Virenangriffe für Mac unterschätzt?

...

Und genau das ist auf Windows (auch mit UAC) besser möglich, weil der typische Windows-User in die Verzeichnisse der anderen User und in Systemverzeichnisse schreiben kann. Auf OS X und anderen Unices kann er das nicht. Es sei denn, er findet noch einen Bug, der ihm Root ermöglicht.
...

kann er nicht! Ein User unter Windows hat KEINE Berechtigungen auf den User Ordner der anderen Benutzer unter C:\Dokumente und Einstellungen oder ab Vista unter c:\users, im Gegensatz zu Mac OS X, dort ist per Design Fehler jeder eigen angelegte Ordner im Home Verzeichnis mit der Berechtigung "Jeder lesen" versehen.
Und unter Windows 7 kann nicht einmal ein Administrator in das System32 Verzeichnis schreiben, ohne das noch einmal explizit zu bestätigen.

Ich finde es lustig, das Du so einfach nachvollziehbare Dinge immer und immer wieder falsch schreibst ... .
 
  • Gefällt mir
Reaktionen: minilux
Warum ist es kein Virus?

Alex

EDIT: Ich dachte er heisst "St. Englmar", weil er sich den auf der Zugfahrt nach, eben, St. Englmar ausgedacht hat.

Hier hast Du noch von einem halben Jahr Vollzeit geschrieben:
https://www.macuser.de/forum/f65/virus-trojaner-installierbar-541130/index7.html#post6337516

Um ein Virus zu sein: Ein Virus modifiziert das Opferbinary und fügt sich darin selbst hinzu. Das infizierte Binary ist danach lauffähig und kann andere Binaries auf gleiche Weise infizieren.

Von dem Du schreibst, der modifiziert kein Binary. Er modifiziert kein Mach-O Binary.
 
Moment, er modifiziert sehr wohl ein Mach-O Executable.

Alex
 
… Und unter Windows 7 kann nicht einmal ein Administrator in das System32 Verzeichnis schreiben, ohne das noch einmal explizit zu bestätigen.…
Das ist nur die UAC, er hat die Berechtigung in seinem Admin-Token. Ebenso in anderen Userverzeichnissen: Er hat das Recht. Bezüglich UAC wende Dich mal direkt an Mark von Microsoft, wenn Du meinen Artikel darüber nicht magst.

Du hast Leserechte unter OS X, damit Du ins Public und an die Dropbox des Users kannst.

Moment, er modifiziert sehr wohl ein Mach-O Executable.

Alex

Kein vorhandenes. Er fügt eines hinzu. Ändert die vorhandenen Mach-O Binaries aber nicht. Er schreibt sich in keines der Mach-O Binaries.
Das Vorgehen in diesem Fall ist noch weiter von einem echten Virus entfernt als die Mach_cat- und die Resource-Fork-Strategie. Aber im weitesten Sinne kann man es doch als Virus sehen, kein richtiger, aber besser als ein Trojaner.
 
Zuletzt bearbeitet:
die standardmäßig auf jeden manuell angelegten Ordner vererbt wird.
Noch mal, bei Windows geht das seit NT nicht!
 
Hallo,

gibt es eigentlich eine reine Scansoftware, die sich nicht in das System schreibt?

Ich hatte mal Norton auf einem Windows Rechner installiert.
Grausam...... der Rechner lief wie mit angezogener Handbremse,
Norton wieder runtergeschmissen..... das Ding lief wieder prima.

Wenn es keine reine Scansoftware gibt, könnte man dann das Programm auf eine kleine externe USB Festplatte mit System installieren und von dort starten und die andern Festplatten scannen?

Beste Grüße
vsw
 
@MacMark:
Ein OS X Benutzer mit Adminrechten kann genau so alles lesen/schreiben. Ich verstehe diese Argumentation von dir immer noch nicht!
 
Jeder Rechner im Netz ist ein auch potentiell verteilender Teilnehmer, leitet also im harmlosesten Fall Schadsoftware einfach nur weiter, ohne dass auf dem eigenen System ein Schaden verbleibt.

Analogie: Sollte man nicht die Admins von Linux-Mailservern (und das duerfte bei weitem die Mehrzahl der Mailserver im Netz sein) dazu anregen, die Viren- und Spamscanner zu deaktivieren, weils unter Linux auch keine nennenswerte Schadsoftware gibt - is ja nicht noetig?! Und keine Sorge - dieses Server klicken auch keine boesen Seiten von alleine an und habe idR eine hervorragende Firewall ^^ .

Stichpunkt: Verantwortungsbewustes Miteinander

Ist mir schon klar, das ich potentiell eine Gefahr für meine Windows-Kollegen darstelle.....aber damit können diese und ich sehr gut leben :)
Ich bin seit ca. 1987 mit PCs unterwegs und habe mir bis auf einmal (man muss hat lernen) den Herbstvirus oder Stoned eingefangen. Danach nie wieder!
Weiterhin öffne ich keine Mails von unbekannten und schon gar keinen Inhalt, den ich nicht angefordert hatte.
 
@MacMark:
Ein OS X Benutzer mit Adminrechten kann genau so alles lesen/schreiben. Ich verstehe diese Argumentation von dir immer noch nicht!

Ein OS X-Admin kann in anderen Userverzeichnissen nichts verändern (außer in der Dropbox) und im System erst recht nicht. Beides kann der Win-Admin (etwas verschleiert durch die UAC). Der typische Windows-User hat die Rechte auf praktisch alles auf der Platte. Ich erkäre es hier genauer:
http://www.macmark.de/windows_uac_security_placebo.php
 
Hä, was ist nun der Unterschied? Mit einem Benutzeraccount mit Adminrechten kann ich mir IMMER alle Rechte am System und an den Daten geben.
Als kleine Demonstration: Mach mal im Terminal
Code:
sudo chown -R meinuser ~andererUser

Bei Windows ab NT 3.1 (1993) hat man durch die NTFS-Rechte (!) und nicht durch UAC standardmäßig (EDIT: zumindest als Nicht-Admin) nicht die Rechte, andere Benutzerordner einzusehen. Seit Mac OS 10.0 (2001) ist es dort mit den HFS+-Dateirechten genauso, von anderen Systemen fang ich jetz mal gar nicht an.
Wie gesagt, ein Benutzer mit Adminrechten kann sich, unabhängig vom System, IMMER Zugriffsrechte auf alle Dateien geben.
Übrigens: Überleg dir mal, wieso die Windows-Standardberechtigungen so gesetzt sind und wie diese üblicherweise verwaltet werden! Wenn du unbedingt möchtest, dass ein anderer Adminbenutzer nicht in dein Benutzerprofil kommt, kannst du natürlich die Rechte rausnehmen. Aber Schutz bringt dir das keinen, da würde (wie unter jedem anderen System auch) nur eine Verschlüsselung des Profils ein wenig weiterhelfen.

Edit2:

-snip- Der typische Windows-User hat die Rechte auf praktisch alles auf der Platte.
Das glaub ich nicht... Zähl mal in einer mittleren bis großen Firma, wie viel Leute dort Adminrechte auf ihren PCs haben ;)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: minilux
Ist mir schon klar, das ich potentiell eine Gefahr für meine Windows-Kollegen darstelle.....aber damit können diese und ich sehr gut leben :)
Ich bin seit ca. 1987 mit PCs unterwegs und habe mir bis auf einmal (man muss hat lernen) den Herbstvirus oder Stoned eingefangen. Danach nie wieder!
Weiterhin öffne ich keine Mails von unbekannten und schon gar keinen Inhalt, den ich nicht angefordert hatte.
Wie bist Du denn an CiH vorbei gekommen?
Den hatte schließlich jedes bekannte download Portal und auch MS hat den per update verteilt.

//doger
 
Wie bist Du denn an CiH vorbei gekommen?
Den hatte schließlich jedes bekannte download Portal und auch MS hat den per update verteilt.

//doger

Sorry. Ich mußte erst einmal nachlesen was der CiH überhaupt war :rolleyes:. Ja, tatsächlich ist der komplett an mir vorbeigegangen, bzw. war ich nicht selber von diesem betroffen. Hab da wohl richtig Glück gehabt.
 
Ich finde es lustig, das Du so einfach nachvollziehbare Dinge immer und immer wieder falsch schreibst ... .

Ich nehme an das macht er weil er immer und immer wieder FAT als Dateisystem annimmt statt, wie seit spätestens XP bei jedem Windows üblich, NTFS.

Ein OS X-Admin kann in anderen Userverzeichnissen nichts verändern (außer in der Dropbox) und im System erst recht nicht.

Das ist nicht ganz richtig. Standardmäßig kann ich als Admin keine fremden Verzeichnisse verändern aber, und das kannste gern mal ausprobieren, ich kann mir unter Mac OS X für ein mir fremdes Verzeichnis Schreib- und Leserechte geben (kann man recht simpel hinzufügen sofern man Admin ist) und dann darf ich das fremde Verzeichnis auch verändern genau wie in Windows auch.
 
Hä, was ist nun der Unterschied? Mit einem Benutzeraccount mit Adminrechten kann ich mir IMMER alle Rechte am System und an den Daten geben.
Als kleine Demonstration: Mach mal im Terminal
Code:
sudo chown -R meinuser ~andererUser

Schau Dir die Ausgaben an von
- whoami
- sudo whoami
Dann überleg Dir, wer das chown oben macht. Du wechselst mit sudo den User. Kein OS X-Admin hat die nötigen Rechte zu einem chown auf andere User-Verzeichnisse. Nur Root. Keiner der OS X-Admins ist Root.

Der Unterschied zum Win-Admin ist: Der Win-Admin ist praktisch einer von mehreren "Root"-Usern und es findet kein Benutzerwechsel durch den UAC-Dialog statt, sondern ein Zugriff auf das andere Token des Admins.

Vor Vista hatten Win-Admins ungebremsten Zugriff auf alles - auch mit NTFS. Ab Vista hat jeder Win-Admin ein Admin-Token und ein Normal-Token. Die UAC setzt einen Dialog vor die Nutzung des Admin-Tokens. Das ist allerdings nicht zwingend, denn eine (optional bösartige) Software kann, auch wenn sie mit dem Normal-Token läuft, auf das Admin-Token zugreifen, ohne daß ein UAC-Dialog kommt, weil beide Tokens zum selben User gehören und in der gleichen Login-Session laufen. Man kann sie nicht effektiv voneinander trennen. Das sagt Microsoft selbst. Siehe meinen Artikel:
http://www.macmark.de/windows_uac_security_placebo.php

Ich nehme an das macht er weil er immer und immer wieder FAT als Dateisystem annimmt statt, wie seit spätestens XP bei jedem Windows üblich, NTFS.… Standardmäßig kann ich als Admin keine fremden Verzeichnisse verändern aber, …
Der Win-Admin kann auch auf NTFS alles. Sein Admin-Token erlaubt ihm das. Wenn Du etwas genauer sehen willst, was das Admin-Token alles darf, schalte die UAC aus, dann hast Du direkten Zugriff auf Dein Admin-Token.

Zusammengefaßt:
Ein OS X-Admin hat nie die Rechte auf andere User- oder System-Verzeichnisse. Nur Root. Der Zugriff erfordert einen Benutzerwechsel. Die Rechte sind durch unterschiedliche Benutzer streng voneinander getrennt.
Ein Win-Admin hat immer die Rechte auf andere User- oder System-Verzeichnisse. Die Rechte daran sind durch Admin- und Normal-Token innerhalb desselben Users nicht streng trennbar.

Die UAC dient der Umerziehung der Entwickler, daß sie sich an normale Rechte gewöhnen. Sie ist kein Sicherheitsfeature. Der Zugriff auf das Admin-Token ist für normale Software deshalb nicht leicht, aber möglich und technisch nicht zu verhindern, weil beide Token zum selben User gehören.

Wendet Euch auch gerne an Mark Russinovich vom Microsoft Technet. Er wird Euch exakt dasselbe sagen wie ich.
 
Schau Dir die Ausgaben an von
- whoami
- sudo whoami
Dann überleg Dir, wer das chown oben macht. Du wechselst mit sudo den User. Kein OS X-Admin hat die nötigen Rechte zu einem chown auf andere User-Verzeichnisse. Nur Root. Keiner der OS X-Admins ist Root.

Der Unterschied zum Win-Admin ist: Der Win-Admin ist praktisch einer von mehreren "Root"-Usern und es findet kein Benutzerwechsel durch den UAC-Dialog statt, sondern ein Zugriff auf das andere Token des Admins.
Na erzähl mir mal was neues. Die praktischen Konsequenzen sind die gleichen - der OS X Admin ist zwar nicht Root, kann sich aber auch jederzeit zu Root machen. Dies muss per Passwort bestätigt werden.
Und unter Win7 ist er kein voller Admin, kann sich aber duch Ausnutzung seiner Rechte dazu machen. Durch UAC muss diese Rechteausweitung per Klick (standardmäßig) oder Passwort (mit höherer Sicherheitseinstellung in der GPO) genehmigt werden.
Vor Vista hatten Win-Admins ungebremsten Zugriff auf alles - auch mit NTFS.

Ab Vista hat jeder Win-Admin ein Admin-Token und ein Normal-Token. Die UAC setzt einen Dialog vor die Nutzung des Admin-Tokens. Das ist allerdings nicht zwingend, denn eine (optional bösartige) Software kann, auch wenn sie mit dem Normal-Token läuft, auf das Admin-Token zugreifen, ohne daß ein UAC-Dialog kommt, weil beide Tokens zum selben User gehören und in der gleichen Login-Session laufen. Man kann sie nicht effektiv voneinander trennen. Das sagt Microsoft selbst. Siehe meinen Artikel:
http://www.macmark.de/windows_uac_security_placebo.php
Dann zeig mir, wie du mit einer Software ohne UAC-Bestätigung Rechte des Admin-Token (praktisch) nutzen kannst. Irgendwelche uralten Exploits gelten nicht, die gibts für jedes System.

Der Win-Admin kann auch auf NTFS alles. Sein Admin-Token erlaubt ihm das. Wenn Du etwas genauer sehen willst, was das Admin-Token alles darf, schalte die UAC aus, dann hast Du direkten Zugriff auf Dein Admin-Token.
Richtig, und das ist auch Sinn der Sache. Wenn das nicht der Fall sein soll, nimmt man halt Benutzer/Hauptbenutzer und gibt diesem nur die nötigen Rechte (zB Netzwerkkonfigurationsoperator, Sicherungsoperator, Druckadmin)

Zusammengefaßt:
Ein OS X-Admin hat nie die Rechte auf andere User- oder System-Verzeichnisse. Nur Root. Der Zugriff erfordert einen Benutzerwechsel. Die Rechte sind durch unterschiedliche Benutzer streng voneinander getrennt.
Ein Win-Admin hat immer die Rechte auf andere User- oder System-Verzeichnisse. Die Rechte daran sind durch Admin- und Normal-Token innerhalb desselben Users nicht streng trennbar.

Juhu, du hast gecheckt wieso man nicht als Admin arbeiten soll. Btw, ein OSX-Admin kann OHNE Passwortbestätigung, Benutzerwechsel oä Programmbundles, die er selbst erstellt hat ändern, auch wenn der Benutzer inzwischen nicht mal mehr Admin ist! Das ist in meinen Augen die größere Sicherheitslücke als wenn ein lokaler Admin an die (unverschlüsselten) Daten kommt!

Die UAC dient der Umerziehung der Entwickler, daß sie sich an normale Rechte gewöhnen. Sie ist kein Sicherheitsfeature. Der Zugriff auf das Admin-Token ist für normale Software deshalb nicht leicht, aber möglich und technisch nicht zu verhindern, weil beide Token zum selben User gehören.

Dann zeig mal her, ich bin gespannt!
 
der OS X Admin ist zwar nicht Root, kann sich aber auch jederzeit zu Root machen. …
Nein, man kann sich zu gar nichts machen. Es ist ein Benutzerwechsel.

unter Win7 ist er kein voller Admin, kann sich aber duch Ausnutzung seiner Rechte dazu machen.
Er ist unter Win7 ein Voll-Admin und zeitgleich und in derselben Session auch ein Normalo. Er muß sich zu nichts machen. Er ist. Kein Benutzerwechsel.

Dann zeig mir, wie du mit einer Software ohne UAC-Bestätigung Rechte des Admin-Token (praktisch) nutzen kannst.
Da gibt es verschiedene Wege. Ein einfacher:
http://www.macmark.de/windows_uac_security_placebo.php#not_for_network

POSIX-Exkurs:
kann OHNE Passwortbestätigung, Benutzerwechsel oä Programmbundles, die er selbst erstellt hat ändern, auch wenn der Benutzer inzwischen nicht mal mehr Admin ist
Einfache POSIX-Rechte: Dateien, die Du erstellst, haben Dich als Owner und Deine Gruppe als Group-Owner. Verlierst Du die Gruppenmitgliedschaft, bist Du nicht mehr einer der Group-Owner. Du bist aber weiter der (User-)Owner. Hier kannst Du den "sudo chown"-Befehl, den Du oben nanntest, sinnvoll einsetzen und die App auf system:admin setzen. Das kann der Admin nämlich nicht selbst, weil er keine Root-Rechte hat.
 
Zuletzt bearbeitet:
Nein, man kann sich zu gar nichts machen. ...
Ach, komisch dann muss ich davon, dass ich ein sudo -s machen kann nur geträumt haben.
Er ist unter Win7 ein Voll-Admin und zeitgleich und in derselben Session auch ein Normalo. Er muß sich zu nichts machen. Er ist. Kein Benutzerwechsel.
Ja, es ist der gleiche Benutzer. Aber um vom normalen aufs Administrative Token zu wechseln, ist ein UAC-Consent notwendig. Und außer ein wenig Geschwurbel hast du auch noch nichts stichhaltiges gebracht, wie du diesen umgehen kannst.
Und dass soll mir nun genau was sagen? Dass ich, wenn ich auf eine administrative Freigabe auf einen PC mit Adminrechten zugreife dort alles tun kann? Surprise,surprise :D

Was man dazu sagen kann, ist dass die Standardeinstellungen bei Windows bezüglich Netzwerk leider etwas lax sind.

Aber (und drauf will ich hinaus): Wenn du dir unter egal welchem System einen Schädling einfängst, bist du als Adminbenutzer relativ schlecht dran. Da die Fenster für Administrative Aufgaben (egal ob unter einem anderen User oder nicht) auf dem selben Desktop/Session/X-Server laufen, können diese auch davon beeinflusst werden.

POSIX-Exkurs:

Einfache POSIX-Rechte: Dateien, die Du erstellst, haben Dich als Owner und Deine Gruppe als Group-Owner. Verlierst Du die Gruppenmitgliedschaft, bist Du nicht mehr einer der Group-Owner. Du bist aber weiter der (User-)Owner. Hier kannst Du den "sudo chown"-Befehl, den Du oben nanntest, sinnvoll einsetzen und die App auf system:admin setzen. Das kann der Admin nämlich nicht selbst, weil er keine Root-Rechte hat.

Glaub mir, das weiß ich nur zu genau. Übrigens, natürlich kann der Admin sehr wohl ohne Root-Rechte seine Rechte weggeben (er hat ja Schreibrechte, da er Owner ist), er kann sie sich nur danach nicht wieder nehmen.
Mal was anderes: Unter OS X ists OK, manuell die Rechte aller Programmbundles umzufrickeln, unter Win7 ists aber zuviel verlangt, einen eigenen Admin-Benutzer anzulegen und mit einem normalen User zu arbeiten? So wärs nämlich für den prof. Einsatz vorgesehen! Der Adminbenutzer heißt nicht zufällig so, sondern weil man damit administrative Sachen macht (Software installieren, Einstellungen vornehmen etc)!
 
Zuletzt bearbeitet:
Ach, komisch dann muss ich davon, dass ich ein sudo -s machen kann nur geträumt haben.
Sudo macht (auch mit -s) einen Benutzerwechsel.

… Da die Fenster für Administrative Aufgaben (egal ob unter einem anderen User oder nicht) auf dem selben Desktop/Session/X-Server laufen, können diese auch davon beeinflusst werden.
Nur Root kann in andere User-Session eingreifen. Kein OS X Admin. Usergrenze => Kein Zugriff möglich.
Bei Windows ist der Admin jedoch ein "Root" und seine Root-Token-Prozesse laufen mit seinen Normal-Token-Prozessen in der Session in dem User. Keine Usergrenze => Zugriff möglich.

kann der Admin sehr wohl ohne Root-Rechte seine Rechte weggeben
Nein.
Code:
touch hallo
chown <irgendein anderer user> hallo
chown: hallo: Operation not permitted
 
Zuletzt bearbeitet:
Sudo macht (auch mit -s) einen Benutzerwechsel.

Und weiter? Fakt ist, dass du mit einem Benutzer der Gruppe admin defacto root-Rechte hast, da du damit ohne das Root-Passwort zu kennen zu root, und von da aus auch beliebigen anderen Benutzern wechseln kannst.
 
Und weiter? Fakt ist, dass du mit einem Benutzer der Gruppe admin defacto root-Rechte hast, da du damit ohne das Root-Passwort zu kennen zu root, und von da aus auch beliebigen anderen Benutzern wechseln kannst.
Nein. Ein OS X-Admin hat keine Rootrechte. Er wird auch nicht zu Root. Die Admin-Gruppe ist berechtigt auf den Root-User zu wechseln. Benutzerwechsel. Usergrenzen. Windows: Nix Usergrenze zwischen Root und Normal.
 
  • Gefällt mir
Reaktionen: andi42
Zurück
Oben Unten