Brittiläinen turvallisuusyritys Intego on julkaissut turvallisuusmuistion, joka tarjoaa selkeän ja yksityiskohtaisen kuvan Applen uudesta XProtect-virustorjuntajärjestelmästä Snow Leopardissa.
On olemassa useita mielenkiintoisia vinkkejä: Applen uusi XProtect -järjestelmä ei tunnista kaikkia sellaisten troijalaisten variantteja, joita sen pitäisi esimerkiksi suojata.
Lisäksi XProtect -järjestelmä ei havaitse troijalaisia piilotettuna Internetistä ladattujen .mpkg -tiedostojen sisälle, mikä on Integon mukaan suuri heikkous. (Applen asennusohjelma tunnistaa kahdenlaisia tiedostoja - .pkg -tiedostot yksinkertaisille paketeille ja .mpkg -tiedostot, jotka sisältävät useita asennettavia paketteja.)
Muistio on selvästi itsestäänselvä- Intego myy useita virustentorjunta- ja tietosuojapaketteja Macille-mutta tarjoaa kuitenkin selkeän ja yksityiskohtaisen kuvan siitä, mitä Applen uusi XProtect-järjestelmä tekee-ja ei tee.
Koko muistio hyppyn jälkeen.
INTEGO SECURITY MEMO - 2. syyskuuta 2009
Miten haittaohjelmien torjuntatoiminto toimii Applen Snow Leopardissa
Yhteenveto
• Apple on lisännyt haittaohjelmien torjuntatoiminnon Snow Leopard Mac OS X 10.6 -käyttöjärjestelmään
• Tämä toiminto etsii vain haittaohjelmia tiedostoista, jotka on ladattu tietyillä sovelluksilla
• Applen haittaohjelmien torjuntatoiminto ei etsi haittaohjelmia, kun tiedostoja kopioidaan Finderissa, CD-levyiltä, DVD-levyiltä, USB-muistitikkuilta tai verkkotaltioilta
• Applen haittaohjelmien torjuntatoiminto etsii tällä hetkellä vain kahta troijalaista
• Apple ei tunnista kaikkia yleisimmän troijalaisen hevosen variantteja
• Applen haittaohjelmien torjuntatoiminto ei skannaa metapakettien (.mpkg) asennuspaketteja
• Applen haittaohjelmien torjuntatoiminto ei korjaa tartunnan saaneita tiedostoja tai tartunnan saaneita Mac-tietokoneita
• Applen haittaohjelmien torjuntatoiminto Snow Leopardissa ei tarjoa Mac-käyttäjille vakavaa suojaa viruksilta ja haittaohjelmilta
Koska olemme julkaisseet artikkelin aiheesta Applen uusi haittaohjelmien torjuntatoiminto Snow Leopardissa, monet lähteet ovat kirjoittaneet, miten tämä toimii. Olemme tarjonneet vertailu Applen haittaohjelmien torjuntatoimintoon ja VirusBarrier X5: een, jossa esitetään joitain ominaisuuksia, jotka ovat läsnä (tai puuttuvat) Applen toiminnassa. Mutta nyt haluaisimme tarkastella tätä toimintoa yksityiskohtaisemmin ja kuvata tarkasti, miten se toimii ja mitä se tekee - ja ei - suojaa Macia haittaohjelmilta.
Useat verkkosivustot ovat kutsuneet tätä toimintoa XProtect -tiedostoksi sen tiedoston nimen perusteella, joka sisältää tämän toiminnon toiminnan kannalta tarpeelliset tiedot. Apple ei ole antanut tälle toiminnolle mitään virallista nimeä, joten pysymme vain banaalisessa "Applen haittaohjelmien torjuntatoiminnossa". Xprotect -tiedosto nimeltä Xprotect.plist löytyy /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/; tämä on enemmän tai vähemmän piilotettu sijainti (se on CoreTypes.bundlen sisällä, joka on nippu, joka sisältää enimmäkseen kuvakkeita).
Mutta tässä paketissa on myös toinen tiedosto, joka kiinnostaa meitä: sitä kutsutaan Exception.plistiksi ja se sisältää luettelon ohjelmista, joihin Applen haittaohjelmien torjuntatoiminto vaikuttaa. (Tarkastelemme tarkasti molempien tiedostojen sisältöä alla.)
Joten, miten tämä toiminto toimii? Apple on käyttänyt karanteenitoimintoa jo jonkin aikaa Safarissa, Mailissa ja iChatissa. Tämä toiminto havaitsee, kun tiedostoja ladataan, vastaanotetaan sähköpostiviestien liitteinä tai vastaanotetaan keskustelujen aikana, ja asettaa laajennettu attribuutti (tiedot eivät näy käyttäjille) tällaisissa tiedostoissa, jotka sisältävät tietoja siitä, milloin tiedosto on ladattu ja millä sovellus. Tältä näyttää yksi laajennettu ominaisuus Safarin kanssa ladatulle levykuvalle:
com.apple.quarantine: 0000; 4a9bc528; Safari.app; 2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E | com. Omena. Safari
(Huomaa, että tämä laajennettu määrite lisätään kaikkiin yllä kuvatulla tavalla vastaanotettuihin tiedostoihin, mutta karanteeniin -toiminto tarkastelee vain tiettyjä tiedostotyyppejä, lähinnä suoritettavia tiedostoja - sovelluksia tai komentosarjoja - ja asennusohjelmaa paketteja.)
Jos kaksoisnapsautat levyn kuvan sisällä olevaa suoritettavaa tiedostoa tai asennuspakettia levyn kuvan asentamisen jälkeen, karanteenitoiminto havaitsee laajennetun määritteen ja järjestelmä näyttää varoituksen:
Tämä tapahtuu myös, jos lataat suoritettavan tai asennuspaketin arkistosta. Kun olet purkanut suoritettavan tiedoston ja kaksoisnapsauta sitä, näet yllä olevan varoituksen.
Haittaohjelmien kanssa Applen uusi toiminto tukee tätä karanteenijärjestelmää skannaamaan tiedoston haittaohjelmien varalta, ja jos se löytää jotain, seuraava näkyy:
Mitä Applen haittaohjelmien torjuntatoiminto etsii?
Nyt katsomme aiemmin mainitsemamme XProtect.plist -tiedoston sisälle. Tarkasteltaessa tätä tiedostoa Applen ominaisuusluetteloeditorilla voimme nähdä, että luettelossa on yhteensä kahdenlaisia haittaohjelmia: RSPlug. Troijan hevonen ja iServices -troijalainen.
Intego löysi entisen vuonna Lokakuuta 2007 ja jälkimmäinen sisään Tämän vuoden tammikuu. RSPlug -troijalaisesta on 17 varianttia ja useita iServices -troijalaisen hevosen variantteja.
Yksi mielenkiintoinen kysymys on, pystyykö Applen haittaohjelmien torjuntatoiminto havaitsemaan kaikki RSPlug Troijan hevosen nykyiset versiot. Integon viruksenmetsästäjät tekivät joitain testejä ja havaitsivat sen Apple voi tunnistaa vain 15 RSPlug -troijalaisen 17 variantista. Tämä tarkoittaa, että kaksi heistä pääsee Applen verkon kautta. On käynyt ilmi, että Snow Leopard ei tunnista RSPlugia. A eikä RSPlug. C variantteja. Lisäksi, Applen haittaohjelmien torjuntatoiminto tunnistaa löytämänsä muunnelmat väärin, koska kaikissa tapauksissa minkä tahansa RSPlug-troijalainenversion näyttämä hälytys ilmoittaa, että RSPlug. Muunnelma havaittiin.
Mitä tulee iServices Trojaniin, asiat muuttuvat hieman monimutkaisemmiksi. Tämä troijalainen hevonen löydettiin BitTorrent -sivustojen kautta jaetusta piraattiohjelmistosta. Apple ei kuitenkaan merkitse BitTorrent -asiakasohjelmilla ladattuja tiedostoja (katso alla). Joten ellei joku ryhtyisi levittämään näitä tartunnan saaneita levykuvia iWork '09: sta ja Photoshop CS3: sta verkkosivustojen kautta, Applen haittaohjelmien torjuntatoiminto ei koskaan havaitse iServices-troijalaisia.
Meidän on huomattava tämän järjestelmän suuri heikkous. Applen asennusohjelma käyttää kahden tyyppisiä asennustiedostoja: .pkg- ja .mpkg -tiedostoja. Ensimmäiset ovat yksinkertaisia pakettitiedostoja ja jälkimmäiset ovat metapakettitiedostoja, jotka sisältävät useita paketteja, usein asennuksiin, jotka sisältävät useita elementtejä. Kävi ilmi, että testeissämme Applen haittaohjelmien torjuntatoiminto ei havaitse .mpkg-tiedostoihin sisältyviä haittaohjelmia. Testasimme useita RSPlug Troijan hevosnäytteitä metapakettitiedostoissa, eikä hälytyksiä näytetty. Jotkut metapakettien sisältämistä tiedostoista avautuvat kuitenkin yksinään.
Mitkä sovellukset ovat suojattuja?
Mainitsimme edellä, että siellä on tiedosto nimeltä Exception.plist, joka sisältää luettelon ohjelmista, jotka voivat käyttää Applen haittaohjelmien torjuntatoimintoa.
Lisäykset -kohdassa näet niiden ohjelmien tunnisteet, joita Snow Leopard valvoo tällä hetkellä haittaohjelmien varalta. Selaimia on: Internet Explorer, Firefox, OmniWeb 5, Opera, Shiira, Mozilla Navigator ja Camino; ja sähköpostiohjelmat: Entourage, Seamonkey ja Thunderbird. (Näiden ohjelmien lisäksi ovat Applen omat Safari, Mail ja iChat, jotka eivät näy tiedostossa; heillä on LSFileQuarantineEnabled -avain asetettu niiden info.plist -tiedostoihin. Kaikki tämän avaimen asettavat sovellukset hyötyvät Applen karanteenisuojauksesta, mutta se riippuu yksittäisistä kehittäjistä.) Tämä ei kuitenkaan koske kaikkia tiedostotyyppejä; toistaiseksi sovellukset ja muut suoritettavat tiedostot (kuten komentosarjat) on merkitty, samoin kuin asennuspaketit. Jotkut muut tiedostotyypit merkitään, mutta troijalaiset heijastavat tiedostoiksi, jotka eivät ole sovelluksia, voivat liukua verkon läpi.
Tässä luettelossa puuttuvat erityisesti pikaviestiohjelmat (kuten MSN, Adium ja Skype), sähköpostiohjelmat (PowerMail, Mailsmith jne.), Mutta ennen kaikkea valtava määrä sovelluksia, jotka voivat ladata muita tiedostoja kuin verkosta. Mitään FTP-ohjelmia ei ole suojattu, eikä BitTorrent-asiakkaita tai muita vertaisohjelmia, jotka molemmat ovat yleisiä tartunnanlevittäjiä.
On huomattava, että Finder ei ole suojattu, joten verkkotaltioista tai siirrettävältä tietovälineeltä (kuten USB -muistitikulta) kopioituja tiedostoja ei skannata ollenkaan. Lisäksi Applen toiminto ei voi korjata tartunnan saaneita tiedostoja eikä korjata vahinkoja, jotka ovat mahdollisesti syntyneet, jos Mac on jo saanut tartunnan. Itse asiassa tässä jälkimmäisessä tapauksessa Apple ei voi edes kertoa sinulle, että Macisi on tartunnan saanut.
Tuntematon: viruksen määritelmän päivitykset
Apple on ilmoittanut, että sen ohjelmistopäivityssovellus toimittaa päivitykset virusmääritystiedostoon XProtect.plist, mutta ei kuinka usein. Aluksi vain kaksi troijalaista on nykyisissä määritelmissä, mikä ei suinkaan ole riittävä, kun otetaan huomioon Mac -tietokoneita uhkaavien haittaohjelmien määrä. On epäselvää, odottaako Apple, että tietoturvapäivitykset päivittävät tiedoston, vai tuleeko niitä erilliset päivitykset useammin (Apple julkaisee Mac OS X: n tietoturvapäivityksiä noin kymmenen kertaa vuodessa keskiverto). Kaupalliset virustentorjuntaohjelmistot hyötyvät usein päivityksistä: Integon tapauksessa vähintään kahdesti viikossa ja useammin, kun uusia haittaohjelmia tai uusia versioita löytyy.
Yhteenvetona
On nähtävissä, että Apple on lisännyt Snow Leopardiin hyvin rajoitetun haittaohjelmien torjuntatoiminnon. Se ei vain skannaa tiedostoja vain kourallisista sovelluksista ja vain kahdesta troijalaisesta, mutta se ei edes havainnut kaikkia testattuja nykyisiä variantteja. Se ei voi korjata tiedostoja tai skannata Maciasi löytääkseen olemassa olevia infektioita. Se ei havaitse metapakettien sisältämiä haittaohjelmia, joten on erittäin helppoa jakaa haittaohjelmia, jotka ohittavat Applen suojan. Se ei voi skannata verkon asemia, eikä se edes näe tartunnan saaneita tiedostoja, jotka on kopioitu siirrettävältä tietovälineeltä. Lyhyesti sanottuna Applen haittaohjelmien torjuntatoiminto Snow Leopardissa on tunnettu siitä, että se ei tarjoa vakavaa suojaa Mac-käyttäjille.