Mac OS X: "geringeres Risiko, aber letztlich unsicherer"

in2itiv schrieb:
...ich kann nur sagen, das ich seit 6 Jahren einen Mac OS X server per ftp und webserver offen am Netz habe. Anhand der logs lassen sich jeden Tag eine vielzahl von Angriffen erkennen. Bisher ist es aber dabei keinem gelungen in das system einzudringen.
Zum Vergrößern anklicken....

Die Frage ist immer, welchen FTP/HTTP Server nutzt Du?
Welche Module und welche Version der Server und der Module?
Gibt es für die von Dir verwendeten Versionen der Server und der Module entsprechende Exploits?

Von Deinem System auf eine angenommene Allgemeinheit zu schliessen funktioniert nicht. Das funktioniert in keinem Fall, da immer die genauen spezifischen Faktoren zu berücksichtigen sind.
 
in2itiv schrieb:
...ganz so einfach ist es dann eben doch nicht. Denn du kannst sicherlich einen Rechner von aussen von Hand steuern und manipulieren, du kannst es aber eben nicht standardisieren um so über eine website/exploit, massen an Mac zu manipulieren, geschweige denn zu übernehmen.
Zum Vergrößern anklicken....

Natürlich kann man das. Das Botnet vor einiger Zeit hat es ja bewiesen.

Wie kommst Du auf die Idee, daß es nicht geht ? Sobald Du Zugriff auf die Shell hast kannst Du tun und lassen, was Du willst - auch automatisiert.

Dazu reicht es ein Script zu starten. Wo liegt das Problem ?
 
in2itiv schrieb:
...ganz so einfach ist es dann eben doch nicht. Denn du kannst sicherlich einen Rechner von aussen von Hand steuern und manipulieren, du kannst es aber eben nicht standardisieren um so über eine website/exploit, massen an Mac zu manipulieren, geschweige denn zu übernehmen.

...die Wahrscheinlichkeit, das man auf eine manipulierte website trifft, hinter der sich jemand verbirgt, der darauf wartet, sich gerade deinem system anzunehmen, ist sehr sehr gering.

...wie schon geasgt, auf nen rechner zuzugreifen, ist nicht die Kunst. Ein funktionierendes Konzept mit Massen an Macs etwas "sinnvolles" zu machen, schon sehr viel mehr.
Zum Vergrößern anklicken....

Soweit ich den aktuellen Safari-Exploit verstanden habe, funktioniert der mit jedem aktuell gepatchten Snow Leopard auf dem ein aktuell gepatchter Safari läuft. Das starten der entsprechenden System-Shell ist also prinzipiell auf jedem aktuell gehaltenen Mac OSX 10.6 möglich.
Fraglich ist nur, ob jeder Mac OSX Rechner auch eine entsprechend manipulierte Seite besucht, denn _nur_ das bestimmt den Verbreitungsgrad eines Exploits der in der freien Wildbahn beobachtet wird. ;)
 
Deep4 schrieb:
Natürlich kann man das. Das Botnet vor einiger Zeit hat es ja bewiesen.

Wie kommst Du auf die Idee, daß es nicht geht ? Sobald Du Zugriff auf die Shell hast kannst Du tun und lassen, was Du willst - auch automatisiert.

Dazu reicht es ein Script zu starten. Wo liegt das Problem ?
Zum Vergrößern anklicken....

...jetzt wirfst du aber zwei sachen, die nichts direkt miteinander zutun haben,m in einen Topf. das Botnet infizierte macs durch präparierte illegale Versionen von iWork'09 und Photoshop CS4.

...einen standardisierten script-zugriff und das installieren einen Bots über eine gekaperte softwareinstallation, sich zwei sehr verschiedene Dinge. Da spielen Randfaktoren eine rolle, die beides nicht vergleichbar machen.
 
"Shell mit systemweiten Rechten" beim aktuellen "Siegerexploit" für den Safari auf Mac OSX beim pwn2own-Wettbewerb 2010 ist doch eigentlich aussagefähig genug, oder nicht?
Zum Vergrößern anklicken....

wie bekommt der Siegerexploit eine shell mit systemweiten Rechten wenn ich mit meiner Safari Session als normaler Benutzer und nicht als Admin angemeldet bin?
 
in2itiv schrieb:
...jetzt wirfst du aber zwei sachen, die nichts direkt miteinander zutun haben,m in einen Topf. das Botnet infizierte macs durch präparierte illegale Versionen von iWork'09 und Photoshop CS4.

...einen standardisierten script-zugriff und das installieren einen Bots über eine gekaperte softwareinstallation, sich zwei sehr verschiedene Dinge. Da spielen Randfaktoren eine rolle, die beides nicht vergleichbar machen.
Zum Vergrößern anklicken....

- Charlie Miller Exploit nutzen --> offene Systemshell
- in der Systemshell --> Download von Softwarekomponenten
- in der Systemshell --> Installation der Softwarekomponenten in einem Verzeichnis, welches dem normalen Benutzer im Finder nicht sichtbar ist
- Starten der Softwarekomponenten --> lokaler IRC-Client mit Verbindung zum IRC-Server mit der Botsteuerung

Systemshell ist hier das Zauberwort und sollte alle Benutzer wirklich sensibel werden lassen.
 
in2itiv schrieb:
...die Frage ist: Was kann er dann dort ausrichten? Und da wird es dann interessant.
Zum Vergrößern anklicken....

@ Deep4

Es geht genau darum und nicht was ich wahrhaben will.

Es geht um die Auswirkungen und nicht darum ob es geht.
Das es geht ist doch längst bewiesen und darum streite ich doch gar nicht.

Warum also wurden die Lücken bisher nach meinem Kenntnisstand nicht ausgenutzt?

Wäre doch auch bei 20 Millionen Macs sicher lukrativ.
 
Cathul schrieb:
- Charlie Miller Exploit nutzen --> offene Systemshell
- in der Systemshell --> Download von Softwarekomponenten
- in der Systemshell --> Installation der Softwarekomponenten in einem Verzeichnis, welches dem normalen Benutzer im Finder nicht sichtbar ist
- Starten der Softwarekomponenten --> lokaler IRC-Client mit Verbindung zum IRC-Server mit der Botsteuerung

Systemshell ist hier das Zauberwort und sollte alle Benutzer wirklich sensibel werden lassen.
Zum Vergrößern anklicken....

...hast du am mac schon mal ein Programm über die shell installiert?

...und das dann vielleicht auch sogar über ein script?

...hat das überhaupt schon mal jemand über einen Exploit-zugriff gemacht?

...die zählst 2 und 2 zusammen, nicht immer ergibt das 4 ..... die 4 muss auch teil des Zahlenraums sein, in dem du dich bewegst ;)
 
in2itiv schrieb:
...hast du am mac schon mal ein Programm über die shell installiert?

...und das dann vielleicht auch sogar über ein script?

...hat das überhaupt schon mal jemand über einen Exploit-zugriff gemacht?

...die zählst 2 und 2 zusammen, nicht immer ergibt das 4 ..... die 4 muss auch teil des Zahlenraums sein, in dem du dich bewegst ;)
Zum Vergrößern anklicken....

Ja
Ja
Generell, ja. Die Installation von Programmen über Remote-Root Shells ist seit mindestens 15-20 Jahren eine bekannte Möglichkeit zur unbemerkten Installation von Programmen
OSX ist ein Unix. Habe ich root-Rechte, egal ob über einen lokalen oder entfernten Zugriff, habe ich gewonnen. Deine Einschränkung auf OSX ist dabei absolut irrelevant.
 
avalon schrieb:
@ Deep4

Es geht genau darum und nicht was ich wahrhaben will.

Es geht um die Auswirkungen und nicht darum ob es geht.
Das es geht ist doch längst bewiesen und darum streite ich doch gar nicht.

Warum also wurden die Lücken bisher nach meinem Kenntnisstand nicht ausgenutzt?

Wäre doch auch bei 20 Millionen Macs sicher lukrativ.
Zum Vergrößern anklicken....

Der Terminus "0-Day Exploit" ist Dir aber bekannt, oder?
Falls Du jetzt "Ja" antwortest, Frage ich Dich wieso Du eine Frage stellst, die Du dir selber beantworten kannst.
 
in2itiv schrieb:
...hast du am mac schon mal ein Programm über die shell installiert?

...und das dann vielleicht auch sogar über ein script?

...hat das überhaupt schon mal jemand über einen Exploit-zugriff gemacht?

...die zählst 2 und 2 zusammen, nicht immer ergibt das 4 ..... die 4 muss auch teil des Zahlenraums sein, in dem du dich bewegst ;)
Zum Vergrößern anklicken....

Wo liegt das Problem ? Man kann (und ich mache das in Linux regelmäßig) bequem alle Systemdateien modifizieren, in Startdateien schreiben, SSH konfigurieren, Änderungen an der Firewall vornehmen etc etc etc...

Ob der Zugriff über einen Exploit statt findet oder nicht ist doch völlig irrelevant -> am Ende des Exploits stehen root-Rechte in der Shell, und damit kann man machen was man will.

Ob OSX oder Linux oder sonstwas, ist ganz egal dabei.

Außerdem muss man kein Programm über die Shell installieren - viel zu aufwändig. Irgendwo ein Programm in einem der Systemordner ablegen und über Startscript aufrufen. Sind 2 Zeilen Code, wenn man erstmal in der Shell ist.

Dazu nochmal einmal paar Zeilen um dem Programm den Zugriff durch die Firewall zu gestatten.

Mit root ist das alles sooo simpel...Was meinst Du, wie wir unsere Macs administrieren ?
 
Cathul schrieb:
Der Terminus "0-Day Exploit" ist Dir aber bekannt, oder?
Falls Du jetzt "Ja" antwortest, Frage ich Dich wieso Du eine Frage stellst, die Du dir selber beantworten kannst.
Zum Vergrößern anklicken....

Nein der Begriff war mir nicht bekannt...

Hättest du "Proof of concept" geschrieben hätte ich mit ja geantwortet.

Aber nach wie vor hat mir noch keiner einen nennenswerten, größeren Schaden auf OS X Rechner nennen können.
Auch wenn du immer beteuerst das dass alles kein Problem sei, bzw. alles so simpel ist

Ich nehme dir ja deine Fähigkeiten durchaus ab.

Warum also machen das Leute nicht die sogar mehr können als du und böser sind als du.

Die Antwort bleiben alle schuldig.
 
avalon schrieb:
Aber nach wie vor hat mir noch keiner einen nennenswerten, größeren Schaden auf OS X Rechner nennen können.
Zum Vergrößern anklicken....

Müssen wir auch nicht und ist hier ja auch gar nicht das Thema. Die Möglichkeit der Attacke und die Durchführbarkeit besteht.

Das Thema ist "Mac OSX : geringeres Risiko, aber letztlich unsicherer".

Und das stimmt nunmal so.

Wenn Apple die DNS-Lücke über Monate offenläßt, ist das unsicherer als bei den anderen Herstellern. Das Risiko ist aber geringer.
 
Deep4 schrieb:
Müssen wir auch nicht und ist hier ja auch gar nicht das Thema. Das Thema ist "Mac OSX : geringeres Risiko, aber letztlich unsicherer".

Und das stimmt nunmal so.

Wenn Apple die DNS-Lücke über Monate offenläßt, ist das unsicherer als bei den anderen Herstellern. Das Risiko ist aber geringer.
Zum Vergrößern anklicken....


Das ist doch unbestritten...

Also bleiben wir wachsam und warten bei geringerem Risiko, das Apple etwas schneller in die Hufe kommt.

Auch dort bin ich mir sicher das diese Dinge nicht auf die leichte Schulter genommen werden.
Es wäre ein Desaster für Apple wenn Macs massenweise manipuliert würden und das an die Medien dringt.
 
Deep4 schrieb:
Grosse Worte :

http://www.tecchannel.de/sicherheit/news/1771963/ueberfaellig_apple_patcht_dns_luecke/

Selber mal recherchieren und nicht den erstbesten Link von Google posten !
Zum Vergrößern anklicken....

...naja, wenn du mir jetzt noch erklärst, warum ein patch für einen "DNS-Server" auf einem desktop-os eine "dringende sache" ist, dann lassse ich deine kritik gelten.

..mal ehrlich, die wenigsten Mac-server nutzen diesen dienst, aber auf dem desktop würde ich das für so gut wie ausgeschlossen halten. Zumal 99,293% der Mac-user gar nicht wissen, wie sie diesen dienst starten.
 
avalon schrieb:
Nein der Begriff war mir nicht bekannt...

...

Aber nach wie vor hat mir noch keiner einen nennenswerten, größeren Schaden auf OS X Rechner nennen können.
Auch wenn du immer beteuerst das dass alles kein Problem sei, bzw. alles so simpel ist

Ich nehme dir ja deine Fähigkeiten durchaus ab.

Warum also machen das Leute nicht die sogar mehr können als du und böser sind als du.

Die Antwort bleiben alle schuldig.
Zum Vergrößern anklicken....

Weil das ein Kennzeichen von 0-Day Exploits ist.
Und ganz ehrlich, ich bin froh, dass Charli Miller den Exploit auf pwn2own präsentiert hat, denn hier gibt es für Exploits ganz spezielle Vereinbarungen, nachzulesen in den Teilnahmebedingungen.

Nicht auszuschliessen ist jedoch, dass es 0-Day-Exploits gibt, die nicht an Apple gemeldet werden, sondern erstmal nur im Untergrund existieren. Diese sind naturgemäß schwerer durch die Hersteller zu schliessen, da diese natürlich erst aktiv werden können, wenn dem Hersteller die Schwachstelle bekannt wird (ist bei pwn2own gegeben).

Die einzige Sicherheitsmaßname die mir jetzt in Bezug auf 0-Day Exploit beim Safari einfällt wäre Sandboxing, welches aber wieder weitergehende Kenntnisse in Bezug auf OSX benötigt. Inwieweit sich der aktuelle Exploit damit verhindern liesse kann ich nicht beurteilen, aber generell scheint mir Sandboxing, mit entsprechenden Einstellungen für die Sandbox, das einzig valide Mittel zur Abwehr solcher browserbasierten Exploits zu sein, und da hat macmark dann auch tatsächlich Recht. Wobei Sandboxing in der UNIX Welt schon weitaus länger bekannt ist und tatsächlich schon seit Jahrzehnten z.B. für Webserver, Mailserver, POP3/IMAP-Server und andere Dienste eingesetzt wird.
 
und ich wuesste immer nocht gerne wie man ueber einen Safari Exploit root werden kann wenn der Benutzer nicht mal mit dem Admin account angemeldet ist. Oder handelt es sich um eine Kombination aus Safari Exploit und Root Exploit?
 
in2itiv schrieb:
...naja, wenn du mir jetzt noch erklärst, warum ein patch für einen "DNS-Server" auf einem desktop-os eine "dringende sache" ist, dann lassse ich deine kritik gelten.
Zum Vergrößern anklicken....

Client-Library bezeichnet die DNS-Bibliothek die die lokale DNS-Auflösung auf dem Client-OS benutzt. Diese wurde durch Apple erst recht spät gepatcht, zumindest deutlich später wie bei anderen Betriebssystemen mit relevantem Marktanteil auf dem Desktop-OS-Markt.

Und ganz ehrlich, die Client-Bibliothek wird jedes Programm mit Netzwerkzugriff nutzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten