LosDosos
Aktives Mitglied
- Dabei seit
- 09.03.2008
- Beiträge
- 15.877
- Reaktionspunkte
- 4.125
Und wie ist das mit IChat?
S
SelonScience
Und wie ist das mit IChat?
Ich denke nicht, dass es in einer Sandbox laeuft. Bis jetzt laufen standartmaessig nur ein paar wenige Helperdienste mit Seatbelts (sandboxed).
Scheint mir wie bei Address space layout randomization in Leopard, es ist da (fuer einige system libraries) nicht fuer applications, nutzt aber nicht viel. Ich weiss das einige nicht so viel von ASLR halten, aber mehrere Huerden machen das Hacker leben schwer, so dass nur noch wenige uebrig bleiben, die wirklich alle Huerden ueberwinden koennen.
"What Leopard Gets Wrong (with the sandbox, A.d.R.).
Three things.
1. They didn’t document any of this. You can’t officially use this API to secure your own code. We can’t read their code or specifications to test whether it’s secure.
2. The existing profiles suck. For instance, the Leopard “Quick Look” feature is billed as a test case for sandboxing, because it automatically opens and parses content in your download folder. But all Quick Look sandboxing does is restrict network access. Who cares? A Quick Look exploit is just going to install a trojan somewhere else, and that trojan won’t be governed by sandboxes.
3. Almost nothing you care about is sandboxed. For instance: Mail, Safari, and iChat."
http://www.matasano.com/log/date/2007/10/
Zuletzt bearbeitet von einem Moderator:
M
magheinz
unregistriert
- Dabei seit
- 06.02.2005
- Beiträge
- 4.230
- Reaktionspunkte
- 1.470
Was wäre wenn ein anderer den Bug auch gefunden hat und einen exploit entwickelt hat und einfach nix gesagt hat sondern ihn einfach nur angewandt hat.
Keiner würde es bemerken, und die die es doch bemerkt hätten wären hier im Forum niedergeschrien worden das sie doch OSX haben und deswegen per Definition sicher sind.
LosDosos
Aktives Mitglied
- Dabei seit
- 09.03.2008
- Beiträge
- 15.877
- Reaktionspunkte
- 4.125
Mal etwas anderes, hoffe dass es nicht zu OT ist, die SuFu hat mir leider nicht weitergeholfen.
Ich habe mal gehört, dass unter Leo das Admin-Passwort im Ruhezustand sehr leicht zu umgehen sei und man deshalb vorher die Internetverbindung trennen sollte.
Ist das nur ne Ente oder kann das jemand hier bestätigen?
Ich habe mal gehört, dass unter Leo das Admin-Passwort im Ruhezustand sehr leicht zu umgehen sei und man deshalb vorher die Internetverbindung trennen sollte.
Ist das nur ne Ente oder kann das jemand hier bestätigen?
D
devben
Mitglied
- Dabei seit
- 20.03.2009
- Beiträge
- 18
- Reaktionspunkte
- 0
Ist ne Ente.
MacMark
Aktives Mitglied
- Dabei seit
- 27.02.2005
- Beiträge
- 540
- Reaktionspunkte
- 67
System-Dienste sind immer erstes Ziel, weil sie in der Regel ständig verfügbar, also angreifbar, sind und zumindest Teile davon unter root laufen, also die komplette Übernahme ermöglichen.
User-Programme hingegen laufen nicht ständig und zudem bei UNIX nicht mit Systemrechten. Daher sind sie nur zweite Wahl.
Die Sandbox-Funktionen sind mit Leopard als inoffizielle, also undokumentierte und weiter in Entwicklung befindliche, API eingeführt worden. Sobald die API offiziell wird, wird sie auch im größeren Rahmen benutzt werden.
Das kann immer passieren. Der Unterschied zwischen den Systemen ist, daß die Möglichkeiten, die sich dem Angreifer dadurch eröffnen, auf UNIX in der Regel geringer sind.
Zuletzt bearbeitet:
F
Flintstone4711
Mitglied
- Dabei seit
- 24.03.2009
- Beiträge
- 61
- Reaktionspunkte
- 6
Häufig, wenn man es aber im Browser geschafft hat ein wenig Code zum Laufen zu bringen, kann man von dort aus mit Diensten reden. Haben die eine Sicherheitslücke, macht man damit den Sprung von einem normal privilegierten Prozeß zu einem höher privilegierten Prozeß.
Wobei dieser Sprung für einen Botnetzbetreiber meist gar nicht so attraktiv ist wie es sich zunächst anhört - einen Botvirus mit nach außen gerichteter Schadfunktion kann man regelmäßig auch ohne Einschränkungen mit Userrechten laufen lassen. Das Abholen von Scripten und Adresslisten für Spam oder DDoS-Angriffe und das Versenden von Mails oder das wiederholte Abrufen von Webseiten ist ja im normalen Userkontext Tagesgeschäft.
Sprich: Wenn ich den Browser längerfristig kapern kann, ist das für DDoS ausreichend. Tieferes Einbohren ist nett, aber für die eigentliche Funktionalität nicht nötig. Systemrechte zu haben ist eher dann wichtig, wenn man eine Malware resistent gegen Bereinigungstools machen will. Erst wenn man auf Systemebene angekommen ist, kann man effektiv die Ausführung von Bereinigungstools verhindern oder einen installierten Virenscanner lahmlegen.
Ciao,
Detlev
C
Cathul
Aktives Mitglied
- Dabei seit
- 26.03.2008
- Beiträge
- 443
- Reaktionspunkte
- 58
Früher war die komplette Übernahme das hohe Ziel, aber um einen Botnetzclient laufen zu lassen braucht es heute keine root-Berechtigungen mehr. Normale Benutzerberechtigungen reichen vollkommen aus und Otto-Normaluser wird wohl niemals mitbekommen, was da alles in seinem Userordner unter "Library" liegt oder sich die Prozessliste anschauen und nach verdächtigen Einträgen Ausschau halten.
Da bekannt ist, dass heutzutage Browser, Email und Chatclients die präferierten Einfallstore sind, wäre es doch das mindeste, wenn Apple diese Programme mit entsprechenden Sandbox-Profilen ausliefern würde, oder?
Dann würde per Default sehr viel weniger möglich sein als es jetzt der Fall ist. Otto-Normaluser, der "Terminal" noch nichtmal schreiben kann, ist es imho nicht zuzumuten alle diese Steps selber machen zu müssen um ein Mindestmaß an persönlicher Sicherheit zu erreichen.
Richtig,ist schon ne coole Vorstellung wenn der Angreifer zwar keine root-Rechte erhält, dafür aber im Prinzip alle meine eigenen Dokumente, die u.U. sehr persönliche Informationen enthalten, lesen kann oder Tools in meinem Home installiert, ohne das ich es mitbekomme.
Ganz ehrlich, Du hast ne Menge Ahnung über die Internas von Mac OSX, Hut ab dafür, aber anscheinend relativ wenig Ahnung, was ein kompromittierter Benutzeraccount in der Praxis bedeuten kann.
Viele Benutzer wird es nicht interessieren, das der Angriff nur auf ihren Benutzeraccount erfolgreich war und nicht das komplette System kompromittiert hat, denn in der Regel sind dann trotzdem alle Daten ausspioniert und der Botnetzclient in ihr Home-Verzeichnis installiert worden. Ein normaler Benutzer wird niemals merken, dass ein Botnetzclient installiert und ausgeführt wurde und sein Rechner regelmäßig Spams und seine persönlichen Daten verschickt.
Apple schreibt sich doch "Einfache Lösungen für alle Anwender" auf die Fahnen, wieso dann nicht z.B. Safari per Defaultauslieferung in einer Sandbox? Lieschen Müller käme so mit sehr hoher Wahrscheinlichkeit niemals in die Gefahr ihren Benutzeraccount kompromittiert zu bekommen.
MacMark
Aktives Mitglied
- Dabei seit
- 27.02.2005
- Beiträge
- 540
- Reaktionspunkte
- 67
Ein Benutzer-Bot läuft nur, wenn genau dieser Benutzer angemeldet ist. Ein System-Bot läuft immer und ist daher nützlicher. Ein System-Bot kann auch alle Benutzer infizieren.
Für einen Angreifer interessante private Benutzer-Daten wie diverse Paßwörter liegen verschlüsselt im Schlüsselbund. Da kommt er nicht einfach so dran. Und Paßwort-Dialoge sind auf OS X gegen Ausspähen abgeschottet. Deine restlichen Privatdaten nützen dem Angreifer nichts und sind nur für Dich wertvoll. Einzig ein Verschlüsseln der Daten durch eine Malware und anschließender Freigabe-Erpressung würde dem Angreifer nützen. OS X hat aber Time-Machine: Der Stand von letzter Woche und gestern ist noch da ;-)
Die Sandbox-API wird erst breit eingesetzt, wenn sie offiziell wird. Vermutlich in Snow Leopard.
Auf OS X läßt sich Malware allerdings sowohl auf Benutzer- als auch System-Ebene leicht per Hand aufspüren. Auf Windows kann sich Malware sogar schon auf User-Ebene dank Registry ganz gut verstecken.
Für einen Angreifer interessante private Benutzer-Daten wie diverse Paßwörter liegen verschlüsselt im Schlüsselbund. Da kommt er nicht einfach so dran. Und Paßwort-Dialoge sind auf OS X gegen Ausspähen abgeschottet. Deine restlichen Privatdaten nützen dem Angreifer nichts und sind nur für Dich wertvoll. Einzig ein Verschlüsseln der Daten durch eine Malware und anschließender Freigabe-Erpressung würde dem Angreifer nützen. OS X hat aber Time-Machine: Der Stand von letzter Woche und gestern ist noch da ;-)
Die Sandbox-API wird erst breit eingesetzt, wenn sie offiziell wird. Vermutlich in Snow Leopard.
Auf OS X läßt sich Malware allerdings sowohl auf Benutzer- als auch System-Ebene leicht per Hand aufspüren. Auf Windows kann sich Malware sogar schon auf User-Ebene dank Registry ganz gut verstecken.
S
SelonScience
Die grosse Mehrzahl der user benutzen doch immer den gleichen Benutzer, folglich immer wenn der Mac eingeschalten ist, laeuft der bot
und genau das will der bot-netz-betreiber. Also braucht er keinen System bot. Sobald er einen local rights escalation exploit hat kann er den ja dann nachruesten.
Zuletzt bearbeitet von einem Moderator:
M
magheinz
unregistriert
- Dabei seit
- 06.02.2005
- Beiträge
- 4.230
- Reaktionspunkte
- 1.470
da lokale root-exploits immer existieren kann man mit dem übernommen system einfach ALLES machen was man halt mit einem system machen kann.
C
Cathul
Aktives Mitglied
- Dabei seit
- 26.03.2008
- Beiträge
- 443
- Reaktionspunkte
- 58
Im Prinzip richtig. Dennoch bleibe ich bei meiner Aussage, dass ein kompromittierter Benutzeraccount schwerwiegend genug ist.
Wenn der Angreifer einen Keylogger installiert, nutzt es nichts, wenn der Schlüsselbund per Passwort geschützt ist, die meisten nicht so kundigen Benutzer haben den eh permanent offen, womit er für unter Benutzerrechten laufende Schadprozesse ein offenes Buch ist.
Unter Mac OSX wird der ganz normale unkundige Benutzer mit hoher Wahrscheinlichkeit auf "OK" oder "Zulassen" klicken, wenn ein Prozess mit Namen "Safari" (man kann Prozesse schliesslich beliebig benennen) versucht auf den Schlüsselbund zuzugreifen.
Dasselbe ist mit den ganzen hostbased Firewalls auf Windows-Systemen auch passiert. Niemand klickt 35x hintereinander auf "Ok" wenn der Browser, oder was auch immer sich als Browser ausgibt, ins Netz will. Der Unkundige Benutzer, der die Software gekauft hat weil sie den Rechner ja "supersicher" macht, wird es einfach generell zulassen weil er nicht mehr gestört werden will.
Und ja, das ist falsches Verhalten und ja, es wäre besser, wenn die Benutzer bewusster mit solchen Szenarien umgehen und sich informieren würden, aber leider ist das Wunschdenken und wird meiner Meinung nach mit sehr hoher Wahrscheinlichkeit nicht passieren. Und daher ist der kompromittierte Benuteraccount unter Mac OSX die halbe Miete, auch wenn der Rechner mal nen Tag lang nicht läuft.
Timemachine hin oder her verhindert nicht, dass der Angreifer evtl. sensible Daten in der Hand hält. Ich kann meine Daten zwar herstellen, aber nicht die Daten remote beim Angreifer unbrauchbar machen. Von daher ist das genau gar kein Argument.
Wenn man weiß wie, dann kann man das, ja. Wenn man grade so weiß wie der Rechner eingeschaltet wird, wie man Programme startet und evtl. seine Kontoverwaltung tätigt wage ich das zu bezweifeln, dass der Anwender das überhaupt mitbekommt, und genau solche Leute sind die Zielgruppe.
Nochmal: bei einem solchen Bedrohungsszenario muss (!) zunächst davon ausgegangen werden, dass der Anwender keine wirkliche Ahnung von den Internas des lokalen Systems hat und nicht, dass er ein erfahrener Systemadministrator ist.
M
magheinz
unregistriert
- Dabei seit
- 06.02.2005
- Beiträge
- 4.230
- Reaktionspunkte
- 1.470
Deine einzigen schützenswerten Daten sind also Passwörter?
Na dann, ich z.b. nutze meine Rechner auch noch für andere Sachen bei denen durchaus schützendwerte Daten enstehen und verarbeitet werde.
Was bringt es mir meine Daten zurückspielen zu können wenn mir dafür der nächste Auftrag flöten geht weil jetzt die Konkurrenz meine Kalkulation kennt oder meine Kunden nichts mehr mit mir zu tun haben wollen nachdem sie mein letzten Urlaubsbilder vom Ballermann per google gefunden haben.
Ein backup schützt nur vor Datenverlust, nicht vor Datenmissbrauch!
Ok, ichs ehe schon...
auch für osx gibt es bestimmt in irgendwelchen schubladen rootkits...
MacMark
Aktives Mitglied
- Dabei seit
- 27.02.2005
- Beiträge
- 540
- Reaktionspunkte
- 67
Immer? Welcher existiert zur Zeit?
Gibt es, aber um ein Rootkit zu installieren, muß man erstmal root sein.
Ich sprach von lohnenswerten Daten für den Angreifer. Zugangsdaten fürs Online-Banking wären ein Beispiel. Für Deine Kalkulation interessiert sich der Russe/Ami/Chinese nicht.
Zuletzt bearbeitet:
M
magheinz
unregistriert
- Dabei seit
- 06.02.2005
- Beiträge
- 4.230
- Reaktionspunkte
- 1.470
schau dir einen x-beliebigen apple-security-update-changelog an.
da finden sich meist ein paar.
da jedes mal welche gefixt werden muss es auch immer welche geben.
wenn man erst mal auf der maschine ist, dann ist das nur noch eine frage der zeit.
was interessiert mich der chinese....
die wollen noch weniger an meine daten. die wollen ihr bot-netz erweitern.
übrigens, du bist so einer von denen ich in posting #103 geschrieben hab.
alleine die überlegung das es möglich ist wird von dir schon quasi niedergebrüllt.
übrigens vollkommen ohne argumente. beweise DU doch einfach das es KEINE exploitbaren lücken aktuell in osx gibt. so rum läuft nämlich der hase. solange du das nicht kannst muss ich zwangsweise davon ausgehen das es welche gibt.
MacMark
Aktives Mitglied
- Dabei seit
- 27.02.2005
- Beiträge
- 540
- Reaktionspunkte
- 67
Meine Rede: Kein Interesse an Urlaubsbildern und Kalkulationen.
M
magheinz
unregistriert
- Dabei seit
- 06.02.2005
- Beiträge
- 4.230
- Reaktionspunkte
- 1.470
und du meinst es gibt nur die chinesen die hacken können?
MacMark
Aktives Mitglied
- Dabei seit
- 27.02.2005
- Beiträge
- 540
- Reaktionspunkte
- 67
Wer schreibt eine Malware, um damit Deine Urlaubsbilder und Kalkulationen zu klauen?
Und wie kommt die auf Deinen Rechner? Installiert er die persönlich oder infiziert er einfach das ganze Internet?
Oder meinst Du, ein Kunstliebhaber sammelt per Malware alle Urlaubsbilder der Welt ein?
Und wie kommt die auf Deinen Rechner? Installiert er die persönlich oder infiziert er einfach das ganze Internet?
Oder meinst Du, ein Kunstliebhaber sammelt per Malware alle Urlaubsbilder der Welt ein?
C
Cathul
Aktives Mitglied
- Dabei seit
- 26.03.2008
- Beiträge
- 443
- Reaktionspunkte
- 58
Urlaubsbilder ist wirklich etwas unwahrscheinlich, Kalkulationen zu diversen Produkten bzw. Dienstleistungen können dagegen sehr wohl ein Ziel eines Angriffs sein. Zumindest kann bei Bekanntwerden von internen Produkt- und Dienstleistungskalkulationen von einem Schaden für die Unternehmung ausgegangen werden, vor allem wenn diese Kalkulationen der Konkurrenz durch den Angriff zugänglich werden. Und nein, entsprechende Industriespionage betreiben nicht nur die Chinesen, sowas kommt auch in Deutschland vor. Da das Ziel bei Industriespionage allerdings eng begrenzt ist, ist die Auffälligkeit in der Regel nicht so hoch wie bei Conficker und Konsorten.
Und ja, Exploits werden hier oft durch Social Engineering gestartet, indem man heraus findet, wohin John Doe bei der Unternehmung XYZ in seiner Pause so hin surft. Kommt er mit dem Safari an, hat man auch die Browserkennung. Wie bei dem Wettbewerb werden so Exploits teilweise über Monate vorbereitet um schlussendlich erfolgreich zu sein.
Das macht Exploits allerdings nicht weniger schädlich. Mir scheint Du machst den Schweregrad eines Exploits nur daran fest, wie schnell dieser erfolgen kann und ob root-Rechte erlangt werden können, und dies ist in meinen Augen zumindest ein wenig naiv.
In den vergangenen 2-3 Jahren gab es genug Beispiele für gekaperte Webseiten, darunter auch durchaus seriöse. Es reicht ja schon, wenn das vom Mitarbeiter in seinen Arbeitspausen regelmäßig besuchte Tierforum gekapert wurde, denn wie aus den Beispielen der vergangenen Jahre bekannt wurde, sind die entsprechenden Schadroutinen in die Breite gestreut worden und nicht gezielt gegen ganz bestimmte Webserver. Die Wahrscheinlichkeit dabei ganz harmlose Websites zu finden, die anfällig für die entsprechenden IIS oder Apache Exploits sind, ist bei weiter Streuung der Angriffe relativ hoch. Entsprechende Angriffe habe ich in den letzten 5 Jahren teilweise live auf Honeypots verfolgen dürfen.
MacMark
Aktives Mitglied
- Dabei seit
- 27.02.2005
- Beiträge
- 540
- Reaktionspunkte
- 67
Du meinst also, wenn jemand Deine Kalkulationen ausspionieren will, dann:
• Investiert er Monate, um eine passenden Exploit zu entwickeln.
• Diesen installiert er dann auf einer vertrauenswürdigen von Dir frequentierten Website mittels XSS oder wie auch immer.
Als Täter oder Auftrageber kommt ja nur ein Konkurrent in Frage. Du meinst, der geht das zeitliche, das finanzielle und das rechtliche Risiko ein? Zu aufwendig, zu teuer, zu riskant für ihn.
• Investiert er Monate, um eine passenden Exploit zu entwickeln.
• Diesen installiert er dann auf einer vertrauenswürdigen von Dir frequentierten Website mittels XSS oder wie auch immer.
Als Täter oder Auftrageber kommt ja nur ein Konkurrent in Frage. Du meinst, der geht das zeitliche, das finanzielle und das rechtliche Risiko ein? Zu aufwendig, zu teuer, zu riskant für ihn.