Как стать автором
Обновить

Комментарии 41

Спасибо за новость! Так совпало, что загружал как раз 5 числа.
А ещё говорят, что у редакторов нет полезных статей!
А мне Transmission сам вчера сказал, что мол срочно обновись, возможно заразился, проверь и т.п.
Был отключён автозапуск. Так что повезло.

Интересно, как в принципе такое могло произойти?
Автозапуск не при чём? Нужно самостоятельно открыть «General.rtf»?
Раз в год и палка стреляет.
Не знаю, не знаю… до меня обновление трансмишена с красными буквами и с ссылкой на разбор проблем долетело быстрее, следом подошла новость на медузе, и только потом — заметка ализара, тут.

Причем, с вырезанной частью про то, как можно задетектить зловред у себя на машине =)

Вот она, специально сохранил:

Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service”. If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.
Хочу подробного анализа этой ситуации с посылом о том, что Transmission заразили коварные копирасты. :)
Главное в этой новости: оно было подписано валидным сертификатом Эппл.

Интересно, вытекает ли какая-то юридическая ответветственность Apple за подтверждение безопасности вредоносного ПО? Ведь сертификат — это криптографически подписанное утверждение "да, это безопасное ПО".
"Проверенное ПО" или "Проверенный разработчик"? А разработчик потом перешел на темную сторону...
Видимо, это проблема компании Эппл. Пользователи платят именно Эппл, а уж как она выстраивает свои отношения с другими компаниями — это её проблемы. Если Эппл волнует неподъёмность финансовой ответственности, она может застраховать свою ответственность в страховой компании. Уплачиваемая премия станет отличным стимулом для более внимательного отбора "доверенных" разработчиков.

Собственно, драмма состоит в том, что либо Эппл серьёзно берётся за этот вопрос, либо вся эта система с сертификатами выеденного яйца не стоит, ибо кому надо — напряжётся получить сертификат.
Так в данном виде проблема с сертификатами повсеместна. Зайдя на сайт, который работает по https и с валидным сертификатом, нельзя быть уверенным на 100%, что сайт не был взломан, и Ваши данные утекают на сторону. Или что Вам подсунут на скачивание не совсем то ПО за которым Вы заходили.
Сдается мне, вы немного перепутали сущности. Емнип, для получения сертификата нужно заплатить некоторую денежку и все. Сертификат дает статус "identified developer".
Дальше разработчик может, скажем, потерять/продать его. Тут Эппл (и никто вообще) ничего сделать не может. Этим сертификатом можно подписывать софт и выкладывать его на сторонние ресурсы.
Другое дело app store. Тут уже такой фокус не пройдет. Вот сабж как раз и распространялся с сайта, а не через апп стор.
К слову, в настройках системы есть опция — откуда разрешено ставить софт. По умолчанию она выставлена в "только из апп стор".
Емнип, у меня именно app store было, я еще переключал её.
Если он identified, то очевидно его можно привлечь к ответственности? Например, хищение печати у компании — это проблема компании, нет?
Вот тут я уже не в курсе процесса получения, возможно там вполне можно зарегать на компанию-однодневку или, скажем, на Vasily Pupkin без проверки паспортных данных.

По последним веяниям налоговой — проверка добросовестности конагентов — обязанность компании. В области налогов.

То же самое вполне разумно и для сертификатов. Ручаешься, что это адекватный разработчик? Отвечай за поручительство.
Ну вот, скажем, в Гугл-плей кто-то проверяет разработчиков на адекватность? Ну или в MS?
В MS — не особо, в гугль — принципально нет. Была позиция Эппла "у нас не так" — и сейчас я вижу, что "так же".

На выходе — подпись от этих компаний ничего не значит.
Отличие Эппл тут в том, что они в свой стор не пропустят подобное. А что там разработчик делает на стороне — это уже другой вопрос.
А в чём тогда смысл сертификата, который они выдали разработчику? Чем это тогда отличается от "просто бинарник"? То есть с потребительской точки зрения у меня есть два файла:

./a.out
./Enterprise_Grade_Software

Одно из них не имеет сертификата, второе имеет. Какие ожидания у меня (как у пользователя) должны возникать при надписи "сертификат верен"?
Как минимум "этот чувак контактился с Эппл и получил сертификат, а не вообще какой-то левый хрен с горы с непонятно чем в бинарнике".
Это не значит, что "этот чувак действительно Василий Пупкин, проживающий по такому-то адресу, вот скан паспорта и справки от психиатра и от православного священника".
Вы таки учтите, что описанная ситуация — это, скорее, исключение. Точно так же можно "угнать" приватный ключ, например, SSL сайта. Или зарегать, скажем, paipal.com.
Ну или про PPA в убунте напомнить?

НЛО прилетело и опубликовало эту надпись здесь
Я именно про такой "тупой" вариант (как и в случае с сабжем) и говорил. Ясное дело, что можно код интегрировать так, что никто быстро не найдет.

К сожалению, это ничего не решает — ряда необходимых программ, я бы даже сказал, их класса, в эпсторе попросту нет — некоторых из-за нежелания отдавать 30%, других — из-за драконовских ограничений…
Уже довольно давно майкрософт не полностью доверяет свежим сертификатам.
Новому сертификату требуется некоторое время и количество установок приложения для того, чтобы он был исключён из списка подозрительных. Если спустя некоторое время и количество запусков в майкрософт не поступает обращений по поводу вредоносности ПО, подписанного таким ключом — подозрения с него снимаются.
При запуске ПО, подписанного свежим ключом, юзер видит предупреждающее сообщение от винды, и для запуска ПО требуются дополнительные действия.
Работает только если не отключен SmartScreen.
Наблюдал такое после покупки сертификата. Недели-двух внутреннего тестирования оказалось достаточно для того, чтобы окошко SmartScreen перестало появляться. После перевыпуска сертификата всё началось по новой.
Само собой это мало что гарантирует в случае мошеннических действий. Никто не мешает зарекомендовать сертификат, и только после этого подписать им зловреда.

Что видит пользовательimage

> Никто не мешает зарекомендовать сертификат, и только после этого подписать им зловреда.

Собственно, так и делают. Сертификат не спасет от организованных негодяев, у которых сразу после бана будет готов новый (профит покрывает расходы), но как минимум может отфильтровывать любителей, у которых нет денег на сертификат.
Меня пронесло. Transmission сам предложил обновиться 28.02, я и обновил. Вот «смешно» будет, если и в 2.92 что-то залезло. Есть уже пострадавшие?
Когда мне прилетело обновление до 2.90, я нажал на "обновить". Увы, обновление не поставилось с формулировкой "неправильная подпись пакета обновления". Я плюнул и остался на 2.84.
Пользуясь случаем хочу спросить: кто что посоветует в качестве антивируса под os x?
Что-нибудь наподобие clamAV, может просто как базу актуальных сигнатур, чтобы не сильно ело батарею?
Кто что скажет про trend micro? Архив с этой заразой на virustotal пока только они определяют.
Дык mac же unix-like вроде. Не давай рут права, делай дампы и не получишь вайп своих данных)
Но иногда хочется запускать приложения от неидентифицированных разработчиков, они и без рута могут удалить все файлы юзера.
Как это поможет от шифрователя? Он запустится с правами пользователя, зашифрует все локальные пользовательские файлы, пройдётся по доступным шарам, зашифрует бэкапы тайм-машины. Система останется рабочей, да, но свои данные вы потеряете, кроме недоступных зловреду бэкапов. А кто из нас делает регулярные бэкапы и хранит их отдельно от компа?
Запускайте подозрительный софт в песочнице. Рулесы для ограничения доступа к файлам нарисовать не очень сложно.
Или заведите отдельного пользователя.



А кто из нас делает регулярные бэкапы и хранит их отдельно от компа?

Ну я так делаю.
Внешний диск по USB3, на нем шифрованный sparse bundle image, в нем бэкап tm. После бэкапа rsync в каталог dropbox на том же диске (завтра, впрочем, планирую уже на sync.com переходить).
Да, диск для бэкапа подключаю раз-два в неделю, по необходимости.
Стояла 2.90, но вроде ничего не успело зашифроваться. Да даже если бы и успело что-то, то проблем бы не возникло. Код на битбакете и гитхабе, документы в Google Drive, где есть возможность откатиться до предыдущих версий файла.
Время ставить антивирус.
Современные вирусы настолько обленились что теперь для их работы нужно проделывать вот такую серию взломов. На кой черт мне вообще антивирус если для запуска вируса мне надо его скачать отжать пару галок или запустить от имени администратора?
Скажите спасибо, что еще ставить кучу зависимостей и компилировать не нужно :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Другие новости

Истории