Dziura w jabłku

Podatność na APT

W dobie zaawansowanych ataków APT (Advanced Persistent Threat) przeprowadzanych przez wysoce wyspecjalizowanych włamywaczy, niejednokrotnie sponsorowanych przez agencje rządowe, należy się zastanowić nad podatnością systemów Apple na takie zagrożenie.

Komputery Mac jak dotąd mają mały udział rynkowy (nie przekraczając 8%), zatem botnety z nich utworzone były rzadkością. Długa historia odporności na typowe eksploity, przyzwyczajenie użytkowników do uruchamiania każdego kodu (w tym także niepodpisanego) oraz powszechna opinia, że ten system nie potrzebuje antywirusa sprawiają, że użytkownicy stają się podatni na działania socjotechniczne. Gdy do tego dodać fakt, że aż 14,3% opublikowanych podatności dotyczy tego systemu, a ilość luk jest porównywalna z systemem Windows (1151 CVE dla MacOS X, 1325 CVE dla Windows), widać, że MacOS X nie jest bezpieczniejszy od Windows, gdy mamy na myśli zaawansowane ataki kierowane przeciw firmom i organizacjom państwowym.

APT w praktyce

Pierwszym etapem ataku jest socjotechnika, najczęściej spreparowana wiadomość e-mail, która zawiera URL, kierujący przeglądarkę na żądaną stronę. Tam następuje wykorzystanie przynajmniej jednej z luk w bezpieczeństwie i zainstalowanie złośliwego oprogramowania lub przekonanie użytkownika, by to zrobił. Ponieważ Apple nadal pozostaje w tyle za Microsoftem w dziedzinie zabezpieczeń systemu (DEP i ALSR nie dają się konfigurować, aplikacje 32 bit skompilowane w MacOS 10.6 posiadają wykonywalny stos), eksploit może dokonać eskalacji uprawnień, do uprawnień roota włącznie. Z kolei fatalnie zabezpieczone protokoły serwerowe skutkują łatwą podatnością na ataki sieciowe.

Połączenie podatności technicznych z przekonaniem użytkowników MacOS X o jego rzekomym bezpieczeństwie sprawia, że stają się łatwiejszym celem niż użytkownicy stacji roboczych z Windows, wyposażeni w dopracowane od lat zabezpieczenia techniczne i wykazujący większą świadomość zagrożenia.

Dziurawe protokoły sieciowe

Na konferencji Black Hat 2011 w Las Vegas zademonstrowano wykorzystanie słabego bezpieczeństwa Apple Remote Desktop (ARD), połączonego z niebezpiecznym Bonjour do przejęcia kontroli nad siecią. Atak polegał na wykorzystaniu usługi Bonjour, która zawiera ad-hoc serwer mDNS oraz automatyczną rejestrację, do sfałszowania nazwy istniejącego serwera ARD, a następnie na przejęciu uwierzytelnienia klienta, który logował się do tego serwera. Dla porównania w Windows serwer DNS zintegrowany z Active Directory od dawna może otrzymywać aktualizacje w sposób bezpieczny, a uwierzytelnienie można wymusić za pomocą NTLM2 lub Kerberos Only, podczas gdy MacOS X nadal używa protokołu Diffiego-Hellmana bez podpisów, zatem jest podatny na atak pośrednictwa (man in the middle).


TOP 200