Sicherheit Bei Osx

[pique]

ok, avalon.

dann sind wir zu dritt:

._ut fürs feine
du fürs grobe
ich mach den pressesprecher


keine ahnung wo der steckt...urlaub?

 

[dannycool]

Zugriff auf Daten auf HFS-Volumes über HTTP

Da habt Ihr mal eine handfeste, aktuelle Lücke (aktuell in dem Sinn dass sie schon behoben wurde, sonst würde man sie nicht bekannt machen). Interessant an dieser ist, dass es ein Problem des Mac OS ist das weiterhin existiert, und auf die noch andere Software reinfällt als der Apache. Der Fix bestand nur daraus, dass Apple die Konfigurationsdatei für den mitinstallierten Apache geändert hat; das eigentliche Problem existiert auch bei 10.3.8 noch... soviel zu Geschwindigkeit.

------------------------
NetSec Security Advisory
------------------------

VULNERABILITY DETAILS

Name: Multiple Vulnerabilities Resulting From Use Of Apple OSX
HFS+
Impact: HIGH
Platform: Apple OS X (Darwin) <= 10.2
Method: Possible unauthorized access to file system data
Identifier: 07012005-01


FORWARD:

In December 2004, NetSec released details of a vulnerability impacting
software running on versions of Apple OS X version 10.2 and greater.
Under OS X, userland applications are presented with two interface
methods to an underlying legacy HFS+ file system: resource and data
streams. Access of the individual streams from a file browser or shell
application permits users with appropriate access rights to retrieve
information from the data fork (content) or resource fork (resources).

The risk associated with any unauthorized file data disclosure to remote
users is often significant. This is because users may access the source
code of server-side interpreted scripts that may contain embedded
database credentials, specify known paths to sensitive files (shell
command history files for example), retrieve hidden files, and otherwise
retrieve arbitrary file content. All of these exploitation scenarios may
bypass default server access controls, unless requests for the data and
resource forks are trapped prior to request forwarding.

Subsequent research and testing, conducted by NetSec revealed at least
one method to leverage this 'feature' of the legacy HFS+ driver in OS X:
web services. The default configuration of several web server
applications does not adequately prevent remote access to these
protected file system resources. Testing of other network-enabled
applications did not result in the identification of other vectors;
however any server application that does not proactively filter requests
for local file system resources may expose underlying HFS+ file systems
to unauthorized remote access.

[...]

In voller Länge nachlesbar bei NetSec.

 

[pique]

Platform: Apple OS X (Darwin) <= 10.2
Method: Possible unauthorized access to file system data
Identifier: 07012005-01

10.2 ?

Wer ist hier langsam?

 

[ricci007]

Er schrieb "surfen sowieso"...das heißt für mich surfen generell als User...

nochmal zu den Macro...ich denke mal das Problem ist in dem Fall nicht
Apple sondern Microsoft, da MS erlaubt Systemcommandos mit den Macros auszuführen wie delete usw. solange ich MS Office nicht benutze habe ich schon mal diese Gefahr ausgeschaltet.

Warum sollte den nochmal gefragt werden ob er sein Home löschen will wenn es mit dem Befehl expliziet ausgeschaltet ist. Am Ende haben wir dann sowas wie...sind sie sicher?...sind sie wirklich sicher?...ich frage zum letztem mal!....da wird der User doch auch blöd. Und ob es ohne den rm Befehl, oder andere, neu zu Programmieren möglich ist so einen Mechanismus einzuführen wage ich zu bezweifeln. Man könnte natürlich auch ganz krass dem User die Möglichkeit nehmen Dateien zu löschen. Aber am besten wäre es wenn Microsoft reagieren würde. Solange es die Möglichkeit solcher Manipulationen über Word und Co gibt, wird es immer Möglichkeiten geben sie auszunutzen. Allerdings kann ich genauso gut ein Script schreiben was das auch kann und einem User schicken mit dem Namen "GeileMuttis" und der klickt drauf und schwupp...geht auch wunderbar mit allen anderen OSen. Hier liegt nicht das Problem beim OS sondern am Nutzer vor dem Rechner.

schönes Zitat (es ging um Shell Script Viren):

"Meiner Ansicht nach, werden Viren für Linux ein ähnliches Problem werden wie für Dos / Windows, da sich auch hier der Kommerz und mit ihm die Dau's breitmachen. Wo es Dau's gibt, gibt es schlecht konfigurierte Systeme und wo es die gibt, bleibt immer Platz für einen Virus."

Gilt natürlich auch für MacOS. Es gibt immer Standard Befehle die ein Nutzer ausführen kann und muss und dadurch gibt es Angriffspunkte über Scripte und ähnliches. Nur kann man den Nutzer doch auch nicht kastrieren und gar nix erlauben. Soll er im Finder bei jeder ausführbaren Datei bestätigen das er es auch wirklich möchte? Ich glaube das würde dem User dermaßen auf die Eier gehen das er etwas anderes benutzt oder aber eine Funktion einschaltet wodurch diese Abfrage umgangen wird. Man ist halt bequem.

Und nochmal allgemein. Ich halte Mac OS im Moment für ein sicheres System, genauso wie Linux. Solange ein Nutzer als User angemeldet ist, immer alle Updates aufspielt, den Firewall einschaltet, und ein bisschen beim Umgang mit seinem Rechner aufpasst ist er sicher. Da brauchs keine Virenscanner und sonst auch nix. Genauso kann man sein Windows natürlich auch sauber halten nur würde ich da nie auf einen Firewall + Virencanner verzichten. Mal sehen wann ich das für OS X brauch. Ich bin allerdings der Meinung das wird noch ne ganze Weile dauern.

Hat sich so angehoert, als ob du nur Online-Banking als User machst

Unter Windows braeuchte ich auch keine FW und kein AV, ich richte mir einen User-Account ein und basta

 

[dannycool]

10.2 ?

Wer ist hier langsam?

Die Lücke existiert noch.

Der "Fix" in 10.2.8 und 10.3.6 konfiguriert nur den Apache um. Das ist also mehr ein Workaround. Sämtliche andere Software die davon betroffen ist (alles, was aufgrund des Dateinamens über Zugriffsrechte entscheidet z.B.), zeigt das Problem immernoch.

 

[pique]

aha, ok. also ist das ist 10.3.8 noch aktuell...

 

[dannycool]

Du kannst es einfach testen. Du kannst auf den Inhalt einer Datei nicht nur mit dem Dateinamen zugreifen ("cat testdatei") sondern auch über "testdatei/..namedfork/data". Beim Apache war es eben ".htaccess/..namedfork/data" oder ähnliches, Files die mit .ht anfangen liefert er nicht aus, aber welche die data heissen schon...

 

[ms510]

Hat sich so angehoert, als ob du nur Online-Banking als User machst

Unter Windows braeuchte ich auch keine FW und kein AV, ich richte mir einen User-Account ein und basta

na ich sowieso...hab doch Mackie1957 gemeint. Naja Firewall würd ich schon unter Windows haben wollen wenn ich ständig online bin und mir diverse Berichte durchlese wonach man nach max 1min mit einem Angriff rechnen muss.

 

[pique]

na ich sowieso...hab doch Mackie1957 gemeint. Naja Firewall würd ich schon unter Windows haben wollen wenn ich ständig online bin und mir diverse Berichte durchlese wonach man nach max 1min mit einem Angriff rechnen muss.

wie soll das eigentlich gehen. ich meine, wenn ich mich einwähle habe ich die ip x. und wie wird die so schnell ausgemacht?

 

[dannycool]

wie soll das eigentlich gehen. ich meine, wenn ich mich einwähle habe ich die ip x. und wie wird die so schnell ausgemacht?

Das meiste sind ungezielte Angriffe. Den IPv4-Adressraum kann man relativ schnell abscannen. Okay, alleine nicht, aber tausende von Kindern machen das halt...

 

[pique]

rotzgören!

 

[MacMini4ever]

Bei soo vielen ungelegten Eiern, wie wäre es mit was Realem?

Hätte folgende Wette anzubieten:

Bei einem Marktanteil des OSX von mindestens 10% (Gartner Group)
WIRD es ERNST ZU NEHMENDE Viren und Trojaner geben.

Biete eine Kiste Bier Eurer Wahl.


good luck,
macmini4ever

 

[herrmueller]

Das bedauerliche daran ist nicht, daß es Leute wie dich früher oder später erwischen wird - das ist euer Problem.

Aber Hallo. Du wirst mir doch nicht erzählen wollen, das Du fieberhaft auf der Hut bist. Sind wir vielleicht ein wenig...paranoid?

Ich sagte nicht, das es nicht möglich ist, aber dieses ständige "wenn"....und wo ist was konkretes?

Setze ich mich auch jeden Morgen mit Angst und Panik ins Auto das was passieren könnte. Reicht wirklich nur EIN Anschnallgurt. Vielleicht sollte ich Kissen um mich rum legen beim Autofahren.

Ist doch mumpitz...wenns passiert, dann passierts. Und wenn ich der erste sein soll, bitte schön, dann sind meine Daten weg..und? soll ich mich jetzt schon verrückt machen?

Übrigends, Office benutze ich nicht.

 

[pique]

oh wei oh wei oh wei oh wei
die russen sind im keller
eckahardt, weernaaa!!!

 

[ms510]

@dannycool

zu deiner Sicherheitslücke....
das man sich unter HFS+ die named forks auflisten kann gehört zur grundfunktion von osx ... das ist sozusagen ein feature...gibt doch auch im finder...paketinhalt anzeigen...deswegen funktioniert das ja auch was du machst.

Das Sicherheitsloch bezog sich darauf das man das ganze mit Apples Apache und anderen Webservern damit Informationen ausgelesen werden können...das ganze wurde von Apple für Apache gefixt...die anderen Hersteller sollten sich selber darum kümmern...sind ja auch nur ein paar Zeilen die geändert werden müssen.

und im übrigen ist das ganze schon seit 10.0.3 bekannt. Da will NetSec glaub ich auf die Kacke hauen und in die Schlagzeilen kommen.

 

[dylan]

[mich kurz und wertfrei (!) in die Diskussion mit einbring]

...paranoid?

Als System-Administrator/Verantwortlicher für Datenbestände kann man nicht paranoid genug sein.

Und wenn ich der erste sein soll, bitte schön, dann sind meine Daten weg..und? soll ich mich jetzt schon verrückt machen?

Ich wette um einen Kasten Bier (diese Wetten scheinen ja in zu sein ;-), dass du nicht für Firmen-/Produktionsdaten zuständig bist.


[/mich kurz und wertfrei (!) in die Diskussion mit einbring]

 

[ms510]

[mich kurz und wertfrei (!) in die Diskussion mit einbring]




Als System-Administrator/Verantwortlicher für Datenbestände kann man nicht paranoid genug sein.


[/mich kurz und wertfrei (!) in die Diskussion mit einbring]

jo stimmt, aber wenn ich für sowas zuständig bin hab ich eine ordentliche firewall und zb auch einen mailserver der mail mit viren gar nicht erst zustellt.
Zumindest wäre das bei mir erstmal das vorrangige. Updates einspielen is dann sowieso selbstverständlich. Ich find aber auch Panikmache und Aussagen wie "Wetten demnächst krachts" usw einbisschen übertrieben.

 

[dylan]

jo stimmt, aber wenn ich für sowas zuständig bin hab ich eine ordentliche firewall und zb auch einen mailserver der mail mit viren gar nicht erst zustellt.

Stichwort "social engineering": mitgebrachte CD, DVD, ext. Speichermedien. Und schon ist die Firewall für den Ar... Allerwertesten.

 

[JavaEngel]

Wetten demnächst krachts

Diese Wetten gibt es schon seit Jahren. Bisher hat sich nicht viel getan.

Viele Grüße
Ricky

 

[ms510]

tia...das kannst du man nirgends ausschließen...aber man kann ja auch radikal durchgreifen und den nutzer keine berechtigung geben...sollte sich normalerweise alles einstellen lassen. zumindest ist das bei uns hier so. usb stick nada...diskettenlw nada...cdrom...haben einige aber andere nicht und wenn ja...dann ists sowieso verboten von extern sachen mitzubringen...aber da hält sich mancher sicher auch nicht dran. Das zeigt aber das dann mal wieder der dumme User schuld ist und nicht das System. Ist ja eh meißtens so.