Angriff auf Mac OS X ohne Spuren?

das heißt osx ist sicher oder wie ?
 
MacW schrieb:
… Was denkt ihr darüber? Müssen wir uns Sorgen machen? Vielleicht nur bis zum nächsten Update?
Zum Vergrößern anklicken....

Weder noch.
"Einordnung von userland execve()"
http://www.macmark.de/osx_userland-execve.php

SelonScience schrieb:
… Vista in den 64bit versionen, kann ASLR auf alle ausfürbaren Dateien und libraries aktiviert werden. Dies ist das sicherste Momentan. Linux und Unixe müssen noch nachziehen. …
Zum Vergrößern anklicken....
Da ist nichts "random" bei Vistas ASLR. Schau mal Figure 3 an hier:
http://www.symantec.com/avcenter/reference/Security_Implications_of_Windows_Vista.pdf
 
Da ist nichts "random" bei Vistas ASLR. Schau mal Figure 3 an hier:
http://www.symantec.com/avcenter/reference/Security_Implications_of_Windows_Vista.pdf[/QUOTE]

"Microsoft has confirmed Symantec’s research findings and resolved the issue highlighted. These
shortcomings are due to be addressed in Windows Vista SP1."

Aus deinem pdf (zwei Jahre alt ...).

Das traf nur auf Vista 32bit zu, pre SP1, was doch schon lange her ist.

BTW: zwischen nichts random, und erhöhter Wahrscheinlichkeit liegen Welten.

"While ASLR continues to be effective, this reduction does increase the likelihood that an attacker can guess the correct address to target."
 
Lor-Olli schrieb:
Mal sehen was von der großen ANkündigung übrig bleibt. Und eine Frage die natürlich noch interessiert: wie groß ist die "Hilfestellung" die der User selbst leisten muss, denn vom Prinzip her habe ich es so verstanden, dass sich die Software zwar erfolgreich versteckt, aber nicht selbst installiert!?!?
Zum Vergrößern anklicken....

so wie ich es verstehe ist es nur ein intelligentes Ausnzutzen bekannter Featues!

(1) Alle Programme werden über ein initiales Startprogramm aktiviert
(2) Es gibt Sicherheits-Level in Betriebssystemen. Bei Intel-CPUs laufen Kernel-Programmteile im sog. RING0, sie haben keinerlei Zugriffs- und Ausführungsbeschränkungen.
(3) Anwendungsprogramme laufen mit Benutzerrechten im äußersten RING (RING3). Hier wirken Schutzmechanismen der CPU die Kompromittierung der inneren RINGs verhindert und somit eben auch den Kernel in RING0 schützt.
(4) Zum Start von Software in RING3 gibt es eine besondere Startmethode. Das ist in jedem OS so ( auch Windows macht diese Unterschiede denn sie werden ja von der Hardware vorgegeben(Intel()).
(5) Die Startmethode für die Benutzerumgebung (Userland nennt man das) in OS X, hat eine Besonderheit. Sie erwartet nicht das ein Programm von der Festplatte geladen wird oder dort irgendwo registriert ist. Man kann einen Speicherbereich "irgendwie" mit einem Programm füllen und es dann mit Userland-Rechten starten.
(6) Genau das passiert in der genannten Lücke hier. Das Programm wird per Netzwerk auf den Mac geladen und dann mit dem Userland-Startbefehl gestartet.
(7) Dazu braucht es ein Pendant auf dem Mac das das Programm entgegen nimmt und dann startet. Es muß also vorher ein Trojaner oder ein anderes Hilfsprogramm vorhanden sein!
(8) Wieder ein gutes Argument als Benutzer nicht immer unbedingt die Rolle des Computer-Administrators zu haben ! :)
 
MS6800 schrieb:
das heißt osx ist sicher oder wie ?
Zum Vergrößern anklicken....

Ne, sicher ist kaum ein System. Man muß sich jedoch nicht verrückt machen, genauso wenig, wie man sich jedem Mist aus dem Internet installieren muß. Ein vernünftiger Umgang, kontinuierliche Vorsorge und aktuelles Wissen sind m.E. eine gute Basis, um auch künftig ein sauberes System zu nutzen.

Und meine persönliche Meinung: Ich fand dieses versuchte iWork richtig gut bzw. die Idee finde ich gut. Meiner Meinung nach sollte man Raubkopierern oder denen, die meinen anständige Arbeit nicht bezahlen zu müssen, ordentlich auf den Sack klopfen. Vielleicht sehen das nicht alle von Euch so, aber ich finde es richtig, solchen Leuten einen Denkzettel zu verpassen.
 
Lor-Olli schrieb:
Mal sehen was von der großen ANkündigung übrig bleibt. Und eine Frage die natürlich noch interessiert: wie groß ist die "Hilfestellung" die der User selbst leisten muss, denn vom Prinzip her habe ich es so verstanden, dass sich die Software zwar erfolgreich versteckt, aber nicht selbst installiert!?!?
Zum Vergrößern anklicken....

Wie schon andere gesagt haben: Daran ändert sich gar nichts.

Am iWork Trojaner kann man sehen, dass auch ohne diese userland-exec Technik schaden anzurichten ist.
Aber es erlaubt eben -- auch das wurde im Thread schon oft genug gesagt -- zum Beispiel Daten vom Netz nachzuladen und als Prozess auszuführen.

Es verringert also die Möglichkeit, Schadcode auf einem "toten", also einem nicht-laufenden System zu entdecken. Nicht mehr, und nicht weniger.

Alex
 
tocotronaut schrieb:
ich bin schon illegal in tausende gesicherte macs und auch andere hochleistungsrechner eingedrungen.

natürlich immer ohne spuren zu hinterlassen. ;)



bin aber wirklich mal gespannt was dabei rauskommt.

p.s.: ein Virenscanner bringt nix, weil der Exploit sich nicht auf der Festplatte einnistet.
Momentan kann man nur Abwarten, bis der Mensch weitere Informationen preis gibt und sein Beispielprogramm veröffentlicht.
Zum Vergrößern anklicken....

Niemand dringt in ein gesichertes System ein.
Hauptprobleme sind fahrlässiger Umgang mit Passwörtern, installation von Software aus Zweifelhaften Quellen und halt Mails unbekannter Herkunft. Die Masse der Anwender geht jedenfalls mit ihren Rechnern um, da könnten sie genauso gleich die Haustüre daheim offen stehen lassen.
Wenn ich das nicht will, kommt keiner in mein System. Und ich surfe auch in der Hölle (schon rein aus beruflichen Gründen).

Und ein Virenscanner bringt schon was. Die Frage ist halt, was er kann.
 
Scannen Virenscanner nicht auch den Speicherbereich? Was spricht dagegen Suchmuster im Speicher zu scannen? Das Medium ist egal, oder verstehe ich da was falsch?
 
Multe schrieb:
Scannen Virenscanner nicht auch den Speicherbereich? Was spricht dagegen Suchmuster im Speicher zu scannen?
Zum Vergrößern anklicken....

Rischtisch! Die vorgestellte Methode verhindert (EDIT: erschwert) eben, dass der Schadcode im laufenden System gefunden wird.

Das erschwert zum Beispiel den Virenscan mit einer Linux Boot-CD oder so. Das wird ja gerne gemacht, gerade wenn der dringende Verdacht eines Befalls besteht. Da will man die Kiste ja nicht hochfahren.

Alex
 
Zuletzt bearbeitet:
Hast du den nicht "interessanten" Link auch geklickt, bevor du ihn kritisierst? Der Link verweist nicht auf den Heise-Artikel, sondern auf einen Kommentar, der den Artikel ebenfalls relativiert. :)
 
Ähm ich habe die trial version von der apple homepage, die ist aber sicher oder?
 
nschum schrieb:
Hast du den nicht "interessanten" Link auch geklickt, bevor du ihn kritisierst? Der Link verweist nicht auf den Heise-Artikel, sondern auf einen Kommentar, der den Artikel ebenfalls relativiert. :)
Zum Vergrößern anklicken....

Ich habe nur realisiert, daß es um den entsprechenden unrecherchierten Artikel von heise geht. ;-)
Der Kommentar ist zwar korrekt, aber nur ein kleiner Teil des Puzzles. Viele Kommentare bei heise unterbieten oft noch das Niveau der Meldungen, daher bin ich nicht ganz so grell darauf :p

Der Großteil der Online-Presse kopiert wieder mal nur Schlagzeilen mit irreführendem Inhalt ohne sich auch nur ansatzweise die Mühe zu machen, herauszufinden, was wirklich Sache ist.
Das würde natürlich auch der Schlagzeile/Werbe-Klick-Rate schaden, weil die Wahrheit zwar technisch interessant, aber nicht beunruhigend ist (nochmals aktualisiert):
http://www.macmark.de/osx_userland-execve.php
 
MS6800 schrieb:
ist ClamXav gut ???
Zum Vergrößern anklicken....

Gut wofür?

Für das Thema hier im Thread überhaupt nicht, weil ClamXav auf der Festplatte rumsucht und nicht im Hauptspeicher.

Als Virensucher für Windows-Viren ja, denn da kennt er viele.

Als Virensucher für OS X-Schädlinge nein, denn er kennt nicht einen.

Apple verwendet ClamXav in der OS X-Serverversion als Teil des Mailservers, um Windows-Viren aus Emails rauszufischen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Medvedev
Mac Book Air mit T1 Prozessor Daten sicher löschen u. OS wiederherstellen
Antworten
18
Aufrufe
750
Medvedev
Medvedev
C
HomeKit Kameras - Bewegung und Aufnahme ohne Funktion
Antworten
1
Aufrufe
269
Stargate
Stargate
H
Teamviewer auf dem Mac ?
Antworten
5
Aufrufe
168
harry1000
H
Bubo bubo
Recht auf Leben ohne Digitalzwang soll ins Grundgesetz
2 3
Antworten
51
Aufrufe
1.242
schatzfinder
S
L
Mehrere Benutzer auf dem Mac
Antworten
2
Aufrufe
175
MrChad
MrChad
Zurück
Oben Unten