Kell-e OS X-re antivírus szoftver?

macOS

Régóta mondogatják az antivírus gyártók, hogy itt az ideje annak, hogy a Mac felhasználók is antivírus szoftverrel szerelkezzenek fel. Vajon valóban szükségük lehet antivírus szoftverre az OS X-et futtatóknak vagy csak a biztonsági szoftvereket gyártó vállalatok akarnak egy újabb piacot szerezni? A Sophos most egy videót mutatott be arról, hogy egy teljesen legitimnek látszó, megbízhatóságot sugárzó weboldal is terjeszthet malware-t, igazán megbízni egy weboldalban sem lehet. A számítástechnikában kevésbé járatos OS X felhasználók nem feltétlenül tudják segítség nélkül eldönteni, hogy amit letöltenek, az valójában mi is...

"És ne próbáld azt mondani nekem, hogy ez nem érinti a Mac OS X felhasználókat, mert a telepítéshez meg kellene adniuk az adminisztrátor felhasználói nevét és jelszavát. Ha készek letölteni ezt a program erről a weboldalról, akkor egész biztos vagyok benne, hogy a megadnák az adminisztrátori adatokat a telepítéshez!

A Mac felhasználók ebben a tekintetben nem különböznek a Windows felhasználóktól -- ez social engineering, sima és egyszerű."

A részletek itt.

( segabor | 2009. 03. 26., cs – 22:04 )

Rengeteg cikket olvashattunk eddig is az OS X sebezhetőségéről. Viszont - hála az Istennek - ennek még mindig nincs nyoma a hétköznapi felhasználók között. Egyszer talán eljön ez a pillanat, de hiszem, hogy távol van még.

--
Kinek nem inge, ne vegye gatyára

( kikke | 2009. 03. 26., cs – 23:45 )

A Sophos már régóta kínál vírusirtót OS X-re. Viszont elég lassan készülnek fel bizonyos trójaiakra Windowson. Volt hogy küldtem volna nekik mintát, de megfogta a gmail beépített víruskeresője... (Rollerre légzsák)

Utána kitalálták hogy webes űrlapon lehessen feltölteni. Nem rossz egyébként, kevés erőforrást foglal le Windowson, ha nem is annyira naprakész de tűrhető...
OS X-en viszont kell a reklám, elégedett felhasználó nincs sok. A valósidejű védelme iszonyatosan megfogja a gépet.

( Hunger | 2009. 03. 26., cs – 22:52 )

Vajon, ha Linux-ra és BSD-re is ajánl fel letöltést, akkor azok felhasználói mit tesznek? ;)

A Mac OSX-szel ellentetben a Linux nem annyira integralt, hogy letoltes utan valami egybol elinduljon, es rendesen telepuljon. Foleg, hogy nincs is egyseges telepitomegoldas Linuxra, ahany gyarto, korulbelul annyi modszer is. Igazabol, ha valami megis elindulna, az nagyon furcsa lenne - ez Mac-en nem annyira az.

Arrol nem beszelve, hogy Linuxon viszonylag egyszeru egy on-demand viruskergetest beallitani a dazuko-clamuko interfeszen keresztul, csak a disztrogyartoknak kell ezt default betenni a kernelbe, meg a clamavba.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

"A Mac OSX-szel ellentetben a Linux nem annyira integralt, hogy letoltes utan valami egybol elinduljon, es rendesen telepuljon. Foleg, hogy nincs is egyseges telepitomegoldas Linuxra, ahany gyarto, korulbelul annyi modszer is. Igazabol, ha valami megis elindulna, az nagyon furcsa lenne - ez Mac-en nem annyira az."

Itt arról van szó, hogy ha valamit letöltesz, akkor azt nyilván azért teszed, mert fel akarod telepíteni. És meg fogod hozzá adni a szükséges jelszavakat. Mert ezt akarod.

Én ezt egyébként problémának látom Linux alatt is, de egy kicsit kisebbnek. A hozzá nem értőknek fogalmuk sincs, hogy mit töltenek le. Nem feltétlen biztos, hogy ezeknek a felhasználóknak Linux alá nem kéne valami víruskereső.

Lényeges különbségeket látok azonban.

1) Szerintem OS X alatt sokkal nagyobb a warezolók aránya mint Linux alatt. Ez abból adódik, hogy OS X alá sokkal több fizetős program érhető el és bizony vannak, akik nem akarnak pénzt adni ezekért a programokért. Ezt a malware terjesztők ki is használják. A warez bizony melegágya a malware terjedésnek.
2) A Linux-ot használók nagy része a disztribútora által terjesztett programokat használja, annak repóiból telepít. 3rd party programokat nem alkalmaz. Ez lényegesen csökkenti a rizikót.
3) Más a felhasználói kör. A Linux-ot nagyrészt az átlagnál hozzáértőbbek használják még mindig. Annyira nem elterjedt a számítástechnikai (nem rossz értelemben) "analfabéták" közt, mint az OS X. Az OS X-et az Apple úgy csinálta meg, hogy az átlag alatti felhasználó is tudja használni. Nem véletlenül népszerű ez azoknál, akik a könnyű felhasználást részesítik előnyben. Aki kicsit jobban ért hozzá, az OS X alatt is meg tudja védeni magát. Valószínűleg megfelelő gyanakvással tölt le dolgokat az internetről. Bár itt is felmerül a kérdés, hogy ha valamit letölt egy megbízhatónak látszó helyről (lásd videó) akkor azt mivel ellenőrzi, hogy 100% biztos legyen?

--
trey @ gépház

"A Linux-ot használók nagy része a disztribútora által terjesztett programokat használja, annak repóiból telepít. 3rd party programokat nem alkalmaz. Ez lényegesen csökkenti a rizikót."

Ha pedig mégsem, akkor nagy valószínűséggel valami sokak által használt forrásadatbázisból (lsd sourceforge) szedik a forrást és forgatják a cuccot. Én talán a netbeanst és eclipset leszámítva nem is telepítek binárisból.

Ennek ellentmond az, h futottam mar bele "trusted" weboldalon olyan linkbe, ami platformtol fuggoen automatikusan letoltott egy csomagot es installlalni akarta. W32-on exe-t, osx-en dmg-t, linux-ra shell scriptet. Visszafejtettem a legvegeig, kapasbol annyi tortent "csak", h at akarta irni a dns szerver cimet. Nem emlekszem mar hol futottam bele, de nem egy noname oldal volt.

---
pontscho / fresh!mindworkz

Nem feltétlen biztos, hogy ezeknek a felhasználóknak Linux alá nem kéne valami víruskereső

Szerintem ezeken a felhasználókon nem segít a víruskereső sem. A biztonságtudatos gondolkodást nem lehet semmiféle hardver vagy szoftver termékkel helyettesíteni.

2) A Linux-ot használók nagy része a disztribútora által terjesztett programokat használja, annak repóiból telepít. 3rd party programokat nem alkalmaz. Ez lényegesen csökkenti a rizikót.

Ez igaz egészen addig, amíg meg nem látja a színes-szagos Háj Difinísön TíVí Pléjá weboldalt és rákeresve a repóiban nem talál hozzá csomagot. Utána hajlamos lehet kipróbálni a weboldalról letölthető verziót... ;)

A csomagok altalaban vagy egy gyenge jelszavu useren, vagy egy webes felulet hibajan keresztul jottek be. Pl. ilyen volt hosszu idei az avstat tavolrol kihasznalhato kodfuttatasi hibaja.
Tipikusan olyan default eszkozoket hasznalnak, amik szabvanynak es alap dolognak szamitanak egy alap linuxtelepitesnel (wget, bash, gzip) Tipikus megoldas, hogy a csomag egy bash scripttel egybecsomagolt gzippel tomoritett file, ahol a a script futtataskor, letrehozza user szintu jogosultsaggal a scriptben levo gzip filet, majd azt kicsomagolja es futtatja a az abban levo telepitoscriptet. Ez utobbi vagy csak egy user szinttel futtathato filet hoz letre es futtat (backdoor, botnet kliens, stb), vagy megprobal rendszerszintu fileokhoz hozzaferni (passwd, passwd.shadow, cronttab, init.d) es azokat szerkeszteni.

Az ilyenek elleni vedekzes, a futo processzek monitorozasa, bizonyos felhasznalok korlatozasa mind kodfuttatasi, mind meghajto hozzaferesben.

Amugy az egesz mit sem er ha az adott backdoor mar forras szinten van az adott koodban. Erre jo pelda a wait4() kernel backdoor esete, ami kishijjan bekerult a mainline kernelbe. Egy ilyen eseteben, tok mindegy mit tesz az ember, a backdoor kozvetlenul a disztiben keresztul fog hozza kerulni.

--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Az emlekeim szerint az egesz GCC-vel egyutt volt 1.4MB tomoritve. Ha nagyon kell a legutobbit meg tudom nezni. Egy kod forgatasahoz, kell egy binaris GCC egy glibc binarisban, ahol a gcc statikusan van linkelve glibchez. Ezutan mar szinte egy reszelon is futtathatod a gcc-t, ami meg szepen forgat majd egy olyan futtathato allomanyt ami jo lesz a rendszeredhez.
Altalaban minden gepen ott van a bash, tehat nem nagy problema egy olyan scriptet írni ami szepen vegrehajtja a forditast. Egy botnet klienshez, minimalis kod szukseges, ahogy egy bruteforce passwd torohoz is.
Ugyanigy igaz, hogy egy botnet kliens futtatasahoz elegendo egy user szintu jogosultsag.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Alkalmazás "telepítéséhez" nincs szükség adminisztrátori hozzáférésre Mac-en. Igaz, Linuxon se. Csak akkor kizárólag az azt telepítő user fogja elérni (bocs, a pongyola megfogalmazásért). De a $HOME-ba bárki rakhat bármit. Az persze más kérdés, hogy Macen az a szokás, hogy az alkalmazások (többnyire) egyetlen könyvtárstruktúrában tartanak mindent, amit egyetlen ikon reprezentál a Finderben.
Ezeket nem feltétlen szükséges "telepíteni", bárhova bemásolhatóak. (sokszor még a terjesztéshez használt disk image-ről is futtathatóak)

Ave, Saabi.

( marcika | 2009. 03. 27., p – 00:23 )

biztos leírták mások is már rajtam kívül, de teljesen nyilvánvaló, hogy ha akár a mac akár a linux annyira elterjed hogy elég sok naiv és számítógéphez nem értő felhasználója legyen, akkor lesznek olyan vírusok, amik arról fognak szólni, hogy "töltsd le ezt meg azt, aztán telepítsd". és akkor megadja az admin jelszót vakon, és kész.
én se nézem meg ha leszedek egy ufoai-t hogy mi az, mert még bízok benne, hogy nem olyan népszerű a dolog hogy feltörjék és vírust küldjenek nekem.

A gond az, hogy igy is megbizol benne. Az a jobb, ha a felhasznalok mar az elejen raszoknak a bizalmatlansagra, kulonben a hozzad hasonlok kivalo teszterei az elso virusoknak. Nezd meg, mit szedsz le.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Nekem pl a windowsomon sincs vírusírtó, pedig netezni is szoktam vele (nem keveset), de valahogy vírusom sem szokott lenni (ezt az állításoat állításomat jelen pillanatban nem ellenőriztem, hanem az elmult évek tapasztalatárá támaszkodom :D) egyszerűen nem kattintok ész nélkül a böngészőmben mivel álltalános bizalmatlanság van érvényben. Ellenben linux alatt kattintgatok. Persze ha linux alatt is elterjednek a kártevők ott is 2x meggondolom majd, hogy mire kattintok.

Altalaban en se megyek olyan oldal kozelebe, de valahogy idonkent mindig osszeszedtem valamit. Azota fenn figyel egy Avast!, kenyeret nem ker, tul sokat nem lassit, ha megis, ket kattintassal ki tudom kapcsolni.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Olyankor mi van, ha nem admin userrel szedi le a malware-t tartalmazó kodekpakkot, de utána a telepítéshez saját maga adja meg az admin jelszót, mert különben nem tudja telepíteni? A nem admin userrel internetezés egy proaktív rétege a védelemnek. Mint ahogy egy AV termék is lehet egy része a többrétegű védelemnek. Ezek kiegészítik egymást.

--
trey @ gépház

( airwave | 2009. 03. 27., p – 12:24 )

A Windows és a MacOSX a leginkább noob-firendly os, így a vírusok terjedése várható.

Sajnos már Linux is egyre egyszerubb, azelott legalább egy manuális mountolás és a terminal elrettentette a lámákat. :D

( csabka v | 2009. 03. 27., p – 12:24 )

Az ilyen "vírusokról" az a véleményem, hogy ha fizikailag megfogható példát veszünk figyelemben... az emberek többség tudja mi a teendő...

Pl: találsz az utcán egy véres injekciós tűt.
a., elteszed, majd felhasználod/kipróbálod "hátha jó lesz"
b., keresel rajta ismert vírusokat/bacikat, majd fertőtleníted azokkal szemben (ismeretlen vírusokra hatástalan)
c., messze elkerülöd

A felhasználók többsége _sajnos_ úgy használja a számítógépet, hogy nem akar érteni hozzá egyáltalán csak használni akarja. Nos ha ugyanez lenne igaz a fenti példára, akkor mi lenne az emberiséggel...

Szerintem a legtöbb oprendszer esetén official partner repository kellene. Akár google pack jelleg, de inkább ubuntu partner repo, vagy hasonló. Így több szűrőn keresztül menne a futtatható program.

( psc | 2009. 03. 27., p – 13:16 )

Igazából ez a probléma minden rendszeren fennáll.
Semmi sem garantálja, hogy egy akárhonnan letöltött bináris program nem tartalmaz vírust/spywaret/trójait/etc.
Ha idegen programot futtatsz a számítógépeden, tökmindegy milyen operációs rendszer alatt, nem lehetsz biztos.

( zolti v | 2009. 03. 30., h – 13:31 )

Túl nagy hisztit csinálnak ebböl. Aki letölt valamit és megadja root jelszót a telepítéshez az késöbb majd kikapcsolja a vírusírtót is mert zavarja ,hogy állandóan nyávog neki és nem tudja mit tegyen vele.
Ezek ellöl nincs menekülés.