Virová panika: pohov!
10. 04. 2004, 19:15 · Nakousnutá jabka
Vzápětí po vydání varování od Intega o viru se vynořily také další názory, a ty jsou dost neúprosné – Intego udělalo z neškodného komára velblouda a podle většiny si jen chce zajistit větší odbyt svého antiviru. Zdá se tedy, že reálně nebezpečí zatím nehrozí.
Jak jsem psal v pátek, Intego prohlásilo, že objevilo trojského koně, který ” má potenciál” například vymazat uživatelovy soubory. Bohužel, firma v tomto případě opomněla uvést několik skutečností, které jsou pro celkové vyznění dost podstatné.
Trojan nebyl odchycen někde náhodně na síti v emailu, naopak, byl uveřejněn autorem jako ukázka toho, co by šlo udělat a je naprosto neškodný – jediná činnost, kterou po spuštění udělá, je dialog s textem a přehraje v iTunes krátký MP3 soubor. Intego tedy poměrně dost nepochopitelně o “trojanu”, který je autor vytvořen pouze jako ukázka případného zneužití známé chyby, nejen že neuvedlo že se nešíří, ale plašilo tím, co může napáchat – v tomto konkrétním případě naprosto nic.
Autor v tomto případě použil zajímavé.... asi chyby, či vlastnosti, kdy je možné do MP3 souboru vložit dodatečná, spustitelná data – soubor se pak pro Finder tváří jako aplikace, ale v iTunes jde běžně přehrát. Autor tedy v podstatě vytvořil praktickou aplikaci, která potvrdila tento teoretický předpoklad – tu následně hodil na internet ke stažení a na Usenetu se o tom rozproudila diskuse.
Intego následně vytvořilo bouři ve sklenici vody, kdy prohlásilo, že virus může škodit (tento konkrétní ani náhodou), a zamlčelo, že se vůbec mezi uživateli nešíří. Nehledě na to, že případné šíření může být mírně komplikované, neboť vyžaduje, aby se přenesla k uživateli celá aplikace včetně resource forku – což na webu vyžaduje zabalení souboru do archívů a při mailování použití správného enkódování přílohy. Ostatně, firma následně vydala “FAQ”: o tomto viru, kde vysvětluju, že cítila potřebu varovat před virem, který je neškodný, protože potenciálně podobně napsaný virus škodit může – což je na jednu stranu pravda, ale na druhou stranu neměla varovat před neexistujícím nebezpečím, měla upozornit na možnost objevení se podobného viru.
Apple prohlásil, že “si je vědom potenciálního problému identifikovaného Integem a aktivně ho zkoumá”, Symantec plánuje uvedení updatu, který se na tohoto trojana zaměří a “bude nadále bedlivě monitorovat jakékoliv neobvyklé aktivity a jakož i další hrozby pro Mac OS X”.
Mimochodem, i kdyby se jednalo o opravdového trojana, přemýšlel jsem nad tím, jak velkou šanci na rozšíření v praxi má. Poslední viry, které se opravdu šířily, pokud si pamatuji dobře, byly MBDF A/B, někdy v druhé polovině devadesátých let, a to byly klasické viry, které napadaly aplikace a systém samotný, sice shazovaly počítač, ale jinak nijak neškodily (pokud si pamatuju…). Od té doby ticho po pěšině, zatímco na Windows jsou kvanta různých virů a červů (asi vám jich pár přijde každý den i do pošty, mě mraky). Macy mají naštěstí méně (případně žádné) děr, kde by si mohl takový zlomyslný vir řádit sám od sebe, autor by tedy musel spoléhat na to, že uživatel na vir klepne a spustí ho – což je první úzké místo, viry na Win se v současné době šíří především automaticky. Dále je otázka kam by se takový virus rozeslal – rozumná data na jiné uživatele Maců by mohl najít nanejvýš v adresáři a v mailovém programu, k tomu by musel podporovat aspoň tři-čtyři hlavní mailové programy (aby z nich dostal data), a následně se “modlit” aby se dostal k dalšímu uživateli s Mac OS X – který by na něj musel také poklepat (otevřením v iTunes by se aplikace nepustila, pokud by se maskovala takhle). Takže takový virus má díky absenci různých děravých míst v Mac OS X (resp. tato místa zatím nikdo neobjevil, pokud existují) o hodně horší život než na Win.
To neznamená, že Mac OS X nemá potenciálně zneužitelná místa – hezky to sepsal Adam Nohejl ve svém mailu do konference kppm (na který nejde linkovat, protože archív je opravdu archívní). Varuje například před zneužitím zadaného administrátorského hesla – některé aplikace nepoužívají systémové rozhraní pro autentifikaci, ale své vlastní a tak si heslo mohou i uložit či odeslat a atp., a také upozorňuje na používání “základního” administrátorského účtu, protože z něj může “zlomyslná aplikace” napadnout například ostatní programy – ovšem na toto dlouhodobě upozorňuje i Ondra Čada, a stejně myslím že většina uživatelů (včetně mě :) jede pod základním “admin” účtem. No a základ je nespouštět něco, o čem nevíme přesně, co je.
Nelze tedy vyloučit, že virus, resp. funkční trojan se opravdu pro Maca objeví, napsat aplikaci, která vám po poklepání něco smaže opravdu není problém – tentokrát však byl poplach zbytečný. Vzhledem k těm desítkám virů pro Windows, co mi denně přijdou do pošty – řeknu vám, jsem opravdu rád, že používám Maca :)).
pekny blog:)
Ad MBDF A/B—“se slzou v oko” vzpomínám na onu dobu, kdy jsme také jednou doma odvirovávali – vzpomínám si taky jen málo, a skutečně nějak moc neškodil .. před asi rokem ho ale “chytil” kamarád, neboť si z nostalgie pouštel hry ze starého CD-čka, a MBDF mu naprosto zničil 9.2.2.—tak to odhaduju na nějakou “nekompatibilitu” s novým systémem, něco tam holt “odpálí” ...
Mejte se !
— Kamil 10.4.2004 20:00 #
Ale to byl Systém 6.0.8, to by asi ani na 9.2.2 neběželo. ;)
Poslední “zajímavý” virus byl skutečně asi MBDF A/B. Pak už byly v podstatě jen ty makra do Wordu, který si člověk z nostalgie hýčkal, protože se mu po virech stýskalo.
Možná bych ještě někde vyhrabal svojí master disketu, kde jsem měl exempláře asi pěti virů, které jsem zažil. Někde po Internetu kolovával .sit s kolekcí více než dvaceti virů...
...jojo, to byly časy, kdy jsme si mohli aspoň nalhávat, že se Macy vyrovnají PCčkům. Obávám se, že dnešní “náskok” Windows v počtu virů už žádný operační systém nedohoní.
My dear virus: Where do you want to go today?
:)
— zzen 14.4.2004 02:18 #