса все РС взбунтуются, поглотят своих владельцев и захватят мир)))

            • 0
              Andrey Beshkov

              Dohtur, Исходный код всех продуктов MS доступен ФСТЭК и другим правительственным органам. Именно поэтому MS легко проходит сертификацию на отсутствие закладок.

              Более того исходные коды доступны и правительствам других стран.

              Так что ваши сказки необоснованы

      • 0
        Andrey Beshkov

        beekay, Обмен образцами вредоносного кода происходит внутри Virus Information Alliance (VIA)

        http://technet.microsoft.com/ru-ru/security/cc165596

        Это позволяет защищать клиентов всех антивирусных компаний одновременно

    • 0
      Игорь Соловьев

      Virasio, Это не являлось бы распространением. Не утрируйте.

      • 0

        Игорь, К сожалению это наши реалии, я не утрирую.

        • 0
          Игорь Соловьев

          Virasio, Т.е. если бы мне передали эксплойт для моего компьютера по моей же просьбе для исследования, это было распространением? Смешно.
          Они у себя в компании, как сказали в подкасте, имеют целую кучу зараженных маков… Их посадят за распространение?
          Все-таки утрируете.

          • 0

            Игорь, Вы можете попробовать обратиться к ним с просьбой заключить письменный договор, и возможно они пойдут на встречу. 😉

            • 0
              Игорь Соловьев

              Virasio, Да фиг с ним, но пусть хоть какие-то доказательства предоставят! Не могут почему-то! 🙂

              • 0

                Игорь, Ну, если бы просьба была не в эфире, то по секрету, может и дали бы эксплоит. Но, блин, мне уже смешно. Это пхоже на наркомановское «Есть че, братишь». То ли настроение, то ли… ну вот реально похоже. Так и рисует воображение, «погоны» докладывают о том, что разоблачили, задержали сеть сбыта марихувановны, а журналист подходит, и настойчиво так: «А дайте попробовать, мож это не марихувановна, а просто крестьяне сено заготовили. Вот пока парика не пустите, не поверю».

              • 0
                Andrey Beshkov

                Игорь, Предполагаю что логичнее и безопаснее было бы сотрудникам Dr. Web взять компьютер MacOS X заразить его Flashback при заходе на сайт и записать все это на видео. Так они показали бы что изменилось в системе и как это лечить.

        • 0

          Virasio, А одна лаборатория передаст на изучение другой сибирскую язву или вирус оспы — это уже терроризм? И всех на нары?

  11. 0
    Небоярски

    У меня после подкаста осталось 2 больших вопроса: 1 — какова цель создания такого большого ботнета, при том что им так и не воспользовались (ни массовой DDoS-атаки на крупные сервера, ни массовой кражи персональных данных/логинов-паролей/номеров кредиток/etc), и второй — почему такая неравномерность в распределении зараженных машин, и из полуляма с лишним машин в мире так мало находится в России?

    • 0

      Небоярски, 1) 29 марта — публичный эксплоит, 4 апреля Dr.Web уже объявляет о контролировании ботнета, а перехватывают контроль ещё раньше. Когда успеть воспользоваться? И количество машин растёт, в первые часы зафиксированно было всего более 100 тысяч, что не так и много. А украсть пароли в Mac OS X не так и просто имея просто права юзера.
      2) Потому что сайты через которые заражали были ориентированные на англоязычную аудиторию, по этому основное кол-во машин в США и Великобритании.

  12. 0

    > Поскольку адреса, с которыми взаимодействует ботнет, перехвачены, то почему бы компании не разместить по этим адресам «ловушки» в виде эксплойта подобного тому, что поразил компьютеры ботнета и осуществляющим точно такое же проникновение в пораженную систему, но с целью зачистки «плохого» эксплойта? Т.е. сделать «хороший» эксплойт, уничтожающий «плохой» эксплойт. Как говорится «выбить клин клином». Ведь в этом случае они бы быстро деактивировали ботнет в достаточно краткие сроки. Но нет. Такого они не сделали.

    Ст. 272 УК РФ: неправомерный доступ к компьютерной информации (цель не имеет значения) группой лиц по предварительному сговору (Dr.Web — это же группа лиц) наказывается лишением свободы на срок до 5 лет.

    • 0

      Virasio, Virasio, не несите чушь, статья 272 УК РФ: «Неправомерный доступ к охраняемой законом компьютерной информации»…
      Куда у вас делось к «охраняемой законом»? Вы хотите сказать, что ботнет охраняется законом какого-либо государства?

      • 0
        Игорь Соловьев

        beekay, Хорошо сказано! 😀

      • 0

        beekay, Охраняется законом частный компьютер и информация на нем. Поверьте, эту статью применить в такой ситуации можно, если очень захотеть. Законы в области ИТ у нас, к сожалению, очень кривые. Достаточно заявы от кого-нибудь (конкурента) кто исследовал этот троян, а благодаря такой фишке у него бы троян исчез. Лично я бы подставлятся не стал, и Dr.Web не станут, как мне кажется.

        • 0
          Игорь Соловьев

          Virasio, Все это отговорки и не более, чего бы мне про наши кривые законы не говорили…. 🙂

          • 0
            Игорь Соловьев

            Игорь, Тем более заражение было в штатах и канаде, а там наши кривые законы не действуют…

            • 0

              Игорь, Но 33 компьютера у нас.

            • 0
              Andrey Beshkov

              Игорь, Там есть свои не менее суровые законы.

              Подобное геройство с удаление трояна с чужих машин без разрешения, может окончиться для сотрудников Dr. Web арестом при въезде в любую из вылеченных стран.

        • 0

          Virasio, Это вы отделу «К» расскажете, когда троян напишете и будете распространять через свой компьютер, что у вас все неким «частным законом» охраняется. Повеселите людей.

          • 0
            Игорь Соловьев

            beekay, Ладно, завязывайте. Ваша позиция ясна.
            Ничего писать и распространять я не собираюсь.
            Кроме статей на этом сайте! 😀

        • 0

          Virasio, Но вы же предлагаете удалять им эксплойт не со своих компьютеров, а с чужих. А этот «чужой» может оказаться компьютером конкурента, который занимается исследованием. Читайте внимательнее. 😉

          • 0
            Игорь Соловьев

            Virasio, Можно и еще кучу отговорок придумать, тем не менее и Microsoft и Google такое уже проделывали! 🙂

            • 0

              Игорь, Я знал что будет такой аргумент! Они там, а Dr.Web тут. 😉 И они удаляли из своих ОС, по поводу которых есть некое лицензионное соглашение с пользователем. Конечно это (соглашение) неати какая защита от УК, но всё же у Dr.Web с конечными зараженными пользователями вообще нет ни каких юридических отношений.

            • 0
              Игорь Соловьев

              Игорь, Неужели не понятно, что они всячески избегали сделать хоть что-то, чтобы показать нам, что ботнет существует.
              Речь об этом. А вы тут про наши законы и конкурентов… Не тролльте. Не интересно.

              • 0

                Игорь, Ни чего они не избегали. Переслушайте подкаст, как я сделал это сегодня. Просто люди пришли сами, но реально совсем не умеют говорить, и не подготовились ни как, не ожидали такого непонимания.

                • 0
                  Ренат Гришин

                  Virasio, Здрасти, приехали))) Т.е. что бы их понять, надо прочитать всю эту ветку комментариев? Ну право, перегиб 🙂 Для того же и пригласили, что бы доступным языком все разъяснили. Иначе и почитать можно, кому сильно надо.

            • 0
              Andrey Beshkov

              Игорь, Вы заблуждаетесь. Выше по треду я уже объяснил почему никто не удаляет зловредов с ПК без разрешения пользователя.

  13. 0

    Так может попробовать самии запустить эксплоит? кто знает как откатить обновление по нормальному, а потом накатить обратно. Готов по коду здесь http://habrahabr.ru/company/eset/blog/141365/ проверить как оно работает.

  14. 0
    Максим

    Люди, пишущие о том что не ловили вирусы на PC с виндой, что вы делаете на своих компах? Давно у меня стоял др. Веб и это не помешало вирусу (вроде пенетратор) удалить с моего компа кучу нужной информации. Сейчас у меня Вин7 + EsetSS, который стабильно блокирует всякую дрянь из интернета, так же находит и удаляет всякие вирусы с компа (штук 5 за год). Сразу скажу, что порнуху не качаю и не смотрю онлайн (есть кабельное ТВ, там её достаточно).
    (отправлено из приложения AppleInsider.ru)

    • 0

      Максим, 1. Не ставлю сборки типа zvercd.
      2. Стоят все обновления безопасности.
      3. Постоянно обновляется браузер.
      4. Стоит бесплатный антивирус.

      • 0
        Игорь Соловьев

        riod, Который не видит и половины вирусов! 🙂

        • 0

          Игорь, Для начала они должны попасть. Пока не попадали.

        • 0

          Игорь, Игорь. Я сижу сейчай и слушаю подкаст. Уровень вашего профессионализма для меня уже выглядит сомнительным.
          А эта фраза вобще тянет на уровень троля-школьника.

        • 0
          Максим

          Игорь, Кстати был очень интересный случай в моей жизни. После Dr.Web я поставил Касперского, но долго жить я с ним не смог (за шесть месяцев достало его визжание) и решил перейти на Eset (при этом комп не менял, винду не переустанавливал) и о боже после первой полной проверки на компе было обнаружено 7 (семь) вирусов.
          (отправлено из приложения AppleInsider.ru)

          • 0
            Игорь Соловьев

            Максим, Бывает. Бывает и наоборот. И бывает, что Dr.Web находит то, чего не смогли найти нод и касперский. 🙂
            Вот так на работе и тусую их Resque диски когда официальный нод ничего не находит. 🙂

      • 0
        Максим

        riod, 1. Стоит лицензия
        2. Обновляется автоматом
        3. Аналогично пункту 2
        4. Стоит платный антивирус
        Домашний комп используется для развлечений (музыка, кино, игры, реже серфинг по инету).
        (отправлено из приложения AppleInsider.ru)

      • 0

        riod, 1. Не ставлю сборки типа zvercd.
        2. не ставлю обновления безопасности с 2009 года
        3. Постоянно обновляется браузер — Chrome
        4. Стоит бесплатный антивирус — Avira и раз в полгода прогоняю касперским, всё чисто, кроме одной програмулины где я добровольно использую заразу 🙂

    • 0
      Purpleshadow

      Максим, Что бы не было вирусов нужно всего лишь включать мозг и не ставить себе всякую хрень типо супер крутых бесплатных игр разных менеджеров закачек и проч. Антивирус бесплатный аваст отлично работает
      (отправлено из приложения AppleInsider.ru)

      • 0
        Максим

        Purpleshadow, Уууууу. Сколько самоуверенности. Каким бы уникальным ни был ваш мозг всегда найдется кто-то умнее вас. А теперь по сути. Проги на компе:
        1. Eset
        2. Aimp
        3. iTunes
        4. Ccleaner
        5. MPC
        6. Драйвера и кодеки.
        7. Google Chrome
        Игры самые обычные (NFS, COD, Total War и др.)
        (отправлено из приложения AppleInsider.ru)

        • 0

          Максим, 1. Вы сидите под админом.
          2. Ccleaner бесполезно.
          3. В кряках ко всему что у вас стоит могут как раз и быть «закладки». Или вы все купили?
          4. UAC наверное тоже отключен?

          • 0
            Purpleshadow

            riod, Если uacом вы называете то уг которое по дефолту за защиту отвечает то вырубил его полнстью. А вообще всерьез задумываюсь уйти с винды на Slackware
            (отправлено из приложения AppleInsider.ru)

            • 0
              Игорь Соловьев

              Purpleshadow, Ух как серьезно! Прям так и на слакварь сразу? Убунта подружелюбней будет для тех, кто из под windows только пришел туда… 🙂

            • 0

              Purpleshadow, Защита такая же как в любой оси. Фактически судо. Вы отключаете защиту а потом удивляетесь?

              • 0
                Purpleshadow

                riod, Чему удивляетесь? В винде отрубаешь всю защиту ставиш аваст и наслаждаешся жизнью
                (отправлено из приложения AppleInsider.ru)

                • 0

                  Purpleshadow, Вы не правы. Но слушать меня как я понимаю не будуте так что комментировать это я не буду.

                  • 0

                    riod, он не будет, другие будут! Рассказывайте)

                    • 0

                      AlexEVG, Человек отключает песочницу которую строит система — отключает защиту системных и програмных файлов от пользователя. Со включенным UAC кому бы то ни было не возможно прописаться вне пользовательской области без санкций от тпользователя. Большинство антивирусов(платные версии) пытаются делать то же самое за дополнительные деньги. Если у человека стоит бесплатный аваст то от даже теоретически от многого защитить не может, так как защита в системе отключена.

        • 0

          Максим, Проги на компе:
          1. Avira
          2. Aimp
          3. ————
          4. Glary Utilites
          5. KMPlayer
          6. Драйвера и кодеки.
          7. Chrome, Mozilla, Opera
          …ещё штук 5 утилит для удобства и программ 10 для всякого разного
          Не играю

  15. 0

    Все по полочкам разложил…

  16. 0

    согласен с автором шум больше нужен голодным типа каспера…вспомните их недавние заявления про необходимость антивира на ось.
    по своему опыту \сижу на pc еще с дооконных времен \ скажу так- простому юзеру бороться с вирусом бесполезно пока все эти «крутые фирмы» обнаружат проблему пока добавят в базу все уже рухнет а народец уже им проплатил за надежду. сам сисадмин и на свои писишки лет 10 антивиры не ставлю -лазить надо меньше по веселым сайтам и думать что ставишь.а то к кому не зайдешь везде планктон или в одноклассниках или огород садит

  17. 0

    ВНИМАНИЕ ЛИНК НА ВИРУС
    может это и не совсем то, но вот линк http://bookvisor.ru/6488-cms-drupal.-rukovodstvo-po-razrabotke.html на страницу которая дарит вам Jimm2.jar вирустотал показывает что там вирусы. Не исключено что Тигр заразится. И не надо забывать как Apple поддерживает свои старые операционные системы НИКАК

    • 0

      RuNation, Это не то. Но вот про поддержку 10.5 и ниже правда. У них на сайте так и написано, вот вам патчи для 10.6 и 10.7, а для 10.5 и ниже лучшая защита — отключение Java в браузере.

  18. 0
    Алексей

    Послушайте внимательно 25-ю минуту подкаста, там оговорочка по Фрэйду: «… если говорить конкретно о версии которую мы писали, а это flashback.39 …»

    Улыбнуло 🙂

  19. 0
    Алексей

    Послушайте внимательно 25-ю минуту подкаста, там оговорочка по Фрэйду: «… если говорить конкретно о версии которую мы писали, а это flashback.39 …»
    Кто-кто это написал?
    Улыбнуло 🙂

  20. 0

    Подкаст понравился, но представители DrWeb были совсем неубедительны.
    Еще во время подкаста, что-то резануло во время их объяснений по поводу ботнета и эксплоита. Специально скачал и еще раз прослушал это место в записи. Думаю это оговорка, но она прямо как «оговорка по Фрэйду»:
    «… если говорить конкретно об этой версии, которую мы писали, это flashback.39 , то здесь дропается всего 2 файла….»

    Кто-кто это написал?
    🙂

    PS. 25-я минута подкаста.

  21. 0

    Антивирус для Мак, нужен тогда когда ты поставил Винду на ОС Х, и всё.
    (отправлено из приложения AppleInsider.ru)

  22. 0
    Alexander Raichenok

    Игорь Соловьев, респект! Поставили их в подкасте в позу речного скорпиона. Жаль что быстро вас убрали.

  23. 0
    Вячеслав

    было бы совсем здорово, если бы с переименованием
    Mac OS X -> OS X
    система пришла на рынок PC =)

    • 0
      Andrey Beshkov

      Вячеслав, Тогда Apple придется потратить много времени чтобы заставить свою ОС заточенную по 3-4 конфигурации работать на миллиардах комбинаций оборудования от разных поставщиков. С Dell и HP может будет просто, а вот с сотнями дядюшек Ляо клепающих свое оборудование на коленке придется повозиться.

      А значит неизбежно будут проблемы с драйверами и поддержкой.

      Врядли маржа от этого повысится. Посему нет смысла Apple выходит на рынок ПК.

Авторизуйтесь Чтобы оставить комментарий