Wykryto pierwszy przypadek ransomware dla OS X

Według niektórych osób system OS X oferowany przez firmę Apple jest znacznie bezpieczniejszy niż Windows i w zasadzie użytkownicy nie muszą zaprzątać sobie głowy żadnym oprogramowaniem antywirusowym. Czy jest tak w praktyce? Raporty dotyczące liczby wykrytych i łatanych luk stawiają OS X na niechlubnym czele oprogramowania podatnego na włamania, ale zagrożenia mogą wyglądać także inaczej – w ostatnich godzinach użytkownicy popularnego klienta bittorrent, jakim jest Transmission mogli pobrać szkodliwą wersję zawierającą ransomware, a więc oprogramowanie przeznaczone do szyfrowania danych użytkownika i żądające okupu za odzyskanie dostępu. W tym przypadku zawieść mogą nawet wbudowane w system zabezpieczania, doszło bowiem do włamania i nieautoryzowanej zmiany kodu aplikacji.

Zabezpieczamy Windows bez ponoszenia kosztów - Poradnik

Pod wieloma względami OS X faktycznie podchodzi do bezpieczeństwa lepiej, niż Windows: domyślnie zalecana jest instalacja jedynie zaufanych aplikacji z App Store, oprócz tego system przy każdej wymagającej operacji pyta nas o hasło, co jest rozwiązaniem lepszym, niż jedynie wyświetlanie komunikatu UAC – Windows domyślnie przy instalacji nadaje naszemu kontu uprawnienia administratora i podnosi je do tego poziomu przez właśnie ten mechanizm. Konfiguracja ta nie jest najbezpieczniejsza, da się ją jednak szybko poprawić, o czym dowiecie się z naszego specjalnego poradnika. Wróćmy jednak do OS X, bo sprawa jest poważna – odkryte zagrożenie jest najprawdopodobniej pierwszym przypadkiem w pełni działającego ransomware dla tego systemu.

O sprawie poinformowała firma Palo Alto Networks – instalator Transmission w wersji 2.90 dla OS X został zmodyfikowany i udostępniony na oficjalnej stronie projektu, doszło więc najprawdopodobniej do włamania na serwery. Atakujący dodali do niego szkodnika KeRanger i podpisali instalator cyfrowo. Nie jest on więc wykrywany jako coś niebezpiecznego przez mechanizm Gatekeeper dostępny w systemie OS X i nie budzi żadnych podejrzeń. Ransomware nie aktywuje się od razu. Czeka trzy dni od instalacji i dopiero wtedy przechodzi do ataku, szyfrowania danych użytkownika i żądania okupu (1 bitcoin, około 400 dolarów) za otrzymanie klucza deszyfrującego. Specjaliści podejrzewają, że malware jest aktywnie rozwijane i jego autorzy przygotowują się do wprowadzenia wersji atakującej także kopie tworzone w ramach mechanizmu Time Machine.

Poleganie na certyfikatach nie może skończyć się inaczej, niż takimi właśnie problemami - nie są one bowiem idealne.

W tym przypadku winny nie jest rzecz jasna OS X jako taki, ale naruszenie pewnych podstaw bezpieczeństwa: podpisy cyfrowe są obecnie fundamentem ochrony w wielu miejscach, a my niestety na ślepo wierzymy, że są bezpieczne i niezawodne. Ten przypadek pokazuje, że tak nie jest. Oczywiście przy instalacji aplikacji z poziomu jedynie App Store problem ten nie występuje, ale jest to rzecz jasna znacznie ograniczanie sobie dostępu do oprogramowania – używanie jedynie sklepu Microsoftu w przypadku Windows 10 również byłoby obecnie raczej mało komfortowym wyjściem.