13:26
4/7/2017

“Na Makach nie ma wirusów”. “Ten ransomware na Maku by nie zadziałał”. Takie wypowiedzi widzimy często pod naszymi artykułami dotyczącymi ataków na Windowsy. Napiszmy to więc wyraźnie: To nieprawda, że na macOS nie ma wirusów. . Apple nawet publikuje oficjalne wskazówki jak chronić się przed infekcją złośliwym oprogramowaniem, a ostatnie wersje systemu macOS wyposażono w mechanizm antymalware o nazwie Gatekeeper, który nie tylko ogranicza możliwość infekcji, ale także sprawdza, czy przypadkiem uruchamiane oprogramowanie nie jest jednym z dziesiątek znanych złośników.

Pełną ich listę możecie zobaczyć wykonując polecenie cat /System/Library/CoreServices/CoreTypes.bundle/
Contents/Resources/XProtect.plist
, bo tu właśnie znajduje się “słownik” znanych Apple zagrożeń.

No to skoro temat złośliwego oprogramowania na macOS mamy już załatwiony, to uczciwie zaznaczmy, że jeśli ktoś:

  1. zabrał sobie uprawnienia administratora (czyli stworzył konto standardowe oraz dodatkowe konto administratora) i na co dzień pracuje na koncie o niższych uprawnieniach:

  2. włączył opcję wymagania hasła administratora do zatwierdzenia znaczących akcji (np. instalacja oprogramowania, rekonfiguracja systemu):

    czyli widzi takie okienko:

  3. ograniczył możliwość instalacji aplikacji spoza zaufanych źródeł:

  4. ma włączonego firewalla:

  5. oraz doinstalował świetne narzędzie Block Block, które pozwala moderować każdą próbę “podpięcia” się jakiejkolwiek aplikacji pod te miejsca w systemie, które pozwalałyby na stałe działanie (przetrwanie rebootu i autostart):

    Jeśli chcecie sprawdzić co już teraz startuje wam po cichu z systemem, polecamy zainstalować superprzejrzyste narzędzie o nazwie Knock Knock.

…to rzeczywiście złośliwe oprogramowanie ma niewielkie możliwości “zaszkodzenia” użytkownikowi tak skonfigurowanego komputera Apple.

I przestępcy zdają się o tym wiedzieć, ponieważ od pewnego czasu, to nie złośliwe oprogramowanie jest najdotkliwszym problemem użytkowników Apple… Coraz więcej ataków na użytkowników sprzętu Apple polega na blokowaniu ich sprzętu i domaganiu się okupu.

Ktoś zablokował mi iPhona/Maca i każe płacić 50 dolarów!

Siejący w ostatnim tygodniu spostoszenie ransomware Petya nie działała na macOS, ale taki sam efekt, czyli brak możliwości dostępu do swoich danych i konieczność zapłaty okupu, na sprzęcie Apple można osiągnąć w inny sposób. Odgadując czyjeś hasło do iCloud (AppleID), a następnie po zalogowaniu uruchamiając usługę “Find My iPhone” lub “Find my Mac“, która pokazuje wszystkie urządzenia ofiary korzystające z tego samego konta Apple:

Klikając na dowolne z urządzeń, otrzymuje się takie opcje do wyboru:

Jeśli atakujący wybierze opcję “Lock”, może skutecznie zablokować dostęp do komputera lub telefonu ofiary 4-cyfrowym PIN-em:

Efekt? Komputer ofiary zrestartuje sie, a potem pokaże taki ekran:

Lub w wersji na iPhona:

Tak ten atak wygląda w historii skrzynki e-mail (Apple wysyła tam istotne komunikaty dotyczące naszego konta):

Jeśli ktoś odezwie się na podany wyżej e-mail, to z automatu otrzyma taką odpowiedź:

Jak widać, przestępca za wiele nie zarobił.

Jak atakujący się włamuje na konto iCloud?

Oba przypadki pochodzą od naszych czytelników. Takie blokady zostały im założone w ciągu minionych kilku dni. Jak działa osoba kryjąca się za adresem: help.apple.us@gmail.com?

Osoba ta zapewne przeanalizowała wykradzione i upublicznione w internecie bazy danych z ostatnich ataków. Tam znajdowały się zapewne adresy e-mail naszych czytelników, wraz z hasłami do serwisu, z którego wykradziono bazę. Czytelnicy niestety mieli takie samo hasło do tego serwisu, jak i do swojego konta iCloud. Ktoś po prostu sprawdził, na które z e-maili z wycieku założone są konta iCloud i spróbował się na nie zalogować pochodzącym z wycieku hasłem.

A co z dwuskładnikowym uwierzytelnieniem, jakie można skonfigurować na koncie iCloud? A nico. Nawet jeśli jest ono skonfigurowane, to brak podania drugiego składnika dalej pozwala na dostęp do aplikacji “Find my iPhone”, “Find my Mac” którymi można ten “atak” przeprowadzić. To w sumie logiczne. Jak ktoś traci telefon, to traci też drugi składnik.

Mam iPhona/Macbooka — co robić, jak żyć?

Po pierwsze, upewnij się, że Twoje hasło do iCloud jest INNE niż do jakiegokolwiek innego serwisu. Jeśli jeszcze nie włączyłeś dwuskładnikowego uwierzytelnienie na iCloud, zrób to. To co prawda nie zabezpieczy Twojego sprzętu przed zablokowaniem, ale uniemożliwi atakującemu podejrzenie składowanych w chmurze Apple zdjęć i dokumentów, czy też Keychaina, czyli applowej bazy haseł i kluczy, która mogłaby umożliwić atakującemu dalszą eskalację ataku i przejęcie kolejnych Twoich kont w usługach, do których logowałeś się przy użyciu telefonu.

Po drugie, jeśli zostałeś zaatakowany w sposób opisany powyżej, po prostu zresetuj swoje hasło do iClouda, zaloguj się na swoje konto i wyłącz tryb “Lost Mode”. Tak łatwe “odzyskanie” kontroli nad swoim sprzętem zapewne jest odpowiedzią na pytanie, dlaczego atakujący tak niewiele zarobił do tej pory.

Po trzecie, jeśli nie miałeś dwuskładnikowego uwierzytelnienia, czyli atakujący mógł na koncie iCloud podejrzeć Twoje dokumenty i fotografie oraz hasła zapisane w keychainie — zacznij się zastanawiać, czy nie było tam istotnych informacji. I jak najszybciej zmień wszystkie swoje hasła w innych serwisach, z których korzystasz.

PS. Jeśli interesuje Was jak bezpieczenie korzystać z internetu i jak bezpiecznie skonfigurować firmowy komputer lub smartfon, to zapraszamy do wzięcia udziału w jednym z naszych cyberwykładów, pt. “Smartphone to szatan”. W ramach tej prelekcji przekazujemy wskazówki, które minimalizują ryzyko ataków takich jak ten powyżej.

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. F-Secure XFENCE (dawniej Little Flocker) pozwala moderować więcej miejsc w systemie niż Block Block.
    https://beta.f-secure.com/key/XFence

    • “perform reputation lookups for objects such as URLs, files, and certificates” :(

    • Jeszcze się tak nie dzieje, gdyż obecny XFENCE to po prostu przebrandowany Little Flocker od Jonathana Zdziarskiego. Niestety wprowadzą to zapewne jeszcze przed wyjściem z bety. :/

  2. I pamiętajcie że jeśli macie Rodzinę iCloud to atakujący może posłużyć się dowolnym kontem z rodziny żeby zablokować wszystkie urządzenia w rodzinie

  3. Trochę ten atak naciągany, ponieważ żadne z zabezpieczeń Apple nie zostało złamane. Cytuję: “Odgadując czyjeś hasło do iCloud”. Serio? Od kiedy odgadywanie hasła to jest włamanie? Te urządzenia nadal są relatywnie bezpieczne, a najsłabszym ogniwem jest użytkownik i hasło “password”. Wiadomo, że jak ktoś sobie zapisze dane autoryzacyjne do super bezpiecznego systemu na karteczce to ktoś inny może ją ukraść i się “włamać”. Co więcej – Apple coraz mocniej naciska na włączenie dwuskładnikowej autoryzacji i chwała im za to.

    • Każde nieuprawnione zalogowanie się to włamanie. Więc odgadnięcie hasła jak najbardziej zalicza się do tego.

    • To akurat jest opisany mój przypadek który wydarzył się wczoraj. Zabezpieczenie dwuskladnikowe było włączone a hasło było nikomu nie udostępniane i zbudowane wedle bezpiecznych zasad i nie używane nigdzie indziej. Mimo wszystko jednak mnie totrafilo.

    • Michał z jednym niewielkim wyjątkiem. Otóż, gdy właściciel konta ofiaruje swoje hasło drugiej osobie, to druga osoba staje się już uprawnionym użytkownikiem zgadza się? A nie jest tak, gdy nieuprawniona osoba odgadnie proste hasło, jakie założył głupi właściciel? Czy więc nie jest tak, że to właśnie znajomość hasła decyduje o uprawnieniach? A skoro tak, to nie może być mowy o włamaniu!

      Podobna sytuacja:

      Właściciel dorobił klucz do własnego mieszkania i dał go obcej osobie dając jednocześnie dostęp tej osobie do swojego mieszkania. Obca osoba wykorzystała zaufanie właściciela i pod jego nieobecność weszła do jego mieszkania i ograbiła go! Czy możemy mówić o tym, że nastąpiło włamanie?

      Ale jeśli włamywacz w jakiś sposób odgadł klucz i go dorobił – czy to już będzie włamanie?

      —–

      Niczego udowadniać, ani podważać nie chcę. Chcę jedynie powiedzieć, że wszyscy tu maja racje i nie mają jej jednocześnie. W informatyce pewne definicje są płynne, jest podobne do pisma świętego, które choć takie same dla wszystkich interpretowane przez każdego jest inaczej.

      Fajnie, że każdy widzi tą samą rzecz inaczej.

  4. 2 step authorization wymagane jest również do logowania do find my iphone, Jeżeli ktos nawet przejmie nasze hasło to bez potwierdzenia sie nie dostanie.

    • Otóż autor ma rację i jest możliwe zalogowanie się ale bezpośrednio do find my iphone a nie prze icloud. Widać wszystkie nasze urządzenia, ich nazwy i gdzie się aktualnie znajdują oraz nasze Imię i Nazwisko. Reszta rzeczy jest zablokowana jeżeli używamy weryfikacji dwuetapowej.

      Na szczęście żadne wrażliwe dane nie są dla takiego włamywacza dostępne i praktycznie nic nie może nam zrobić w ten sposób.

    • To miałoby sens jedynie przy wykorzystaniu zewnętrznego 2FA (np ubikey). Ewentualnie, jeśli taką apliakcję można by było uruchomić też na komputerze.

      Inaczej, jeśli telefon miałby być jedynym urządzeniem umożliwiającym potwierdzenie 2FA, a ktoś chciałby go zablokować ze względu na zgubienie to nie byłoby to możliwe.

  5. Kiepska reklama

  6. “ale także sprawdza, czy przypadkiem uruchamiane oprogramowanie nie jest jednym z setek znanych złośników”

    XProtext w chwili aktualnej ma bazę ni mniej ni więcej a 79 programów szkodliwych na OS X – prawdziwie porażająca liczba.

  7. W czym problem bo nie rozumiem? Żadne dane nie zostały wykasowane ani zaszyfrowane i wszystko jest do odzyskania.

    Być może coś pominąłem bo nie testowałem tego jeszcze osobiście ale z tego co mi wiadomo to nawet jak ktoś pozna nasze hasło oraz apple id i zablokuje nam wszystkie urządzenia łącznie z zegarkiem to:
    1. Wchodzimy na stronę apple na dowolnym komputerze/urządzeniu
    2. Resetujemy hasło za pomocą 14-sto cyfrowego klucza odzyskiwania, który dostajemy przy zakładaniu apple id
    3. Logujemy się nowym hasłem do aplikacji find my iphone i odblokowujemy wszystkie urządzenia
    4. Włamywaczowi wysyłamy na maila pozdrowienia

    Poprawcie mnie jeżeli się mylę.

    • Tak, w przypadku gdy masz 2FA. Jak nie masz… to cóż, radziłbym przejrzeć czy na iCloudzie nie było żadnych zdjęć i czy w keychainie nie było niczego co nie chciałbyś by wyciekło :)

    • TOUCHÉ

  8. Ufff, na szczęście mam Windows’a, mogę spać spokojnie.

  9. Cześć
    Ja chyba nie rozumiem tego “włamania na iPhone” przecież jak włączę tryb utracony, to urządzenie wyświetli informacje ale po naciśnięciu przycisku home prosi o nasz kod blokady “ekranu”, a po wpisaniu go urządzenie wraca do zwykłego trybu…

    • Cześć

      Nie prosi o kod blokady ekranu tylko o kod nadany w Find My iPhone podczas blokowania. Więc jest problem. Oczywiście tak jak już napisano – wystarczy zresetować hasło do AppleID i odblokować wszystkie urządzenia.

  10. uff…na szczęście używam tylko linucha i 90 % opisywanych tu ataków po prostu nie robi na mnie żadnego wrażenia…jakby nie istniały. No cóż – współczuć tym wszystkim, którzy są skazani (a to praca, a to…ch. wie co… – bo zdrowy rozsądek i minimum inteligencji to na pewno nie) na używanie tych lichych systemów z natury (a właściwie z założenia ich twórców) dziurawych, szpiegujących i zdradzieckich w działaniu dla zarówno profesjonalisty jak i zwykłego, szarego usera.

    • Wow, nie dość że obrażasz ludzi którzy używają normalnych systemów operacyjnych to jeszcze wierzysz że linux jest bezpieczny. Albo trolujesz. Na pewno trolujesz, nikt nie jest tak głupi.

    • Ciekawe co robisz zawodowo kolego. Większość z inżynierów ma jednak specjalistyczne oprogramowanie które działa pod windą i koniec. Mogę sobie Linux używać do internetów.

  11. Czemu ten knock knock wywala GoogleSoftwareUpdateAgent ….

  12. https://haveibeenpwned.com
    Porządna stronka, która sprawdza czy nie ma twojego emailu w którymś z leaków. :v (Można nawet się podpiąć po specjalną usługę, które wyśle Ci maila jak wykryje nowy leak z Tobą)

    • Porządnie to ona jest zarobiona, ze sprzedaży tych wszystkich adresów…
      ;]

  13. @Filon – nie twierdzę, że jest w pełni bezpieczny – dałem chyba temu wyraz pisząc w 90 % . Zresztą żaden nie jest – tyle, że po zastosowaniu tych wszystkich (mniej lub bardziej znanych) metod zabezpieczeń zawsze jakoś na końcu to linux najdłużej trzyma się nienaruszony – po prostu z założenia powstał w tym celu…zresztą to nie jest ślepa wiara – to są po prostu fakty powszechnie znane. A pojęcie normalności w przypadku systemów operacyjnych… to wiesz – taka bliżej nieokreślona i abstrakcyjna figura gramatyczna – rzecz bardzo względna i nieokreślona…

    • Nie powstał “w tym celu”. Skąd w ogóle ten pomysł?
      Wiesz z czego wynika fakt, że przeciętny użytkownik Linuxa jest bezpieczniejszy? Statystycznie nie istnieje (<1%), nie opłaca się go więc atakować. To samo dotyczyło macOS (który jest przecież niczym innym niż *nix z nakładką graficzną zrobioną przez Apple).

  14. Kolejny powód, by zacząć używać menadżerów haseł i różnych adresów e-mail.

    • Kolejny powód, żeby wszystkiego nie opierać na chmurze, bo niedługo jakakolwiek czynność będzie zagrożeniem…

  15. Linux na kompie,LineageOS na aktualnym cegłofonie, żadnych chmur typu iCloud, i od 10 lat na kompie i od 6 lat na różnych cegłofonach mam względny spokój.

    Oczywiście wszystkie systemy trzeba dosyć starannie konfigurować, ale Linux i Android po prostu mają w brzuchach i repozytoriach wszystko, co trzeba, żeby z nich robić stabilne i bezpieczne systemy.

    Pozdro

  16. Dlaczego dopuszczanie programów od AppStore i od (niezależnie) zidentyfikowanych autorów jest bardziej bezpieczne niż tylko od AppStore?

  17. Taki sam dobry pomysł i spekulacja, jak to że np. MO czy $Winshit to normalne systemy.
    Wszystko jest umowne – nieprawdaż ? Jakby nie patrzeć to zawsze linux jest na początku każdego ataku bo przecież zdecydowana większość infrastruktury internetu stoi właśnie na linuchu, więc twierdzenie, że statystycznie nie istnieje to kolejny komunał…hehe.

    • Microsoft Office to nie system :-) Masz małą wiedzę.

  18. @matja – radzę koledze zapoznać się nieco z historią linucha, np. książką R.Stalmana – wtedy spekulacje nabiorą trochę innego znaczenia…

    • 1) cały artykuł i dyskusja dotyczy systemu zainstalowanego na końcówkach używanych przez endusera. Zatem “większość infrastruktury internetu stoi właśnie na linuchu, więc twierdzenie, że statystycznie nie istnieje to kolejny komunał” nijak ma się do dyskutowanego tematu. Od biedy możnaby na upartego podciągnąć tu androida. Wtedy oczywiście proporcje diametralnie się zmienią. Ale biorąc pod uwagę, że większość nie spatchowanych Androidów da się łatwo przejąć byle złośliwą aplikacją – myślę, że nie pasuje to do Twojej tezy o bezpieczeństwie.

      2) O ile niektóre dystrybucje były od zawsze bardziej ukierunkowane na zapewnienie stabilności i/lub bezpieczeństwa o tyle nie można tego powiedzieć o linuxie jako całości. Conieco o historii linuxa wiem, o systemach operacyjnych uczyłem się z książki Tanenbauma, którego to MINIX był w wielu obszarach podstawą, której Linus Torvalds użył budując Linuxa. Nie neguję tego, że Linux jest fajny. Po prostu ilość użytkowników, których opłaca się atakować, którzy by go używali jest znikoma. A przy okazji – wytłumacz mi proszę jak tak prymitywny sposób nadawania uprawnień, jak zastosowano w Linuxie można pogodzić z rzekomym “security by design”?

  19. “Mam iPhona/Macbooka — co robić, jak żyć?” – dyskryminacja ;) ja Mam Maca mini — co robić, jak żyć? bo w artykule tylko o iPhone i Macbookach a o macu mini jak zwykle nic ;-(

    just kidding ;)

  20. @Obserwator – Amen… :D

  21. Tutaj jest mały błąd merytoryczny:
    “Po trzecie, jeśli nie miałeś dwuskładnikowego uwierzytelnienia, czyli atakujący mógł na koncie iCloud podejrzeć Twoje dokumenty i fotografie oraz hasła zapisane w keychainie — zacznij się zastanawiać, czy nie było tam istotnych informacji. I jak najszybciej zmień wszystkie swoje hasła w innych serwisach, z których korzystasz.”

    Przy projektowaniu iCloud Keychain, został wzięty pod uwagę opisywany scenariusz nieautoryzowanego dostępu do konta. Dostęp do iCloud Keychain niezależnie od tego czy na koncie iCloud jest 2FA czy nie, wymaga zatwierdzenia z innego urządzenia lub podania iCloud Security Code.

    https://www.apple.com/business/docs/iOS_Security_Guide.pdf

  22. A nie wystarczy mieć Avasta?

  23. MO to skrót od MacOS a nie jak sugerujesz $Microsoft Office- no cóż @mądrala – jak widać nick u Ciebie do czegoś zobowiązuje…hehe.

  24. A pytanko – Pracuje na apple ale nie mam aktywowanego iCloud? Jestem pod tym wzgledem bezpieczny? :D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: