О безопасности Мака

1. Если иметь нормальную голову и работать за компьютером, а не открывать ненужную почту/не лазать по порносайтам — где угодно проблем не будет (как ты сам и демонстрируешь). Никогда.

2. Для маков — действительно чрезвычайно мало вирусов. Это просто факт. Живых — просто единицы.

3. На маках отличается политика работы системы. Тут ты — всегда обычный пользователь и вводишь пароль, когда надо. На винде — ты (традиционно, и очень живуче традиционно… что делают первым делом, ставя висту? Правильно, отключают UAC) суперпользователь и все делается без твоего ведома. Мне кажется, что это и есть одна из самых серьезных «flaws».

4. Я же по всему этому поводу думаю примерно следующее. От дурака меня защищаю я (не открываю шаринг просто так, ставлю пароль, лочу экран когда отхожу, храню пароли в правильном месте, делаю бэкапы, живу за роутером, который работает файерволлом) плюс сама система (я — не суперпользователь, меня спрашивают пароль, когда надо, например). От профессионалов — защищаться очень и очень дорого. То есть не выгодно, ибо пока (и это пока — еще будет долго) я нафиг никому не нужен. Буду нужен — буду думать. Там всё, если разобраться, очень сложно.

С айВорком. Да, ты прав. Но тут уже вступает еще одно правило (моё). Подождать отзывов, почитать отзывы, аккуратно поглядеть, что же скачал. Раз скачал — сам виноват. Либо ставить все лицензионное.

В остальном — да.

Еще раз. Возможно, я длинно просто написал. Можно защититься. Но пока — не стоит того. Простые вещи на автомате, сложные — в уме. Даже если скачал айВорк, заразился, ну, прошло два дня — нашли глюк, скачал лечилку, вылечился — это пока легко и дешево. А если стоит Little Snitch (что тоже можно попробовать внести в раздел «стандартных программ»), то и этот троян нифига сделать не сможет.

Что-то мне кажется, что на маке, также как и линуксе, любой процесс легко отлавливается и не маскируется, будь он программа, будь он хоть драйвер. Но в любом случае, у нас в стране притащить мак/линукс вируса так же маловероятно, как то, что на меня упадут осколки от секций запускаемой ракеты.

Хорошо бы сделать так что, получи злоумышленник пароль в чистом виде (через поддельный UAC, например), он не смог бы с ним ничего сделать программно. Однако, с мест подсказывают что в распространённых UNIX-системах дело пойдёт по наихудшему сценарию.

А по-моему надо из сырого пароля вычислять производную и уже её подсовывать системе как доказательство полномочий. (Это всё со стороны программирования.)

Ну, вирусы — это лишь малая составляющая безопасности компьютера. Под никсы вообще трудно написать универсальный инсталлятор (один в целях безопасности удалил ls, другой поставил сборку без gcc и т. д.), куда уж там до вирусов. Малое количество вирусов на маках — скорее следствие того, что они выросли из никсов.

Если же говорить не о вирусах, а об уязвимостях, то на маках все намного хуже чем в винде или обычных никсах. Посмотри, например, сюда: http://bugtraq.ru/cgi-bin/bugtraq.mcgi?type=st&s=apple

Если вдруг твой компьютер действительно кому-то потребуется взломать, то это не составит большого труда. Взломать ту же Висту на порядок сложнее.

->Роман Добровенский
Как говорил мой товарищ: «если тебя действительно кому-то понадобится взломать, и утянуть/стереть что-то, то то ставить нужно не фаервол на шлюз и связку носков, а третьи входные железные двери».
На счет конкретных уязвимостей, так разве каждодневные патчи этого не лечат?

Стало быть, чтобы заставить меня установить левую программу, которая будет делать плохие вещи, достаточно включить её в дистрибутив какой-то «хорошей» программы.

Ну вот в линуксе для этого и придумали репозитории программ — т. е. все нужные для жизни программы хранятся на сервере производителя дистрибутива, и устанавливаются с помощью специального менеджера программ (в маке вроде тоже такое есть, ports?). Кроме того, что это удобно (можно одним кликом установить, удалить или обновить десяток программ), это еще и безопасно. Правда, есть вероятность взлома сервера, конечно, но такие вещи очень быстро обнаруживаются.

Немаловажна регулярность выхода апдейтов. Дырки на Маке бывает висят не закрытыми по пол-года, для Майкрософта обычная практика — закрывать уязвимости в течение месяца. Да и по правде говоря допускать ошибки переполнения буффера для крупной компании стыдно должно быть. Я понимаю, когда они вдруг обнаруживаются в старом коде, написанном десять лет назад, но когда такими ошибками страдает свежий продукт — это странно.

Что же касается того, что после апдейта винда может не загрузиться, то вероятно вы имеете ввиду сообщение на экране о том что «у вас нелицензионная версия»? Так кто ж заставляет пиратствовать? Правда, был один случай, когда апдейт ломал лицензионную висту, но здесь тоже вопрос в количестве и регулярности патчей. При таком масштабе производства один раз неудача может постигнуть любую крупную компанию — это не показатель общего качества работы.

Про «репозитории программ». Придумать-то их придумали, но теперь и ломают тоже через эти самые репозитории. :-)

Юрко->...Правда, есть вероятность взлома сервера, конечно, но такие вещи очень быстро обнаруживаются.
ну поди сломай все пару сотен серверов с репами))
->A!e%
Уж даже и не знаю как теперь опровергать такие не обоснованные тезисы.
Вы вообще в курсе, как сложно попасть программе в основной репозиторий того же дебиана анстейбл?

«Вы вообще в курсе, как сложно попасть программе в основной репозиторий того же дебиана анстейбл?»

А зачем? Подменяется DNS, и запросы идут ко мне на сервер, а не в репозиторий. Например. Я не специалист, возможностей безумное количество. Нам же надо сломать клиента, а не дебиановский основной репзиторий.

A!e%->
глупости какие... про pgp слыхали когда-нибудь?

«глупости какие... про pgp слыхали когда-нибудь?»

:-)

Это не моё, это реальные «взломы» (достаточно серьезных) систем с целью проверки их надежности. Журнал, кажется, IT-спец, автор статей — Крис Касперски. Номер не помню, он редко в руки мне попадается.

A!e%->
что же, будем читать и вооружаться, попутно ставить 3 железную дверь в серверную.
Илья Бирман->
в конкретно данном случае хотел «напомнить» оппоненту о ключах pgp, но может быть увлекся, признаю.

http://offline.computerra.ru/2007/681/313893/

Хорошая статья по поводу «безопасности» Mac OS X. Основная проблема — жестокое обращение с white hat’ами и отсутствие политики апдейтов — исправления выходят очень поздно и администраторов не информируют о текущих рисках.

Ну про то, что установленные приложения не от Apple не обновляются я уже молчу.

Кстати, чтобы не было подмены репозитарии через DNS, репозитарии подписывают GPG-ключём. Там что репозитарии это не только надёжный источник программ, но и автообновление всего компьютера.

В одной из заметок вы, кажется, писали, что нехорошо названия на английском оставлять, а теперь вот целые абзацы без перевода.

Это связано с тем, что никто не гарантирует, что твой виндоус сможет загрузиться после установки обновления.

Лицензионной Виндоус, как правило, загружается после установки сервис-пака :-)

Как раз таки, вирус на мак думаю написать хотят многие... никто же не ждёт, а он наделает шумиху.

Малый парк машин не имеет прямой корреляции со связностью (а для распространения всякой заразы необходимы контакты). Червь Морриса заразил «всего лишь» около шести тысяч хостов. Если считать ущерб «поштучно», то ему очень-очень далеко до старых DOSовских вирусов вроде OneHalf’а :)

Про Linux и безопасность материалов много, и найти их несложно. Занести вирус в центральный репозитарий того же Debian’а — всё равно что отравить городской водопровод. Теоретически можно, но на практике не так-то уж и просто. Локальные репозитарии серьёзного вреда нанести не могут (кроме как перестать работать): всё то, что проходит через них, содержит электронную цифровую подпись центрального репозитария; эта же ЭЦП защищает от атак с подменой DNS.

Вообще сейчас среди пользователей unix-систем более чем хватает деятельных параноиков (OpenBSD — яркий тому пример), и все копья давно сломаны до нас.

Малое количество вирусов на маках — скорее следствие того, что они выросли из никсов.

Как говорится, «плюсадин». Вирусы в MacOS Classic были, причём вполне жизнеспособные и вполне распространённые в «дикой природе». Можно говорить о том, что их было относительно мало — ну так и специализированных BBSок с маковским софтом было очень мало.

Как раз таки, вирус на мак думаю написать хотят многие…

Разве что среди тех, кто «не в теме». Для unix-подобных систем это неактуально, как для современной Windows неактуальна идея файлового вируса. Всякой гадости и под MacOS X, и под Linux хватает — те же рут-киты, к примеру; только это совсем другая «весовая категория».

Я периодически шляюсь по всяким «нехорошим сайтам», после посещения которых на десктопе появляются екзешники с троянами (автоматом скачиваются в сафари) — обычное дело ;)

Так вот. Неделю назад после очередного трипа по «трущобам» интернета обнаружил на десктопе вместо привычных екзешников dmg файл с привлекательным названием, в котором был некий инсталлятор чего-то заманчивого. Инсталлятор после запуска потребовал админский пароль; я далее эксперементировать не стал — все и так ясно.

Конечно, полноценной заразой это назвать нельзя: смонтировать образ диска, запустить, дать админские права — спасибо что хоть не просит скомпилировать из исходников. Но как бы звоночек. Никомуненужный Джо стал не таким уж и ненужным. Осталось только хать малюсенькую дырочку в нем найти...

Да нет, всё-таки дело прежде всего в распространённости.

В плане начинающих кулхацкеров — они сами живут на венде, начинают программировать на венде, ну и вирусы пишут для неё же. Для новичка в этом деле всякие никсы будут не особо по зубам — и незнакомо, и инфы меньше, да и строже там всё-таки..

А профессионально вирусы сейчас пишут в основном для чего? Правильно — для ботнетов. Ну и логично, что в качестве жертвы выбирают самую распространённую ОС.

Ну и как уже тут писали, следует ещё понимать, что тот же Линукс — он же не один. Архитектруно да — одна ОС, но вирус универсальный для всех дистрибутивов не напишешь. Ну напишешь под РедХат, а та же Убунта класть на него хотела... И нахрен такой вирус?

МакОсь в этом плане выделяется — хоть выросла они и из никсов, но всё же уже давно идёт особняком. Я полагаю, с внедрением Маков в народ увеличится и число вирусов под неё.

Есть защита от переполнения буфера, самой частой причины взлома ОС, она состоит в дополнительном программном коде, который проверяет заранее записанное число на краю стека, на самом деле алгоритмов несколько. И гдето в прошлом году я видел, что все это есть только в Win, RedHat, Hardened linux и все. Все линуксы остальные и Мак во всяком случае в прошлом были на шаг позади Виндовса. Если станет популярнее — думаю, вирусы появятся.

Сережа Накарман->
А на каком уровне это осуществляется в РедХат и почему нельзя осуществить в любом другом линуксе?

Там есть несколько подходов типа контрольных чисел, списков прав доступа. Где-то я в серьезном журнале статью читал. Почему — не знаю. Ищите в интернете hardened linux, кому интересно. Часть подходов реализуется компилятором, часть ядром. С++ как раз плох тем, что чреват переполнениями буфера. У меня есть большая книга про это, все никак не прочту.;(

Сережа Накарман

А стоило бы эту книжку прочитать. Универсальной защиты от переполнения буфера нет. Есть лишь небольшие ухищрения, которые часто должны реализовываться в железе. RedHat — это, наоборот, Linux промышленный, и уж его-то точно хорошо защищают (другое дело, что там нет непроверенных технологий).
На самом деле отличной защитой от переполнения является технологии контейнеров (SELinux или AppArmor) — даже если ты ломаешь какой-нить сервис, то можешь делать только то, чем он обычно занят. Т. е. взломав веб-сервер, ты не сможешь посмотреть /etc/shadow. Но в Windows её тоже реализовали (правда с задержкой).

Андрей Ситник->
В каком смысле нет универсальной защиты от переполнения буфера? Если программа полностью написана с применением STL-контейнеров без всяких там char[N], то где там переполнение возникнет? Вероятно вы имели ввиду ошибку срыва стека? Так оно тоже возникает от криворукости, хотя безусловно, бороться с ним на порядок сложнее. Возможно, что я ошибаюсь — поправте меня в этом случае.

О безопасности Мака:
Мак встречается в умеренной, субтропической и реже в холодной зонах. Во многих странах на протяжении тысячелетий культивируют Мак снотворный, или опийный. Из его незрелых коробочек получают опиум — загустевший млечный сок, служащий для изготовления медицинских препаратов и наркотиков.

Так что Мак это не игрушки :)

ЗЫ. Напиши хотябы в мусороблоге об обновлении страницы Бюро.

Если в винде не активирван файрволл и нету антивируса, 100% в компьютере живут вирусы. Хотя бы потому, что сейчас есть вирусы, которые воруют FTP пароли и заражают совершенно белые и пушистые сайты и с них можно словить троян/вирус.

и с них можно словить троян/вирус.

Сайт  — это такая штука, откуда берутся странички HTML формата и картинки, чаще jpg. КАК можно заразиться вирусом с сайте, с которого ты не качал исполняемых файлов?

КАК можно заразиться вирусом с сайте, с которого ты не качал исполняемых файлов?

С помощью уязвимостей в браузере. У Apple как рак проблема с латанием дыр в ПО.

Кстати, Илья, почему возможность ответить на комментарий в виде дерева есть только у тя? :)

Роман Добровенский

Конечно, можно и на Java или динамических языках писать, где теоретически не может быть переполнения буфера. Но для оптимизации части приходится «рисковать» :)