Apple svigter deres kunder …

Vi har i den seneste måneds tid kunne læse om FlashBack/Sabpab “epidemien” – infektionen, der rammer Mac computere, der har java installeret uden nødvendige opdateringer. Analyser af bot nettet har vist, at 25 % af alle inficerede Macs kører med Leopard (9.8.0), ca. 50 % kører med Snow Leopard (10.8.0), og ca. 10 % kører med Lion (11.3.0). De øvrige 15 % er mellemliggende versioner.

Det første svigt er, at Apple ventede 6-7 uger med at opdatere Apple versionen af Java. Desuagtet, at sårbarheden blev erkendt og patchet allerede i februar, så skulle der en Flashback infektion til før Apple tog sig sammen og opdaterede deres version af Jave små to måneder efter. I denne sammenhæng er 6-7 uger meget lang tid, hvilket 600.000 inficerede computere er et glimrende bevis på.

Det andet svigt: Samtidigt er det bemærkelsesværdigt, at Apple ikke har gjort noget for at advare deres kunder om Flashback epidemien. Al anvendelig information om, hvorledes man beskytter sig, kommer fra andre udgivere af nyheder og diverse sikkerhedsfirmaer. Apple er så bekymret for sit (fejlagtige) image, der promoverer en ide om, at Macs er fri for virus, at man skjuler og fornægter virkeligheden.

Det tredje svigt er, at man undlader at understøtte ældre versioner af Mac OS (styresystem). Det er Apples politik blot at understøtte det nuværende og seneste styresystem – det vil sige, at i øjeblikket laver man kun opdateringer til Lion og Snow Leopard. Om få måneder udgives Mountain Lion, og så indstilles støtten til Snow Leopard. Som brugere tvinges vi således til at købe en ny opdatering hver 2-3 år. Mange brugere er ikke glade for Lion, så en Snow Leopard bruger vil formentlig skulle købe opdatering til Lion og derefter Mountain Lion, hvis de vil have et rimeligt styresystem – en udgift på 3-400 kr.

Og “hvad så” kunne man fristes til at tænke. Det betyder jo ikke, at vi som Mac brugere får lyst til at skifte til Windows. Men som brugere mener jeg nu nok, at der kan være anledning til at fortælle Apple, at nu må de sgu tage sig sammen og komme ind i dette århundrede. Det kan ikke være penge, der er problemet – måske lidt mindre fokus på at maksimere indtjeningen og lidt mere fokus på brugeren?

 

FlashBack – er vi kommet til version S…

Flashback er nu set i en ny version – version S siger Intego. Hvis du vil checke om du er inficeret, så er ctrlaltdel.dk opdateret med dette lille finder værktøj:

Finderen

Programmet renser ikke din computer, men du får hurtigt checket om du er ramt. Skulle du være inficeret så prøv Integos VirusBarrier, ClamXav eller Sophis beskyttelsesprogram.

God fornøjelse 🙂

Sikkerhed uden et beskyttelsesprogram

Der findes gode beskyttelsesprogrammer til Mac’en – Sophos og ClamXav har jeg anbefalet som gode gratis løsninger, Integos VirusBarrier som en rigtig god “all-around” løsning for kun kr. 300,-. Problemet – hvis man da kan tale om et problem – er, at disse beskyttelsesprogrammer kræver computerressourcer og derfor kan de gøre din computer lidt langsommere. Ligeledes er mange Mac brugere af en eller anden grund modstandere af beskyttelsesprogrammer, da de mener, at deres Mac er usårlig overfor virus, malware, spyware og hvad det nu altsammen hedder. Jeg vil kort beskrive et par andre muligheder:

DNS servere med indbygget “sikkerhed”. Nortons DNS server – ConnectSafe – lader dig surfe på internettet gennem en server, der filtrerer kendte “snavsede” fra. Hvis du klikker på en internetadresse, der af Norton er kendt som en snavset internetside, så vil du på grund af ConnectSafe blive givet en meddelelse om, at du er på vej til en snavset side. Sikkerheden i Connect Safe sløver hverken din computer eller din surfing, så denne lille foranstaltning bør alle benytte på deres Mac

Hosts fil filtrering – beskrevet HER. Hvis du ønsker at bruge din hosts fil til beskyttelse af din Mac, så er GasMask en mulighed – http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=335&title=beskyt-din-mac-med-hosts-filen-gas-mask . Der er ikke stor forskel på DNS filtreringen beskrevet ovenfor (ConnectSafe) og hosts-fil beskyttelse. Man kan kombinere de to muligheder uden problemer – og alt andet lige vil du ikke mærke den ekstra beskyttelse på computer.

Beskyt dine mapper. Malware (virus, spyware, trojanere osv.) skal have et sted at starte – uanset om det er på Windows eller Mac. På en Mac er der et antal udvalgte mapper, hvor programmer lægges, hvis programmer skal startes når computeren startes. Det er typisk LaunchAgents, LaunchDaemons og StartUpItems mapperne, at malware starter fra. De nævnte mapper kan du beskytte, så du får en besked inden programmer lægger sig i mapperne – og på den måde kan du forhindre malware i at installere sig på din computer. Der er en nem og en lidt mere besværlig at beskytte mapperne på – begge bruger “folder action” teknikken. Denne nemme måde er, at hente og køre programmet CIRCL-ALOD programmet herfra:

http://www.circl.lu/pub/tr-08/ fra det Luxemburgske sikkerhedsinstitut Computer Incident Response Center Luxembourg. Programmet vil lave en folder action på disse mapper:

/Library/LaunchAgents
/Library/LaunchDaemons
/System/Library/LaunchAgents
/System/Library/LaunchDaemons
~/Library/LaunchAgent
~/Library/LaunchDaemons

… der medfører, at du får en advarsel hver gang et program forsøger at lægge filer i én af de fem mapper. Den besværlige metode er beskrevet her:

http://reviews.cnet.com/8301-13727_7-57415311-263/monitor-os-x-launchagents-folders-to-help-prevent-malware-attacks/ hvor teknikken er beskrevet yderligere.

Sabpab – udnytter samme sårbarhed som FlashBack…

Så er Sabpab ankommet – endnu en infektion, der benytter en sårbarhed i Java (samme sårbarhed som FlashBack benytter).

Infektionen lægger disse to filer på din computer:

/Users/;/Library/Preferences/com.apple.PubSabAgent.pfile
/Users/;/Library/LaunchAgents/com.apple.PubSabAgent.plist

Lige som FlashBack vil Sabpab forsøge at stjæle bruger informationer fra din Mac.

http://www.symantec.com/security_response/writeup.jsp?docid=2012-041310-1536-99&tabid=2
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/OSX~Sabpab-A/detailed-analysis.aspx

Du kan nemt checke om du er inficeret med Sabpab med dette lille program:

http://www.ctrlaltdel.dk/forum/uploads/4/SabpabFinder3.app.zip