Комментарии 73
Слышал много мнений, что ботнета нет, и это просто пиар Доктор Веба. Вы как думаете? Комментируем, обсуждаем.
Вот ЛК написал что ботнет существует
www.securelist.com/en/blog/208193441/Flashfake_Mac_OS_X_botnet_confirmed
А вот и сама Apple признала что ботнет есть и она будет с ним бороться
arstechnica.com/apple/news/2012/04/apple-to-release-flashback-removal-software-working-to-take-down-botnet.ars
www.securelist.com/en/blog/208193441/Flashfake_Mac_OS_X_botnet_confirmed
А вот и сама Apple признала что ботнет есть и она будет с ним бороться
arstechnica.com/apple/news/2012/04/apple-to-release-flashback-removal-software-working-to-take-down-botnet.ars
В продолжении темы подкаст Apple Insider с представителями Dr Web о ботнете Flashback. bit.ly/IxrLYK
«Вера в ботнет» — что-то в этом есть :)
Сомневаюсь, что это PR — слишком легко проверить, Dr.Web не единственные занимаются безопасностью OSX, несколько авторитетных опровержений и репутация уходит в глубокие минуса. Разве что все в доле, но это уже конспирология какая-то.
Сомневаюсь, что это PR — слишком легко проверить, Dr.Web не единственные занимаются безопасностью OSX, несколько авторитетных опровержений и репутация уходит в глубокие минуса. Разве что все в доле, но это уже конспирология какая-то.
А где вариант с авторством ботнета?
Не хочется так голословно обвинять компанию. Если вы об этом
Такой вариант — глупость, простительная уровню школьника. Примерно из той же области, что антивирусные вендоры сами пишут вирусы. Ни одна серьезная компания никогда не пойдет на подобное, даже если вдруг, не понятно зачем, ей этог захочется.
Сама компания может и нет, но вот отдельные сотрудники вполне могут. Мне всегда казался глупым аргумент о серьезности компаний и ответственности сотрудников. Уж многие из аналитиков начинали с написания малвари в исследовательских целях, кто знает как поменяются их намерения в будущем.
Интересно, что шумиха вокруг этого ботнета подняла важную тему доверия к антивирусным компаниям, возникло много вопросов, например, как можно быть уверенным в адекватности оценок заражения, оказалось, что независимым экспертам так толком и нельзя потрогать сам бэкдор (вопросы законности распространения зловредного ПО), толком не ясно, кто кроме Dr.Web'а отловил зловред в дикой природе (компании обмениваются найденными образцами).
Интересно, что шумиха вокруг этого ботнета подняла важную тему доверия к антивирусным компаниям, возникло много вопросов, например, как можно быть уверенным в адекватности оценок заражения, оказалось, что независимым экспертам так толком и нельзя потрогать сам бэкдор (вопросы законности распространения зловредного ПО), толком не ясно, кто кроме Dr.Web'а отловил зловред в дикой природе (компании обмениваются найденными образцами).
Это совсем другой вопрос.
Насчет «многие из аналитиков» я утверждать не могу, т.к. знаю недостаточно большое количество аналитиков, чтобы выборка была репрезентативной. Конечно, знание предмета не составит труда написать малварь. Но использовать «в боевых» целях, да еще и открыто — практически исключено. И абсолютно исключены такие действия от лица/с одобрения компании. Уволят тут же. А вычислить по следам — не так уж сложно, это достаточно специфичная область разработки, думаю, Вы понимаете.
По поводу адекватности оценок и «потрогать» — Вы сами практически ответили на вопрос. По нашему законодательству даже повседневная деятельность антивирусной компании практически попадает «под статью» о вредоносном ПО. Поэтому завяления, вроде «мы полностью контролируем ботнет», никто не делает, поэтому приходится тщательно подбирать слова и действия.
Да, сейчас сэмплы есть, скорее всего у всех вендоров. Только есть разница — иметь сэмпл и иметь доступ к ботнету.
Насчет «многие из аналитиков» я утверждать не могу, т.к. знаю недостаточно большое количество аналитиков, чтобы выборка была репрезентативной. Конечно, знание предмета не составит труда написать малварь. Но использовать «в боевых» целях, да еще и открыто — практически исключено. И абсолютно исключены такие действия от лица/с одобрения компании. Уволят тут же. А вычислить по следам — не так уж сложно, это достаточно специфичная область разработки, думаю, Вы понимаете.
По поводу адекватности оценок и «потрогать» — Вы сами практически ответили на вопрос. По нашему законодательству даже повседневная деятельность антивирусной компании практически попадает «под статью» о вредоносном ПО. Поэтому завяления, вроде «мы полностью контролируем ботнет», никто не делает, поэтому приходится тщательно подбирать слова и действия.
Да, сейчас сэмплы есть, скорее всего у всех вендоров. Только есть разница — иметь сэмпл и иметь доступ к ботнету.
Ну знаете, я слышал много историй, когда человека увольняли, а он потом пакостил компании. Обиженные и чувствующие себя недооцененными люди способны на всякое. Та же история, когда бывший сотрудник Касперского продавал исходники, а после попадания их в паблик, им пришлось сменить формат обновлений сигнатур.
Вычислить создателя как раз сложно, потому что в данном случае ботнет не проявил никакой активности, так что и искать некого. Купленные загрузки отследить очень трудно. Давно прошли времена когда вирмейкеры оставляли подписи в теле зловредов.
Вычислить создателя как раз сложно, потому что в данном случае ботнет не проявил никакой активности, так что и искать некого. Купленные загрузки отследить очень трудно. Давно прошли времена когда вирмейкеры оставляли подписи в теле зловредов.
Стоп-стоп-стоп. Речь шла про отдельных сотрудников (компании). Я говорил, что _действующие_ сотридники не станут создавать ботнет. И тем более, их не будет поддерживать компания.
А в данном случае имеет место официальное заявление компании Dr.Web, и других.
А уволенные и обиженные — это отдельная, больная и грустная тема. И истории были и, наверное, еще будут.
А в данном случае имеет место официальное заявление компании Dr.Web, и других.
А уволенные и обиженные — это отдельная, больная и грустная тема. И истории были и, наверное, еще будут.
Ну, такое конечно никогда нельзя исключать, однако на мой взгял вопрос в другом. Стоит ли безоговорочно доверять любым словам разработчиков антивирусов? На мой взгляд, даже при самых благих намерениях, нужно быть очень наивным человеком, чтобы не понимать, что у них всегда есть «повестка дня» — скрытый умысел, если хотите. Ничего крамольного, конечно, но они частная компания, главный смысл существования которой — заработок денег. Это нормально и даже похвально, но на это всегда надо делать поправку.
Даже электронные СМИ, которые как бы призваны информировать, имеют склонность к сенсационализму, линкбейтингу и неслабому извращению информации, просто потому, что это приводит к большему числу просмотров страниц, т.е. к большему количеству денег. Чего уж говорить про компании, которые и не претендуют на роль СМИ или сколь-либо объективного источника информации. Поэтому, лично я считаю, что ботнет скорее всего был и есть, однако вот масштабы заражения лично мне кажутся сильно раздутыми.
Даже электронные СМИ, которые как бы призваны информировать, имеют склонность к сенсационализму, линкбейтингу и неслабому извращению информации, просто потому, что это приводит к большему числу просмотров страниц, т.е. к большему количеству денег. Чего уж говорить про компании, которые и не претендуют на роль СМИ или сколь-либо объективного источника информации. Поэтому, лично я считаю, что ботнет скорее всего был и есть, однако вот масштабы заражения лично мне кажутся сильно раздутыми.
Мне кажется, что эта история с позитивным концом. Бэкдор ничего плохого не делал, контроль над ботнетом у Dr.Web'а (главное, чтобы не потеряли), Apple надавали по голове за слоупочество, Мак комьюнити взбодрилось.
Было бы вообще замечательно если бы после этого Apple последовали примеру Microsoft и выпустили какое-то решение для обеспечения безопасности и регулярно отслеживали угрозы сами, благо денег у них предостаточно.
Было бы вообще замечательно если бы после этого Apple последовали примеру Microsoft и выпустили какое-то решение для обеспечения безопасности и регулярно отслеживали угрозы сами, благо денег у них предостаточно.
Полностью согласен насчет СМИ. Достаточно поместить заголовок, вроде «Бешенный помидор съел Аллу Пугачеву» — и счетчики завертелись — а это прямой доход.
Но как говорил старина Мюллер — верить нельзя никому, даже себе. :)
Цифры, к сожалению, не раздуты. Но даже если бы — сильно ли от этого легче тем, чей мак стал ботиком?
Но как говорил старина Мюллер — верить нельзя никому, даже себе. :)
Цифры, к сожалению, не раздуты. Но даже если бы — сильно ли от этого легче тем, чей мак стал ботиком?
>Ни одна серьезная компания никогда не пойдет на подобное
Эхх, когда-то все эти компании были несерьезными, касперские, лозинские…
Эхх, когда-то все эти компании были несерьезными, касперские, лозинские…
Вы бы ссылку на информацию о ботнете добавили в опрос то. Я, например, уже и забыл про пол миллиона маков.
На сайте drweb.com, новость в топе. Там есть ссылка на проект anti-flashback, где можно увидеть в т.ч. и статистику заражений. К сожалению, количество ботов продолжает рости, сегодня уже подползло к 700000.
"- Но требуется же какое-нибудь доказательство… — начал Берлиоз.
— И доказательств никаких не требуется, — ответил профессор и заговорил негромко, причем его акцент почему-то пропал: — Все просто: в белом плаще..." (с) М.Б.
Ботнет есть, обнаружил его Dr.Web. Я не верю, я знаю точно ;)
Никакого смысла врать нет… Еще есть люди, которые думают не только о $$$. И это радует.
— И доказательств никаких не требуется, — ответил профессор и заговорил негромко, причем его акцент почему-то пропал: — Все просто: в белом плаще..." (с) М.Б.
Ботнет есть, обнаружил его Dr.Web. Я не верю, я знаю точно ;)
Никакого смысла врать нет… Еще есть люди, которые думают не только о $$$. И это радует.
Я верю в то что такой ботнет может быть реален только по одной причине: пользователи маков настолько уверены в том что им ничего не грозит, что запускают без разбору буквально всё. В плане вирусной безопасности рядовые маководы ещё «наивнее» виндовых.
Запускать что угодно то запускают (этим грешат вообще все «обычные» пользователи, независимо от платформы), но вот вводят ли пароль? Если я не ошибаюсь, то для работы трояна требуется вводить пароль, в то время как подавляющее большинство ПО под Mac OS X не просит не то что для работы, но и для установки. Именно этот момент и вызывает лично у меня большое сомнение в правдивости подачи информации о данном трояне.
В конце-концов, довольно часто пользователи, которые не сильно разбираются в компьютерах, вообще не знают необходимого пароля — знает его тот, кто настраивал компьютер для них, например, любимый сын, который поставил компьютер своим родителям.
В конце-концов, довольно часто пользователи, которые не сильно разбираются в компьютерах, вообще не знают необходимого пароля — знает его тот, кто настраивал компьютер для них, например, любимый сын, который поставил компьютер своим родителям.
Сейчас этот ботнет распространяется через уязвимость в Java.
Под Windows обновленная версия Java вышла сразу. А для MacOs X выпускается отдельная версия Java. Делает это Apple, а не Sun/Oracle.
В результате промедления Apple обновленная версия Java вышла только через 6 недель после версии для Windows.
Этим окном воспользовались злоумышленники.
Под Windows обновленная версия Java вышла сразу. А для MacOs X выпускается отдельная версия Java. Делает это Apple, а не Sun/Oracle.
В результате промедления Apple обновленная версия Java вышла только через 6 недель после версии для Windows.
Этим окном воспользовались злоумышленники.
Троян ставится, даже если не ввести пароль.
И? Ему в любом случае рутовый нужен пароль. Что бы из пользовательской песочницы выбраться без рута никак
Нет, не обязателен, посмотрите в описание куда он прописывает себя, на сайте F-Secure
Это какая-то самонадеянность прямо, ну описали же, куда он себя ставит. Инсталлер так уж особо там не волнует чего нажато в ответ на ввод пароля.
www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
developer.apple.com/library/mac/#documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/EnvironmentVars.html
Это какая-то самонадеянность прямо, ну описали же, куда он себя ставит. Инсталлер так уж особо там не волнует чего нажато в ответ на ввод пароля.
www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml
developer.apple.com/library/mac/#documentation/MacOSX/Conceptual/BPRuntimeConfig/Articles/EnvironmentVars.html
Также скажу, что ботнет есть. Используется под подмену выдачи, как популярные системы, среди ботнетчиков, на винде.
Работает именно на Маках, ipad, iphone в эту категорию не входят.
Работает именно на Маках, ipad, iphone в эту категорию не входят.
Как сказал один мой знакомый: «Установка вируса на мак, начинается с проверки мака на вирусы »
Судя по результатам опроса, большинству просто наплевать.
Тем, кому не наплевать, хабр не читают в виду англоязычности. Это судя по территории покрытия.
Абсолютное большинство ботов и людей, пришедших проверится на заражение, — это США + Канада + Англия.
Немного Япония.
Абсолютное большинство ботов и людей, пришедших проверится на заражение, — это США + Канада + Англия.
Немного Япония.
Я читаю Хабр, ибо как агрегатор трендовых IT новостей прекрасен. Детали уже читаются в первоисточниках… А что собственно ботнета, я в него не верю, considering the source. Вот если яблоко разродится собственной утилитой, тогда да. А пока видать у них времени на глупости не хватает.
support.apple.com/kb/HT5244?viewlocale=en_US&locale=en_US
«Apple is developing software that will detect and remove the Flashback malware.»
Видать, время появилось? =)
«Apple is developing software that will detect and remove the Flashback malware.»
Видать, время появилось? =)
О как. Ждемс результата. Мысленно плюсую за ссылочку.
Проверьте свой «мак», если он есть, на наличие в ботнете сейчас. Это не боль… бесплатно и ни к чему не обязывает. Ссылки давать не буду, чтобы не сочли за рекламу. Найти легко по ключевым словам.
Проблема в том, что ответ известен загодя :) Если бы наблюдалась хоть какая-то вариативность, тогда не было бы столько шума.
Не понял Ваш комментарий. Какой ответ Вам известен?
По статистике со страницы Dr.Web — положительный ответ получили порядка 2.1% от проверившихся. Давайте говорить о том, что знаем.
По статистике со страницы Dr.Web — положительный ответ получили порядка 2.1% от проверившихся. Давайте говорить о том, что знаем.
Как-то вы уж очень осведомлены в этом вопросе…
Ох-хо-хо, только не обвиняйте меня в создании ботнета. Я не потяну, честно. =)
Но Вы правы, я достаточно осведомлен об этой теме. Скажем так, из первоисточника.
Но Вы правы, я достаточно осведомлен об этой теме. Скажем так, из первоисточника.
Ну так бы сразу и написали, что осведомляетесь у Dr.Web, а то это все стало походить на какой-то грязный SMM.
Кстати, не подумайте плохого, а вы случайно не Александр Тарасов, работающий в Dr.Web?
> не подумайте плохого
Даже так? =)
Даже так? =)
Я тоже «не сообщил ничего, что нельзя было бы найти в открытых источниках». Просто меня поразила ваша осведомленность и SMM стиль написания комментариев.
Слова какие умные, я и не знал, что такое умею.
Ну, записал, буду теперь хвастаться…
Ну, записал, буду теперь хвастаться…
Вот единственный скрин, который мне удалось найти: cl.ly/FjFZ Машина вроде бы как в ботнете, но и не заражена, мб фейк, но других у меня все равно нету.
Попробовал, все чисто. Хотелось бы узнать, если бывший КГБэшник, мне установил троянца на кухонный компьютер. Боюсь что все рецепты моей супруги уже скомпрометированы.
Где то видел, что для тех, кому страшно заглядывать в Терминал для проверки того, не стали ли вы случайно жертвой Flashback, вышла простая и бесплатная утилитка, позволяющая проверить состояние вашего Мака на наличие/отсутствие заражения трояном. Скачать ее можно отсюда github.com/jils/FlashbackChecker/wiki
Вот еще ссылка на ПО чистящее MacOs X от Flashback.
Создано F-Secure t.co/58axfEIR
Пока Apple выпустит свою версию, можно пользоваться этой
Создано F-Secure t.co/58axfEIR
Пока Apple выпустит свою версию, можно пользоваться этой
А какие, собственно, причины сомневаться, кроме слепой веры в идеальность продуктов Эппл? Или у них багов и уязвимостей не бывает и это все происки злых завистников?
А при чём тут Эпл? Она с каких то пор пишет собственную яву?
Причин сомневаться много:
1. Нигде нельзя найти зараженные сайты-все закрыто давно.
2. Представители компании ничего неговорят конкретно (Dr. Web имел в виду)
3. Антивир сразу взлетел в топы прог в максторе
4. Доктор Веб распиарился на весь нет-не только на русский.
Как говориться-если ботнета нет, то его стоило бы придумать. По крайней мере со стороны выглядит это так.
Это что касемо причин сомневаться.
1. Нигде нельзя найти зараженные сайты-все закрыто давно.
2. Представители компании ничего неговорят конкретно (Dr. Web имел в виду)
3. Антивир сразу взлетел в топы прог в максторе
4. Доктор Веб распиарился на весь нет-не только на русский.
Как говориться-если ботнета нет, то его стоило бы придумать. По крайней мере со стороны выглядит это так.
Это что касемо причин сомневаться.
Сказать можно что угодно, а вот показать — это уже совсем другое. Не видел — не верю.
Я вот например не понимаю график заражения на сайте доктора. Общее колв-о растёт, а кол-во новых заражённых машин — падает, это простите как? Смысл фразы «загружает и запускает на инфицированной машине полезную нагрузку» о том что он делает я вообще не понял. Куда он запускает полезную нагрузку? В космос? Почему в России заражённых нет? В России нет маков? Или у ботнета неприязнь к русскоговорящим? Что то там ещё было про тысячи инфицированных им сайтов — где список?
Я вот например не понимаю график заражения на сайте доктора. Общее колв-о растёт, а кол-во новых заражённых машин — падает, это простите как? Смысл фразы «загружает и запускает на инфицированной машине полезную нагрузку» о том что он делает я вообще не понял. Куда он запускает полезную нагрузку? В космос? Почему в России заражённых нет? В России нет маков? Или у ботнета неприязнь к русскоговорящим? Что то там ещё было про тысячи инфицированных им сайтов — где список?
1. Доктор обнаружил
2. ЛК подтвердила
3. Apple начало делать утилиту.
Лично мое мнение таково, что уже п. 2 является доказательством. А уж п. 3 так вообще. Другое дело, что потом Apple может сообщить, что утилита выявила не более 500 (или любая другая до смешного маленькая цифра) зараженных систем.
2. ЛК подтвердила
3. Apple начало делать утилиту.
Лично мое мнение таково, что уже п. 2 является доказательством. А уж п. 3 так вообще. Другое дело, что потом Apple может сообщить, что утилита выявила не более 500 (или любая другая до смешного маленькая цифра) зараженных систем.
Вопрос автора можно перефразировать как — Не верю в то, что под Apple бывают вирусы.
верую ибо абсурдно
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Верите ли вы в ботнет, который обнаружил «Доктор Веб»?