ARCHIV 1999-2006

ARCHIV :: # 3292

Ein Wurzelseppset für Mac OS X

Von Dingen, die ich noch nie hörte

Autor: flo - Datum: 25.10.2004

Beharrlich habe ich das gesamte Wochenende über die Meldungen zum "Rootkit für Mac OS X" ignoriert. Denn: Wo ich das Wort "root" entdecke, kippt irgendwo ein Schalter um und lenkt mich direkt und ohne Umschweife zur nächsten Meldung (selbiges klappt auch mit Mail-Betreffs, die "php" oder "RSS-Feed" enthalten, nur dass der Schalter dort auf "Weiterleiten" kippt). Ja, die Liste der Dinge, von denen ich überhaupt nichts verstehe, muss nun um den Begriff "rootkit" erweitert werden, der sich für mich nach einem Werkzeug für Systemadministratoren oder Programmierer anhört. Vielmehr ist es aber wohl eine Ansammlung von Tools und Skripten, die ein potentieller Einbrecher auf einem Rechner dazu nutzen kann, allerlei Unfug anzustellen, vom Passwortsammeln bis zum Datenvernichten.

Ein solches Rootkit hat nun ein Leser von macintouch auf seinem Rechner entdeckt, und ein Teil davon, ein Script namens "opener", ist anscheinend ein passionierter Sammler. Daraufhin sieht Slashdot schon "den schlimmsten Albtraum" für Mac OS X am Horizont, das Ende der virenlosen Zeit. Das wiederum aber sei verfrüht, wie sich Onkel Heinz beeilt zu versichern. "opener" sei ein Script, das seit März bekannt ist, enthalte aber keine Routine, um sich weiter zu verbreiten (was es dann wohl als Virus oder Wurm klassifizieren würde -- manch einer ahnt es: auch diese Begriffe stehen auf meiner Liste). Man muss das rootkit also schon selbst installieren. Die Bewertung dieses rootkits überlasse ich hiermit der kompetenteren Leserschaft. Auf macnews.de findet sich übrigens ein Interview mit Christian Zülch zu diesem Thema.

Kommentare

Und nun?

Von: Stefan | Datum: 25.10.2004 | #1
Haben wir jetzt endlich den ersten Trojaner, den ersten Virus ? ;)

ohweia

Von: FOX | Datum: 25.10.2004 | #2
dann ist apple ja nächstes monat pleite!
hoffentlich bauen die meinen bestellten imac noch vorher zusammen...
;-)

lalalal!

Von: Jan Füllemann | Datum: 25.10.2004 | #3
.. ich habe meinen iMac 20" schon *freu*

Das ist das Ende von Apple

Von: ionas | Datum: 25.10.2004 | #4
Jaja, so ist das.
Ab jetzt produzieren die nur noch iPods, und iTunes und Quicktime Software :p
(Ich will auf die Death Knell Liste ;p)

So ein Rootkit ist eine ernste Sache!

Von: Cyrus Mobasheri | Datum: 25.10.2004 | #5
Das betrifft weniger Privatrechner, als Rechner die wirklich wichtige Daten haben. Damit sind Industriespionage Tür und Tor geöffnet. Als Privatanwender würde ich mir keine Sorgen machen, aber wenn ich der Chef einer Firma bin, würde ich jetzt schon besorgt sein, dass alle meine Mitarbeiter meinen Computer ausspionieren können, ohne das ich das überhaupt mitbekommen kann. Wie gesagt hier handelt es sich nicht um ein Virusbastelsystem. Sondern um ein Tool mit dem Mac OS X wirklich seinen Ruf als sicheres Betriebsystem verlieren kann. Denn wenn es jedem der sich mit dem Terminal auskennt, möglich ist rootrechte zu verschaffen ist das schon eine ernste Angelegenheit. Also die Gefahr besteht vor allem wenn der eigene Computer anderen Mitarbeitern zur Verfügung steht. Als Root kann ich alles machen auf dem Computer, ich erhalte zugriff auf jeden Privaten Ordner. Und die einzige Hürde ist das man Programme installieren können muss. Aber das können ja wohl die meisten Mitarbeiter. Schlimmer ist aber noch das wenn ich Root auf einem Rechner bin, in einem normalen Netzwerk Root auf allen Rechnern sein kann, eben auch auf dem von meinem Chef.

Das Problem ist das ich in einem Mittelständigen Unternehmen keinen Admin habe.

Von: Cyrus Mobasheri | Datum: 25.10.2004 | #6
Folglich muss jeder Mitarbeiter die Möglichkeit haben Programme installieren zu dürfen. Zumindest in einem IT unternehmen ist es unumgänglich das Programmierer Programme installieren können. Und wenn ich meine eigenen Programme installieren kann, kann ich auch das Rootkit installieren.

Das groesste Risiko

Von: mitleser | Datum: 25.10.2004 | #7
Ist doch immer der Admin der in einem Unternehmen die Systeme wartet......und wenn ich den feuere, dann hackt der mein komplettes System

Prominentes Beispiel neulich im Fernsehen. Ein Sysadmin der bei Omega (1996 oder so war das) in USA die kompletten Server geloescht hat. Und nie gefasst worden waere, haette der Dummbatz nicht eine Kopie des Loeschprogramms zu Hause auf der Pladde gehabt.....
Der hasste einfach seinen Chef und die Firma so sehr....10Mio Dollar schaden. 100 Arbeitsplaetze weg.

@Cyrus

Von: njyo | Datum: 25.10.2004 | #8
Dann wird es hoechste Zeit, dass auch die Mac-Community etwas mehr Aufmerksamkeit auf Sicherheit legt (wie es ja auch flo anklingen laesst).
Ich - der nun seit 2 Jahren OSX benuzt - bin ja ehrlich gesagt auf froh, keinen Virenscanner usw. zu brauchen, aber zum Beispiel das root-Passwort nicht zu setzen (NetInfo Manager) ist meiner Meinung nach nachlaessig. Besonders wenn man sich oefters in unbekannten Netzen (Uni-Netz, usw.) aufhaelt. Fuer den privaten Paranoiden hilft dann ein weiteres Boot-Password sicher einiges, um die Kiste halbwegs sicher zu haben. Abgesehen vom gesunden Menschenverstand. ;)
Fuer Unternehmen ist es sicher nicht so einfach, aber mit steigender Groesse des Unternehmens muss man eben jemanden beauftragen, sich als Admin auszutoben und Vertrauen zu den Angestellten ist ja auch unumgaenglich. Ausserdem gibt es diese Probleme mit der Sicherheit ja schon laenger und auf Unix/Linux Basis wurde dahingehen ja schon viel Know-How gesammelt, damit zumindest non-hackers (a.k.a. Skript "Kiddies") Probleme haben. Jemanden aufzuhalten, der ein System wirklich angreifen will, ist sowieso unmoeglich... Man kann es meist nur verzoegern.

Ja, so ist halt die Computerwelt. ;)
greetz,
/W

@mbs

Von: Patrick | Datum: 25.10.2004 | #9
"Trojanische Pferde gab es schon immer auf Mac OS X." Mag schon sein, nur hat man sie wohl sehr selten in der freien Wildbahn angetroffen. Ein Trojaner an sich ist ja auch nicht schwierig zu erstellen, da reichen ein paar Zeilen AppleScript und ein nettes Programm-Icons samt passendem Programm-Namen (Siehe der Office2004-"Installer").

"@Cyrus Mobasheri:
Zitat: "Denn wenn es jedem der sich mit dem Terminal auskennt, möglich ist rootrechte zu verschaffen ist das schon eine ernste Angelegenheit."

Das ist aber nicht möglich."

Ich hab jetzt keine Lust, ein neues System aufzusetzen, um das zu probieren, daher die Frage an Dich: wie sieht's mit den netten "Vorschlägen" aus dem Heise-Forum aus wie zB. "sudo bash" oder "passwd root"? Zumindest letzteres dürfte doch bei nicht gesetztem Root-Passwort und lokalem Zugriff gehen, oder?

@mbs

Von: njyo | Datum: 25.10.2004 | #10
Ok, dies war mir nicht bekannt, dass der root gesperrt ist. Aber in diesem Falle hat jeder User dann wohl sudo Rechte...? Und in diesem Falle kann man einen Benutzer auch ohne Probleme taeuschen, sodass etwas mit root rechten ausgefuehrt wird. Ein einfacher Installer tut es da ja schon...

greetz,
_W

njyo

Von: dermattin | Datum: 25.10.2004 | #11
Der User wird aber immer vorher gefragt, bzw. darf nicht alles.

@dermattin

Von: njyo | Datum: 25.10.2004 | #12
Japp, das schon, aber noch nie ein etwas flaues Gefuehl bei einem Installer gehabt? :)

Ausserdem bin ich mir im Moment gerade nicht sicher wie das immer war (als ich mein System wieder Mal aufsetzte), aber ist nicht ein User, wenn als Administrator in der Benutzerliste eingetragen, zumindest berechtigt sudo Befehle auszufuehren?

greetz
_W

@ njyo

Von: Guido | Datum: 25.10.2004 | #13
Naja, so groß ist der Unterschied zwischen Adminstrator und root auch nicht mehr. Aber auch Administrator-Rechte sollte nur der - genau! - Administrator haben.

Imho ist dieses rootkit zwar nicht zu verharmlosen, Probleme damit dürfte es aber nur bei einem bestimmten Szenario geben:

Firmen-Administrator steht kurz vor der Kündigung und installiert das rootkit auf dem Gatewayrechner sowie auf dem Server. Damit kann er effektiv von außen ins Netzwerk eindringen und den Firmenserver lahmlegen.

Ansonsten gilt: Wenn ein böser Mensch physikalischen, ungeschützten Zugriff auf einen Rechner hat, ist die Kacke eh am Dampfen. Dann braucht man sich um solche Dinge wie rootkits keine Sorgen mehr machen - da ging schon früher was schief.

Wie denkt ihr darüber?

Von: Marcel_75@home | Datum: 25.10.2004 | #14
Würdet ihr all diese Punkte bestätigen um OS X sicher zu machen / zu halten bzw. welche fehlen noch?

1. Das System aktuell halten (regelmäßig per “Software aktualisieren” überprüfen, ob es aktuelle Security-Updates gibt. Falls dem so ist, den normalen Benutzer abmelden und als Administrator anmelden, die Updates laden und installieren).
2. Für die tägliche Arbeit nur als “normaler Benutzer” ohne Admin-Rechte arbeiten.
3. Den root-Benutzer deaktiviert lassen.
4. Regelmäßige Backups anfertigen.
5. Sichere Passwörter verwenden (also mit Groß- und Kleinschreibung sowie Ziffern und Sonderzeichen, am besten mind. 13 Zeichen lang).

Was ich lange nicht mehr probiert habe: "passwd root". Glaube mich zu erinnern, dass man so das Passwort des root im Terminal ändern kann.

Die Frage dabei die mich brennend interessiert: kann man das nur, wenn der root per NetInfo Manager einmal aktiviert wurde (und ihm ein Passwort gegeben wurde) oder ist es eventuell sogar ohne die vorherige Aktivierung des root über den NetInfo Manager möglich?

Anders gefragt: was soll daran sicherer sein, wenn man den root noch gar nicht per NetInfo Manager aktiviert hat? Dann steht doch jedem frei, ein root-Passwort zu vergeben!
Was eben nicht so einfach möglich ist, wenn schon eins vergeben wurde, oder? (da man dann ja erst das alte Passwort wissen muss!)

Außerdem ist es doch sicher auch möglich, den root ohne den NetInfo Manager per Terminal zu aktivieren... macht das nicht sogar dieses "passwd root"?

Das sollte man wirklich mal an einem frischen System durchexerzieren, um wirklich sicher zu gehen. Oder es erläutert hier mal jemand die genauen Zusammenhänge!

Eine völlig andere Sache, die mir letztens aufgefallen ist und auch irgendwie mit der Systemsicherheit von OSX zu tun hat möchte ich hier auch nicht unerwähnt lassen:
Sicher kennt der eine oder andere von Euch noch das Programm "Process Watcher" von Hugues Marty? Das war eine Art TaskManager für MacOS 7, funktionierte aber auch mit 8 und 9.
Aber jetzt kommt es - das Tool funktioniert sogar noch in der Classic-Umgebung von OSX (erstaunlich wenn man bedenkt, dass dies eigentlich ein MacOS 7 Tool war...).
Und es kann von der Classic-Umgebung aus MacOS X Prozesse abschießen!!!
Mein Gedanke war folgender: klar kann ich auch Prozesse mit dem Activity Monitor von OSX abschießen und sicher auch über das Terminal.

Wenn ich nun aber solche Utilities für den normalen Benutzer gesperrt habe kann er das nicht. Was aber, wenn er die Classic-Ungebung starten darf (z.B. da die Firma nicht bereit ist, auf Quark XPress 6 zu updaten, was im Agentur-Alltag nicht selten vorkommt) - dann kann er mit Hilfe von "Process Watcher" Dinge, die er eigentlich nicht können soll!

Sicher ist das nicht unbedingt ein wirkliches Sicherheitsproblem (es gibt keinen Zugang von außen über das Netz) aber es zeigt doch eine "Design-Lücke" - meiner Meinung nach sollte es nämlich keinem Classic-Programm möglich sein, im OSX-Bereich herumzupfuschen...

Wie seht ihr das?

Beste Grüße,
Marcel_75

@ mbs

Von: ionas | Datum: 26.10.2004 | #15
najo, ich habe mir einen zweiten benutzer anlegen müssen, der kein "mac root" ist, und ich musste den unix root glaube ich erst aktivieren, via netinfomanager, und später deaktivieren. das passwort weiss ich gar nicht mehr (also das erste), sicher dass, das das masterpasswort ist, sicher dass man auch ein masterpasswort in jedem fall setzen muss?

@ mbs

Von: ionas | Datum: 26.10.2004 | #16
"Da hast Du etwas missverstanden. Mac OS X ist standardmäßig mit einer Kennwortsperre für root ausgestattet. Das heißt nicht, dass root das "leere" (und damit völlig unsichere) Kennwort hat, sondern im Gegenteil dass root sich überhaupt nicht anmelden darf. Das ist die sicherste Einstellung."

sicher, aber was muss man machen um den unix root freizuschalten? ich habe es wie gesagt schon vergessen, wie das das erste mal war ;-)

wenn das nur ein paar "clicks" oder "befehle" sind ohne masterpassword, dann ist doch eher ein abgeschalteter root problematisch, und es ist besser root anzuschalten, das password damit zu setzen und root wieder abzuschalten.

wie ist jetzt die faktenlage?

Antworten

Von: mbs | Datum: 26.10.2004 | #17
Frage: "kann man das nur, wenn der root per NetInfo Manager einmal aktiviert wurde (und ihm ein Passwort gegeben wurde) oder ist es eventuell sogar ohne die vorherige Aktivierung des root über den NetInfo Manager möglich?"

Das was im NetInfo Manager "Aktivierung" heißt, ist in Wirklichkeit der Austausch der Markierung für das "gesperrte" Kennwort gegen ein "echtes" Kennwort.

Aber nur ein Administrator kann diesen Schritt vornehmen, deshalb ist es kein Sicherheitsproblem. Das Kennwort zu setzen, um es dann zu sperren, ist Unsinn.

Zitat: "so groß ist der Unterschied zwischen Adminstrator und root auch nicht mehr."

Das ist richtig. Die Unterscheidung dient nicht wirklich der Sicherheit im Sinne von Angriffssicherheit gegenüber Hackern (security), sie dient der Sicherheit gegenüber Bedienungsfehlern des Administrators (safety). Jedes Mal, wenn sich ein Administrator selbst in den root-Zustand erheben will (was über den Befehl "sudo" und auf der grafischen Oberfläche über das Schlosssymbol möglich ist), dann muss er nochmals sein Kennwort eingeben, wodurch ihm die "Gefährlichkeit" aller Tätigkeiten und Programme, die er jetzt ausführt, besser bewusst wird. Das root-Recht verfällt nach 5 Minuten und er ist wieder normaler Administrator.

Zitat: "Und es kann von der Classic-Umgebung aus MacOS X Prozesse abschießen!!!"

Auch das ist keine Sicherheitslücke. Ein Benutzer kann immer nur Prozesse beenden, die ihm selbst gehören. Das darf er immer. Für grafische Prozesse reicht es ja, Apple+alt+esc zu drücken.

Zitat: "Sicher ist das nicht unbedingt ein wirkliches Sicherheitsproblem"

Doch, wenn es diese Lücke gäbe, wäre sie ein riesiges Sicherheitsproblem.

@ionas: Ein "Master-Passwort" gibt es in Mac OS X nur, um eine FileVault-Datei im Notfall zu entschlüsseln. Das hat aber nichts mit der Systemsicherheit zu tun.

Noch mehr Antworten

Von: mbs | Datum: 26.10.2004 | #18
Zitat: "Aber in diesem Falle hat jeder User dann wohl sudo Rechte...?"

Nein, kein User außer einem Administrator kann den Befehl sudo ausführen oder ein Schlosssymbol öffnen. (Es sei denn der Administrator gewährt dieses Recht Anderen, was natürlich leichtsinnig ist).

Zitat: "wie sieht's mit den netten "Vorschlägen" aus dem Heise-Forum aus wie zB. "sudo bash" oder "passwd root"? Zumindest letzteres dürfte doch bei nicht gesetztem Root-Passwort und lokalem Zugriff gehen, oder?"

Nein, in beiden Fällen wirst Du nach dem Administrator-Kennwort gefragt. Normale Benutzer haben keine Berechtigung für diese Befehle.