سال‌ها پيش در کرانه‌هاي درياي آي‌تي، دو سرزمين پهناور در همسايگي هم پديد آمدند و شاخه گستردند؛ نخستين آن‌ها مايکروسافت و دومين‌شان اپل نام داشت. اپل کشوري به نسبت کوچک، اما ثروتمند بود. شهرها و بازارهاي زيبايي داشت. طراحي مدرن و رنگ‌هاي چشم‌نوازش زبانزد بوميان و گردشگران بود. هرچند ساکنان اندکي داشت، اما همين ساکنان اندک به يک چيز مباهات‌مي‌کردند و آن قلمروي پاک و عاري از جرم و بزهکاري سرزمين‌شان بود؛ سرزميني که از زمان پيدايش تاکنون رنگي از نا‌امني به خود نديده بود.
در کشور همسايه، اما وضع به‌گونه‌اي ديگر بود. مايکروسافت در مقايسه با اپل قلمرويي بس بزرگ داشت. ثروتمند و زيبا بود و جمعيت در آن غلغله مي‌کرد؛ بازارهايش روز و شب پر از دادوستدکنندگان بود و بر شمار آنان بيش از پيش افزوده مي‌شد. با آنچه که گفته شد، مي‌توان حدس زد که يکي از بزرگ‌ترين دل‌مشغولي‌هاي ساکنان اين امپراتوري بزرگ چه بود؛ امنيت. با اين‌که اوضاع معيشت و کسب‌وکار مردم خرسند‌کننده بود، اما در سوي ديگر جرم در شهرها غوغا مي‌کرد، هر گوشه معرکه‌اي به پا بود و هر جا غائله‌اي. و اين‌گونه بود که ساکنان اپل در همه اين سال‌ها به سبب برخورداري از قلمرويي امن، به همسايگان خود فخر مي‌فروختند و بين شماري از مردمان اين‌دو عداوتي مسبوق به سابقه پديد آمده‌بود. اما پويايي دو کشور همچنان ادامه داشت و بر وسعت و تعداد ساکنان‌شان رفته‌رفته افزوده مي‌شد. تا اين‌که پس از سال‌ها هياهويي در اپل پيچيد و مردم را به تکاپو انداخت! شايع شده‌بود که جرمي بزرگ رخ داده و باوجود گستردگي و اهميتش، رهبران اپل آن‌را ناديده مي‌انگارند. اما خبرها به سرعت در همه‌جا مي‌پيچيد و اعتراض‌‌ها در روزنامه‌ها بالا مي‌گرفت تا اين‌که مقامات اپل خبر را تأييد کردند و از تمهيدات خود براي سرکوب آن سخن گفتند. اما اين موضوع هر اندازه هم که زيان به همراه آورد، يک مزيت به دنبال داشت و آن اين‌که دشمني چندين ساله بين دو کشور مايکروسافت و اپل رنگ باخته‌بود، زيرا اپل ديگر آن سرزمين عاري از جرم و بزهکاري نبود و بهتر آن بود که دو کشور براي فائق آمدن بر مشکل موجود به همياري يكديگر برخيزند، نه کينه‌ورزي. آري، اين قصه خيالي نيست، واقعيتي است که مي‌شد وقوع آن را در آينده‌اي نزديک پيش‌بيني کرد. افزايش شمار کاربران پلتفرم‌هاي اپل، چه سيستم‌عامل‌هاي دسکتاپ Mac OS X و چه سيستم‌عامل‌هاي موبايل iOS هدفي جديد را براي مجرمان فضاي ديجيتال به وجود آورده‌است که نخستين جلوه آن در بدافزاري موسوم به MacDefender آشکار شد؛ بدافزار و ترس‌افزاري و Scareware که به‌رغم نامش به اسم و رسم اپل حمله برد و شايد غيرقابل باور بودن آن باعث شد تا مقامات اين شرکت بسيار دير نسبت به شناسايي اين بدافزار واکنش نشان دهند و خبر آن‌را تأييد کنند. در همين اثنا بود که مايکروسافت اعلام کرد، به احتمال نويسندگان MacDefender همان‌هايي هستند که پيش‌تر يک ترس‌افزار ديگر ويندوزي را نيز طراحي کرده‌‌اند و همين موضوع مي‌تواند شرکت‌هايي را که در عرصه تجارت رقيب هم به شمار مي‌روند دست‌کم در عرصه امنيت به هم نزديک کند. اهميت بدافزار MacDefender که با وجود ارائه راهکارهايي براي مهار‌کردن آن دوباره تغيير شکل داده و در صحنه باقي‌ مانده‌است، نه به جهت گستردگي خسارت‌هايش، بلکه به اين دليل است که نخستين تهديد جدي در پلتفرم اپل محسوب مي‌شود و چنين شد که يکي از پرونده‌هاي اين شماره به کم و کيف رويداد مذکور اختصاص يافت تا موضوع با تفصيل بيشتري مورد بررسي قرار بگيرد.
آيا درباره وجود بدافزارها در كامپيوترهاي مك مبالغه شده يا اين موضوع مشكلي است كه كاربران واقعي با آن دست به گريبان هستند؟ اگر از جان گروبر بپرسيد، به احتمال گزينه نخست را انتخاب مي‌كند. به اعتقاد وي سناريوهاي متعددي وجود دارند كه امكان وجود بدافزارها را در كامپيوترهاي مك تأييد مي‌كنند، اما تا‌كنون هيچ‌كدام از اين سناريوها جامه عمل نپوشيده‌اند. اگر از اد ‌بات(Ed Bott) همين سؤال را بپرسيد، گزينه دوم را انتخاب مي‌كند. او به‌تازگي با يكي از كارمندان AppleCare مصاحبه كرده كه مدعي است انتشار يك برنامه جعلي ضدويروس موسوم به MAC Defender موجي از گزارش‌هاي مربوط به وجود بدافزار را در ميان كاربران مك ايجاد‌كرده است. تشخيص واقعيت كار مشكلي است. از طرفي سيستم‌عامل Mac OS X هنوز درصد كوچكي از بازار جهاني سيستم‌عامل را در اختيار دارد و از طرف ديگر اپل يك شركت پررمز و راز است. به همين دليل به‌دشواري مي‌توان فهميد كه آيا تعداد بدافزارهاي مك رو به افزايش است يا تنها تعداد گزارش‌هاي دريافتي از كاربران افزايش يافته است.
با وجود اين سعي كرديم، واقعيت را كشف كنيم. به همين دليل، هنگام تهيه اين گزارش با چهارده متخصص پشتيباني از سيستم‌هاي مك (شامل متخصصان بخش Genius Bar فروشگاه‌هاي اپل) گفت‌وگو شده است تا از تغيير اوضاع بدافزارهاي مك آگاهي پيدا كنيم. با وجود اين كه متخصصان مذكور تجربه مواجه شدن با مشكلات فني كاربران را در سراسر جهان دارند، به غير از متخصصان Genius Bar، ساير متخصصان به اتفاق آرا معتقدند كه ميزان مشكلات ناشي از نفوذ بدافزارها به سيستم‌هاي مك بسيار كم است.

مشكل همه‌گير
 

بسياري از متخصصان پشتيباني متفرقه معتقدند، مشكلات ناشي از بدافزارهاي مك به تازگي رشد چشم‌گيري نداشته است.كامپ گرو، يكي از اعضاي قديمي فروم سايت آرس تكنيكا كه به مورفي شهرت دارد، مي‌گويد: «تعداد زيادي از كاربراني كه من از آن‌ها پشتيباني مي‌كنم، تا حدي دانش فني دارند، اما حتي افرادي كه از اين دانش بي‌اطلاع هستند، به‌گونه‌اي (توسط من) آموزش ديده‌اند كه نسبت به همه‌چيز بدبين باشند و اگر در مورد چيزي اطمينان ندارند، به سراغ من بيايند. بدافزار MAC Defender مانند Security Center 2011 است كه كاربران ويندوز 7 را به سطوح آورده است. حتي بعضي از كاربران آن‌ را روي سيستم خود نصب كرده‌اند و يكي از آن‌ها مي‌خواست مبلغ 85 دلار براي پاك‌سازي آلودگي‌ها و خطاهاي درايوها پرداخت كند. خوشبختانه او ابتدا به سراغ من آمد و من بدافزار مذكور را با استفاده از Malwarebytes پاك كردم. خوشبختانه حذف بدافزار Mac Defender از سيستم افرادي كه احياناً آن را نصب كرده‌اند، كار ساده‌اي است.»
يكي از متخصصان Apple Certified Help Desk به نام پابلو تولدو مي‌گويد: «در طول شش ماه گذشته يكي از مشتريان من وجود يك بدافزار را گزارش كرد. پس از مشاوره با ساير سرويس‌ها به اين نتيجه رسيدم كه نرخ وجود بدافزار در ساير سرويس‌ها نيز چيزي در حدود يك يا دو مورد از بين 750 تا هزار كاربر در طول شش ماه است. در اينجا هشدارها و اطلاعات لازم به كاربران مك داده مي‌شود و تنها ممكن است كاربران بسيار مبتدي گرفتار بدافزارها شوند.» با وجود اين كه دو مورد گزارش بدافزار از بين هزار كاربر در طول شش ماه ركورد بسيار خوبي است، سايرين مدعي هستند كه هرگز حتي يك نمونه از بدافزارها را نيز روي سيستم‌هاي مك نديده‌اند.
آليستر بنكس، از شركت مشاوره POINT‌ مي‌گويد:«اين بدافزارها مطمئناً به مؤسساتي كه من از آن‌ها پشتيباني مي‌كنم، راه نيافته‌اند و تا‌كنون كسي چيزي در اين باره به زبان نياورده است. با وجود اين، ما تنظيمات پيش‌ساخته‌اي را روي تمام سيستم‌ها فعال‌كرده‌ايم كه گزينه «باز كردن فايل‌هاي امن پس از دريافت» را غيرفعال مي‌كند. درباره كاربران خانگي تنها تهديدي كه تا‌كنون با آن مواجه شده‌ام و به بدافزارها شباهت داشت، اختلال ناچيزي در عملكرد جاوا اسكريپت در زمان آلودگي نتايج جست‌و‌جوي تصاوير گوگل توسط متخصصان SEO بود.»
آدام تورتزكي، مشاور پشتيباني فني در دانشگاه نورث وسترن نيز با اين موضوع موافق است. او مي‌گويد: «من به مدت يازده سال مسئول پشتيباني كاربران اداري دانشگاه نورث وسترن واقع در منطقه Evanston از ايالت ايلي‌نوي بودم. در تمام اين مدت، هرگز نديدم كه يكي از كاربران مك به ويروس يا بدافزاري خطرناك‌تر از ويروس‌هاي macro در نرم‌افزار Word‌ آلوده شود (و البته زمان درازي است كه با چنين كاربري نيز مواجه نشده‌ام)، در حال حاضر از 42 كاربر پشتيباني مي‌كنم و مديريت بيش از پنجاه سيستم مكينتاش را برعهده دارم. من از كاربران تحت نظر خود خواسته‌ام كه بدون مشاوره با من نرم‌افزاري را روي سيستم خود نصب نكنند، اما آن‌ها هميشه از قوانين پيروي نمي‌كنند. با وجود اين، هنوزهم با هيچ نمونه‌اي از بدافزارها روي سيستم كاربران مواجه نشده‌ام.»به اعتقاد تام بريج، يكي از سهامداران شركت Technolutionary كاربران مك به دليل داشتن تجربه در كار با ساير پلتفرم‌ها، عملكرد بهتري در اجتناب از بدافزارها دارند. او در اين‌باره مي‌گويد: «تا‌كنون هيچ‌يك از سيستم‌هاي مورد پشتيباني ما توسط Mac Defender يا ساير بدافزارهاي مشابه آلوده نشده است. ما مشتري‌هايي داريم كه قبلاً هنگام استفاده از كامپيوترهاي شخصي با چنين بدافزارهايي مواجه شده‌اند و به احتمال در رابطه با اين نوع تهديدات به خوبي آموزش ديده‌اند، اما به‌طور كلي در اينجا از اين نوع تهديدات وجود ندارد.»

شکل 1- يكي از اشكال ظاهري MAC Defender
 

بدافزار MAC Defender تعداد اندكي از كاربران را گرفتار كردبا وجود اين كه تعداد زيادي از متخصصان IT و پشتيباني را يافتيم تا شهادت دهند بدافزار موردبحث (MAC Defender، Mac Security، Mac Protector يا هر نسخه ديگري از آن) ديگر به عنوان مشكلي براي كاربران مك به شمار نمي‌آيد. اما كارمندان فروشگاه اپل، نظريه‌هاي متفاوتي دارند. يكي از متخصصان پشتيباني فروشگاه‌هاي اپل مي‌گويد: «ما روزانه با سه يا چهار نفر برخورد مي‌كنيم كه گرفتار اين بدافزار شده‌اند. اغلب آن‌ها تنها بدافزار را نصب كرده‌اند، اما شماره كارت اعتباري خود را وارد نكرده‌اند.» وي ادامه مي‌دهد: «اين وقايع همواره سرآغاز مناقشاتي در‌باره ضرورت استفاده از نرم‌افزارهاي ضدويروس روي كامپيوترهاي مك است. در اين فروشگاه نرم‌افزارهاي ضدويروس مختلفي به فروش مي‌رسد و اين رويكرد بيانگر پشتيباني اپل از ايده به‌كارگيري نرم‌افزار‌ضدويروس روي سيستم‌هاي مك است. با وجود اين، فروشندگان همواره بر امن بودن سيستم‌عامل Mac OS X تأكيد دارند. بخش‌IT شركت اپل، استفاده از ضدويروس نورتون را در تمام كامپيوترهاي شركت اجباري كرده است.»
پس از اين‌كه درباره اين موارد با متخصصان پشتيباني اپل به گفت‌و‌گو نشستيم، حداقل يكي از آن‌ها اين نكته را يادآوري كرد كه ممكن است ادعاهاي مذكور درباره ضدويروس نورتون كاملاً درست نباشد. به اعتقاد وي، ممكن است اين رويكرد در يكي از فروشگاه‌هاي اپل اتخاذ شده باشد (كه در اين صورت در تمام فروشگاه‌ها رعايت نمي‌شود) يا اين كه متخصصي كه اين موضوع را بيان كرده درباره يك سياست قديمي كه بر‌اساس آن بايد روي سيستم‌هاي مجهز به نرم‌افزار Boot Camp، ضدويروس نورتون نصب شود، دچار اشتباه شده است. با تمام اين اوصاف، در حال حاضر تعداد زيادي از كارمندان فروشگاه اپل درباره ضدويروس نورتون مطالبي را بيان مي‌كنند. يكي از متخصصان اسبق پشتيباني اپل در وبلاگ خود چنين نوشته است: «روي تمام كامپيوترهاي فروشگاه‌هاي خرده فروشي اپل، ‌ايميج‌هايي كه از پيش توسط خود شركت اپل تنظيم شده‌اند، ‌نصب مي‌شود. در ميان همه نرم‌افزارهايي كه به عنوان جزئي از اين image نصب مي‌شود، ضد‌ويروس نورتون و Timbukto pro نيز نصب مي‌شوند. هرچند بيشتر متخصصان پشتيباني براي ايميج‌ها و گذر واژه‌هاي اپل، ‌ايميج‌هاي اختصاصي خودشان را تهيه مي‌كنند و از آنجا كه فروشگاه‌هاي خرده‌فروشي اپل بازوهاي درآمد‌زا (همين‌طور پر دردسر) هستند، شركت ترجيح مي‌دهد كه به كارهاي اين متخصصان به ديده اغماض بنگرد. همچنين كارمندان شركت اپل از اتفاقاتي كه در فروشگاه‌هاي خرده فروشي اپل رخ مي‌دهد، بي‌خبرند و عكس آن نيز صادق است. يك متخصص پشتيباني كه در يكي از فروشگاه‌هايمجاز اپل كار مي‌كند و از اين پس وي را كارل مي‌ناميم، مي‌گويد: «من هرگز پيش از اين مجبور به حذف يك ويروس يا بدافزار از روي كامپيوترهاي مك نشده بودم. اما اكنون تعداد زيادي از كاربران به ما مراجعه مي‌كنند كه بدافزار اپل را روي سيستم خود نصب كرده‌اند.»

شکل 2
 

وين كوپلند، يكي از تكنسين‌هاي مجاز مك در مؤسسه BeachTech مي‌گويد: «از زماني كه كار درشركت خودم را در دسامبر 2009 آغاز كردم تا‌كنون، ميزان تعميراتي كه با آن روبه‌رو هستم كسر كوچكي از تعميراتي است كه در زمان كار در اپل با آن روبه‌رو بودم. اما بايد بگويم، بدافزار MAC Defender بيش از هر تروجان ديگري كه تا‌كنون ديده‌ام، سيستم كاربران عمومي مك را آلوده كرده است. زماني كه سالانه هزاران كامپيوتر را بازبيني مي‌كردم، شايد پنج يا شش تروجان را در طول سال شناسايي مي‌كردم. اكنون كه هر هفته حدود 25 كامپيوتر را بازبيني‌مي‌كنم، مدتي است كه هر هفته حداقل سه مرتبه تروجان MAC Defender را روي سيستم كاربران مشاهده مي‌كنم.»

از هيچ تا حدود 6 درصد
 

در فروشگاه‌هاي بزرگ‌تر مشكل وخيم‌تر است. ما با يكي ديگر از متخصصان پشتيباني اپل گفت‌وگو كرديم كه او را اندي مي‌ناميم. فروشگاه او در هر هفته به دو هزار كاربر مك خدمات ارائه مي‌كند. او مي‌گويد: «به تازگي تعداد بدافزارهايي كه مشاهده مي‌كنيم، به‌طور چشم‌گيري افزايش يافته است.» به گفته وي در گذشته 0,2 درصد از كاربران مك كه به فروشگاه او مراجعه مي‌كردند، به مشكل بدافزارها دچار بودند كه «اغلب آن‌ها به تروجان‌هاي DNS‌ آلوده شده بودند.» اين وضعيت در طول سه هفته گذشته تغيير‌كرده و امروز حدود 5,8 درصد از كامپيوترهايي كه به فروشگاه اندي وارد مي‌شوند، مشكل بدافزار دارند. تقريباً تمام اين كامپيوترها به MAC Defender يا انواع مختلف آن آلوده هستند. اندي در اين‌باره مي‌گويد: «با توجه به نحوه برخورد اپل با اين مشكل، پاسخي كه به كاربران داده مي‌شود، چندان رضايت‌بخش نيست. چنان‌كه مي‌دانيد صدور مجوز نصب نرم‌افزارها در سيستم‌عامل OS X تنها توسط مدير سيستم امكان‌پذير است. پاسخ شركت به مشكل بدافزارها به‌طور ضمني حاوي اين پيغام است كه «كاربران آن را نصب كرده‌اند و اين موضوع به ما ربطي ندارد. تا زماني كه در اثر وجود اين بدافزارها مشكلي اساسي بروز نكند، شك دارم كه اقدام مؤثري در جهت مقابله با آن انجام شود.»

شکل 3- بخشي از يادداشتي كه اپل درمورد MAC Defender منتشر كرده است.
 

آيا درباره وجود بدافزارها د ركامپيوترهاي مك مبالغه شده يا اين موضوع مشكلي است كه كاربران واقعي با آن دست به گريبان هستند؟ اگر از جان گروبر بپرسيد، به احتمال گزينه نخست را انتخاب مي‌كند. به اعتقاد وي سناريوهاي متعددي وجود دارند كه امكان وجود بدافزارها را در كامپيوترهاي مك تأييد مي‌كنند، اما تا‌كنون هيچ‌كدام از اين سناريوها جامه عمل نپوشيده‌اند. اگر از اد ‌بات(Ed Bott) همين سؤال را بپرسيد، گزينه دوم را انتخاب مي‌كند. او به‌تازگي با يكي از كارمندان AppleCare مصاحبه كرده كه مدعي است انتشار يك برنامه جعلي ضدويروس موسوم به MAC Defender موجي از گزارش‌هاي مربوط به وجود بدافزار را در ميان كاربران مك ايجاد‌كرده است. تشخيص واقعيت كار مشكلي است. از طرفي سيستم‌عامل Mac OS X هنوز درصد كوچكي از بازار جهاني سيستم‌عامل را در اختيار دارد و از طرف ديگر اپل يك شركت پررمز و راز است. به همين دليل به‌دشواري مي‌توان فهميد كه آيا تعداد بدافزارهاي مك رو به افزايش است يا تنها تعداد گزارش‌هاي دريافتي از كاربران افزايش يافته است.

نپرسيد و چيزي نگوييد
 

اندي تأييد كرد، اپل به متخصصان پشتيباني خود دستور داده تا در صورت مواجه شدن با بدافزارهايي مانند MAC Defender از حذف يا ترميم سيستم آلوده به آن خودداري كنند. در واقع آن‌ها حتي نمي‌توانند وجود چنين بدافزاري را تأييد كنند. يك يادداشت درون سازماني كه در اوايل هفته جاري منتشر شد، نشان مي‌دهد كه «مشكل”MAC Defender” در حال بررسي» است و فهرستي از اقدامات متخصص پشتيباني يا Apple Care را در صورت شناسايي بدافزار توسط آنان بيان كرده است (آن‌ها بايد وجود مشكل در محصول اپل را بررسي كرده و در صورت عدم وجود مشكل هيچ اقدام ديگري انجام ندهند). در صورتي كه كاربران به‌طور رسمي به وجود بدافزار پي نبرده باشند، متخصصان اپل تحت هيچ شرايطي حق ندارند، اين مطلب را به كاربران بگويند(شكل4).

شکل 4- اپل به متخصصان دستور داده كه حتي از اعلام وجود چنين مشكلي خودداري كنند.
 

اندي مي‌گويد: «انصافاً اين رويكرد نمونه‌ پيشرفته‌اي از مهندسي اجتماعي است. از طرفي نسبت به افرادي كه مورد تهاجم اين بدافزار قرار گرفته‌اند، احساس همدردي مي‌كنم، اما از طرف ديگر در مورد اين كه كاربران مذكور به هر نرم‌افزاري اعتماد كرده و آن را روي سيستم خود نصب مي‌كنند، كاري از من ساخته نيست. يكي از زيبايي‌هاي سيستم‌عامل MAC OS X مدل امنيتي آن است. اين مدل امنيتي در مواردي كه كاربران كوركورانه گذرواژه‌اي را وارد مي‌كنند، مي‌تواند تمام تمهيدات امنيتي سيستم‌عامل را بي‌اثر كند.»اپل به درخواست ما براي اظهارنظر درباره MAC Defender و نحوه برخورد كارمندان اپل با اين بدافزار پاسخي نداد. شركت امنيتي Intego كه قبل از سايرين وجود بدافزار MAC Defender را اعلام كرد، معتقد است، علت طبقه‌بندي اين بدافزار در سطح كم خطر، لزوم درج گذرواژه مدير سيستم براي نصب آن است. پيتر جيمز سخنگوي Intego در اين‌باره مي‌گويد: «مشكل اينجا است كه MAC Defender يك بدافزار نيست، بلكه يك ترس‌افزار است.» بسياري از افراد مي‌گويند: «اگر به قدري بي‌فكر هستيد كه گذرواژه خود را وارد كنيد، حق شما است كه مورد حمله بدافزارها قرار بگيريد.» اما چنين سخناني درباره كاربران ويندوز گفته نمي‌شود.
قطعاً آموزش درست يكي از بهترين روش‌هاي محافظت از كاربران در اين‌گونه موارد است. بدافزار مذكور راه زيادي را تا شيوع همگاني درپيش دارد، اما اگر وجود آن در تمام فروشگاه‌هاي اپل و به‌صورت آنلاين اعلام شود، باز هم ممكن است مادر يا خاله شما از وجود چنين بدافزارهايي بي‌اطلاع باشد.

آيا اين وضعيت پايدار است؟
 

جيمز متذكر مي‌شود كه Intego هنگام مواجه شدن با MAC Defender و بدافزارهاي هم‌خانواده آن با الگوهاي عجيبي روبه‌رو شده است. او در اين‌باره گفت: «در هفته اول در هر 12 تا 24 ساعت نوع تغييريافته‌اي از اين بدافزار منتشر مي‌شد. اما در طول هفته گذشته حتي يك نمونه تغييريافته جديد از آن را مشاهده نكرديم.» به اعتقاد وي هنوز نمي‌توان مطمئن بود كه انتشار بدافزار كند ‌شده ‌است و هشدار مي‌دهد كه شايد توسعه‌دهندگان MAC Defender در تلاشند تا آن را به‌گونه‌اي از ديد كاربران و متخصصان پنهان كنند و به همين دليل كاربران بايد هوشيار باشند. چارلز ميلر، قهرمان چندين باره رقابت‌هاي Pwn2Own معتقد است، حتي در صورت نابودي MAC Defender نيز كاربران بايد هوشياري خود را حفظ كنند. به اعتقاد او كاربران مك در مقايسه با كاربران ويندوز از امنيت بيشتري برخوردار نيستند و تا‌كنون تنها خوش شانس‌تر بوده‌اند.
ميلر در اين‌باره مي‌گويد: «سيستم‌عامل Mac OS X امن‌تر از ساير سيستم‌عامل‌ها نيست. اين سيستم‌عامل نيز نقاط ضعفي دارد و امكان دريافت و نصب بدافزارها را در اختيار كاربر مي‌گذارد. تنها نكته مثبت در‌باره O SX اين است كه تا‌كنون بدافزاري براي آن نوشته نشده است. مهاجمان و افراد خلافكار تمام انرژي خود را روي سيستم‌هاي ويندوز متمركز كرده‌اند تا بتوانند بخش عمده سيستم‌هاي كامپيوتري موجود را مورد هدف قرار دهند. به هرحال، با افزايش سهم مك از بازار كامپيوتر اين معادله برهم‌خورده و تمركز مهاجمان به سمت كامپيوترهاي مك معطوف مي‌شود. چنان‌كه قبلاً نيز اشاره كردم، كامپيوترهاي مك به طور ذاتي امن‌تر از كامپيوترهاي ويندوز نيستند و به همين دليل زماني كه مهاجمان به سراغ آن‌ها بروند، اوضاع خطرناك مي‌شود.» جيمز موافق است كه: «ناديده گرفتن موضوع به بهانه اغراق كاربران حاكي از كوته‌بيني است. تهاجم به كامپيوترهاي مك بسيار كم است، اما MAC Defender يكي از نخستين بدافزارهاي خطرناك است كه براي حمله به كامپيوترهاي مك طراحي شده و اين تهاجم هنوز به پايان نرسيده است.»
اگر يكي از انواع MAC Defender را روي سيستم خود شناسايي كنيد، چه اقدامي انجام مي‌دهيد؟ مؤسسه TUAW به تازگي راهنماي جامعي را براي محافظت از سيستم كاربران روي سايت خود قرار داده است كه به‌طور خلاصه مي‌توان آن را به اين صورت بيان كرد: «در تنظيمات مرورگر سافاري گزينه open safe files after downloading را غيرفعال كنيد تا برنامه‌هايي كه از روش‌هاي مختلف مانند نتايج جست‌وجوي تصاوير در گوگل دريافت شده‌اند، به‌طور خودكار روي سيستم نصب نشوند.» اگر روي سيستم خود با برنامه مشكوكي مواجه شديد كه هنوز آن را نصب نكرده‌ايد، به سرعت آن را پاك كنيد. اگر چنين برنامه‌اي را قبلاً نصب كرده‌ايد، ممكن است براي حذف آن لازم باشد چندين پردازش سيستم را غيرفعال كنيد. اما تا زماني كه اطلاعات كارت اعتباري خود را وارد نكرده‌ايد، بدافزار MAC Defender قادر به سرقت وجه نقد از حساب شما نيست

تاريخچه مختصر بدافزارها در OS X
 

مارس 2001
 

سيستم‌عامل Mac OS X 10.0 عرضه شد.
 

اکتبر 2004
 

کرم Renepo
کرم که در واقع يک شل اسکريپت بود، کشف شد، اما نفوذ گسترده‌اي را از خود به جاي نگذاشت. رنپو مي‌تواند فايروال مک را غيرفعال سازد، بعضي دستورات يونيکس را که به همراه Mac OS X مي‌آيند، جايگزين كند و يک Keylogger روي سيستم نصب کند تا از طريق آن رمزعبورها را به دست آورد.

آوريل 2004
 

Amphimix فايلي بود که يک MP3 سالم به نظر مي‌رسيد. اما به غير از موزيکي که در فايل وجود داشت، مقداري کد اجرايي نيز در آن تعبيه شده بود که يک پيغام بي‌خطر را در هنگام پخش موسيقي با iTunes نمايش مي‌داد. اين تنها شاهدي بر مدعاي مؤلف ويروس مبني بر مشکل امنيتي سيستم‌عامل بود و خطر خاصي را به دنبال نداشت. اين کرم قصد داشت نشان دهد، يک فايل به نظر سالم و بدون مشکل مي‌تواند باعث طرح ريزي حمله‌هايي به سمت سيستم شما شود.

فوريه 2006
 

نسخه 10.4 Mac OS X (تايگر) با نخستين مک‌هاي اينتلي عرضه شد. کرم Leap-A که مي‌توانست از طريق نسخه‌اي از iChat که در درون سيستم‌عامل بود پخش شود، کشف شد. اين کرم با ارسال خود به عنوان فايلي از طرف شما براي فهرست‌تماس‌هاي iChat‌تان خود را پخش مي‌كرد. به اين ترتيب، هر شخصي فايلي را که به نظر مي‌آمد از طرف شما رسيده، باز مي‌کرد، آلوده مي‌شد. کرم Inqtana از باگي در پشتيباني Mac OS X از بلوتوث استفاده مي‌کرد تا بين مک‌ها خود را توزيع كند. اين مشکل تنها در نسخه‌هاي 10,3 تا 10,4,1 سيستم‌عامل مك وجود داشت. اين کرم نيز صرفاً شاهدي بر مدعا بود.

نوامبر 2006
 

سيمانتک گزارش داد، ويروس جديدي به نام Macarena کشف شده که خطري را به دنبال نداشت. اين ويروس در صورت بازشدن، فايل‌هاي موجود در دايرکتوري جاري را آلوده مي‌کرد. البته، اين گسترش‌پذيري صرفاً روي باينري‌هاي اينتل بود و باينري‌هاي يونيورسال را آلوده نمي‌کرد. باينري‌هاي يونيورسال به برنامه‌هايي گفته مي‌شود که شامل کدهايي براي مك‌هاي مبتني بر PowerPC و مدل جديد مك‌هاي مجهز به پردازشگر اينتل بودند.

مي 2007
 

ماكروي BadBunny که سندهاي OpenOffice را آلوده مي‌کرد، به عنوان شاهدي بر مدعا عرضه شد. بعدها افراد با استفاده از اسکريپت‌هاي تهيه شده براي مک، ويندوز و لينوکس از اين ماكرو براي آلوده ساختن کاربران IRC استفاده کرده و شروع به گسترش آن كردند. اين ماكرو باعث شد تا کاربران درک کنند نبايد به صورت عادي فرض کنند که ضميمه‌ها نمي‌توانندحاوي سورپرايزهاي ناخوشايندي باشند.

اکتبر 2007
 

تروجان DNSChanger در سايت‌هاي غيراخلاقي به عنوان کدکي که براي تماشاي ويديوهاي اين سايت لازم است، پيدا شد. با وجود اين‌که ويديو پس از نصب اين تروجان به نمايش در‌مي‌آمد، اما اين يک تله بود. تنظيمات DNS به گونه‌اي تغيير مي‌کردند که کاربران به سايت‌هايي هدايت شوند که به نظر در آن اطلاعات شخصي‌شان را وارد مي‌کنند. در واقع، در اينجا کپي جعلي از سايت‌هاي مشروع ساخته شد و به دليل جوابگو‌يي مناسب DNS حمله کننده در بيشتر درخواست‌ها، کاربر به اين موضوع شک نمي‌کرد. آلودگي مي‌توانست با داشتن دز بالايي از شکاکي ناکام بماند. همچنين در اين ماه نسخه 10.5 Mac OS X (لئوپارد) عرضه شد. اين نسخه با برنامه فايروالي همراه بود که اجازه مي‌داد ارتباطات مشکوک بسته شوند و کار با آن براي کاربران غيرفني خيلي راحت‌تر از گذشته بود. در پشت صحنه لئوپارد امکانات حفاظتي جديدي مانند library randomization، sandboxing و application signing وجود داشت که خطرات نفوذ را به شدت کاهش مي‌داد.

ژانويه 2008
 

MacSweeper برنامه‌اي بود که وانمود مي‌کرد براي تشخيص آلودگي‌هاي سيستم نوشته شده بود. نصب برنامه پس از دانلود آن صورت مي‌گرفت و معمولاً کاربران بنا به هدفي که از آن در ذهن داشتند، به نرم افزار اعتماد مي‌کردند. اين نرم افزار به شما توصيه مي‌کرد که براي پاک کردن کامل مک خود از ويروس، نسخه کامل نرم‌افزار را بخريد. انواع ديگري مانند Imunizator نيز به شکل مشابه عمل مي‌کردند.

نوامبر 2008
 

تروجاني به نام Lamzev.A خود را در‌هنگام لاگين فعال مي‌‌كرد. اين تروجان تنها برنامه‌هاي مشروع (Legitimate application) مک را تحت تأثير قرار مي‌داد. به اين ترتيب، هر کدام از اين برنامه‌ها که باز بودند، يک درپشتي براي دسترسي راه دور مي‌ساختند. تروجان Jahlav عموماً با وعده دسترسي به نرم‌افزارهاي بدون مجوز و کدک‌هاي ويديو عرضه مي‌شد. اين تروجان با استفاده از يک شل اسکريپت سعي مي‌کرد دانلودهايي را تنظيم و زمان‌بندي كند که يک سري بدافزار ديگر را دانلود مي‌کردند.

ژانويه 2009
 

نسخه غيرقانوني iWork ’09 روي بيت تورنت، شامل تروجان OSX/iWorkS-A بود. اين تروجان در فايل به ظاهر بي‌خطر iWorkServices.pkg ذخيره مي‌شد. برنامه iWork به خودي خود درست کار مي‌کرد و اين باعث مي‌شد کاربر از اين‌که در پشت صحنه بدافزار در حال دانلود کدهاي اضافه بود، باخبر نشود. انواع مشابه ديگري نيز مانند نسخه غيرقانوني فتوشاپ CS4 در اين رابطه يافت شده بود.

مارس 2009
 

به مانند تروجان iWork، RSPlug نيز خود را در قالب يک نرم‌افزار عادي نشان مي‌داد. اين بار ترفند نرم‌افزار HDTV‌اي با نام MacCinema بود.

مي 2009
 

کرم Tored خود را از طريق ‌ايميل وفضاهاي ذخيره‌سازي اشتراكي در شبكه گسترش مي‌داد. اين کرم فهرست ارتباطات را از مک ميزبان گرفته و پيغام آلوده‌اي به آن‌ها مي‌فرستاد تا اين فايل را دوباره پخش كند. سيمانتک گزارش ‌داد، Tored کليدهايي را که در صفحه كليد مي‌زنيد، ذخيره مي‌كند. در همين حال، F-Secure گفته بود، اطلاعات از Keychain سيستم مديريت رمزعبور Mac OS X دريافت مي‌شد.

ژوئن 2009
 

اکانت توييتر کارمند سابق اپل، گاي کاواساکي دزديده شد و لينکي که در ظاهر ويديوي يک بازيگر زن تلويزيون بود، پست شد. ويديو و نرم‌افزاري که براي پخش آن درخواست مي‌شد، واقعي نبودند. اين مورد نشان مي‌ داد که حتي در ارتباط با منابعي که به نظر مشروع مي‌آيند نيز بايد محتاط بود.

آوريل 2010
 

HellRTS.D يک به روزرساني بدافزاري بود که نخستين‌بار در سال 2004 کشف شد. اين بدافزار با تنظيم شکل ظاهري‌اش به شيوه‌اي که به هنگام دريافت آن شما تصور مي‌کرديد، در حال دريافت برنامه iPhoto اپل بوديد، موفق مي‌شد، عده زيادي را به دانلود خود تشويق كند. پس از نصب، بدافزار به عنوان يک درپشتي براي دسترسي راه دور به مک شما عمل مي‌کرد. کرم Boonana از طريق شبکه‌هاي اجتماعي با طرح اين پرسش از کاربر که آيا آن‌ها در ويديوي لينک شده‌اي حضور داشتند يا خير، پخش مي‌شد. پس از کليک کردن، يک اپلت جاوا اجازه اجرا مي‌خواست. حتي اگر کاربر اجازه را صادر مي‌كرد، هنوز هم بايد يک مجوز براي دسترسي به داده‌هاي آنلاين تأييد نشده صادر مي شد تا اپلت بتواند کار کثيفش را انجام دهد.

ژانويه 2011
 

كار فروشگاه آنلاين Mac App Store آغاز شد. عده‌اي از توسعه‌دهندگان نرم‌افزارهاي امنيتي، نسخه‌هاي رايگان يا ارزاني از نرم‌افزارهايشان را که داراي قابليت‌هاي کمتري بود، عرضه كردند .اما عملكرد اين برنامه‌ها محدود بود زيرا اپل براي نرم‌افزارهاي حاضر روي App Store محدوديت‌هايي گذاشته است تا بيش از حد با سيستم‌عامل عجين نشوند.

مي 2011
 

Mac Defender و مشابه‌هايش ظاهر شدند. يک پنجره مرورگر گزارش جعلي اسکن ويروسي را نشان مي‌داد و در پشت صحنه، فايل نصبش از طريق جاوااسکريپت به صورت خودكار اجرا مي‌شد.يک کيت Crimeware که براي نوشتن بدافزارهاي مک طراحي شده، براي فروش به صورت آنلاين عرضه شد. اين کيت کمک مي‌کرد تا بدافزارهايي بسازيد كه اطلاعات را از طريق فرم‌هايي که در فايرفاکس يا کروم پر‌مي‌شد برداشته و از اين طريق رمزعبوردزديده شود. همچنين ابزارهاي ديگري براي تبديل مک‌ها به يک بات‌نت(botnet) نيز در کيت گنجانده شده بود.در همين زمان، ادوبي، فلش پلير 10,3 را عرضه ‌کرد که تنظيمات پلاگين را به بخشي در System Preferences منتقل مي‌كند. اين نرم‌افزار مي‌توانست خودش را به روز کند تا مطمئن شود از مشکلات امنيتي احتمالي جلوگيري خواهد شد و ديگر به دانلود دستي نسخه جديد نيازي نخواهد بود.
اين روزها، مقاله‌هاي متعددي درباره ويروس جديدي كه تصور مي‌شود در بين سيستم‌عامل‌هاي Mac OS X منتشر شده، به نگارش درآمده است. پس از يك بررسي مختصر مشخص مي‌شود، اغلب اين مقاله‌ها به‌هيچ وجه دقيق نيستند. در اين مقاله شما را در جريان تحقيقات‌ انجام شده درباره اين ويروس قرار مي‌دهيم تا همان چيزي را ببينيد كه ما با آن مواجه شديم. به سختي مي‌توان از زمان دقيق شروع ماجرا مطمئن بود. يكي از نخستين مقاله‌هايي كه درباره ويروس جديد يافتيم، در روز دوم ماه مي سال 2011 با عنوان «به زودي به كامپيوتر مك شما هم سرايت مي‌كند: يك بدافزار خطرناك» منتشر شده است. در بخشي از اين مقاله آمده است: «چندي قبل نخستين جعبه‌ابزار توليد نرم‌افزارهاي مجرمانه (Crimeware) شخصي كه پلتفرم Mac OS X را هدف گرفته است، در بعضي از محافل محرمانه زيرزميني معرفي‌شده است... اين جعبه‌ابزار با عنوان Weyland-Yutani BOT به فروش مي‌رسد و نخستين نمونه موجود در نوع خود است كه پلتفرم Mac OS X را هدف قرار داده است. واضح است كه نسخه‌هاي اختصاصي اين جعبه‌ابزار براي iPad و لينوكس نيز در حال توسعه است.»
حالادرباره نگارش اختصاصي iPad فكر كنيد. به دليل نحوه عملكرد سيستم نرم‌افزاري iPad، iPhone و iPod Touch تنها روش موجود براي اين كه جعبه‌ابزار Weyland-Yutani BOT بتواند بدافزارهايي را با قابليت نصب در تعداد زيادي از دستگاه‌ها توليد كند، اين است كه براي فروش از طريق App Store مورد تأييد شركت اپل قرار گيرد. شركت اپل درباره نرم‌افزارهاي تأييد شده براي فروش در App Store بسيار دقيق عمل مي‌كند تا چنين نرم‌افزارهايي وارد آن نشوند. مطبوعات فعال در صنعت‌IT از اين واقعيت آگاهي دارند. پس علت چاپ اين مطالب بي‌معني چيست؟ البته در موارد محدودي مي‌توان رمز نرم‌افزاري iPad را شكسته و از فروشگاه‌هاي نرم‌افزار متفرقه مانند Cydia استفاده كرد. اما افرادي كه فروشگاه مجازي Cydia را اداره مي‌كنند، به اندازه مسئولان شركت اپل در مورد انتخاب نرم‌افزارها دقيق هستند و هنگامي كه گزارشي را درباره يك نرم‌افزار مضر دريافت كنند آن را از فهرست محصولات فروشگاه حذف مي‌كنند.
نگارش اختصاصي لينوكس نيز مشكلاتي را ايجاد مي‌كند. فرض ما اين است كه منظور نگارندگان مقاله سيستم‌عامل آندروئيد بوده است؛ زيرا اين سيستم‌عامل نگارشي از لينوكس با سهم بزرگ‌تري از بازار است. اما نگارش آندروئيد اين جعبه ابزار دچار همان مشكلاتي است كه نگارش اختصاصي اپل به آن دچار است. اين كه گوگل به اندازه اپل در انتخاب نرم‌افزارها دقيق نيست، كاملاً صحت دارد، اما گوگل نيز نرم‌افزارها را دست چين مي‌كند. گوگل نيز نرم‌افزارهاي مضر را شناسايي كرده و به كاربراني كه از آن‌ها استفاده مي‌كنند، هشدار مي‌دهد. به عبارت ديگر، اين نوعي رويكرد تهاجمي است كه هيچ درآمدي را براي مهاجم درپي ندارد.
عرضه نگارش اختصاصي اين جعبه‌ابزار براي سيستم‌عامل OS X Mac موضوع جديدي نيست. از زماني كه سيستم‌عامل OS X به‌طور مستقيم از فناوري TCP/IP پشتيباني كرد، احتمال وقوع اين اتفاق فراهم شد. در واقع، اين جعبه‌ابزار همان سيستم كنترل از راه‌دور با تغييرات جزئي است؛ هيچ چيز با ارزشي درباره آن وجود ندارد. سيستم‌هاي مشابه اين جعبه‌ابزار سال‌ها براي اجراي بازي‌هاي آنلاين مورد استفاده قرار گرفته‌اند و بازيكنان با استفاده از يك موتور اسكريپت نويسي توانسته‌اند كنترل سيستم كاربراني را كه از كامپيوتر خود دور شده‌اند، به دست گيرند (اين رويكرد در جريان بازي آنلاين Trade Wars 2002 متداول بود).
از سال‌ها قبل هركسي مي‌توانست ابزار مشابهي توليد كند. اين كار بسيار ساده‌ است. البته، انواع مختلفي از اين جعبه ابزار توليد شده، اما تا‌كنون هيچ‌يك به‌صورت عمومي به عنوان يك جعبه‌ابزار توليد بدافزار براي مك معرفي نشده است. اين ابزارها معمولاً پس از توليد در قالب بخشي از يك كتابخانه مفيد و رايگان منتشر مي‌شدند. هر كسي مي‌توانست يك سيستم تماس تصادفي ايجاد كرده و در چنين‌كتابخانه‌اي قرار دهد. به اين ترتيب، برنامه‌اي كه كتابخانه مذكور درون آن به‌كار گرفته مي‌شد، به‌صورت ماهانه يا در فواصل زماني مختلف با محل مشخصي تماس برقرار مي‌كرد و در صورت عدم موفقيت، براي برقراري تماس بعدي يك ماه يا به ميزان فاصله زماني تعيين شده انتظار مي‌كشيد.

بدافزار
 

در مقاله‌هايي كه بررسي كرديم، اين ابزار تهاجم به عنوان يك ويروس كامپيوتري معرفي شده است. ويروس برنامه‌اي است كه توانايي نفوذ به سيستم هدف و جايگزيني در آن را بدون مداخله كاربر دارد. اما ابزار تهاجمي مورد بحث در واقع يك تروجان است. در اينجا تفاوت مهمي وجود دارد. يك تروجان نمي‌تواند بدون مداخله شخص كاربر وارد سيستم هدف شود. براي اين منظور بايد كاربر سيستم با استفاده از حمله‌هايي به شيوه مهندسي اجتماعي فريب خورده و اجازه ورود تروجان به سيستم را صادر كند. اگر كاربر فريب نخورد، تروجان نيز وارد سيستم نمي‌شود.
مهاجمان براي سايت‌هايي كه به‌منظور حمله‌هاي خود مورد استفاده قرار مي‌دهند، تبليغات نمي‌كنند. به همين دليل، ما ابتدا يكي از اين سايت‌ها را شناسايي كرده، سپس شرايط را به‌گونه‌اي شبيه‌سازي كرديم كه گويي اين سايت در حال آلوده‌سازي سيستم ما است. براي اين كار با استفاده از يك كامپيوتر MacBook Pro با نمايشگر سيزده اينچي به جست‌‌وجوي تصاوير در سايت گوگل پرداختيم و به زودي توانستيم سايتي را شناسايي كنيم. شكل1،‌تصويري از پيغام به نمايش درآمده توسط سايت را نمايش مي‌دهد.

شکل 1- پيغام نصب بدافزار MAC Defender كه داراي غلط‌هاي نگارشي است.
 

تروجان امنيتي اپل در وب
 

تنها چيزي كه مي‌توان درباره اين اقدام مهاجمان گفت اين است كه حمله‌هاي آن‌ها در حال تكامل است. زماني كه تصوير اين صفحه روي نمايشگر ظاهر شد، همگي بيش از پانزده دقيقه به خنده افتاديم. در پيغام امنيتي به‌نمايش در آمده نوشته شده:
«ابزار Apple Web Security براي محافظت بيشتر از كامپيوتر شما، تروجان‌هايي را شناسايي كرده بود و آماده پاك‌سازي آن‌ها شد.»بله، درست است. يك شركت بسيار مشهور ميليون‌ها دلار صرف طراحي و بسته‌بندي درست محصولات خود مي‌كند، اما در هنگام نوشتن يك پيغام ساده داراي اشتباهات نگارشي است؟ كاملاً واضح است كه اپل چنين برنامه‌اي را توليد نكرده و اگر شخصي با ديدن اين صفحه دچار اشتباه شود، عجيب است.

پنجره نصب
 

شركت اپل به نرم‌افزارهاي خود افتخار مي‌كند. اپل به عنوان يك شركت، تلاش زيادي را صرف مشهورسازي هريك از محصولات خود مي‌كند. اين برنامه نصب كه تصوير آن را مشاهده مي‌كنيد، از يك ساختار عمومي بهره مي‌برد؛ چيزي كه اپل هرگز و تحت هيچ شرايطي از آن استفاده نمي‌كند. به همين دليل، اپل ديگر از دريافت نرم‌افزارها از ‌سايت پشتيباني نمي‌كند. تمام نرم‌افزارها بايد از طريق فروشگاه Mac OS X Application Store متعلق به شركت اپل دريافت شوند و تمام مالكان كامپيوترهاي مك از اين موضوع آگاهي دارند. اپل تلاش زيادي را صرف اطلاع رساني در اين رابطه كرده تا تمام كاربران از اين موضوع آگاه شوند. از آنجا كه تمايلي نداشتيم دلقك‌هاي آن‌طرف خط به اطلاعات كارت اعتباري ما دسترسي پيدا كنند، جريان نصب را متوقف كرديم. البته اين تروجان نمي‌تواند خسارت چنداني را به سيستم ما وارد كند.

شکل 2- رابط نصب بدافزار MAC Defender
 

شکل 3- محتويات پوشه‌هاي نصب شده بدافزار
 

شکل 4- محتويات پوشه‌هاي نصب شده بدافزار
 

ما نرم‌افزار را دريافت كرده و مدتي را صرف حذف آن از روي سيستم كرديم. سپس با شركت اپل تماس گرفتيم و مكالمه جالبي با يكي از نمايندگان اپل داشتيم. اپل واقعاً تمايلي به صحبت با ما نداشت و پي‌گيري زيادي از طرف ما انجام شد تا بتوانيم حداكثر اطلاعات ممكن را دريافت كنيم. بالاخره اپل تأييد كرد، كاربران در مواردي فريب خورده‌اند و چنين بدافزارهايي را دريافت كرده‌اند. اما اطلاعاتي در رابطه با تعداد اين كاربران در اختيار ما قرار نداد. با وجود اين، پس از بررسي محافل آنلاين اپل به اين نتيجه رسيديم كه تعداد كاربران آلوده شده، زياد نيست. كاركنان اپل تأييد كردند، شماره سند EM406 واقعاً شماره يكي از پيغام‌هاي فني اپل بوده و عنوان آن درست است. اما در مورد سندي كه با اين عنوان در اختيار ما است، از اظهارنظر خودداري كردند.

شکل 5- محتويات پوشه‌هاي نصب شده بدافزار
 

در هنگام نوشتن اين مقاله شركت اپل براي افرادي كه به اين تروجان آلوده شده‌اند، اقدامي را پيشنهاد نمي‌كرد. اما سرانجام با به‌روز‌رساني سيستم‌عامل خود، آن را از سيستم كاربران پاك كرد. به علاوه اپل در 26 مي يك بيانيه رسمي در اين زمينه منتشر كرد. اين شركت به كاربران خود يادآوري مي‌كند:
«توجه: شركت اپل به‌روزرساني‌هاي امنيتي را تنها از طريق سايت Apple Support Download و Software Update ارائه مي‌كند. كاربران همواره هنگام وارد كردن اطلاعات حساس خود بايد جانب احتياط را رعايت كنند.»
اين بدافزار چيست؟
چنان‌كه پيش از اين گفته شد، اين بدافزار از نظر فني يك تروجان است. اين نوع بدافزارها از روي اسب افسانه‌اي تروجان نام‌گذاري شده‌اند. تروجان يك برنامه كامپيوتري است كه خود را برنامه ديگري معرفي مي‌كند. يك مثال مشهور براي اين نوع بدافزارهاYankee Trader Register V5.00 (YTR500.ZIP-YTR500.ARJ) است كه به عنوان يك بازي محبوب منتشر شده بود. اما هنگامي كه اجرا مي‌شد تمام درايوهاي محلي و درايوهاي شبكه را كه كامپيوتر ميزبان مجوز دسترسي به آن‌ها را داشت، فرمت مي‌كرد.

شکل 6- محتويات پوشه‌هاي نصب شده بدافزار
 

امكان ورود تروجان‌ها به سيستم‌عامل Mac OS X يا ويندوز همواره وجود دارد. مرورگر سافاري ( يا IE) را درنظر بگيريد . اگر شخصي در اپل (يا مايكروسافت) قطعه كدي را به اين مرورگر اضافه كند كه تمام كليدهاي فشرده شده توسط كاربر را درون يك فايل ثبت كند، سپس كليدهاي مربوط به اقدامات عمومي كاربر را فيلتر كرده و اطلاعات مهم مانند اطلاعات كارت اعتباري يا حساب‌هاي بانكي را نگه دارد، چه اتفاقي رخ مي‌دهد؟ سپس اين برنامه مي‌تواند اطلاعات مذكور را در پس زمينه به يك ‌سايت به‌گونه‌اي ارسال كند كه كاربر متوجه نشود. اين يك تروجان كلاسيك است و همان چيزي است كه اپل، مايكروسافت، اپرا و موزيلا از آن ترس دارند. از آنجا كه ضميمه كردن چنين كدي به اين مرورگرها كار چندان دشواري نيست، آن‌ها بايد دائم كارمندان خود را زيرنظر داشته باشند.
برخلاف مشكل ويروس‌ها كه انواع مختلف سيستم‌عامل ويندوز سال‌ها با آن دست ‌به گريبان بوده است، سيستم‌عامل OS X به دليل تفاوت‌هاي ساختاري تا‌كنون از شر ويروس‌ها در امان بوده است. با وجود اين، حمله‌هاي «اجراي كدهاي مخرب» در سيستم‌عامل OS X از لحاظ نظري امكان‌پذير است و با وجود اين كه اپل به‌روزرساني‌هايي را براي مقابله با اين نوع حمله‌ها انجام داده است، بر‌اساس اطلاعات ما تا‌كنون هيچ موردي از اين حمله‌ها گزارش نشده است.
ماهيت تروجان‌ها متفاوت است. در مورد تروجان‌ها بايد از مهندسي اجتماعي براي قانع كردن كاربر به منظور نصب بدافزار روي سيستم بهره بگيريد. در اين حمله خاص، كاربر هدف، از سايتي بازديد مي‌كند، پيغامي به نمايش درمي‌آيد و دريافت فايل آغاز مي‌شود. اگر كاربر نرم‌افزار را نصب نكند، تمام حمله با شكست مواجه مي‌شود. اگر كاربر صفحه وب را به‌دقت بخواند، با مشاهده اشكالات نگارشي، املاي نادرست و آگاهي از نحوه عرضه نرم‌افزارها توسط اپل متوجه جعلي‌بودن اطلاعات آن مي‌شود.

شکل 7- محتويات پوشه‌هاي نصب شده بدافزار
 

حذف تروجان
ما با كمي خوش‌شانسي توانستيم تروجان مورد بحث را از سيستم آزمايشي پاك كنيم. اين تروجان تنها يك برنامه ابتدايي Mac OS X‌ است. در ادامه تصاويري را مشاهده مي‌كنيد كه محتواي فايل‌هاي مربوط به تروجان را نشان مي‌دهند.چنان‌كه گفته شد، اين تروجان چيزي به‌جز يك برنامه استاندارد Mac OS X نيست. با وجود اين كه عملكرد آن مخرب است، امكان نوشتن چنين بدافزاري از ماه مارس سال 2001 وپس از انتشار Cheetah وجود داشته است. در واقع مي‌توان مطمئن بود كه در ده سال گذشته بدافزار‌هاي مشابهي نوشته و منتشر شده است. از آنجا كه تعداد كاربران ويندوز بسيار بيشتر از كاربران مك بوده و تعداد برنامه‌نويسان ويندوز نيز نسبت به برنامه‌نويسان مك بسيار زيادتر است، مي‌توان مطمئن بود كه تعداد بسيار بيشتري از اين نوع تروجان‌ها براي ويندوز نوشته و منتشر شده است. به نظر مي‌رسد، تروجان‌هايي كه براي مك نوشته شده‌اند، تقريباً هيچ تأثيري روي اين سيستم‌عامل نداشته‌اند. پس چرا انتشار اين تروجان اين همه هيجان درپي داشت؟
اين تروجان چيزي به‌جز يك برنامه استاندارد Mac OS X نيست. با وجود اين كه عملكرد آن مخرب است، امكان نوشتن چنين بدافزاري از ماه مارس سال 2001 وپس از انتشار Cheetah وجود داشته است.
اين سؤال خوبي است. سيستم‌هاي هدف Weyland-Yutani BOT را درنظر بگيريد. اين اهداف شامل Mac OS X، iOS و لينوكس (به احتمال سيستم‌عامل آندروئيد) هستند. وجه مشترك اين سه سيستم‌عامل چيست؟ تمام اين سيستم‌عامل‌ها بخشي از سهم بازار سيستم‌عامل ويندوز را به خود اختصاص داده‌اند. جالب نيست؟ اين تصادف شگفت‌انگيز است.
منبع:ماهنامه شبکه
ارسال توسط کاربر محترم سايت : hasantaleb