
És még mielőtt bárki ördögtől valónak kiáltaná ki a Java jelenlétét egy OSX számítógépen, számos banki felület pl. CIB bank, CITI bank, de az Adobe Creative Suite, a CrashPlan PRO online secure backup, vagy a talán legelterjedtebb ingyenes LibreOffice is igényli, telepíti, használja azt.
Aztán arra is emlékezhetünk, amikor az Apple a 10.8 verzióval kezdődően igyekezett fokozott hangsúlyt fektetni a biztonságra, és így kedvenc hegyi oroszlános operációs rendszerünk (Mountain Lion) titkosított kapcsolaton keresztül végre már automatikusan kap napi biztonsági frissítéseket. De ennél a verziónál debütált az Apple Gatekeeper Execution Prevention technológia is, amely a kártékony kódok kiszűrésére lett kitalálva. Sajnálatos módon alig háromnegyed évvel később máris sikerült látványosan kijátszani ezt a rendszert is.
Ekkor kaptunk hírt arról a valódi, érvényes Apple Developer ID-vel rendelkező trójairól, amely kémkedett az áldozatok OS X alapú gépein. Az OSX/Kitm.A trójaiként aposztrofált kártevő a fertőzött Macintosh számítógépeken titokban képernyőfotókat készített, és ezeket orosz e-mailcímről regisztrált távoli C&C vezérlőszerverekre kísérelte meg feltölteni. Emellett nyitott egy reverse shell-t is, melynek segítségével hátsó ajtót nyitva távoli parancsokat tudott végrehajtatni a fertőzött gépeken.
És itt érdemes megemlíteni még egy fontos dolgot. Bár az Apple rövid időn belül visszavonta ezt a bizonyos Rajender Kumar névre szóló Developer ID-t, ez a már megfertőződött áldozatoknak vajmi keveset segített. Ugyanis ha egy kártevő már sikeresen átjutott a Gatekeeperen, akkor később már nem történik további újraellenőrzés, vagy ismételt lekérdezés, így a korábban használt azonosító aláírással rendelkező programok továbbra is szabadon futhatnak a gépeken.
Mindössze annyit lehet tenni, hogy a legszigorúbb, azaz csak a Mac App Store-ból származó programok futását engedélyező opciót választjuk ki. És/vagy a kártékony kódok folyamatos szűrését egy külső naprakész vírusvédelmi programra bízzuk. Ezt az OSX/Kitm.A trójait a vírusirtók nagy része hamar felismerte, a későbbiekben megjelent újabb módosított verziókkal együtt.
Most pedig itt a legújabb reddit botnet, amely a biztonsági szakemberek szerint legalább 17 ezer Macintosh rendszert fertőzhetett meg, és nyitott hátsó ajtót a rendszeren. A kártevő egyik érdekessége, hogy annak készítői a Reddit rendszert is felhasználták ahhoz, hogy a botnet sereg zombigép tagjait az elérhető C&C szerverek aktuális helyéről tájékoztassák. Ehhez a reddit.com kereső szolgáltatását vették igénybe, ahol a keresési lekérdezés eredménye adja ki a C&C szervereknek címét és a szükséges port számát. A keresésnél az első 8 bájtban hexában megadják az aktuális dátum MD5 hashét, az elérhető aktuális szerverek címét pedig a keresési eredmények között található kommentek tartalmazzák.
Az eset egyik tanulsága akár az is lehetne, hogy mivel a támadók folyamatosan és furmányosan ellenünk dolgoznak, mi csak akkor mondhatjuk azt, hogy valóban biztonságban vagyunk, ha egy kapuőr (biztonsági program) áll az ajtóban, ami folyamatosan figyeli és ellenőrzi a rendszerünket.