ביטחון מדומה: גם משתמשי המק חשופים

במשך שנים עשתה אפל כל שביכולתה על מנת לשכנע את משתמשי המק שהם מוגנים. זה עבד מצויין עד שבשנים האחרונות המציאות החלה לסדוק את התדמית שיצרה. תמונת מצב מעודכנת ודרכים להתגוננות

תמונה: יח"צ

תמונה: יח"צ

משתמשי מק תמיד היו (ונשארו) בטוחים ברובם שהם משתמשים במחשבים עם מערכת הפעלה בלתי פריצה וחסינה בפני וירוסים, ובצדק, OSX היא אחת ממערכות ההפעלה הבטוחות ביותר הקיימות בשוק. אולם דווקא הביטחון של משתמשי המק בחסינות שלהם בפני וירוסים חושף אותם להתקפות דרך רשתות חברתיות, אתרי פישינג, ותוכנות cross platform כמו JAVA ו-Adobe Flash.

העובדה הפשוטה שעליה חוזרים כמו מנטרה מומחי אבטחה והאקרים בשנים האחרונות בכנסים ובמאמרים, היא שמספר הוירוסים שיוצאים עבור מערכת הפעלה מסוימת תלוי בפופולאריות שלה ותו לא. הכדאיות הכלכלית בפיתוח וירוסים היא הגורם העיקרי שמשפיע על כמות הוירוסים שיוצאים עבור מערכת הפעלה. אין מערכת שחסינה מפריצה.

צוברת פופולאריות, ווירוסים

וירוסים שתוקפים מחשבי מק קיימים כבר משנות ה-80 המוקדמות, אז הם הדביקו בעיקר באמצעות floppy disks כמו הוירוסים עבור MS-DOS באותה תקופה, והתפתחו והתרבו במהלך שנות ה-90 בעיקר בשימוש בפרצות מאקרו ב-Microsoft Office for Mac.

OSX שיצאה עבור מחשבי מק ב-2002, היוותה מערכת הפעלה חדשה לגמרי לעומת 9 Mac OS שקדמה לה, וכללה הצפנה חזקה של הקרנל וניהול הרשאות ומשתמשים שהפך אותה לבטוחה הרבה יותר, ולכן אני לא אתייחס לוירוסים מן העבר ואתרכז בוירוסים משמעותיים והתקפות עבור OSX מהשנים האחרונות. עם החזרה לחיים של אפל וההשתלטות שלה על שוק הסמארטפונים והטאבלטים באמצע העשור הקודם, החלה גם עליה אקספנונציאלית שנתית בכמות המשתמשים במחשבים ולפטופים של מק.

הפעם האחרונה בה הכריזה אפל בגלוי על מספר המשתמשים במחשבי מק ו-OSX ברחבי העולם היתה בקיץ 2011, והוא עמד אז על 66 מיליון משתמשים. לפי הגרף שאפל הציגה, ניתן להניח בהערכה זהירה שמספר המשתמשים ב-OSX כיום מונה לפחות 80 מיליון משתמשים, ואלה מספרים שאינם חומקים מעיניהם של משפחות הפשע וההאקרים שעוסקים בפיתוח וירוסים והונאות למחייתם.

עם העליה המשמעותית בכמות הוירוסים עבור OSX בשנים האחרונות, ומספר עדכוני האבטחה ההולך וגדל שאפל משחררת מידי שנה, נאלצה החברה לשנות בקיץ של שנה שעברה את ההצהרה באתר האינטרנט שלה מ"אין וירוסים ב-OSX וב-Windows יש המון" להצהרה המרוככת "OSX עוזרת לשמור עליך מוגן".

אסרה על השימוש במינוח "אנטי וירוס"

למעשה אפל לא הסכימה לאורך השנים לאפשר לחברות אבטחה לפתח אנטי וירוסים עבור מחשבי מק עד שב-2010 היתה ESET Cybersecurity תוכנת האנטי וירוס הראשונה שקיבלה אישור מאפל להמכר בחנויות הרשמיות של החברה (שם המוצר לא כולל את המונח "Antivirus" משום שאפל לא אישרה זאת). פחות מ-3 שנים לאחר מכן כבר קיימות היום מעל ל-20 תוכנות אבטחה עבור OSX שמאושרות ע"י אפל.

היציאה של OSX לשוק ומספר המשתמשים הזניח שלה היוו מכשול משמעותי בפני ההאקרים, אך גם זה החזיק מעמד רק שנתיים. עם העליה בפופולאריות שלה, שוחרר ב 2004 מאמר Proof of concept שהראה כיצד ניתן להדביק את מערכת ההפעלה באמצעות קובץ שמתחזה ל-MP3 ומנצל פרצה ב iTunes. עוד באותה שנה שוחררה הנוזקה הראשונה עבור OSX שכונתה Opener או Renepo ואיפשרה להאקרים לשתול Shell Script באתחול המערכת שמנטרל את חומת האש ואת האבטחה של מערכת ההפעלה, ומאפשר להם גישת Backdoor ואפשרויות להוריד למחשב מגוון כלי Spyware שניתן באמצעותם לפצח ולגנוב סיסמאות ומידע מאפליקציות.

pic1

ניתן לראות לפי ההצהרה של כותב הנוזקה שהיא מבוססת סקריפט ואינה מכילה אלמנט של Dropper או injector שנועד לבצע את ההפעלה של הנוזקה, נושא שבו התרכזו ההאקרים מאז.

כותבי הנוזקות וההאקרים התחילו ליישם שיטות של הנדסה חברתית בשנת 2006 כאשר יצאה התולעת האמיתית הראשונה עבור OSX שכונתה Leap, והפיצה את עצמה דרך האפליקציה המובנית במערכת ההפעלה iChat Messanger Client, בהודעה שכל משתמש מק ממוצע היה פותח – "תמונות מסך ראשונות של Leopard Mac OSX 10.5”. התמונות שצורפו להודעה היו בעצם Unix Executable שהשתמש באייקון של תמונת JPG. התולעת השתמשה בשירות חיפוש הקבצים Spotlight כדי להדביק את כל הקבצים במערכת.

בשנת 2007 שוחררה נוזקה שכונתה Jahalav או RSPlug וקיבלה פרסום שגוי בשם DNS Changer, שהוא כינוי לכל הנוזקות שיודעות לשנות הגדרות DNS במערכת ההפעלה. הנוזקה יצאה במגוון גרסאות שנועדו לשימוש ע"י Black hat SEO שמקדמים אתרים וגורמים לתעבורת המידע מהמחשב הנגוע לעבור דרך אותם אתרים, והאקרים שעוסקים בפישינג שמפנה לעמודים דרכם הם מנסים לגנוב סיסמאות.

הולך ומחמיר

שנת 2008 הביאה למק טרנדים נוספים של נוזקות שעד לאותה תקופה נמצאו במערכת ההפעלה Windows – תוכנות אנטי וירוס מתחזות ותוכנות הפחדה Scareware שהיו ידועות בכינויים iMunizator ו- MacSweeper. בשנים 2009 ו-2010 יצאו עוד מספר משפחות של סוסים טרויאנים ו-Spyware שנועדו לגנוב מידע וסיסמאות, ואיפשרו גישת Backdoor למערכת. במהלך אותן שנים השיטות הנפוצות להדבקה היו codec שהמשתמש התבקש להתקין כדי לצפות בסרטונים באתרים נגועים, פרצות ב-JAVA וב-Adobe Flash וחזרה של שימוש בפרצות ב-Microsoft Office for Mac.

בשנת 2011 שוחרר מספר גדול של משפחות של נוזקות וכלי Backdoor, כאשר הבולטת בהן היא נוזקת אנטי וירוס מתחזה שעד היום היא הנוזקה שכנראה הדביקה את המספר הגדול ביותר של משתמשי מק, וידועה במגוון שמות שמשתנים בכל גרסה שלה, כשהגרסה הידועה ביותר נקראת MacDefender. הנוזקה הופצה כאשר היא משתמשת בתוצאות חיפוש מזויפות כדי לגרום למשתמשים להגיע לעמוד הנחיתה שמאפשר את ההתקפה. בגרסאות האחרונות שלה היא ידעה להדביק מערכות OSX גם אם המשתמש לחץ על Cancel או Remove all כדי לסגור את הדפדפן, ואפילו בשימוש באפשרות Force Quit.

pic2

הנוזקה שעשתה הכי הרבה כותרות ב-2011 היתה Flashback, שהדביקה יותר מ-600,000 משתמשים באמצעות התחזות להתקנה של Flash Player דווקא דרך פירצה ב-JAVA, ואיפשרה הורדה של נוזקות נוספות למחשב הנגוע. אולם הפעולה העיקרית שלה היה צירוף של המחשב המותקף לרשת ה botnet הגדולה ביותר של משתמשי מק עד היום.
פירצת ה JAVA מספר CVE-2012-0507 איפשרה לנוזקה לפעול בלי צורך בהקלדה של סיסמת מנהל או כל פעולה אחרת מצד המשתמש.

שנת 2012 הביאה איתה עוד נוזקות סוס טרויאני, Spyware ו-Backdoor המכוונות כנגד גרסאות Lion ו-Mountain Lion של OSX. בכנס Black Hat USA 2012 נחשפה גם פירצה ב-EFI Bios שקיים בכל מחשבי המק מהשנים האחרונות, כפי שכתבתי בחודש שעבר.

pic3

שנת 2013 נפתחה בסערה כאשר חברת אפל הודתה בחודש שעבר שמחשבי מק במטה החברה הותקפו ע"י האקרים והודבקו בוירוס, ושחברות נוספות נפגעו בהתקפה. הוירוס השתמש בפירצת JAVA, כמובן, והפיץ את עצמו במקרה של אפל דרך אתר של מפתחים עבור iPhone. מדובר בהתקפה הגדולה ביותר עד היום על מחשבי מק בסביבה ארגונית, ומספר חברות אבטחה רמזו בדיווחים שלהם שממשלת סין מעורבת בהתקפה ושהמטרה היתה גניבת מידע.

רמז נוסף לחומרת ההתקפה נמצא במהירות ללא תקדים שבה שיחררה אורקל עדכון אבטחה – רק שבוע לאחר שמומחי אבטחה הזהירו שהפירצה נמצאת בשימוש. ההתקפה גם גרמה לאורקל לבטל את ההחלטה שלהם להפסיק להוציא עדכונים עבור JAVA 6 בסוף פברואר.

האירועים של השנים האחרונות מראים שמשתמשי מק אינם יכולים להשאר אדישים והם חייבים ליישם תפיסות של אבטחת מידע שקיימות כבר שנים רבות אצל משתמשי ה-PC. אולם המצב בשטח הוא שעדיין הרוב המכריע של משתמשי מק בטוח שאין וירוסים או איומים כלשהם שעלולים לפגוע בהם. המצב הזה הופך אותם לפגיעים יותר – למרות שמערכת ההפעלה OSX היא בטוחה מאוד, עדיין קיים מספר לא מבוטל של וירוסים שכאשר המשתמש מתפתה לתת להם הרשאות יכולים לעשות נזק בדיוק כמו ב-Windows. ראינו גם וירוסים חדשים שאינם דורשים הרשאות או פעולות מצד המשתמש. מספר הוירוסים והאיומים עבור OSX עדיין זניח לעומת Windows, אולם מודעות נמוכה עלולה לגרום לתפוצה רחבה הרבה יותר לכל משפחה של וירוסים.

המלצות אבטחה למשתמשי מק

  • קודם כל ומעל לכל גלו עירנות בגלישה באינטרנט, ברשתות חברתיות ובמיילים, כלפי כל דבר חשוד – במיוחד בקשות מצד אפליקציות להקלדה של סיסמת מנהל.
  • לנטרל JAVA ב-OSX ובדפדפן המובנה ספארי, אלא אם כן הוא נחוץ לעבודה.
  • לא לבצע עדכוני JAVA, Flash או Codec שמופיעים באתרים לא מוכרים אלא רק בצורה יזומה מהאתרים הרשמיים של החברות.
  • להתקין תוכנת אנטי וירוס ולבצע סריקות שבועיות.

הפוסט בחסות ESET


חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה – ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android – מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.

בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.

בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.




אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

5 Comments on "ביטחון מדומה: גם משתמשי המק חשופים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
אבי
Guest

דיבורים כל חול ואין מה לאכול.
הבנאדם עובד בחברה של אנטי וירוס! מה ציפיתם שהוא יכתוב?
שיתן שם אחד של וירוס למק. אחד!

גידי
Guest

הכתבה מציינת כמה וכמה שמות. תגובה לא ברורה.

גידי
Guest

מקווה שמתארגנת בארה"ב תביעה ייצוגית כאן, וגם תלונה ל-FCC. מיתוס האין וירוסים של אפל כיכב ביותר מאחת הפרסומות ההזויות הפתטיות של אפל במשך השנים.

אמיר כרמי
Guest
אבי – אני חושב שגידי ענה לך טוב במקומי… בחיפוש של דקה בגוגל תוכל למצוא עשרות משפחות של וירוסים למק. בכל מקרה אני מקווה שגם אם אתה לא משתמש באנטי וירוס, אתה מבצע מידיי פעם סריקות וירוסים כדי לוודא שאתה נשאר בטוח. מלונות בטבריה – נכון, לא קיים פיתרון אבטחה שיכול לטעון ל 100% חסינות. לכן ההמלצה להשתמש באנטי וירוס ולבצע סריקות שבועיות היא רק אחת מההמלצות שלי לשימוש בטוח במק. מודעות של המשתמש היא תמיד הגורם מס' 1 באבטחת מידע – אבל גם המשתמש המודע והמנוסה ביותר יכוול ליפול לפעמים. דוגמא טובה היא מקרה מלפני חודשיים שבו גרסה חדשה… Read more »
גבריאל
Guest

הלחצתם אותי נורא,הולך הלילה לישון מחובק עם המקבוק..בשביל מה זה היה טוב הכתבה הזאת?

wpDiscuz

תגיות לכתבה: