09.04.2012

О комплексе неполноценности Microsoft

Прошлая неделя прошла под знаком травли маководов. Эксперты обнаружили ботнет на 500 с лишним тысяч ПК с ОС MacOS. И началось... Особо преуспели фанаты Windows, которые наконец-то смогли оторваться на владельцах якобы невзламываемой ОС. Мне это напоминает известный конфликт виндусятников и линуксоидов, который не продолжается уже десятилетия и с завидным постоянством всплывает на многих ресурсах, конференциях, статьях и т.п. Хотя надо понимать, что сравнивать Windows и Linux, Windows и MacOS - это все равно, что сравнивать Volkswagen и Toyota. За каждым из этих наименований скрываются различные автомобильные бренды (за тем же VW скрываются помимо родного VW еще и Audi, Lamborghini, Bentley и т.д.). А ведь есть еще и водитель, от мастерства которого зависит надежность авто. Ну да я не к тому. Об этом я уже писал достаточно подробно.

Я бы хотел поговорить именно о нападках на продукцию Apple. Вообще-то странно слышать от специалистов по безопасности о том, что какая-то система может быть невзламываемой. Oracle как-то назвал 9-ую версию своей СУБД этим эпитетом (Unbreakable) и поплатился - взломали сразу же, а дар нашли больше, чем за все предыдущие релизы. Но дело не в этом. Просто забавно смотреть, как один специалист по защите спорит с другим о том, какая из двух платформ более невзламываема. Взламываемы обе. Вопрос только во времени, ресурсах, популярности, желании и множестве других факторов.

В чем до недавнего времени было отличие Windows и MacOS? В возможностях по исследованию? Нет. В ресурсах, которые были у исследователей? Нет. В желании ломать? Тоже нет. Разница была только в одном - в популярности. Windows была гораздо популярней, чем все остальные платформы. Не просто вместе взятых, а лидировала с большим отрывом, занимая чуть ли не 95-97% всего рынка настольных ОС. Поэтому и продукцию Apple ломать было неинтересно. Денег на этом было не заработать. Но вот ситуация стала меняться. В 2010-м году по оценкам экспертов продукция Apple впервые перевалила 10% и достигла значения в 12% (см. слайд 13). Вот тут-то и переступил переломный момент. Все эксперты отметили рост числа уязвимостей для платформ MacOS, например, Frost & Sullivan.

И вспомнил я, что читал 4 года назад интересное исследование "Games, Metrics, and Emerging Threats" Адама О'Доннелла, который задался тем же вопросом, задав его в чуть более глобальной форме: "Когда злоумышленник сменит цель X на цель Y?" В качестве примера он как раз взял Windows и MacOS. В 2005-м году для винды существовало 250 тысяч сэмплов вредоносного ПО; в 2006-м - уже 500 тысяч. Для MacOS же их было меньше 100. Адам предложил, что дело не в том, что маководы более интеллигенты, и не в том, что Mac сложнее атаковать. Он высказал гипотезу, что популярность MacOS была настолько мала, что для авторов вредоносного ПО эта платформа была просто неинтересна. Дальше он применил теорию игр, а точнее дилемму заключенного, о которой я уже писал. Вывод О'Доннела оказался прост - чтобы злоумышленники заинтересовались MacOS и стали заниматься монетизацией вредоносного ПО для нее, ее популярность должна превысить некий порог. И этот порог составляет... 12-16%. А как мы видели абзацем ранее, этот Рубикон был перейден в 2010-м году. Поэтому сейчас мы видим такой рост интереса в кредоносному ПО для MacOS.

Кстати, на этом исследование О'Доннела не заканчивается. Он пишет, что специалистам по ИБ надо задуматься и в отношении других технологий, рост популярности которых заставит обратить на них внимание и злоумышленников. На самом деле я упростил пересказ исследования О'Доннела. В его формулах присутствует не только популярность, но и ценность атакуемой технологии, а также эффективность защитных механизмов. На основе этих трех критериев О'Доннел и сравнивает социальные сети, SMS, e-mail, Twitter и т.д.

К чему я это все написал?.. Не для того, чтобы защитить яблочников. И не для того, чтобы наехать на виндусятников. Среди безопасников не должно быть ни тех, ни других. Есть объект защиты, который надо защищать. Все. А какой это объект не так уж и важно. Взломать можно любой. Это только вопрос времени, желания, ресурсов и... популярности. Помните это!

10 коммент.:

doom комментирует...

Но я бы все же отметил полную неготовность МакОси для корпоративного сектора - практически нет эффективных средств управления, контроля защищенности и т.п.
По таким косвенным признакам МакОсь сильно проигрывает в плане безопасности.

Алексей Лукацкий комментирует...

Если ты помнишь, несколько лет назад виндц чморили за тоже самое. Потом МС исправился. И SDLC внедрил, и встроенных средств защиты наклепал, и т.п.

doom комментирует...

Ну несколько - это лет 10 назад наверное или даже больше :)
Срок немаленький, тем более, что Apple пока и намеков не подает на движение навстречу корпоративному сектору...

grinder комментирует...

Полностью согласен, система "безопасна" пока неинтересна и не популярна. Хотя у Linux с их множеством дистрибутивов есть преимущество даже по сравнению с теми же маками - есть вероятность что такая фрагментация не даст взломать все.

revolt08 комментирует...

ОС, как средство, постоянно взаимодействует со средой. при известой агрессивности среды безопасным может считаться только компьютер, полностью изолированный от среды, либо включаемый в сеть менее присловутых 20 минут. вообще по ходу развития пьесы макос, да и линукс (шалом, андроид) прекращают быть тем самым "неуловимым Джо".

magikoldun комментирует...

Статья интересная, есть только пара опечаток:
1)напоминает известный конфликт виндусятников и линуксоидов, который НЕ продолжается уже десятилетия и с завидным постоянством всплывает на многих ресурсах (предпоследний абзац)
2)Поэтому сейчас мы видим такой рост интереса В Кредоносному ПО для MacOS (1-й абзац)
С уважением.

pushkinist комментирует...

"нет эффективных средств управления, контроля защищенности и т.п.

Apple пока и намеков не подает на движение навстречу корпоративному сектору..."

интересно, а это что такое тогда?
http://www.apple.com/business/mac/
http://www.apple.com/ipad/business/
http://www.apple.com/iphone/business/
http://www.apple.com/macosx/server/
http://www.apple.com/xsan/
http://www.apple.com/remotedesktop/
http://www.apple.com/business/vpp/
http://www.apple.com/macosx/what-is/compatibility.html
http://www.apple.com/macosx/what-is/security.html

контроль защищенности в каком виде нужен? сканеры уязвимостей не умеют чтоли макось анализировать?

интеграция из коробки есть, службы каталогов есть, впн есть, ирм есть...
средства автоматизации есть, техподдержка есть, программы сертификации спецов есть.
в чем неготовность к ентерпрайзу проявляется?

doom комментирует...

Действительно интересно.. Будем знать :)

Только я не понял про тот же iPad - это какая-то особая модель с какой-то особой прошивкой? Что-то не удавалось найти большинство функционала, заявленного в брошюре: http://images.apple.com/ipad/business/docs/iOS_Security.pdf

pushkinist комментирует...

да не, не особая прошивка, это в обычном иосе все.
просто конфигурирование всего этого осуществляется через отдельные утилиты или устанавливаемые гуи.
если задаться вопросом, я думаю можно нагуглить например ченить типа такого
http://www.apple.com/ru/support/iphone/enterprise/ :)

Andrey Beshkov комментирует...

А вот кстати подкаст от Касперского. Весьма взвешеннно обсуждают причины возникновения ботнета. Так же говорят о том что Apple крайне медленно реагирует на инциденты ИБ со своими продуктами, но не забывает пиариться как вендор самого безопасного ПО.

http://bit.ly/IE73HM