بد افزاري در دنياي مك


 





 
سال‌ها پيش در کرانه‌های دريای آی‌تی، دو سرزمين پهناور در همسايگی هم پديد آمدند و شاخه گستردند؛ نخستين آن‌ها مايکروسافت و دومين‌شان اپل نام داشت. اپل کشوری به نسبت کوچک، اما ثروتمند بود. شهرها و بازارهای زيبایی داشت. طراحی مدرن و رنگ‌های چشم‌نوازش زبانزد بوميان و گردشگران بود. هرچند ساکنان اندکی داشت، اما همين ساکنان اندک به يک چيز مباهات‌می‌کردند و آن قلمروي پاک و عاری از جرم و بزهکاری سرزمين‌شان بود؛ سرزمينی که از زمان پيدايش تاکنون رنگی از نا‌امنی به خود نديده بود.
در کشور همسايه، اما وضع به‌گونه‌ای ديگر بود. مايکروسافت در مقايسه با اپل قلمرویی بس بزرگ داشت. ثروتمند و زيبا بود و جمعيت در آن غلغله می‌کرد؛ بازارهایش روز و شب پر از دادوستدکنندگان بود و بر شمار آنان بيش از پيش افزوده می‌شد. با آنچه که گفته شد، می‌توان حدس زد که يکی از بزرگ‌ترين دل‌مشغولی‌های ساکنان اين امپراتوری بزرگ چه بود؛ امنيت. با اين‌که اوضاع معيشت و کسب‌وکار مردم خرسند‌کننده بود، اما در سوی ديگر جرم در شهرها غوغا می‌کرد، هر گوشه معرکه‌ای به پا بود و هر جا غائله‌ای. و اين‌گونه بود که ساکنان اپل در همه اين سال‌ها به سبب برخورداری از قلمرویی امن، به همسايگان خود فخر می‌فروختند و بين شماری از مردمان اين‌دو عداوتی مسبوق به سابقه پديد آمده‌بود. اما پويایی دو کشور همچنان ادامه داشت و بر وسعت و تعداد ساکنان‌شان رفته‌رفته افزوده می‌شد. تا اين‌که پس از سال‌ها هياهویی در اپل پيچيد و مردم را به تکاپو انداخت! شايع شده‌بود که جرمی بزرگ رخ داده و باوجود گستردگی و اهميتش، رهبران اپل آن‌را ناديده می‌انگارند. اما خبرها به سرعت در همه‌جا می‌پيچيد و اعتراض‌‌ها در روزنامه‌ها بالا می‌گرفت تا اين‌که مقامات اپل خبر را تأييد کردند و از تمهيدات خود برای سرکوب آن سخن گفتند. اما اين موضوع هر اندازه هم که زيان به همراه آورد، يک مزيت به دنبال داشت و آن اين‌که دشمنی چندين ساله بين دو کشور مايکروسافت و اپل رنگ باخته‌بود، زيرا اپل ديگر آن سرزمين عاری از جرم و بزهکاری نبود و بهتر آن بود که دو کشور برای فائق آمدن بر مشکل موجود به همياری يكديگر برخيزند، نه کينه‌ورزی. آری، اين قصه خيالی نيست، واقعيتی است که می‌شد وقوع آن را در آينده‌ای نزديک پيش‌بينی کرد. افزايش شمار کاربران پلتفرم‌های اپل، چه سيستم‌عامل‌های دسکتاپ Mac OS X و چه سيستم‌عامل‌های موبايل iOS هدفی جديد را برای مجرمان فضای ديجيتال به وجود آورده‌است که نخستين جلوه آن در بدافزاری موسوم به MacDefender آشکار شد؛ بدافزار و ترس‌افزاري و Scareware که به‌رغم نامش به اسم و رسم اپل حمله برد و شايد غيرقابل باور بودن آن باعث شد تا مقامات اين شرکت بسيار دير نسبت به شناسایی اين بدافزار واکنش نشان دهند و خبر آن‌را تأييد کنند. در همين اثنا بود که مايکروسافت اعلام کرد، به احتمال نويسندگان MacDefender همان‌هایی هستند که پيش‌تر يک ترس‌افزار ديگر ويندوزی را نيز طراحی کرده‌‌اند و همين موضوع می‌تواند شرکت‌هایی را که در عرصه تجارت رقيب هم به شمار می‌روند دست‌کم در عرصه امنيت به هم نزديک کند. اهميت بدافزار MacDefender که با وجود ارائه راهکارهایی برای مهار‌کردن آن دوباره تغيير شکل داده و در صحنه باقی‌ مانده‌است، نه به جهت گستردگی خسارت‌هايش، بلکه به اين دليل است که نخستين تهديد جدی در پلتفرم اپل محسوب می‌شود و چنين شد که يکی از پرونده‌های اين شماره به کم و کيف رويداد مذکور اختصاص يافت تا موضوع با تفصيل بيشتری مورد بررسی قرار بگيرد.
آيا درباره وجود بدافزارها در كامپيوترهاي مك مبالغه شده يا اين موضوع مشكلي است كه كاربران واقعي با آن دست به گريبان هستند؟ اگر از جان گروبر بپرسيد، به احتمال گزينه نخست را انتخاب مي‌كند. به اعتقاد وي سناريوهاي متعددي وجود دارند كه امكان وجود بدافزارها را در كامپيوترهاي مك تأييد مي‌كنند، اما تا‌كنون هيچ‌كدام از اين سناريوها جامه عمل نپوشيده‌اند. اگر از اد ‌بات(Ed Bott) همين سؤال را بپرسيد، گزينه دوم را انتخاب مي‌كند. او به‌تازگي با يكي از كارمندان AppleCare مصاحبه كرده كه مدعي است انتشار يك برنامه جعلي ضدويروس موسوم به MAC Defender موجي از گزارش‌هاي مربوط به وجود بدافزار را در ميان كاربران مك ايجاد‌كرده است. تشخيص واقعيت كار مشكلي است. از طرفي سيستم‌عامل Mac OS X هنوز درصد كوچكي از بازار جهاني سيستم‌عامل را در اختيار دارد و از طرف ديگر اپل يك شركت پررمز و راز است. به همين دليل به‌دشواري مي‌توان فهميد كه آيا تعداد بدافزارهاي مك رو به افزايش است يا تنها تعداد گزارش‌هاي دريافتي از كاربران افزايش يافته است.
با وجود اين سعي كرديم، واقعيت را كشف كنيم. به همين دليل، هنگام تهيه اين گزارش با چهارده متخصص پشتيباني از سيستم‌هاي مك (شامل متخصصان بخش Genius Bar فروشگاه‌هاي اپل) گفت‌وگو شده است تا از تغيير اوضاع بدافزارهاي مك آگاهي پيدا كنيم. با وجود اين كه متخصصان مذكور تجربه مواجه شدن با مشكلات فني كاربران را در سراسر جهان دارند، به غير از متخصصان Genius Bar، ساير متخصصان به اتفاق آرا معتقدند كه ميزان مشكلات ناشي از نفوذ بدافزارها به سيستم‌هاي مك بسيار كم است.

مشكل همه‌گير
 

بسياري از متخصصان پشتيباني متفرقه معتقدند، مشكلات ناشي از بدافزارهاي مك به تازگي رشد چشم‌گيري نداشته است.كامپ گرو، يكي از اعضاي قديمي فروم سايت آرس تكنيكا كه به مورفي شهرت دارد، مي‌گويد: «تعداد زيادي از كاربراني كه من از آن‌ها پشتيباني مي‌كنم، تا حدي دانش فني دارند، اما حتي افرادي كه از اين دانش بي‌اطلاع هستند، به‌گونه‌اي (توسط من) آموزش ديده‌اند كه نسبت به همه‌چيز بدبين باشند و اگر در مورد چيزي اطمينان ندارند، به سراغ من بيايند. بدافزار MAC Defender مانند Security Center 2011 است كه كاربران ويندوز 7 را به سطوح آورده است. حتي بعضي از كاربران آن‌ را روي سيستم خود نصب كرده‌اند و يكي از آن‌ها مي‌خواست مبلغ 85 دلار براي پاك‌سازي آلودگي‌ها و خطاهاي درايوها پرداخت كند. خوشبختانه او ابتدا به سراغ من آمد و من بدافزار مذكور را با استفاده از Malwarebytes پاك كردم. خوشبختانه حذف بدافزار Mac Defender از سيستم افرادي كه احياناً آن را نصب كرده‌اند، كار ساده‌اي است.»
يكي از متخصصان Apple Certified Help Desk به نام پابلو تولدو مي‌گويد: «در طول شش ماه گذشته يكي از مشتريان من وجود يك بدافزار را گزارش كرد. پس از مشاوره با ساير سرويس‌ها به اين نتيجه رسيدم كه نرخ وجود بدافزار در ساير سرويس‌ها نيز چيزي در حدود يك يا دو مورد از بين 750 تا هزار كاربر در طول شش ماه است. در اينجا هشدارها و اطلاعات لازم به كاربران مك داده مي‌شود و تنها ممكن است كاربران بسيار مبتدي گرفتار بدافزارها شوند.» با وجود اين كه دو مورد گزارش بدافزار از بين هزار كاربر در طول شش ماه ركورد بسيار خوبي است، سايرين مدعي هستند كه هرگز حتي يك نمونه از بدافزارها را نيز روي سيستم‌هاي مك نديده‌اند.
آليستر بنكس، از شركت مشاوره POINT‌ مي‌گويد:«اين بدافزارها مطمئناً به مؤسساتي كه من از آن‌ها پشتيباني مي‌كنم، راه نيافته‌اند و تا‌كنون كسي چيزي در اين باره به زبان نياورده است. با وجود اين، ما تنظيمات پيش‌ساخته‌اي را روي تمام سيستم‌ها فعال‌كرده‌ايم كه گزينه «باز كردن فايل‌هاي امن پس از دريافت» را غيرفعال مي‌كند. درباره كاربران خانگي تنها تهديدي كه تا‌كنون با آن مواجه شده‌ام و به بدافزارها شباهت داشت، اختلال ناچيزي در عملكرد جاوا اسكريپت در زمان آلودگي نتايج جست‌و‌جوي تصاوير گوگل توسط متخصصان SEO بود.»
آدام تورتزكي، مشاور پشتيباني فني در دانشگاه نورث وسترن نيز با اين موضوع موافق است. او مي‌گويد: «من به مدت يازده سال مسئول پشتيباني كاربران اداري دانشگاه نورث وسترن واقع در منطقه Evanston از ايالت ايلي‌نوي بودم. در تمام اين مدت، هرگز نديدم كه يكي از كاربران مك به ويروس يا بدافزاري خطرناك‌تر از ويروس‌هاي macro در نرم‌افزار Word‌ آلوده شود (و البته زمان درازي است كه با چنين كاربري نيز مواجه نشده‌ام)، در حال حاضر از 42 كاربر پشتيباني مي‌كنم و مديريت بيش از پنجاه سيستم مكينتاش را برعهده دارم. من از كاربران تحت نظر خود خواسته‌ام كه بدون مشاوره با من نرم‌افزاري را روي سيستم خود نصب نكنند، اما آن‌ها هميشه از قوانين پيروي نمي‌كنند. با وجود اين، هنوزهم با هيچ نمونه‌اي از بدافزارها روي سيستم كاربران مواجه نشده‌ام.»به اعتقاد تام بريج، يكي از سهامداران شركت Technolutionary كاربران مك به دليل داشتن تجربه در كار با ساير پلتفرم‌ها، عملكرد بهتري در اجتناب از بدافزارها دارند. او در اين‌باره مي‌گويد: «تا‌كنون هيچ‌يك از سيستم‌هاي مورد پشتيباني ما توسط Mac Defender يا ساير بدافزارهاي مشابه آلوده نشده است. ما مشتري‌هايي داريم كه قبلاً هنگام استفاده از كامپيوترهاي شخصي با چنين بدافزارهايي مواجه شده‌اند و به احتمال در رابطه با اين نوع تهديدات به خوبي آموزش ديده‌اند، اما به‌طور كلي در اينجا از اين نوع تهديدات وجود ندارد.»


شکل 1- يكي از اشكال ظاهري MAC Defender
 

بدافزار MAC Defender تعداد اندكي از كاربران را گرفتار كردبا وجود اين كه تعداد زيادي از متخصصان IT و پشتيباني را يافتيم تا شهادت دهند بدافزار موردبحث (MAC Defender، Mac Security، Mac Protector يا هر نسخه ديگري از آن) ديگر به عنوان مشكلي براي كاربران مك به شمار نمي‌آيد. اما كارمندان فروشگاه اپل، نظريه‌هاي متفاوتي دارند. يكي از متخصصان پشتيباني فروشگاه‌هاي اپل مي‌گويد: «ما روزانه با سه يا چهار نفر برخورد مي‌كنيم كه گرفتار اين بدافزار شده‌اند. اغلب آن‌ها تنها بدافزار را نصب كرده‌اند، اما شماره كارت اعتباري خود را وارد نكرده‌اند.» وي ادامه مي‌دهد: «اين وقايع همواره سرآغاز مناقشاتي در‌باره ضرورت استفاده از نرم‌افزارهاي ضدويروس روي كامپيوترهاي مك است. در اين فروشگاه نرم‌افزارهاي ضدويروس مختلفي به فروش مي‌رسد و اين رويكرد بيانگر پشتيباني اپل از ايده به‌كارگيري نرم‌افزار‌ضدويروس روي سيستم‌هاي مك است. با وجود اين، فروشندگان همواره بر امن بودن سيستم‌عامل Mac OS X تأكيد دارند. بخش‌IT شركت اپل، استفاده از ضدويروس نورتون را در تمام كامپيوترهاي شركت اجباري كرده است.»
پس از اين‌كه درباره اين موارد با متخصصان پشتيباني اپل به گفت‌و‌گو نشستيم، حداقل يكي از آن‌ها اين نكته را يادآوري كرد كه ممكن است ادعاهاي مذكور درباره ضدويروس نورتون كاملاً درست نباشد. به اعتقاد وي، ممكن است اين رويكرد در يكي از فروشگاه‌هاي اپل اتخاذ شده باشد (كه در اين صورت در تمام فروشگاه‌ها رعايت نمي‌شود) يا اين كه متخصصي كه اين موضوع را بيان كرده درباره يك سياست قديمي كه بر‌اساس آن بايد روي سيستم‌هاي مجهز به نرم‌افزار Boot Camp، ضدويروس نورتون نصب شود، دچار اشتباه شده است. با تمام اين اوصاف، در حال حاضر تعداد زيادي از كارمندان فروشگاه اپل درباره ضدويروس نورتون مطالبي را بيان مي‌كنند. يكي از متخصصان اسبق پشتيباني اپل در وبلاگ خود چنين نوشته است: «روي تمام كامپيوترهاي فروشگاه‌هاي خرده فروشي اپل، ‌ايميج‌هايي كه از پيش توسط خود شركت اپل تنظيم شده‌اند، ‌نصب مي‌شود. در ميان همه نرم‌افزارهايي كه به عنوان جزئي از اين image نصب مي‌شود، ضد‌ويروس نورتون و Timbukto pro نيز نصب مي‌شوند. هرچند بيشتر متخصصان پشتيباني براي ايميج‌ها و گذر واژه‌هاي اپل، ‌ايميج‌هاي اختصاصي خودشان را تهيه مي‌كنند و از آنجا كه فروشگاه‌هاي خرده‌فروشي اپل بازوهاي درآمد‌زا (همين‌طور پر دردسر) هستند، شركت ترجيح مي‌دهد كه به كارهاي اين متخصصان به ديده اغماض بنگرد. همچنين كارمندان شركت اپل از اتفاقاتي كه در فروشگاه‌هاي خرده فروشي اپل رخ مي‌دهد، بي‌خبرند و عكس آن نيز صادق است. يك متخصص پشتيباني كه در يكي از فروشگاه‌هايمجاز اپل كار مي‌كند و از اين پس وي را كارل مي‌ناميم، مي‌گويد: «من هرگز پيش از اين مجبور به حذف يك ويروس يا بدافزار از روي كامپيوترهاي مك نشده بودم. اما اكنون تعداد زيادي از كاربران به ما مراجعه مي‌كنند كه بدافزار اپل را روي سيستم خود نصب كرده‌اند.»


شکل 2
 

وين كوپلند، يكي از تكنسين‌هاي مجاز مك در مؤسسه BeachTech مي‌گويد: «از زماني كه كار درشركت خودم را در دسامبر 2009 آغاز كردم تا‌كنون، ميزان تعميراتي كه با آن روبه‌رو هستم كسر كوچكي از تعميراتي است كه در زمان كار در اپل با آن روبه‌رو بودم. اما بايد بگويم، بدافزار MAC Defender بيش از هر تروجان ديگري كه تا‌كنون ديده‌ام، سيستم كاربران عمومي مك را آلوده كرده است. زماني كه سالانه هزاران كامپيوتر را بازبيني مي‌كردم، شايد پنج يا شش تروجان را در طول سال شناسايي مي‌كردم. اكنون كه هر هفته حدود 25 كامپيوتر را بازبيني‌مي‌كنم، مدتي است كه هر هفته حداقل سه مرتبه تروجان MAC Defender را روي سيستم كاربران مشاهده مي‌كنم.»

از هيچ تا حدود 6 درصد
 

در فروشگاه‌هاي بزرگ‌تر مشكل وخيم‌تر است. ما با يكي ديگر از متخصصان پشتيباني اپل گفت‌وگو كرديم كه او را اندي مي‌ناميم. فروشگاه او در هر هفته به دو هزار كاربر مك خدمات ارائه مي‌كند. او مي‌گويد: «به تازگي تعداد بدافزارهايي كه مشاهده مي‌كنيم، به‌طور چشم‌گيري افزايش يافته است.» به گفته وي در گذشته 0,2 درصد از كاربران مك كه به فروشگاه او مراجعه مي‌كردند، به مشكل بدافزارها دچار بودند كه «اغلب آن‌ها به تروجان‌هاي DNS‌ آلوده شده بودند.» اين وضعيت در طول سه هفته گذشته تغيير‌كرده و امروز حدود 5,8 درصد از كامپيوترهايي كه به فروشگاه اندي وارد مي‌شوند، مشكل بدافزار دارند. تقريباً تمام اين كامپيوترها به MAC Defender يا انواع مختلف آن آلوده هستند. اندي در اين‌باره مي‌گويد: «با توجه به نحوه برخورد اپل با اين مشكل، پاسخي كه به كاربران داده مي‌شود، چندان رضايت‌بخش نيست. چنان‌كه مي‌دانيد صدور مجوز نصب نرم‌افزارها در سيستم‌عامل OS X تنها توسط مدير سيستم امكان‌پذير است. پاسخ شركت به مشكل بدافزارها به‌طور ضمني حاوي اين پيغام است كه «كاربران آن را نصب كرده‌اند و اين موضوع به ما ربطي ندارد. تا زماني كه در اثر وجود اين بدافزارها مشكلي اساسي بروز نكند، شك دارم كه اقدام مؤثري در جهت مقابله با آن انجام شود.»


شکل 3- بخشي از يادداشتي كه اپل درمورد MAC Defender منتشر كرده است.
 

آيا درباره وجود بدافزارها د ركامپيوترهاي مك مبالغه شده يا اين موضوع مشكلي است كه كاربران واقعي با آن دست به گريبان هستند؟ اگر از جان گروبر بپرسيد، به احتمال گزينه نخست را انتخاب مي‌كند. به اعتقاد وي سناريوهاي متعددي وجود دارند كه امكان وجود بدافزارها را در كامپيوترهاي مك تأييد مي‌كنند، اما تا‌كنون هيچ‌كدام از اين سناريوها جامه عمل نپوشيده‌اند. اگر از اد ‌بات(Ed Bott) همين سؤال را بپرسيد، گزينه دوم را انتخاب مي‌كند. او به‌تازگي با يكي از كارمندان AppleCare مصاحبه كرده كه مدعي است انتشار يك برنامه جعلي ضدويروس موسوم به MAC Defender موجي از گزارش‌هاي مربوط به وجود بدافزار را در ميان كاربران مك ايجاد‌كرده است. تشخيص واقعيت كار مشكلي است. از طرفي سيستم‌عامل Mac OS X هنوز درصد كوچكي از بازار جهاني سيستم‌عامل را در اختيار دارد و از طرف ديگر اپل يك شركت پررمز و راز است. به همين دليل به‌دشواري مي‌توان فهميد كه آيا تعداد بدافزارهاي مك رو به افزايش است يا تنها تعداد گزارش‌هاي دريافتي از كاربران افزايش يافته است.

نپرسيد و چيزي نگوييد
 

اندي تأييد كرد، اپل به متخصصان پشتيباني خود دستور داده تا در صورت مواجه شدن با بدافزارهايي مانند MAC Defender از حذف يا ترميم سيستم آلوده به آن خودداري كنند. در واقع آن‌ها حتي نمي‌توانند وجود چنين بدافزاري را تأييد كنند. يك يادداشت درون سازماني كه در اوايل هفته جاري منتشر شد، نشان مي‌دهد كه «مشكل”MAC Defender” در حال بررسي» است و فهرستي از اقدامات متخصص پشتيباني يا Apple Care را در صورت شناسايي بدافزار توسط آنان بيان كرده است (آن‌ها بايد وجود مشكل در محصول اپل را بررسي كرده و در صورت عدم وجود مشكل هيچ اقدام ديگري انجام ندهند). در صورتي كه كاربران به‌طور رسمي به وجود بدافزار پي نبرده باشند، متخصصان اپل تحت هيچ شرايطي حق ندارند، اين مطلب را به كاربران بگويند(شكل4).


شکل 4- اپل به متخصصان دستور داده كه حتي از اعلام وجود چنين مشكلي خودداري كنند.
 

اندي مي‌گويد: «انصافاً اين رويكرد نمونه‌ پيشرفته‌اي از مهندسي اجتماعي است. از طرفي نسبت به افرادي كه مورد تهاجم اين بدافزار قرار گرفته‌اند، احساس همدردي مي‌كنم، اما از طرف ديگر در مورد اين كه كاربران مذكور به هر نرم‌افزاري اعتماد كرده و آن را روي سيستم خود نصب مي‌كنند، كاري از من ساخته نيست. يكي از زيبايي‌هاي سيستم‌عامل MAC OS X مدل امنيتي آن است. اين مدل امنيتي در مواردي كه كاربران كوركورانه گذرواژه‌اي را وارد مي‌كنند، مي‌تواند تمام تمهيدات امنيتي سيستم‌عامل را بي‌اثر كند.»اپل به درخواست ما براي اظهارنظر درباره MAC Defender و نحوه برخورد كارمندان اپل با اين بدافزار پاسخي نداد. شركت امنيتي Intego كه قبل از سايرين وجود بدافزار MAC Defender را اعلام كرد، معتقد است، علت طبقه‌بندي اين بدافزار در سطح كم خطر، لزوم درج گذرواژه مدير سيستم براي نصب آن است. پيتر جيمز سخنگوي Intego در اين‌باره مي‌گويد: «مشكل اينجا است كه MAC Defender يك بدافزار نيست، بلكه يك ترس‌افزار است.» بسياري از افراد مي‌گويند: «اگر به قدري بي‌فكر هستيد كه گذرواژه خود را وارد كنيد، حق شما است كه مورد حمله بدافزارها قرار بگيريد.» اما چنين سخناني درباره كاربران ويندوز گفته نمي‌شود.
قطعاً آموزش درست يكي از بهترين روش‌هاي محافظت از كاربران در اين‌گونه موارد است. بدافزار مذكور راه زيادي را تا شيوع همگاني درپيش دارد، اما اگر وجود آن در تمام فروشگاه‌هاي اپل و به‌صورت آنلاين اعلام شود، باز هم ممكن است مادر يا خاله شما از وجود چنين بدافزارهايي بي‌اطلاع باشد.

آيا اين وضعيت پايدار است؟
 

جيمز متذكر مي‌شود كه Intego هنگام مواجه شدن با MAC Defender و بدافزارهاي هم‌خانواده آن با الگوهاي عجيبي روبه‌رو شده است. او در اين‌باره گفت: «در هفته اول در هر 12 تا 24 ساعت نوع تغييريافته‌اي از اين بدافزار منتشر مي‌شد. اما در طول هفته گذشته حتي يك نمونه تغييريافته جديد از آن را مشاهده نكرديم.» به اعتقاد وي هنوز نمي‌توان مطمئن بود كه انتشار بدافزار كند ‌شده ‌است و هشدار مي‌دهد كه شايد توسعه‌دهندگان MAC Defender در تلاشند تا آن را به‌گونه‌اي از ديد كاربران و متخصصان پنهان كنند و به همين دليل كاربران بايد هوشيار باشند. چارلز ميلر، قهرمان چندين باره رقابت‌هاي Pwn2Own معتقد است، حتي در صورت نابودي MAC Defender نيز كاربران بايد هوشياري خود را حفظ كنند. به اعتقاد او كاربران مك در مقايسه با كاربران ويندوز از امنيت بيشتري برخوردار نيستند و تا‌كنون تنها خوش شانس‌تر بوده‌اند.
ميلر در اين‌باره مي‌گويد: «سيستم‌عامل Mac OS X امن‌تر از ساير سيستم‌عامل‌ها نيست. اين سيستم‌عامل نيز نقاط ضعفي دارد و امكان دريافت و نصب بدافزارها را در اختيار كاربر مي‌گذارد. تنها نكته مثبت در‌باره O SX اين است كه تا‌كنون بدافزاري براي آن نوشته نشده است. مهاجمان و افراد خلافكار تمام انرژي خود را روي سيستم‌هاي ويندوز متمركز كرده‌اند تا بتوانند بخش عمده سيستم‌هاي كامپيوتري موجود را مورد هدف قرار دهند. به هرحال، با افزايش سهم مك از بازار كامپيوتر اين معادله برهم‌خورده و تمركز مهاجمان به سمت كامپيوترهاي مك معطوف مي‌شود. چنان‌كه قبلاً نيز اشاره كردم، كامپيوترهاي مك به طور ذاتي امن‌تر از كامپيوترهاي ويندوز نيستند و به همين دليل زماني كه مهاجمان به سراغ آن‌ها بروند، اوضاع خطرناك مي‌شود.» جيمز موافق است كه: «ناديده گرفتن موضوع به بهانه اغراق كاربران حاكي از كوته‌بيني است. تهاجم به كامپيوترهاي مك بسيار كم است، اما MAC Defender يكي از نخستين بدافزارهاي خطرناك است كه براي حمله به كامپيوترهاي مك طراحي شده و اين تهاجم هنوز به پايان نرسيده است.»
اگر يكي از انواع MAC Defender را روي سيستم خود شناسايي كنيد، چه اقدامي انجام مي‌دهيد؟ مؤسسه TUAW به تازگي راهنماي جامعي را براي محافظت از سيستم كاربران روي سايت خود قرار داده است كه به‌طور خلاصه مي‌توان آن را به اين صورت بيان كرد: «در تنظيمات مرورگر سافاري گزينه open safe files after downloading را غيرفعال كنيد تا برنامه‌هايي كه از روش‌هاي مختلف مانند نتايج جست‌وجوي تصاوير در گوگل دريافت شده‌اند، به‌طور خودكار روي سيستم نصب نشوند.» اگر روي سيستم خود با برنامه مشكوكي مواجه شديد كه هنوز آن را نصب نكرده‌ايد، به سرعت آن را پاك كنيد. اگر چنين برنامه‌اي را قبلاً نصب كرده‌ايد، ممكن است براي حذف آن لازم باشد چندين پردازش سيستم را غيرفعال كنيد. اما تا زماني كه اطلاعات كارت اعتباري خود را وارد نكرده‌ايد، بدافزار MAC Defender قادر به سرقت وجه نقد از حساب شما نيست

تاریخچه مختصر بدافزارها در OS X
 

مارس 2001
 

سيستم‌عامل Mac OS X 10.0 عرضه شد.
 

اکتبر 2004
 

کرم Renepo
کرم که در واقع یک شل اسکریپت بود، کشف شد، اما نفوذ گسترده‌اي را از خود به جای نگذاشت. رنپو مي‌تواند فایروال مک را غیرفعال سازد، بعضی دستورات یونیکس را که به همراه Mac OS X مي‌آیند، جایگزین كند و یک Keylogger روی سیستم نصب کند تا از طریق آن رمزعبورها را به دست آورد.

آوريل 2004
 

Amphimix فایلی بود که یک MP3 سالم به نظر مي‌رسید. اما به غیر از موزیکی که در فایل وجود داشت، مقداری کد اجرایی نیز در آن تعبیه شده بود که یک پیغام بی‌خطر را در هنگام پخش موسیقی با iTunes نمایش مي‌داد. این تنها شاهدی بر مدعای مؤلف ویروس مبنی بر مشکل امنیتی سیستم‌عامل بود و خطر خاصی را به دنبال نداشت. این کرم قصد داشت نشان دهد، یک فایل به نظر سالم و بدون مشکل مي‌تواند باعث طرح ریزی حمله‌هايي به سمت سیستم شما شود.

فوريه 2006
 

نسخه 10.4 Mac OS X (تایگر) با نخستين مک‌هاي اینتلی عرضه شد. کرم Leap-A که مي‌توانست از طریق نسخه‌اي از iChat که در درون سیستم‌عامل بود پخش شود، کشف شد. این کرم با ارسال خود به عنوان فایلی از طرف شما برای فهرست‌تماس‌هاي iChat‌تان خود را پخش مي‌كرد. به این ترتیب، هر شخصي فایلی را که به نظر مي‌آمد از طرف شما رسیده، باز مي‌کرد، آلوده مي‌شد. کرم Inqtana از باگی در پشتیبانی Mac OS X از بلوتوث استفاده مي‌کرد تا بین مک‌ها خود را توزیع كند. این مشکل تنها در نسخه‌هاي 10,3 تا 10,4,1 سيستم‌عامل مك وجود داشت. این کرم نیز صرفاً شاهدی بر مدعا بود.

نوامبر 2006
 

سیمانتک گزارش داد، ویروس جدیدی به نام Macarena کشف شده که خطری را به دنبال نداشت. این ویروس در صورت بازشدن، فایل‌هاي موجود در دایرکتوری جاری را آلوده مي‌کرد. البته، این گسترش‌پذیری صرفاً روی باینری‌هاي اینتل بود و باینری‌هاي یونیورسال را آلوده نمی‌کرد. باینری‌هاي یونیورسال به برنامه‌هايي گفته مي‌شود که شامل کدهایی برای مك‌هاي مبتني بر PowerPC و مدل جدید مك‌هاي مجهز به پردازشگر اينتل بودند.

می 2007
 

ماكروي BadBunny که سندهای OpenOffice را آلوده مي‌کرد، به عنوان شاهدی بر مدعا عرضه شد. بعدها افراد با استفاده از اسکریپت‌هاي تهیه شده برای مک، ویندوز و لینوکس از این ماكرو برای آلوده ساختن کاربران IRC استفاده کرده و شروع به گسترش آن كردند. این ماكرو باعث شد تا کاربران درک کنند نباید به صورت عادي فرض کنند که ضميمه‌ها نمي‌توانندحاوی سورپرایزهای ناخوشایندی باشند.

اکتبر 2007
 

تروجان DNSChanger در سایت‌هاي غیراخلاقی به عنوان کدکی که برای تماشای ویديوهای این سایت لازم است، پیدا شد. با وجود این‌که ویديو پس از نصب این تروجان به نمایش در‌مي‌آمد، اما این یک تله بود. تنظیمات DNS به گونه‌اي تغییر مي‌کردند که کاربران به سایت‌هايي هدایت شوند که به نظر در آن اطلاعات شخصی‌شان را وارد مي‌کنند. در واقع، در اینجا کپی جعلي از سایت‌هاي مشروع ساخته شد و به دلیل جوابگو‌یی مناسب DNS حمله کننده در بيشتر درخواست‌ها، کاربر به این موضوع شک نمی‌کرد. آلودگی مي‌توانست با داشتن دز بالایی از شکاکی ناکام بماند. همچنين در اين ماه نسخه 10.5 Mac OS X (لئوپارد) عرضه شد. این نسخه با برنامه فایروالی همراه بود که اجازه مي‌داد ارتباطات مشکوک بسته شوند و کار با آن برای کاربران غیرفنی خیلی راحت‌تر از گذشته بود. در پشت صحنه لئوپارد امکانات حفاظتی جدیدی مانند library randomization، sandboxing و application signing وجود داشت که خطرات نفوذ را به شدت کاهش مي‌داد.

ژانويه 2008
 

MacSweeper برنامه‌اي بود که وانمود مي‌کرد برای تشخیص آلودگی‌هاي سیستم نوشته شده بود. نصب برنامه پس از دانلود آن صورت مي‌گرفت و معمولاً کاربران بنا به هدفی که از آن در ذهن داشتند، به نرم افزار اعتماد مي‌کردند. این نرم افزار به شما توصیه مي‌کرد که برای پاک کردن کامل مک خود از ویروس، نسخه کامل نرم‌افزار را بخريد. انواع دیگری مانند Imunizator نیز به شکل مشابه عمل مي‌کردند.

نوامبر 2008
 

تروجانی به نام Lamzev.A خود را در‌هنگام لاگین فعال مي‌‌كرد. این تروجان تنها برنامه‌هاي مشروع (Legitimate application) مک را تحت تأثیر قرار مي‌داد. به اين ترتيب، هر کدام از این برنامه‌ها که باز بودند، یک درپشتی برای دسترسی راه دور مي‌ساختند. تروجان Jahlav عموماً با وعده دسترسی به نرم‌افزارهای بدون مجوز و کدک‌هاي ویديو عرضه مي‌شد. این تروجان با استفاده از یک شل اسکریپت سعی مي‌کرد دانلودهایی را تنظیم و زمان‌بندی كند که یک سری بدافزار دیگر را دانلود مي‌کردند.

ژانويه 2009
 

نسخه غیرقانونی iWork ’09 روی بیت تورنت، شامل تروجان OSX/iWorkS-A بود. این تروجان در فایل به ظاهر بی‌خطر iWorkServices.pkg ذخیره مي‌شد. برنامه iWork به خودی خود درست کار مي‌کرد و این باعث مي‌شد کاربر از این‌که در پشت صحنه بدافزار در حال دانلود کدهای اضافه بود، باخبر نشود. انواع مشابه دیگری نیز مانند نسخه غیرقانونی فتوشاپ CS4 در این رابطه یافت شده بود.

مارس 2009
 

به مانند تروجان iWork، RSPlug نیز خود را در قالب یک نرم‌افزار عادی نشان مي‌داد. این بار ترفند نرم‌افزار HDTV‌اي با نام MacCinema بود.

می 2009
 

کرم Tored خود را از طریق ‌ايمیل وفضاهاي ذخيره‌سازي اشتراكي در شبكه گسترش مي‌داد. این کرم فهرست ارتباطات را از مک میزبان گرفته و پیغام آلوده‌اي به آن‌ها مي‌فرستاد تا این فایل را دوباره پخش كند. سیمانتک گزارش ‌داد، Tored کلیدهایی را که در صفحه كليد مي‌زنيد، ذخیره مي‌كند. در همین حال، F-Secure گفته بود، اطلاعات از Keychain سیستم مدیریت رمزعبور Mac OS X دریافت مي‌شد.

ژوئن 2009
 

اکانت توییتر کارمند سابق اپل، گای کاواساکی دزدیده شد و لینکی که در ظاهر ویديوی یک بازیگر زن تلویزیون بود، پست شد. ویديو و نرم‌افزاری که برای پخش آن درخواست مي‌شد، واقعی نبودند. این مورد نشان مي‌ داد که حتی در ارتباط با منابعی که به نظر مشروع مي‌آیند نیز باید محتاط بود.

آوريل 2010
 

HellRTS.D یک به روزرسانی بدافزاری بود که نخستين‌بار در سال 2004 کشف شد. این بدافزار با تنظیم شکل ظاهری‌اش به شیوه‌اي که به هنگام دریافت آن شما تصور مي‌کردید، در حال دریافت برنامه iPhoto اپل بوديد، موفق مي‌شد، عده زیادی را به دانلود خود تشویق كند. پس از نصب، بدافزار به عنوان یک درپشتی برای دسترسی راه دور به مک شما عمل مي‌کرد. کرم Boonana از طریق شبکه‌هاي اجتماعی با طرح این پرسش از کاربر که آیا آن‌ها در ویديوی لینک شده‌اي حضور داشتند یا خیر، پخش مي‌شد. پس از کلیک کردن، یک اپلت جاوا اجازه اجرا مي‌خواست. حتی اگر کاربر اجازه را صادر مي‌كرد، هنوز هم باید یک مجوز برای دسترسی به داده‌هاي آنلاين تأييد نشده صادر مي شد تا اپلت بتواند کار کثیفش را انجام دهد.

ژانويه 2011
 

كار فروشگاه آنلاين Mac App Store آغاز شد. عده‌اي از توسعه‌دهندگان نرم‌افزارهاي امنيتي، نسخه‌هاي رایگان یا ارزانی از نرم‌افزارهایشان را که دارای قابلیت‌هاي کمتری بود، عرضه كردند .اما عملكرد اين برنامه‌ها محدود بود زيرا اپل برای نرم‌افزارهای حاضر روی App Store محدوديت‌هايي گذاشته است تا بيش از حد با سیستم‌عامل عجین نشوند.

می 2011
 

Mac Defender و مشابه‌هایش ظاهر شدند. یک پنجره مرورگر گزارش جعلي اسکن ویروسی را نشان مي‌داد و در پشت صحنه، فایل نصبش از طریق جاوااسکریپت به صورت خودكار اجرا مي‌شد.یک کیت Crimeware که برای نوشتن بدافزارهای مک طراحی شده، برای فروش به صورت آنلاین عرضه شد. این کیت کمک مي‌کرد تا بدافزارهایی بسازید كه اطلاعات را از طریق فرم‌هایی که در فایرفاکس یا کروم پر‌مي‌شد برداشته و از این طریق رمزعبوردزديده شود. همچنین ابزارهای دیگری برای تبدیل مک‌ها به یک بات‌نت(botnet) نیز در کیت گنجانده شده بود.در همين زمان، ادوبی، فلش پلیر 10,3 را عرضه ‌کرد که تنظیمات پلاگین را به بخشی در System Preferences منتقل مي‌كند. این نرم‌افزار مي‌توانست خودش را به روز کند تا مطمئن شود از مشکلات امنیتی احتمالی جلوگیری خواهد شد و دیگر به دانلود دستی نسخه جدید نیازی نخواهد بود.
اين روزها، مقاله‌هاي متعددي درباره ويروس جديدي كه تصور مي‌شود در بين سيستم‌عامل‌هاي Mac OS X منتشر شده، به نگارش درآمده است. پس از يك بررسي مختصر مشخص مي‌شود، اغلب اين مقاله‌ها به‌هيچ وجه دقيق نيستند. در اين مقاله شما را در جريان تحقيقات‌ انجام شده درباره اين ويروس قرار مي‌دهيم تا همان چيزي را ببينيد كه ما با آن مواجه شديم. به سختي مي‌توان از زمان دقيق شروع ماجرا مطمئن بود. يكي از نخستين مقاله‌هايي كه درباره ويروس جديد يافتيم، در روز دوم ماه مي سال 2011 با عنوان «به زودي به كامپيوتر مك شما هم سرايت مي‌كند: يك بدافزار خطرناك» منتشر شده است. در بخشي از اين مقاله آمده است: «چندي قبل نخستين جعبه‌ابزار توليد نرم‌افزارهاي مجرمانه (Crimeware) شخصي كه پلتفرم Mac OS X را هدف گرفته است، در بعضي از محافل محرمانه زيرزميني معرفي‌شده است... اين جعبه‌ابزار با عنوان Weyland-Yutani BOT به فروش مي‌رسد و نخستين نمونه موجود در نوع خود است كه پلتفرم Mac OS X را هدف قرار داده است. واضح است كه نسخه‌هاي اختصاصي اين جعبه‌ابزار براي iPad و لينوكس نيز در حال توسعه است.»
حالادرباره نگارش اختصاصي iPad فكر كنيد. به دليل نحوه عملكرد سيستم نرم‌افزاري iPad، iPhone و iPod Touch تنها روش موجود براي اين كه جعبه‌ابزار Weyland-Yutani BOT بتواند بدافزارهايي را با قابليت نصب در تعداد زيادي از دستگاه‌ها توليد كند، اين است كه براي فروش از طريق App Store مورد تأييد شركت اپل قرار گيرد. شركت اپل درباره نرم‌افزارهاي تأييد شده براي فروش در App Store بسيار دقيق عمل مي‌كند تا چنين نرم‌افزارهايي وارد آن نشوند. مطبوعات فعال در صنعت‌IT از اين واقعيت آگاهي دارند. پس علت چاپ اين مطالب بي‌معني چيست؟ البته در موارد محدودي مي‌توان رمز نرم‌افزاري iPad را شكسته و از فروشگاه‌هاي نرم‌افزار متفرقه مانند Cydia استفاده كرد. اما افرادي كه فروشگاه مجازي Cydia را اداره مي‌كنند، به اندازه مسئولان شركت اپل در مورد انتخاب نرم‌افزارها دقيق هستند و هنگامي كه گزارشي را درباره يك نرم‌افزار مضر دريافت كنند آن را از فهرست محصولات فروشگاه حذف مي‌كنند.
نگارش اختصاصي لينوكس نيز مشكلاتي را ايجاد مي‌كند. فرض ما اين است كه منظور نگارندگان مقاله سيستم‌عامل آندروئيد بوده است؛ زيرا اين سيستم‌عامل نگارشي از لينوكس با سهم بزرگ‌تري از بازار است. اما نگارش آندروئيد اين جعبه ابزار دچار همان مشكلاتي است كه نگارش اختصاصي اپل به آن دچار است. اين كه گوگل به اندازه اپل در انتخاب نرم‌افزارها دقيق نيست، كاملاً صحت دارد، اما گوگل نيز نرم‌افزارها را دست چين مي‌كند. گوگل نيز نرم‌افزارهاي مضر را شناسايي كرده و به كاربراني كه از آن‌ها استفاده مي‌كنند، هشدار مي‌دهد. به عبارت ديگر، اين نوعي رويكرد تهاجمي است كه هيچ درآمدي را براي مهاجم درپي ندارد.
عرضه نگارش اختصاصي اين جعبه‌ابزار براي سيستم‌عامل OS X Mac موضوع جديدي نيست. از زماني كه سيستم‌عامل OS X به‌طور مستقيم از فناوري TCP/IP پشتيباني كرد، احتمال وقوع اين اتفاق فراهم شد. در واقع، اين جعبه‌ابزار همان سيستم كنترل از راه‌دور با تغييرات جزئي است؛ هيچ چيز با ارزشي درباره آن وجود ندارد. سيستم‌هاي مشابه اين جعبه‌ابزار سال‌ها براي اجراي بازي‌هاي آنلاين مورد استفاده قرار گرفته‌اند و بازيكنان با استفاده از يك موتور اسكريپت نويسي توانسته‌اند كنترل سيستم كاربراني را كه از كامپيوتر خود دور شده‌اند، به دست گيرند (اين رويكرد در جريان بازي آنلاين Trade Wars 2002 متداول بود).
از سال‌ها قبل هركسي مي‌توانست ابزار مشابهي توليد كند. اين كار بسيار ساده‌ است. البته، انواع مختلفي از اين جعبه ابزار توليد شده، اما تا‌كنون هيچ‌يك به‌صورت عمومي به عنوان يك جعبه‌ابزار توليد بدافزار براي مك معرفي نشده است. اين ابزارها معمولاً پس از توليد در قالب بخشي از يك كتابخانه مفيد و رايگان منتشر مي‌شدند. هر كسي مي‌توانست يك سيستم تماس تصادفي ايجاد كرده و در چنين‌كتابخانه‌اي قرار دهد. به اين ترتيب، برنامه‌اي كه كتابخانه مذكور درون آن به‌كار گرفته مي‌شد، به‌صورت ماهانه يا در فواصل زماني مختلف با محل مشخصي تماس برقرار مي‌كرد و در صورت عدم موفقيت، براي برقراري تماس بعدي يك ماه يا به ميزان فاصله زماني تعيين شده انتظار مي‌كشيد.

بدافزار
 

در مقاله‌هايي كه بررسي كرديم، اين ابزار تهاجم به عنوان يك ويروس كامپيوتري معرفي شده است. ويروس برنامه‌اي است كه توانايي نفوذ به سيستم هدف و جايگزيني در آن را بدون مداخله كاربر دارد. اما ابزار تهاجمي مورد بحث در واقع يك تروجان است. در اينجا تفاوت مهمي وجود دارد. يك تروجان نمي‌تواند بدون مداخله شخص كاربر وارد سيستم هدف شود. براي اين منظور بايد كاربر سيستم با استفاده از حمله‌هايي به شيوه مهندسي اجتماعي فريب خورده و اجازه ورود تروجان به سيستم را صادر كند. اگر كاربر فريب نخورد، تروجان نيز وارد سيستم نمي‌شود.
مهاجمان براي سايت‌هايي كه به‌منظور حمله‌هاي خود مورد استفاده قرار مي‌دهند، تبليغات نمي‌كنند. به همين دليل، ما ابتدا يكي از اين سايت‌ها را شناسايي كرده، سپس شرايط را به‌گونه‌اي شبيه‌سازي كرديم كه گويي اين سايت در حال آلوده‌سازي سيستم ما است. براي اين كار با استفاده از يك كامپيوتر MacBook Pro با نمايشگر سيزده اينچي به جست‌‌وجوي تصاوير در سايت گوگل پرداختيم و به زودي توانستيم سايتي را شناسايي كنيم. شكل1،‌تصويري از پيغام به نمايش درآمده توسط سايت را نمايش مي‌دهد.


شکل 1- پيغام نصب بدافزار MAC Defender كه داراي غلط‌هاي نگارشي است.
 

تروجان امنيتي اپل در وب
 

تنها چيزي كه مي‌توان درباره اين اقدام مهاجمان گفت اين است كه حمله‌هاي آن‌ها در حال تكامل است. زماني كه تصوير اين صفحه روي نمايشگر ظاهر شد، همگي بيش از پانزده دقيقه به خنده افتاديم. در پيغام امنيتي به‌نمايش در آمده نوشته شده:
«ابزار Apple Web Security براي محافظت بيشتر از كامپيوتر شما، تروجان‌هايي را شناسايي كرده بود و آماده پاك‌سازي آن‌ها شد.»بله، درست است. يك شركت بسيار مشهور ميليون‌ها دلار صرف طراحي و بسته‌بندي درست محصولات خود مي‌كند، اما در هنگام نوشتن يك پيغام ساده داراي اشتباهات نگارشي است؟ كاملاً واضح است كه اپل چنين برنامه‌اي را توليد نكرده و اگر شخصي با ديدن اين صفحه دچار اشتباه شود، عجيب است.

پنجره نصب
 

شركت اپل به نرم‌افزارهاي خود افتخار مي‌كند. اپل به عنوان يك شركت، تلاش زيادي را صرف مشهورسازي هريك از محصولات خود مي‌كند. اين برنامه نصب كه تصوير آن را مشاهده مي‌كنيد، از يك ساختار عمومي بهره مي‌برد؛ چيزي كه اپل هرگز و تحت هيچ شرايطي از آن استفاده نمي‌كند. به همين دليل، اپل ديگر از دريافت نرم‌افزارها از ‌سايت پشتيباني نمي‌كند. تمام نرم‌افزارها بايد از طريق فروشگاه Mac OS X Application Store متعلق به شركت اپل دريافت شوند و تمام مالكان كامپيوترهاي مك از اين موضوع آگاهي دارند. اپل تلاش زيادي را صرف اطلاع رساني در اين رابطه كرده تا تمام كاربران از اين موضوع آگاه شوند. از آنجا كه تمايلي نداشتيم دلقك‌هاي آن‌طرف خط به اطلاعات كارت اعتباري ما دسترسي پيدا كنند، جريان نصب را متوقف كرديم. البته اين تروجان نمي‌تواند خسارت چنداني را به سيستم ما وارد كند.


شکل 2- رابط نصب بدافزار MAC Defender
 


شکل 3- محتويات پوشه‌هاي نصب شده بدافزار
 


شکل 4- محتويات پوشه‌هاي نصب شده بدافزار
 

ما نرم‌افزار را دريافت كرده و مدتي را صرف حذف آن از روي سيستم كرديم. سپس با شركت اپل تماس گرفتيم و مكالمه جالبي با يكي از نمايندگان اپل داشتيم. اپل واقعاً تمايلي به صحبت با ما نداشت و پي‌گيري زيادي از طرف ما انجام شد تا بتوانيم حداكثر اطلاعات ممكن را دريافت كنيم. بالاخره اپل تأييد كرد، كاربران در مواردي فريب خورده‌اند و چنين بدافزارهايي را دريافت كرده‌اند. اما اطلاعاتي در رابطه با تعداد اين كاربران در اختيار ما قرار نداد. با وجود اين، پس از بررسي محافل آنلاين اپل به اين نتيجه رسيديم كه تعداد كاربران آلوده شده، زياد نيست. كاركنان اپل تأييد كردند، شماره سند EM406 واقعاً شماره يكي از پيغام‌هاي فني اپل بوده و عنوان آن درست است. اما در مورد سندي كه با اين عنوان در اختيار ما است، از اظهارنظر خودداري كردند.


شکل 5- محتويات پوشه‌هاي نصب شده بدافزار
 

در هنگام نوشتن اين مقاله شركت اپل براي افرادي كه به اين تروجان آلوده شده‌اند، اقدامي را پيشنهاد نمي‌كرد. اما سرانجام با به‌روز‌رساني سيستم‌عامل خود، آن را از سيستم كاربران پاك كرد. به علاوه اپل در 26 مي يك بيانيه رسمي در اين زمينه منتشر كرد. اين شركت به كاربران خود يادآوري مي‌كند:
«توجه: شركت اپل به‌روزرساني‌هاي امنيتي را تنها از طريق سايت Apple Support Download و Software Update ارائه مي‌كند. كاربران همواره هنگام وارد كردن اطلاعات حساس خود بايد جانب احتياط را رعايت كنند.»
اين بدافزار چيست؟
چنان‌كه پيش از اين گفته شد، اين بدافزار از نظر فني يك تروجان است. اين نوع بدافزارها از روي اسب افسانه‌اي تروجان نام‌گذاري شده‌اند. تروجان يك برنامه كامپيوتري است كه خود را برنامه ديگري معرفي مي‌كند. يك مثال مشهور براي اين نوع بدافزارهاYankee Trader Register V5.00 (YTR500.ZIP-YTR500.ARJ) است كه به عنوان يك بازي محبوب منتشر شده بود. اما هنگامي كه اجرا مي‌شد تمام درايوهاي محلي و درايوهاي شبكه را كه كامپيوتر ميزبان مجوز دسترسي به آن‌ها را داشت، فرمت مي‌كرد.


شکل 6- محتويات پوشه‌هاي نصب شده بدافزار
 

امكان ورود تروجان‌ها به سيستم‌عامل Mac OS X يا ويندوز همواره وجود دارد. مرورگر سافاري ( يا IE) را درنظر بگيريد . اگر شخصي در اپل (يا مايكروسافت) قطعه كدي را به اين مرورگر اضافه كند كه تمام كليدهاي فشرده شده توسط كاربر را درون يك فايل ثبت كند، سپس كليدهاي مربوط به اقدامات عمومي كاربر را فيلتر كرده و اطلاعات مهم مانند اطلاعات كارت اعتباري يا حساب‌هاي بانكي را نگه دارد، چه اتفاقي رخ مي‌دهد؟ سپس اين برنامه مي‌تواند اطلاعات مذكور را در پس زمينه به يك ‌سايت به‌گونه‌اي ارسال كند كه كاربر متوجه نشود. اين يك تروجان كلاسيك است و همان چيزي است كه اپل، مايكروسافت، اپرا و موزيلا از آن ترس دارند. از آنجا كه ضميمه كردن چنين كدي به اين مرورگرها كار چندان دشواري نيست، آن‌ها بايد دائم كارمندان خود را زيرنظر داشته باشند.
برخلاف مشكل ويروس‌ها كه انواع مختلف سيستم‌عامل ويندوز سال‌ها با آن دست ‌به گريبان بوده است، سيستم‌عامل OS X به دليل تفاوت‌هاي ساختاري تا‌كنون از شر ويروس‌ها در امان بوده است. با وجود اين، حمله‌هاي «اجراي كدهاي مخرب» در سيستم‌عامل OS X از لحاظ نظري امكان‌پذير است و با وجود اين كه اپل به‌روزرساني‌هايي را براي مقابله با اين نوع حمله‌ها انجام داده است، بر‌اساس اطلاعات ما تا‌كنون هيچ موردي از اين حمله‌ها گزارش نشده است.
ماهيت تروجان‌ها متفاوت است. در مورد تروجان‌ها بايد از مهندسي اجتماعي براي قانع كردن كاربر به منظور نصب بدافزار روي سيستم بهره بگيريد. در اين حمله خاص، كاربر هدف، از سايتي بازديد مي‌كند، پيغامي به نمايش درمي‌آيد و دريافت فايل آغاز مي‌شود. اگر كاربر نرم‌افزار را نصب نكند، تمام حمله با شكست مواجه مي‌شود. اگر كاربر صفحه وب را به‌دقت بخواند، با مشاهده اشكالات نگارشي، املاي نادرست و آگاهي از نحوه عرضه نرم‌افزارها توسط اپل متوجه جعلي‌بودن اطلاعات آن مي‌شود.


شکل 7- محتويات پوشه‌هاي نصب شده بدافزار
 

حذف تروجان
ما با كمي خوش‌شانسي توانستيم تروجان مورد بحث را از سيستم آزمايشي پاك كنيم. اين تروجان تنها يك برنامه ابتدايي Mac OS X‌ است. در ادامه تصاويري را مشاهده مي‌كنيد كه محتواي فايل‌هاي مربوط به تروجان را نشان مي‌دهند.چنان‌كه گفته شد، اين تروجان چيزي به‌جز يك برنامه استاندارد Mac OS X نيست. با وجود اين كه عملكرد آن مخرب است، امكان نوشتن چنين بدافزاري از ماه مارس سال 2001 وپس از انتشار Cheetah وجود داشته است. در واقع مي‌توان مطمئن بود كه در ده سال گذشته بدافزار‌هاي مشابهي نوشته و منتشر شده است. از آنجا كه تعداد كاربران ويندوز بسيار بيشتر از كاربران مك بوده و تعداد برنامه‌نويسان ويندوز نيز نسبت به برنامه‌نويسان مك بسيار زيادتر است، مي‌توان مطمئن بود كه تعداد بسيار بيشتري از اين نوع تروجان‌ها براي ويندوز نوشته و منتشر شده است. به نظر مي‌رسد، تروجان‌هايي كه براي مك نوشته شده‌اند، تقريباً هيچ تأثيري روي اين سيستم‌عامل نداشته‌اند. پس چرا انتشار اين تروجان اين همه هيجان درپي داشت؟
اين تروجان چيزي به‌جز يك برنامه استاندارد Mac OS X نيست. با وجود اين كه عملكرد آن مخرب است، امكان نوشتن چنين بدافزاري از ماه مارس سال 2001 وپس از انتشار Cheetah وجود داشته است.
اين سؤال خوبي است. سيستم‌هاي هدف Weyland-Yutani BOT را درنظر بگيريد. اين اهداف شامل Mac OS X، iOS و لينوكس (به احتمال سيستم‌عامل آندروئيد) هستند. وجه مشترك اين سه سيستم‌عامل چيست؟ تمام اين سيستم‌عامل‌ها بخشي از سهم بازار سيستم‌عامل ويندوز را به خود اختصاص داده‌اند. جالب نيست؟ اين تصادف شگفت‌انگيز است.
منبع:ماهنامه شبکه
ارسال توسط کاربر محترم سایت : hasantaleb