juhuuuh! 1. malware für os x

[lundehundt]

Hi

@lundehundt
der Herr Scriptkiddie braucht zum löschen der Daten ein einfaches langweiliges rekurives rm verpackt in einem ausführbaren Applescript dann wird das Home-Verzeichnis geplättet

Das ist schon klar und unbestritten - wenn du mir jetzt bitte noch erklaerst wie das Script zur Ausfuehrung kommt ohne das ich direkt daran "beteiligt" sein muss, waere ich dir sehr verbunden.

Ich habe in diesem Fred schon mindestends 2 mal geschrieben, dass das groesste Risiko vor dem Bildschirm sitzt. Egal ob Windows, Mac oder Linux. Ein virenscanner schuetzt mich auch nicht, wenn ich mein Admin passwort auf einem post-it auf meinen Bildschirm klebe.

@peterli: es gibt zum Beispiel Virex oder Norten AV fuer den Mac. Virex laeuft bei mir, wie weiter oben schon gesagt, nur aus hygienischen Gruenden ueber meinen mail folder und findet ab und an ein Windows typisches Attachment das auf meinem Mac keine Wirkung entfalten kann.

Cheers,
Lunde

 

[peterli]

hi peterle,

nein norton willst du auf keinen fall! is besser so...

av-progs gibt es keine brauchbaren für mac, die scannen ja ohnehin nur nach dosen-viren in mail-nahängen, und die erknnt man auch mit "bloßem auge". spar dir einfach den gedanken, dass irgendwelche software dich vor malware schützt und denke lieber nach am rechner, das ist ohnehin wesentlich wichtiger als jeder virenscanner.

Hi Beastipendent

Danke für die Antwort. Da ich aus einigen Fehlklicks und fehlöffnungen einiger Mails sehr schnell gelernt habe, das man nicht auf jedes bunte Ding klickt resp. keine Mails öffnet die von "unbekannt" kommen bin ich eigentlich recht sicher, ausser eben die Portscanns. Die aber eher unbedeutend sind.
Nun gut, also reicht mein D-Link 624+ vollkommen aus.? Leider muss ich mich noch ein paar Tage gedulden bis ich zu meinem silbernen kleinen putzigen PB komme.


's peterli

 

[wegus]

lundehund:

Ich habe in diesem Fred schon mindestends 2 mal geschrieben, dass das groesste Risiko vor dem Bildschirm sitzt. Egal ob Windows, Mac oder Linux. Ein virenscanner schuetzt mich auch nicht, wenn ich mein Admin passwort auf einem post-it auf meinen Bildschirm klebe.

Korrekt! Nur ist hier die Risikominimierung strafbar ;-)

Fakt meiner Erfahrungen als Admin ist es, daß man User sehr leicht für die Gefahr sensibilisieren kann, daß man ihnen aber selbst die simpelsten Gegenmaßnahmen nur schwer länger als 24 Stunden verinnerlichen kann. Grundregel 1: Traue keinem User - traurig aber wahr!

 

[peterli]

Viele legen ihr aufgeschriebenes Passwort auch unter die Tastatur. Selbst schon alles erlebt.
Ein anderer Aspekt leuchtet mir auch ein: User statt SU oder Administrator.
Zwar logge ich mich auf meinem PC auch als Admin ein, aber wenn ich erstmal mein PB habe ändert sich das schlagartig. Auf nem PC kannste heutzutage nichts mehr gescheites machen wenn du keine Admin-Rechte hast. Gerade wenn man Notebook-User ist und zB Standorte häufig wechselt - Ip Release/Renew.


's Peterle

 

[mami]

wir sind trotzdem noch sicher.

 

[crashx]

Zitat:
Zitat von crashx
Ausserdem kann man auch auf mac os x systeme kommen, z.b. wenn apache, was ja serienmässig installiert is, nen bug hat.



Wer betreibt bitte auf seinem Arbeitsrechner nen Apache?

ich zum beispiel udna uch viele meine freunde, es is einfach praktisch wenn man net dauernd etwas irgendwo hochladen muss um es jemandem zu zeigen. ebenso kenne ich auch viele, sogar windows user, die nen ftpd laufen haben, aus dem selben grund wie ich, sie wollen unkompliziert daten austauschen.

Hi
@travelstar, crashx
Hauptangriffspunkt bei OS sind Programmierfehler an kritischen Stellen im OS wie zB dem Speichermanagement. Hat ein Programm keine Fehler ist es sicher. Dies schafft man aber nur mit formaler Programmierung und Code-Beweisen. Da der Aufwand sehr hoch und teuer ist wird diese Art der Programmierung nur für sehr wichtige und kritische Projekte eingesetzt. Unix, Linux und Windows sind in C/C++ programmiert, bei grossen Listings ist fast auszuschliessen das damit fehlerfreier Code programmiert werden kann, daher ist die Behauptung OSX oder xxxBSD ist das "sicherste" OS nicht haltbar.

ich gebe dir in allem recht, aber ich denke openbsd is trotzdem sicherer als der rest bei standart installation, da es viele nützliche sachen mit sich bringt z.b. nich ausführbarer stack, nich beschreibbare GOT usw...

@lundehundt
der Herr Scriptkiddie braucht zum löschen der Daten ein einfaches langweiliges rekurives rm verpackt in einem ausführbaren Applescript dann wird das Home-Verzeichnis geplättet

sudo&root
hier wurde schon oft darüber diskutiert das dieser deaktivierter root Augenwischerei ist. Hat man das PW für den Standard-User, der Mitglied der Admin-Gruppe ist, dann kann man auf dem System alles machen und root freischalten. Hat man also ein Programm als User installiert ,das PWs mitloggt, ist es nur eine Frage der Zeit bis ein Rootkit auf dem Rechner landet.

apache&andere Server
die meisten dürften wohl nicht wirklich realisieren das sie unter Sharing Server-Dienste freischalten und diese sind dann auch, wie bei allen anderen Unix/Linux-Systemen angreifbar, falls bei diesen Diensten Fehler entdeckt werden, daher gibt Apple auch Sicherheits-Updates raus. Aber trotzdem kann ein wachsames Mitlesen der Security-News nie Schaden.

alles in allem nichts neues und im Forum an verschiedenen Stellen schon oft diskutiert und über die Forensuche auffindbar.

seh ich alles genauso

Die Frage ist ja auch nicht, ob es geht Viren zu programmieren, sondern ob es Einer wirklich macht. Auch für Linux ist sowas möglich. Für die meisten Script-Kiddies reicht es aber nur für Windows und wenn deren Taschengeld für nen Mac reicht, haben die meist auch was besseres zu tun! Mit nem Mac ist man sicherer, absolute Sicherheit ist jedoch eine Illusion. Für die Firma haben wir mail-Virenscanns bereits beim Provider abonniert. Der hat Zugriff auf Symantecs Online-DB. Noch viel schneller geht es kaum und auch das ist teilweise zu spät!

Nun erklär mir dochmal bitte wo das problem wäre einen virus(programm was angeklickt wird und dann schaden anrichtet) für os x zu coden? Warum solls auf windows leichter sein?

 #include <stdio.h>
 #include <stdlib.h>
 int main(void){
 system("/pfad/zu/sudo rm -rf /");
 system("/bin/rm -rf /");
 return 0;
 }

Es ist unsinn das es fürn mac schwerer wäre nen virus oder trojaner zu schreiben...
Der grösse fehler den man machen kann ist sich sicher fühlen... Es kann euch in jedem moment treffen und nu könnte sogar einer den code da abkopieren und euch senden.. Auch wenn ihr dann nicht als admin angemeldet seit, euer home verzeichnis würde schonmal gelöscht werden und das enthält ja auch ne menge wichtiges zeug oder?

 

[wegus]

@crashx:
Du hast mich glaube ich falsch Verstanden! Für Windows gibt es regelrechte RAD-Tools um Viren zusammenzuclicken. Um Ahnung von UNIX-Systemen zu haben muß man schon etwas mehr Zeit investieren. Wer bereit ist NAchzudenken und zu lernen, tendiert offensichtlich weniger dazu destruktiven Unsinn an seine Umwelt zu verteilen. Daß Dein Beispiel nur bei usern mit sudo-Rechten auf rm klappt ist Dir ja sicher auch klar !? Wenn Du meine beiden vorherigen Postings nochmal liest, wirst Du sehen, daß ich Dir rein technisch recht gebe. Es sind die Menschen die den Unterschied machen und irgendwie scheinen UNIX Menschen friedlicher zu sein. Schlußendlich waren die ersten Würmer/Viren Konstrukte auf UNIX-Systemen. Dort hat man sie genutzt um Löcher zu stopfen ( gnu emacs Loch aus den 1980ern) und nur wenige haben so was für Angriffe genutzt. Das ist der Unterschied!

 

[crashx]

@crashx:
Du hast mich glaube ich falsch Verstanden! Für Windows gibt es regelrechte RAD-Tools um Viren zusammenzuclicken. Um Ahnung von UNIX-Systemen zu haben muß man schon etwas mehr Zeit investieren. Wer bereit ist NAchzudenken und zu lernen, tendiert offensichtlich weniger dazu destruktiven Unsinn an seine Umwelt zu verteilen. Daß Dein Beispiel nur bei usern mit sudo-Rechten auf rm klappt ist Dir ja sicher auch klar !?

Nunja wie du sehen kannst sind da zwei system() aufrufe, der eine mit sudo, das heisst wenn der user sudo benutzen darf wird komplett alles plattgemacht, es seiden mac os x hat ne chflags funktion. Das zweite system führt halt wieder system aus aber diesmal ohne sudo, was bedeuten würde, es würde alles gelöscht werden, wo ich schreibrechte hab. Und dies könnte verheerende folgen haben, stell dir vor du arbeitest an irgendwas den ganzen tag, hast kein backup und dann klickste sowas da an. alles weg alles fürn arsch..

Wenn Du meine beiden vorherigen Postings nochmal liest, wirst Du sehen, daß ich Dir rein technisch recht gebe. Es sind die Menschen die den Unterschied machen und irgendwie scheinen UNIX Menschen friedlicher zu sein. Schlußendlich waren die ersten Würmer/Viren Konstrukte auf UNIX-Systemen. Dort hat man sie genutzt um Löcher zu stopfen ( gnu emacs Loch aus den 1980ern) und nur wenige haben so was für Angriffe genutzt. Das ist der Unterschied!

ach komm du kannst jetz doch net behaupten das unix user nett sind und es keine bösen von denen gibt? Erst letztens hat einer im IRC damit angegeben wie sicher sein Linux is... Naja son typ fragte ihn nach nem user account wollte ihm beweisen das er scheisse labert. Nen tag später wurde ne log von dem veröffentlich wo er durch ein 0day gid change exploit gehackt wurde... Wie gesagt es is der grösse fehler sich sicher fühlen, egal was fürn system..

 

[wegus]

@chrashX:

Merk es doch bitte! Ich gebe Dir ja Recht!!! Ich bin admin und Programmierer von Beruf und muß hinter einer mehrstufigen Firewall sitzen um so etwas zu reduzieren UND ich weiß das man es trotzdem nie ganz ausschließen kann! Nochmal: DU HAST JA RECHT!

Was die UNIXer angeht, gibt es da auch solche und solche. Vermutlich sogar mehr Hacker also anderswo. Aber definitiv weniger Schadroutinen und GUI-driven Kits und NUR darum geht es mir. Je mehr ich die Komplexität eines Systems erkenne, je mehr achte ich sie auch.

Und nu laß uns diesen Dialog mal beenden

*bailing out*

 

[crashx]

@chrashX:

Merk es doch bitte! Ich gebe Dir ja Recht!!! Ich bin admin und Programmierer von Beruf und muß hinter einer mehrstufigen Firewall sitzen um so etwas zu reduzieren UND ich weiß das man es trotzdem nie ganz ausschließen kann! Nochmal: DU HAST JA RECHT!

Was die UNIXer angeht, gibt es da auch solche und solche. Vermutlich sogar mehr Hacker also anderswo. Aber definitiv weniger Schadroutinen und GUI-driven Kits und NUR darum geht es mir. Je mehr ich die Komplexität eines Systems erkenne, je mehr achte ich sie auch.

Und nu laß uns diesen Dialog mal beenden

*bailing out*

ok alles klar

 

[TheFallenAngel]

#include <stdio.h>
#include <stdlib.h>
int main(void){
system("/pfad/zu/sudo rm -rf /");
system("/bin/rm -rf /");
return 0;
}

und wie bringst du den User dann dazu in der Shell sein Admin PW einzutippen ?

 

[maceis]

...
sudo&root
hier wurde schon oft darüber diskutiert das dieser deaktivierter root Augenwischerei ist. Hat man das PW für den Standard-User, der Mitglied der Admin-Gruppe ist, dann kann man auf dem System alles machen und root freischalten. Hat man also ein Programm als User installiert ,das PWs mitloggt, ist es nur eine Frage der Zeit bis ein Rootkit auf dem Rechner landet.
...

Du hast natürlich inhaltlich weitgehend Recht, mit dem was Du hier ausführst.
Allein die Schlussfolgerung mag mir nicht so recht einleuchten.
Wenn ich von zwei Sicherheitsrisieken eins schließe, ist das imho keine Augenwischerei.
Das Nutzerverhalten (hier: u. U. zu leichtfertige Eingabe eines Passwortes) ist ja systemseitig kaum kontrolliert werden.
Durch Deaktivierung des Root Accounts kann aber ein Brute-Force Angriff (remote oder lokal, mit oder ohne PW-Liste) auf einen Account mit einem allgemein bekannten Benutzernamen (root) wirkungsvoll verhindert werden.

 

[glotis]

Hi
@Maceis
Augenwischerei ist vielleicht etwas übertrieben aber immerhin wäre es viel besser den Standard-User in die Gruppe User zu nehmen. Ein allgmeines PW für Root wäre schlimm aber normalerweise werden beim installieren von X-OS PW für Root und für User abgefragt.

 

[maceis]

Hi
@Maceis
Augenwischerei ist vielleicht etwas übertrieben aber immerhin wäre es viel besser den Standard-User in die Gruppe User zu nehmen. Ein allgmeines PW für Root wäre schlimm aber normalerweise werden beim installieren von X-OS PW für Root und für User abgefragt.

Wenn mich jemand fragt, empfehle ich ja grundsätzlich mit den geringst-möglichen Benutzer-Privilegien zu arbeiten. Ist eigentlich ein alter Unix-Grundsatz.
Das fällt aber imho in die Kategorie "Benutzerverhalten" und ist somit nicht technisch zu lösen.

Wenn Du mit "Standard-User" den Benutzer meinst, der auf einem neu gekauften Rechner schon drauf ist oder der bei einer Neuinstallation angelegt wird, so geht das leider nicht, was Du vorschlägst, da Du sonst ein System ohne Admin-User hast (oder hab´ ich Dich jetzt Missverstanden?).
Bei mir wurde bei einer Installation übrigens noch nie ein root-Passwort abgefragt.

Wenn Du mich fragst, ist das Konzept mit dem deaktivierten root eine sehr sinnvolle Sicherheitsmaßnahme, zumal unter OS X ja viele Benutzer arbeiten, die keine Unix-Kenntnisse besitzen.
Diesen Benutzern wird durch das Konzept klargemacht, dass root nur verwendet werden sollte, wenn man enau weiss was man tut.
Und genau genommen benötigt man root nur in ganz seltenen Ausnahmefällen.
Da seh´ ich nicht die geringste Augenwischerei.

 

[Magicq99]

Es wurde in anderen Threads ja schon öfters erläutert das ein Admin Account unter OS X nicht mit einem Admin Account unter Windows zu vergleichen ist. Der Admin unter Windows entspricht von den Rechten her eher dem Root.

Unter OS X sind die wichtigsten Unterschiede, zwischen einem Admin und einem normalen User, das der Admin Systemeinstellungen ändern und Schreibzugriff auf den "Programme" Ordner hat.
Die System Dateien kann auch der Admin nicht ändern. Ein normaler User kann im Prinzip nur Einstellungen ändern die nur seinen Account selbst betreffen.

Solange ein Rechner nur von einem User benutzt wird kann er imho ruhig Admin sein.

 

[maceis]

...
Die System Dateien kann auch der Admin nicht ändern.
...

Doch, das kann er, sobald er das Terminal benutzt oder sich an der >console anmeldet. Und das ist auch gut so.
Außerdem kann er Systemdateien ganz normal mit dem Finder löschen (allerdings erst nach Eingabe seines Passwortes).

 

[glotis]

Wenn Du mit "Standard-User" den Benutzer meinst, der auf einem neu gekauften Rechner schon drauf ist oder der bei einer Neuinstallation angelegt wird, so geht das leider nicht, was Du vorschlägst, da Du sonst ein System ohne Admin-User hast (oder hab´ ich Dich jetzt Missverstanden?).
Bei mir wurde bei einer Installation übrigens noch nie ein root-Passwort abgefragt.

Hi
Bei Unix/Linux(das meinte ich mit X-OS) vergibst du zuerst ein Root-PW dann legst du User mit PW an, die in der Gruppe User sind. Hat ein Angreifer ein User PW dann hat er noch lange nicht das Root-PW. Hat er unter OSX das PW des Users(Standard-User der Gruppe Admin), kann er einen Root anlegen und sein eigenes PW vergeben. In diesem Moment verlierst du alle Rechte des Rechners. Das 'sudo' mit deaktiviertem Root kann durchaus nach hinten losgehen.

 

[Alchemay]

das beste tool um sicher zu sein is die schere
damit kappt man einfach die verbindung zum modem und schon is ruhe und das plattformübergreifend

 

[maceis]

das beste tool um sicher zu sein is die schere
damit kappt man einfach die verbindung zum modem und schon is ruhe und das plattformübergreifend

hehehe - die sogenannte adaptive-bracket-cable-firewall ; Darfst aber nicht vergessen, dem Nutzer die Hände einzugipsen

Bei Unix/Linux(das meinte ich mit X-OS) vergibst du zuerst ein Root-PW dann legst du User mit PW an, die in der Gruppe User sind. Hat ein Angreifer ein User PW dann hat er noch lange nicht das Root-PW. Hat er unter OSX das PW des Users(Standard-User der Gruppe Admin), kann er einen Root anlegen und sein eigenes PW vergeben. In diesem Moment verlierst du alle Rechte des Rechners. Das 'sudo' mit deaktiviertem Root kann durchaus nach hinten losgehen.

Da hast Du natürlich Recht. Man muss auch immer unterscheiden zwischen lokalem und remote Angriff und hier wieder zwischen Angriffen aus dem LAN und dem Internet. Bei größeren Firmen ist ja der Schutz gegen die eigenen Angestellten (incl. Computer-Bild-Leser) durchaus Ernst zu nehmen.
btw:
das Deaktivieren des root-Accounts ist natürlich auch bei Linux und anderen Unicsystemen möglich.

Ich hätte aber mal ne andere Frage :
Gibt es bei Mac OS X bzw. Darwin einen Schutzmechanismus gegen das eigene Aussperren?
sprich: schlägt das System Alarm, wenn ich versuche das letzte Mitglied der Admingruppe aus dieser herauszunehmen ?
Das wäre in meinen Augen wieder eine echte Sicherheitslücke; Ausprobieren möchte ich das aber aus naheliegenden Gründen nicht unbedingt.
Unter Novell Netware gibt es die Möglichkeit sich durch Anlegen von ungünstigen Vererbungsregeln aus dem System auszusperren - nicht witzig!

 

[Magicq99]

Gibt es bei Mac OS X bzw. Darwin einen Schutzmechanismus gegen das eigene Aussperren?

Man kann afaik mit der OS X Install CD/DVD die Passwörter zurücksetzen. Falls das in diesem Fall hilft. So würde man auch an die Daten kommen, man benötigt aber physischen Zugang zum Rechner.