Prvá “zombie botnet” sieť z nakazených Apple počítačov a potencionálna zraniteľnosť v iPhone

V uplynulom týždni sa objavili dve správy poukazujúce na bezpečnosť produktov Apple.

Prvá sa týka trójskych koní, ktoré sa objavili v pirátskych kópiách balíka iWork a Adobe CS4 hneď na začiatku roka. Tieto pirátske verzie si len za prvé dva týždne stiahlo cez 20 000 používa­teľov. Pri inštalácii si kópie balíkov vyžiadali administrátorské heslo, pomocou ktorého sa nainštalovali trójske kone OSX.Trojan.iSer­vices.A alebo OSX.Trojan.iSer­vices.B do adresárov vyhradených výlučne pre súbory od Apple. Verzia .B sa dokonca inštaluje pod náhodným názvom, čo komplikuje identifikáciu a odstánenie. Touto cestou má kôň prístup prakticky do celého systému bez obmedzenia.

iWork a Adobe CS4

V ďalšom kroku sa trojan pripojí cez šifrované spojenie na vzdialený počítač, ktorý mu môže zadať akýkoľvek príkaz. Zistilo sa tiež, že heslo administrátora nakazeného počítača ihneď po spustení končí v rukách útočníka. Existujú kroky, ktorými sa dá táto konkrétna infekcia odstrániť, avšak bez záruky, že na počítač sa medzičasom nedostal iný škodlivý kód. Trójske kone môžu totiž inštalovať napríklad keyloggery a zaznamenávať tak všetky heslá zadávané cez nakazený počítač. Existujú zdokumentované prípady, kedy sa tieto kone pokúšali „zhodiť“ určitý server – prakticky sa trójsky kôň snaží zahltiť vzdialenú adresu nezvládnuteľným množstvom požiadaviek a príde tak k tzv. „DDoS“ útoku. Bežný užívateľ môže pozorovať 100 % zahltenie procesora vtedy, keď nič nerobí. Preto sa napríklad spúšťajú častejšie ventilátory alebo sa vyskytujú iné anomálie; za všetky uvediem celkové spomalenie systému. Počítač tento útok nevykonáva sám. Podieľa sa na ňom väčšie množstvo nakazených staníc a tak okrem toho, že tieto tzv. „zombie“ Macy útočia na určité adresy, sú zodpovedné i za väčšinu spamu, ktorý môžu šíriť bez vedomia majiteľa počítača. Sieti „zombíkov“ sa potom hovorí botnet. Botnety tvorené týmito trójskymi koňmi sú vďaka šifrovanému spojeniu P2P (priame spojenie medzi užívateľmi, pozn. autora) veľmi flexibilné a ťažko odhaliteľné. Pre nakazeného koncového užívateľa v sieti botnet to môže znamenať zablokovanie zo strany poskytovateľa internetu a užívateľovi tak vzniknú problémy s internetom.

Bezpečnostní analytici sa zhodujú na tom, že osoba, ktorá škodlivý kód vytvorila je niekto iný ako osoba, ktorá ho použila pri útokoch. Botnet útoky sa začínajú objavovať až v týchto dňoch, kedy by sme už očakávali, že štvrťroka po objavení týchto trójskych koní sme v bezpečí. Kód, ktorým sú kone napísané je veľmi flexibilný a preto je možné, že sa v blízkej dobe dočkáme ďalšej a nebezpečnejšej modifikácie.

Naskytuje sa teda otázka – ako sa chrániť? V prvom rade nesťahovať z internetu nelegálne programy a nepoužívať kamarátove inštalačné DVD. Ak je už váš OS „nakazený“, je ideálne sformátovať disk a nainštalovať systém nanovo z originálnych inštalačných médií. Ak máte na Time Machine zálohu z 6. 1. 2009 alebo skôr, je možno použiť aj tú. Ideálne je mať pri reinštalácii vypnutý internet a v žiadnom prípade už nepoužívať rovnaké heslá ako doteraz.

Zraniteľnosť v iPhone

Ďalšia informácia, ktorá obletela internet je od bezpečnostného technika menom Charlie Miller. Ten je známy svojim hackerským počinom z minulého mesiaca, kedy sa behom pár sekúnd nabúral do MacBooku Air. Tento človek teraz objavil potencionálnu zraniteľnosť v iPhone. Tvrdí totiž, že prišiel na spôsob, ako spustiť tzv. shell code. Je to kus kódu, ktorý má po spustení možnosť ovládať systém. Dá sa použiť pri nesprávne napísaných aplikáciách, ktoré prijmú akúkoľvek informáciu a umožnia tak prístup do pamäte hoci aj nebezpečnému kódu. Pre jednoduchosť uvediem, že vírus môže byť ukrytý v bežnom obrázku na internete. Ak by sa tento kód podarilo spustiť na bežnom iPhone, znamenalo by to, že útočník získa prístup prakticky k čomukoľvek: k ovládaniu telefónu, ku kontaktom, heslám a iným citlivým informáciám. Sám Miller však v rozhovore pre server Macworld nepoužil slovo zraniteľnosť. Podľa neho totiž Apple oficiálne neoznámil, že spúšťať shell code je nemožné. V súčastnosti však chýba nejaká bezpečnostná diera napríklad v prehliadači Safari, ktorá by útočníkovi umožnila spustenie tohoto kódu. Ak by sa našla, stal by sa prakticky cez noc z potencionálnej zraniteľnosti seriózny problém.

Millerove bezpečnostné diery v minulosti Apple vždy promptne opravoval a preto by to pre bežných užívateľov iPhonu nemal byť problém ani tentokrát.

komentárov
  1. fuuuuha…. tak teraz mam z toho vsetkeho trochu zmiesanepocity. neviem sice ci uz sa objavili trojskekone na mac os v minulosti, ale tym ze sa zacinaju objavovat teraz… znaci ze sa to pomaly moze zhorsovat a tym padom mac OS sa nestava az tak bezpecnym. dalo sa to vsak cakat myslim. moze to naznacovat stupajuce utoky na system. A to neznamena len pre uzivatelov co stahuju ilegalne programy. moze sa to dostat z netu odkialkolvek… tak ako na Windows. Ostava vsak dufat, ze to bolo naposledy. k clanku- chyba mi osobny nazor autora na vec. rad by som vedel ako sa na to pozeraju dlhorocni uzivatelia Mac Os.
    aj by som napisal ze fajn clanok, ale znepokojuje ma to. dakujem

  2. to martin…. ja nechcem ziadne tools na delete trojanov. Chcem mac takako ho apple prezentuje… este stale… no viruses on mac. a myslim ze pojem virus a trojan nie su si daleko. tymto mac os dost strace na kvalite a tym padom aj hodnote pouzivania.

  3. mna to neznepokojuje, pretoze, aby sa nieco nainstalovalo do Mac OS X, tak potrebuje admin heslo, takze pokial ho nezadas a celu akciu zrusis, nic sa nedeje, a ako si si isto vsimol, na to, aby si dostal nejaky skodny soft do Apple, musis mu ty sam pomoct, teda musis si ho sam odkliknut, ze ho chces (cez admin heslo) a pochybujem, ze originaly, ktore si kupis obsahuju take nieco…

    dalsia vec je, ze si kliknes na system preferences a tam si nastavis, aby bol tvoj pocitac neviditelny a vobec na nikoho nereagoval, zapnes firewall a mas vystarane…

    akoze, som uplne v klude a odporucam aj ostatnym, navod na vyhnutie je uplne jasny, stahovat a instalovat len original legal soft z Apple uznavanych stranok…

  4. Maros, netreba zabudat, ze tieto trojske kone sa dostanu do OS len, ak ich uzivatel tam pusti (warez a admin heslo). iwork nestoji az tak vela (€80), aby si to clovek nekupil a ked uz chce niekto naozaj kradnut, tak nech stiahne CS3 :)
    Na Win existuju miliony virusov a trojanov. Mac-i sa rozsiruju ako huby po dazdi (cez 10% trhu) a ak zatial na nich nie je ani jeden virus a len dva trojske kone, tak je to dobra platforma…

  5. to znaci ak nakazeny pocitac preinstalujem a vratim tam vsetky app co som mal v time machine, tak by som teoreticky uz nemal byt nakazeny?

    vychadzam z toho ze tie trojany sa nenaladuju do aplikacii ale do samotneho systemu

    je to tak alebo sa mylim?

  6. to:gs_peter

    kde si nastavim, aby bol moj mac neviditelny a tie bezpecnostne nastavenia o ktorych pises. a…maju pre mna taketo nastavenia aj nejake obmedzenia?…ak nie, ohli bybyt rovno prednastavene, nie? dakujem.

  7. to: Agnes Lovecká

    najdes to v System Preferences – Sharing – FireWall – Advanced…

    toto je cesta na 10.4.11 (Tiger), na 10.5 (Leopard) to moze byt trosku pozmenene, ale nepredpokladam, ze nejak drasticky

    mna to nijak neobmedzuje a nie je to standardne zapnute, takze si to musi uzivatel pustit sam…

  8. Stačí používať freeware, open source. Keď už používať torrenty, tak VIP, kde sú komentáre od užívateľov. Celý veľký “iBotnet” je nafúknutá záležitosť, takých je na windows nespočetne mnoho… 

  9. @Martin Bartoš
    Áno, ďakujem za doplnenie. Ako som však napísal, i po odstránení tohoto konkrétneho kódu si užívateľ nemôže byť istý, že mu tam neostala nejaká iná diera a preto stále odporúčam sformátovať disk a nainštalovať nanovo.

    @Robo
    Tento bezpečnostný technik je známy práve tým, že sa mu to podarilo i minulý rok.

    @Vladislav Maroš Folvarský
    Súhlasím s predchádzajúcimi príspevkami…
    Zabezpečenie jadra systému Mac OS X je na úplne inej úrovni ako u OS Windows. V tomto prípade je na spustenie trójskeho koňa nutné vedome stiahnuť ilegálny softvér a dať mu prístup k systému s administrátorským heslom. Bežný užívateľ má možnosť kopírovať aplikácie napríklad do dokumentov bez toho, aby im musel dať heslo administrátora. Pokiaľ má takýto bežný užívateľ k dispozícii heslo administrátora a dá ho k dispozícii komukoľvek cudziemu – v našom prípade programu – môžu byť následky nedozerné. Osobne sa o bezpečnosť OS X neobávam. Veď je to prakticky druhý kôň za posledného pol roka. Zoberme to takto: na Apple existujú 2 trójske kone a nula vírusov za posledných 200 dní. Pre OS Windows za ten čas vzniklo cez štyri milióny vírusov a trójskych koní… a nainštalujú a spustia sa i bez hesla administrátora. Myslíte sa, že sa znepokojujem o bezpečnosť Mac OS X? Pretoža napríklad na OS Windows vznikne denne 20 000 vírusov a trójskych koní denne a malo by sa o každom písať a hovoriť, tak by správy neboli o ničom inom. Na Mac OS je to preto vždy zaujímavosť a oplatí sa prečítať si o tom. Najmä ak sa dá nakazeniu tak jednoducho vyvarovať. Koniec koncov, ak si do bytu pustím zlodeja, musím počítať s následkami…

    @HajLender
    Áno, ak použijete zálohu z dátumu pred ktorým ste nainštalovali ilegálne iWork ’09 alebo Adobe CS4 (a trójskeho koňa), máte systém čistý.

  10. ano… to mi je jasne ze je potrebne taketo nieco odkliknut aby sa to nainstalovalo ale mna hneva uz len ten fakt, ze sa na mac da dostat virus… trojan.. a neviem aka je situacia spyware/mac, ale je dost mozne ze v buducnosti to moze nastat. a vsetci vieme,ze na to aby sa ti dostal spyware do pocitaca nie je nevyhnutne chodit len po strankach s obsahom pre dospelych, kadejake warez etc.
    ale beriem to.. ze treba sa zaoberat pritomnostou a nie buducnostou, ale myslim ze by nebolo na skodu pokial by sa robili nejake opatrenia k tomu a tak sa vyhnut problemom. je vsak take nejake riesenie? ja take nepoznam, len konstatujem ze by som chcel aby sa tym niekto zaoberal. najlepsie z apple. a oficialne postavenie pocut od nich. teraz to nebezpecne az tak nie je ale moze(nemusi) to k tomu spiet.
    firewalove nastavenia som si este nemenil, ale skusim sa k tomu dostat a poupravovat. dakujem

  11. Prosím Vás všetkých a najmä tých, ktorí začínate panikáriť, aby ste nerobili hovadiny, neinštalovali všakovako čudne cracknuté veci, neinštalovali pračudesné QuickTime pluginy stiahnuté z pornostránok, ktoré ešte k tomu navyše vyžadujú admin heslo a napokon, aby ste si zapli firewall. Bezpečnosť vášho Macu je vo vašej hlave.

  12. @Vladislav Maroš Folvarský Skúste menej panikáriť alebo sa poobzerajte po nijakom Linux Live CD to nezavíri ani pánboh. Som rad že na Win vznikne 20000 kusov hávede denne inač by som bol bez prace.  

  13. mna by zaujimalo ako reaguje little snitch na takýto trojan, ci to zaregistruje alebo nie
    Ak by vedel niekto odpovedať bol by som vďačný.

  14. Martin: ja som to myslel skor tak, ze tam potom dam praveze zalohu taku, na ktorej uz mam tu CS4 nainstalovanu. Lebo sa pise, ze pri instalacii dam suhlas aby sa mi do systemoveho adresara strcil ten cerv.

    Preto som myslel, ze v samotnej uz nainstalovanej aplikacii nic nie je a system si de facto moze clovek vycistit reinstalom.

    BTW: nemam zaujem nic taketo robit ja len kvoli tomu ze by sa to takto dalo celkom jednoducho obist. PS mi netreba a iWork mam legalne.

  15. mam mbp, uz 10 dni som ho nerestartoval, standard u apple…  zaujimalo by ma preco si ale obcas system pyta heslo a to pod nazvom: dotmacsyncclient wants to use the “login” keychain. please enter the keychain password. neinstaloval som ziadnu novu app ani nepripojil any device na sync… 

  16. Dalo sa to ocakavat.

    NAPRIEK TOMU, OSX JE STALE BEZPECNY… Ked sa prihlasis do win a nechas bezat pocitac a internet bez antiviraku, za hodku ich tam mas milion… Ale ked je niekto taky … ze si nieco nainstaluje do pocitaca sam … tak to mu ani osx nepomoze :D

    Teda plati, ak nic nenainstalujes, nic take sa ti tam nedostane… V tom je ta bezpecnost… Inak by to bolo obmadzovanie.

  17. Snake: Bolo to spomínané v príspevku vyššie: iServicesTrojanRemoveTool
    V. M. Folvarský: Taká platforma ktorá zabráni spyware/trojanom pokiaľ user vloží a potvrdí administrátorské heslo nikdy nebude existovať. Každopádne trojan a vírus je obrovský rozdiel a označiť to za “skoro podobné” je minimálne nepresné.

  18. @V. M. Folvarský: “ale mna hneva uz len ten fakt, ze sa na mac da dostat virus” … nooo mna hneva fakt, ze vobec niekto vytvara virusy (v tomto pripade trojany), do akehokolvek OS, ale ludia su proste ha.zli, s tym sa musime zmierit a byt opatrny.

  19. Stiahla som si Photoshop CS4 z Adobe.com ako trial je mozne ze sa tam niekdo hackol?Niekdo mi hovoril ze to nemam stahovat ani trial ze je to neezpecne aj ked je to z Adobe.com je to pravda?

  20. @MartensPh: Keď si prečítate článok pod linkom “zdokumentované prípady”, tak tam autor píše, že DVDčko iLife získal od kamaráta, ktorý ho tiež získal od kamaráta… a tak sa prakticky nakazili všetci kamaráti.

    @iDominica: Pokiaľ sťahujete trial verzie z oficiálnych stránok, tak tie sú bezpečné. Ak sa tam niekto hackne, napíšeme o tom v novinkách… :) Nebezpečie vzniká len v prípade, že to sťahujete cez link napríklad z nedôveryhodného e-mailu.

  21. a co myslíte až příjde nový Snow Leopard, trojani by to nemuseli rozdýchat ne? Takže by se dalo možná říct, že to bude taková past na trojana? Nebo, žeby to byla jen moje ida? :D

  22. Mate skreslene predstavy co je to trojan. Je to software ktory si dobrovolne nainstalujete, date mu heslo administratora. Je to ako dat zlodejovi kluce od bytu. Proti tomu sa _neda_ ucinne branit. Na kazdy system sa musi dat nainstalovat software. Je len na uzivatelovy ked si tam nainstaluje nieco co mu niekto podstrcil. Vzhladom ktomu ze ludska hlupost je nekonecna, stale sa najdu taky ktory si nainstaluju kdeco stiahnute z internetu alebo od kamarata. Tyto ludia by _nemali_ mat pristup k heslu administratora a mali by pokoj :)

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.



Články, ktoré by sa vám mohli páčiť
pokračovanie článku

YouTube opäť sprístupnil funkciu Obraz v obraze (+ návod)

Možnosť sledovať videá v zmenšenom náhľade paralelne s inou činnosťou na vašom zariadení bola jednou z noviniek nového iOS. YouTube však funkciu limitoval Premium účtom. Našťastie to už neplatí a my prinášame postup ako sledovať videá z YouTube v tomto režime.