Britansko varnostno podjetje Intego je objavilo varnostni zapis, ki ponuja jasen in podroben pogled na Appleov novi protivirusni sistem XProtect v Snow Leopardu.
Obstaja nekaj zanimivih podrobnosti: Appleov novi sistem XProtect ne more prepoznati vseh različic trojancev, pred katerimi naj bi na primer ščitil.
Prav tako sistem XProtect ne zazna trojancev, skritih v datotekah .mpkg, prenesenih iz interneta, kar je po mnenju Intega velika pomanjkljivost. (Applov namestitveni program Apple prepozna dve vrsti datotek - datoteke .pkg za preproste pakete in datoteke .mpkg, ki vsebujejo več paketov za namestitev.)
Dopis je očitno sam sebi namenjen- Intego prodaja več protivirusnih paketov in paketov za zasebnost za Mac, vendar kljub temu ponuja jasen in podroben pogled na to, kaj počne novi Appleov sistem XProtect-in česa ne.
Celoten zapis po skoku.
INTEGO SECURITY MEMO - 2. september 2009
Kako deluje funkcija proti zlonamerni programski opremi v Appleovem snežnem leopardu
Povzetek
• Apple je Mac OS X 10.6 Snow Leopard dodal funkcijo proti zlonamerni programski opremi
• Ta funkcija išče samo zlonamerno programsko opremo v datotekah, prenesenih z določenimi aplikacijami
• Applova funkcija proti zlonamerni programski opremi ne išče zlonamerne programske opreme, ko se datoteke kopirajo v Finder, s CD-jev, DVD-jev, pogonov USB ali omrežnih nosilcev.
• Appleova funkcija proti zlonamerni programski opremi trenutno išče samo dva trojanska konja
• Apple ne zazna vseh različic najpogostejšega trojanskega konja
• Appleova funkcija proti zlonamerni programski opremi ne skenira namestitvenih paketov meta-paketov (.mpkg)
• Appleova funkcija proti zlonamerni programski opremi ne popravlja okuženih datotek ali okuženih računalnikov Mac
• Appleova funkcija proti zlonamerni programski opremi v Snow Leopardu uporabnikom Mac ne ponuja resne zaščite pred virusi in zlonamerno programsko opremo
Ker smo objavili članek o Appleova nova funkcija proti zlonamerni programski opremi v Snow Leopardu, so številni viri pisali o tem, kako to deluje. Zagotovili smo primerjava Applove funkcije proti zlonamerni programski opremi in VirusBarrier X5, ki opisuje nekatere funkcije, ki so prisotne (ali manjkajo) v Applovi funkciji. Zdaj pa bi radi podrobneje preučili to funkcijo in natančno opisali, kako deluje in kaj počne - in česa ne -, da zaščiti računalnike Mac pred zlonamerno programsko opremo.
Številna spletna mesta so to funkcijo imenovala "XProtect", ki temelji na imenu datoteke, ki vsebuje informacije, potrebne za delovanje te funkcije. Apple tej funkciji ni dal nobenega "uradnega" imena, zato se bomo držali le banalne "Appleove funkcije proti zlonamerni programski opremi". Datoteka Xprotect, imenovana Xprotect.plist, se nahaja v /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/; to je bolj ali manj skrita lokacija (znotraj CoreTypes.bundle, ki je sveženj, ki vsebuje večinoma ikone).
V tem svežnju pa nas zanima tudi druga datoteka: imenuje se Exceptions.plist in vsebuje seznam programov, na katere vpliva Appleova funkcija proti zlonamerni programski opremi. (Spodaj bomo natančno pogledali vsebino obeh teh datotek.)
Torej, kako deluje ta funkcija? Apple že nekaj časa uporablja funkcijo »karantene« v brskalnikih Safari, Mail in iChat. Ta funkcija opazi, ko se datoteke naložijo, prejmejo kot priloge k e-poštnim sporočilom ali prejmejo med klepeti, in nastavi razširjen atribut (podatki niso vidni uporabnikom) za take datoteke, ki vsebujejo podatke o tem, kdaj je bila datoteka prenesena in s katero aplikacijo. Takole izgleda en razširjen atribut za sliko diska, ki smo jo prenesli s Safarijem:
com.apple.quarantine: 0000; 4a9bc528; Safari.app; 2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E | com.apple. Safari
(Upoštevajte, da je ta razširjeni atribut dodan vsem datotekam, prejetim na zgornji način, vendar karanteni funkcija gleda samo določene vrste datotek, predvsem izvedljive datoteke - aplikacije ali skripte - in namestitveni program paketi.)
Po namestitvi slike diska, če dvokliknete izvršljivo datoteko ali namestitveni paket znotraj slike diska, karantenska funkcija opazi razširjeni atribut in sistem prikaže opozorilo:
To se bo zgodilo tudi, če prenesete izvedljiv ali namestitveni paket v arhiv. Ko izvlečete izvedljivo datoteko in jo dvokliknete, boste videli zgornje opozorilo.
Pri zlonamerni programski opremi je Appleova nova funkcija v tem karantenskem sistemu za skeniranje datoteke glede zlonamerne programske opreme, in če odkrije kaj, se prikaže naslednje:
Kaj išče Appleova funkcija proti zlonamerni programski opremi?
Zdaj si oglejmo datoteko XProtect.plist, ki smo jo omenili prej. Če pogledamo to datoteko z Applovim urejevalnikom seznamov lastnosti, lahko vidimo, da sta na seznamu skupaj dve vrsti zlonamerne programske opreme: RSPlug. Trojanski konj in trojanski konj iServices.
Intego je prvega odkril leta Oktobra 2007 in slednji v Januarja letos. Obstaja 17 različic trojanskega konja RSPlug in več različic trojanskega konja iServices, ki je trenutno v naravi.
Zanimivo vprašanje je, ali lahko Appleova funkcija proti zlonamerni programski opremi zazna vse obstoječe različice trojanskega konja RSPlug. Lovci na viruse Intego so opravili nekaj testov in to ugotovili Apple lahko zazna le 15 od 17 različic trojanskega konja RSPlug. To pomeni, da bosta dva od njih prešla prek Appleove mreže. Izkazalo se je, da Snow Leopard ne zazna RSPluga. A niti RSPlug. C variante. Poleg tega Appleova funkcija proti zlonamerni programski opremi napačno opredeljuje različice, ki jih najde, saj v vsakem primeru opozorilo, prikazano za katero koli različico trojanskega konja RSPlug, navaja, da je RSPlug. Zaznana je bila različica.
Kar zadeva trojanca iServices, so stvari nekoliko bolj zapletene. Ta trojanski konj je bil najden v piratski programski opremi, distribuirani prek spletnih mest BitTorrent. Vendar Apple ne označuje datotek, prenesenih s odjemalci BitTorrent (glej spodaj). Torej, razen če bi nekdo začel distribuirati te okužene slike diskov iWork '09 in Photoshop CS3 prek spletnih mest, Applova funkcija proti zlonamerni programski opremi ne bo nikoli zaznala nobenega trojanca iServices.
Opozoriti moramo na veliko pomanjkljivost tega sistema. Applov namestitveni program Apple uporablja dve vrsti namestitvenih datotek: datoteke .pkg in datoteke .mpkg. Prvi so enostavne datoteke paketov, drugi pa datoteke meta-paketov, ki vsebujejo več paketov, pogosto za namestitve, ki vsebujejo več elementov. Izkazalo se je, da so v naših testih Appleova funkcija proti zlonamerni programski opremi ne zazna zlonamerne programske opreme v datotekah .mpkg. Preizkusili smo številne vzorce trojanskega konja RSPlug v datotekah meta-paketov in opozorila niso prikazana. Vendar pa nekatere datoteke v metapaketih, ko se same odprejo, sprožijo opozorila.
Katere aplikacije so zaščitene?
Zgoraj smo omenili, da obstaja datoteka z imenom Exceptions.plist, ki vsebuje seznam programov, ki lahko uporabljajo Appleovo funkcijo proti zlonamerni programski opremi.
V razdelku Dodatki si lahko ogledate identifikatorje programov, ki jih Snow Leopard trenutno spremlja glede zlonamerne programske opreme. Obstajajo spletni brskalniki: Internet Explorer, Firefox, OmniWeb 5, Opera, Shiira, Mozilla Navigator in Camino; in e-poštni odjemalci: Entourage, Seamonkey in Thunderbird. (Poleg teh programov so še Applovi lastni Safari, Mail in iChat, ki niso prikazani v datoteki; v datotekah info.plist imajo nastavljen ključ LSFileQuarantineEnabled. Vsaka aplikacija, ki nastavi ta ključ, bo imela korist od Appleove karantenske zaščite, ampak to je odvisno od posameznih razvijalcev.) Kljub temu to ne velja za vse vrste datotek; zaenkrat so aplikacije in druge izvedljive datoteke (na primer skripti) označene z zastavico, kot tudi namestitveni paketi. Nekatere druge vrste datotek so označene, toda trojanski konji, ki se prikrijejo kot datoteke, ki niso aplikacije, lahko zdrsnejo po omrežju.
Na tem seznamu predvsem manjkajo programi za takojšnje sporočanje (kot so MSN, Adium in Skype), odjemalci e-pošte (PowerMail, Mailsmith itd.), Predvsem pa veliko število aplikacij, ki lahko prenesejo datoteke, ki niso s spleta. Noben program FTP ni zaščiten in nobeni odjemalci BitTorrent ali drugi enakovredni programi, obe vrsti sta pogosta prenašalca okužbe.
Treba je opozoriti, da Finder ni zaščiten, zato se datoteke, kopirane z omrežnih nosilcev ali izmenljivih medijev (na primer USB -pogoni USB), sploh ne skenirajo. Poleg tega Appleova funkcija ne more niti popraviti okuženih datotek niti popraviti škode, ki bi lahko nastala, če je Mac že okužen. Pravzaprav vam v tem zadnjem primeru Apple niti ne bo mogel povedati, da je vaš Mac okužen.
Neznano: posodobitve definicije virusa
Apple je izjavil, da bo posodobitev datoteke za opredelitev virusa, XProtect.plist, zagotavljala aplikacija za posodobitev programske opreme, ne pa kako pogosto. Za začetek sta v trenutnih definicijah le dva trojanca, kar pa glede na obseg zlonamerne programske opreme, ki grozi Macom, še zdaleč ni dovolj. Ni jasno, ali bo Apple čakal na varnostne posodobitve za posodobitev te datoteke ali pa jih bo ločene posodobitve pogosteje (Apple izda varnostne posodobitve za Mac OS X približno desetkrat na leto povprečje). Komercialna protivirusna programska oprema ima koristi od pogostih posodobitev: v primeru Intega vsaj dvakrat na teden in pogosteje, ko se odkrije nova zlonamerna programska oprema ali nove različice.
Če povzamem
Vidimo lahko, da je Apple Snow Leopardu dodal zelo omejeno funkcijo proti zlonamerni programski opremi. Ne samo, da skenira datoteke samo iz peščice aplikacij in samo za dva trojanska konja, ampak ni opazil niti vseh trenutnih različic, ki smo jih preizkusili. Ne more popraviti datotek ali skenirati vašega Mac -a, da bi našel obstoječe okužbe. Ne zazna zlonamerne programske opreme v metapaketih, zato je zelo preprosto distribuirati zlonamerno programsko opremo, ki bo obšla zaščito Apple. Ne more skenirati nosilcev omrežja in ne bo videl niti okuženih datotek, kopiranih z izmenljivih medijev. Skratka, Appleova funkcija proti zlonamerni programski opremi v Snow Leopardu je opazna zaradi pomanjkanja resne zaščite, ki jo ponuja uporabnikom Mac.
