die Abwärtskompatibilität bei Apple

[JeZe]

Na immerhin ein OS zu haben was keine öffentlich bekannte Sicherheitslöcher hat.
Ob Safari jetzt zum OS gehört oder nicht ... da kann man trefflich drüber streiten.
Also für mich schon, da es mit Mac OS X ausgeliefert wird.



Naja, mein Ziel ist es ja den Schaden gar nicht erst entstehen zu lassen.



Das ist ja man eine coole Einstellung. Erinnert mich an VMS/openVMS - da wurde einem auch gesagt "SSH, SFTP? - So'n quatsch - Telnet und FTP sind viel ausgereifter. Hacker kommen auf dem System sowieso nicht zurecht - was sollen sie da schon machen?" - (kein Scherz jetzt) - und in der Tat, es gibt nicht viele Dokumentierte Einbrüche in VMS Systeme ...

Ich bin nicht Anhänger von "security by obscurity", von daher versuche ich nur Software zu benutzen die als sicher gilt. Ich warte nicht auf ein Schadensfall um ein Update einzuspielen.

Ich lass ja auch nicht meine Haustüre nachts offen stehen - würde jede Wette eingehen das ich das hier Monate lang machen könnte, ohne das was passiert (ausser das mich die Nachbarn darauf aufmerksam machen ). Ich schliesse sogar das Auto ab, ja! - Voll schizo!

Atti

Dein Vergleich trifft es aber nicht ganz. Vergleichbar wäre Dein Verhalten eher damit, dass Du ein Fenster im oberen Geschoss eines Wolkenkratzers nicht gekippt lassen willst.

Auch da würde jeder proof of Concept ergeben, dass man eindringen kann, trotzdem müsste es ein Einbrecher schon auf dich persönlich abgesehen haben um sowas auszunutzen. Wenn Du also Material auf Deinem Rechner hast, was für den CIA oder KGB interessant ist, dann verstehe ich Deine Sicherheitsbedenken voll und ganz - nur wird man dich dann eher persönlich aufsuchen, als eine Sicherheitslücke in Deinem Betriebssystem auszunutzen.

Wenn es aber um die Instrumentalisierung Deines Rechners als Bot-Client oder als Empfänger und Verteiler von Schadsoftware geht, dann ist er für entsprechende Leute so interessant wie ein gekipptes Fenster im 100. Stock.

 

[maba_de]

Und was kann diese Schadware machen?
Hat schon seinen Grund warum diese Lücken nicht ausgenutzt werden. Ich sagte ja, Proof of concepts gibts viele.

Charlie Miller und seine Demonstrationen sind dir bekannt?
pwn2own Wettbewerb?
Dort wird jedesmal demonstriert, das und wie man über Safari und eine modifizierte Seite den Mac übernehmen kann.
Deine Frage, was die Schadware machen kann, ist einfach: im besten Fall nur das, was Du als User darfst (z.B. deine Daten klauen), im schmlimmsten Fall
erlangt man über die Lücke Root Rechte und macht alles mit deinem Mac.

Nur ist nicht jeder Charlie Miller und möchte medienwirksam vermarktet werden. Manche haben eben einfach andere Dinge im Sinn.
Yahoo hat vor einiger Zeit gemeldet, das 4% aller von ihnen indizerten Webseiten Schadcode enthalten.
Kaspersy hat festgestellt, das über Facebook mehr Trojaner in Umlauf gebracht werden als über Proon Seiten.
Klar, mag für dich keine Bedrohung sein, für mich in meinem Beruf (ISO) ist es das.

 

[avalon]

Charlie Miller und seine Demonstrationen sind dir bekannt?
pwn2own Wettbewerb?
Dort wird jedesmal demonstriert, das und wie man über Safari und eine modifizierte Seite den Mac übernehmen kann.
.

Soweit mir bekannt mit einer zweiwöchigen Vorbereitungszeit........

"I can't talk about the details of the vulnerability, but it was a Mac, fully patched, with Safari, fully patched," said Miller on Wednesday, not long after he had won the prize. "It probably took five or 10 seconds."
He confirmed that he had researched and written the exploit before he arrived at the challenge.

 

[maba_de]

Häh?

Overview
Use-after-free vulnerability in Google Chrome before 17.0.963.56 allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors involving counter nodes, related to a "read-after-free" issue.

h1

das ist eine Webkit Lücke, die auch Safari betrifft.
Steht aber auch im Text...

 

[maba_de]

Soweit mir bekannt mit einer zweiwöchigen Vorbereitungszeit........

darum geht es doch gar nicht.
Sondern darum, DAS man Lücken ausnutzen kann und das auch gemacht wird.
Nur hat nicht jeder ein Interesse daran, diese Lücken den Firmen zu melden.
Es gibt alleine für diese Lücken einen eigenen Markt. Sogar mit SLAs und Premium Service .

 

[JeZe]

darum geht es doch gar nicht.
Sondern darum, DAS man Lücken ausnutzen kann und das auch gemacht wird.

Und wo das in der Praxis bei einem veralteten OS gemacht wurde würde ich eben gerne wissen.

 

[maba_de]

Und wo das in der Praxis bei einem veralteten OS gemacht wurde würde ich eben gerne wissen.

Der Google Hack in China ist so gelaufen, weil Google freundlicherweise ein veraltetes XP mit IE6 eingesetzt hat.
Dieser Hack (und ich habe da eine Detailanalyse) war einer der professionellsten und gezielt geführten Angriffe der letzten Jahre.
Und auf Safari eben auch möglich.

Aber wir entfernen uns hier ziemlich vom Topic.

 

[JeZe]

Der Google Hack in China ist so gelaufen, weil Google freundlicherweise ein veraltetes XP mit IE6 eingesetzt hat.
Dieser Hack (und ich habe da eine Detailanalyse) war einer der professionellsten und gezielt geführten Angriffe der letzten Jahre.
Und auf Safari eben auch möglich.

ABer das ist das, was nicht verstanden wird:
wenn bei XP und IE6 das selbe möglich ist, wie bei einem SL und Safari, dann hat erstere Kombination eine Anfälligkeit von 80% und letztere eine von 0,1%.

XP mit IE6 ist ein gekipptes Fenster im Erdgeschoss, SL mit Safari das selbe gekippte Fenster im 100. Geschoss eines Wolkenkratzers.
Wir verkürzen hier den Sachverhalt ständig, wenn wir uns immer nur das Fenster und seine Mechanik anschauen und völlig außer acht lassen, wo es eingebaut ist.

 

[maba_de]

ABer das ist das, was nicht verstanden wird:
wenn bei XP und IE6 das selbe möglich ist, wie bei einem SL und Safari, dann hat erstere Kombination eine Anfälligkeit von 80% und letztere eine von 0,1%.

XP mit IE6 ist ein gekipptes Fenster im Erdgeschoss, SL mit Safari das selbe gekippte Fenster im 100. Geschoss eines Wolkenkratzers.
Wir verkürzen hier den Sachverhalt ständig, wenn wir uns immer nur das Fenster und seine Mechanik anschauen und völlig außer acht lassen, wo es eingebaut ist.

keine Frage, an sich hast Du da Recht. Aktuelle OS, und da unterscheiden Spezialisten nicht, sind ungleich schwerer
einzunehmen als ein 11 Jahre altes OS.
Trotzdem reden wir von real existierenden Bedrohungen (spätestens dann, wenn Thirdparty Software installiert ist), nur eben mit einer geringeren Eintrittswahrscheinlichkeit.
Aber die Augen zuzumachen und zu sagen, es existiert keine Gefahr, führt dann eben mal zu einer Infektionsrate von 1% wie beim Flashback
oder vergleichbaren Infektionen unter Windows oder anderen Systemen.

Übrigens ist exploit-db.com eine nette Seite, wenn man mal wieder einen Exploit für den Browser seiner Wahl sucht.

 

[netzGnom]

Wenn es um die Löcher in Safari geht, ja mei, dann muss man halt auf einer anderen Browser wechseln. Ist ja bei Windows und Internet Explorer auch nicht anders. (Der 9er läuft übrigens unter XP auch nicht mehr) Deswegen verfault aber das OS nicht.

z.B. http://www.mozilla.org/en-US/firefox/15.0/system-requirements/
Grundvoraussetzung ist halt INTEL, aber ab Leopard lauffähig.

 

[JeZe]

Aber die Augen zuzumachen und zu sagen, es existiert keine Gefahr, führt dann eben mal zu einer Infektionsrate von 1% wie beim Flashback
oder vergleichbaren Infektionen unter Windows oder anderen Systemen.
.

Aber einen Beleg über eine Infektionsrate von 1% bei einem Mac hätte ich eben gerne mal...

 

[lundehundt]

Aber einen Beleg über eine Infektionsrate von 1% bei einem Mac hätte ich eben gerne mal...

das ist eine Hochrechnung die auf Basis einer Vermutung eines Virenherstellers beruht

 

[maba_de]

Aber einen Beleg über eine Infektionsrate von 1% bei einem Mac hätte ich eben gerne mal...

aber googlen kannst Du???
http://www.zdnet.de/41561508/botnetz-osx-flashback-der-mac-hat-seine-unschuld-verloren/

Neben Dr. Web hat nun auch Kaspersky das Bot-Netz bestätigt und zählt bis zu 670.000 Macs, die unter Kontrolle von Cyberkriminellen stehen. Gemessen an der Anzahl von 60 bis 70 Millionen Apple-Rechnern weltweit liegt die Infektionsrate bei annähernd einem Prozent.

 

[lundehundt]

Wenn es um die Löcher in Safari geht, ja mei, dann muss man halt auf einer anderen Browser wechseln. Ist ja bei Windows und Internet Explorer auch nicht anders. (Der 9er läuft übrigens unter XP auch nicht mehr) Deswegen verfault aber das OS nicht.

maba hat einfach verdraengt aus welchen Gruenden Firefox unter Windows fast 50% Marktanteil hat

 

[maba_de]

das ist eine Hochrechnung die auf Basis einer Vermutung eines Virenherstellers beruht

zweier (!)

Übrigens wird die Anzahl nirgend wo in Frage gestellt, nur hier mal wieder ...
Das ist so dermaßen typisch, was nicht sein darf kann nicht sein.

 

[JeZe]

aber googlen kannst Du???
http://www.zdnet.de/41561508/botnetz-osx-flashback-der-mac-hat-seine-unschuld-verloren/

Sorry, habe mich falsch ausgedrückt: ich meinte eine signifikante Infektionsrate von Mac-Rechneren, die aufgrund nicht gefixter alter Betriebssysteme entstehen konnten.

Hier werden ja ständig die Themen durcheinandergeworfen.

 

[maba_de]

maba hat einfach verdraengt aus welchen Gruenden Firefox unter Windows fast 50% Marktanteil hat

ja, es ist eine Schande, das der IE9, der 2011 auf den Markt kam, nicht mehr auf einem OS läuft, das 2001 veröffentlicht wurde.

Leute, so langsam wird es echt lächerlich!
Vor allem, wenn man das mit der Update Politik von Apple vergleichen will.

Davon ab nutze ich den IE9 nur zwangsweise. Privat bevorzuge ich so ziemlich alle anderen Browser.

 

[JeZe]

ja, es ist eine Schande, das der IE9, der 2011 auf den Markt kam, nicht mehr auf einem OS läuft, das 2001 veröffentlicht wurde.

Leute, so langsam wird es echt lächerlich!
Vor allem, wenn man das mit der Update Politik von Apple vergleichen will.

Der Markt ist doch gerecht aufgeteilt: Windows sorgt sich um die Vergangenheit, Apple um die Zukunft.

Im Ernst: ich finde ein Windows auf einem alten Mac nicht die schlechteste Lösung...

 

[MoNchHiChii]

ja, es ist eine Schande, das der IE9, der 2011 auf den Markt kam, nicht mehr auf einem OS läuft, das 2001 veröffentlicht wurde.

Leute, so langsam wird es echt lächerlich!
Vor allem, wenn man das mit der Update Politik von Apple vergleichen will.

Davon ab nutze ich den IE9 nur zwangsweise. Privat bevorzuge ich so ziemlich alle anderen Browser.

Leider hast du Recht....
Ein Grund warum sich das viele schreiben hier nicht lohnt

 

[maba_de]

Sorry, habe mich falsch ausgedrückt: ich meinte eine signifikante Infektionsrate von Mac-Rechneren, die aufgrund nicht gefixter alter Betriebssysteme entstehen konnten.

Hier werden ja ständig die Themen durcheinandergeworfen.

ok, da kann ich jetzt schlicht nur vermuten.
Beruflich werden wir von div. Security Centern unterrichtet (Symantec Security Research Center bsp., die deutlich besser sind als ihr Produkt ).
Ich hätte, sollte da was im Umlauf sein, das sicher schon gehört.