ARCHIV 1999-2006

ARCHIV :: # 4169

Zombie in 30 Minuten: Läuft Ihr Mac auch schon Amok?

Sabine B. aus M.: "Er war unkontrollierbar. Ich fürchtete um mein Leben."

Autor: flo - Datum: 14.03.2006

Ja, liebe BILD, diese Überschrift dürft ihr gerne verwenden. Denn bis in die BILD schafft es der Rummel um die (Un-)Sicherheit von Macs schon auch noch. Viren, Würmer, dDoS-Attacken, dafür braucht es keinen Windows-PC mehr, nicht einmal VirtualPC oder wenigstens Word, nein, man stöpselt seinen Mac ins Netz und schon ist es um ihn und alle darauf gespeicherten Daten geschehen. Könnte man fast meinen, wenn man die letzten Wochen News liest. Erst Leap.A, der Virus/Wurm-Proof-of-Concept, der sich über iChat verbreitete und sich theoretisch auch via Mail versenden könnte, wäre es fertig implementiert gewesen. Dann Inqtana.A, ein Bluetooth-Wurm-Proof-of-Concept, der sich auf eine schon behobene Sicherheitslücke stützte. Es folgte der "30-Minuten-Hack": So lange habe es höchstens gedauert, um auf einem Mac mini, der als Webserver konfiguriert war, root-Rechte zu erlangen. Dass ein lokaler Account sperrangelweit offenstand, wurde erstmal unter den Teppich gekehrt. Der Gegentest mit "normal" konfiguriertem Mac mini hielt dann aber Tonnen von Angriffen stand. Und heute verlinkt macnews auf die Zombie-Macs der University of Arizona, die sich ferngesteuert aus Rumänien (kommen da nicht eher Vampire her?) auf ein gemeinsames Ziel stürzten und "in Quarantäne gesteckt werden mussten": weg vom Netz, Festplatte formatiert.

Also was nun: Muss man als Mac-User jetzt auch den Tag damit beginnen, die neuesten Virusdefinitionen zu laden? Stöpselt man das Netzwerkkabel besser ab, wenn man es gerade nicht braucht? Darf man je wieder auf Mailanhänge klicken?

Das Thema ist nicht ganz trivial, jedoch sollte man die pragmatische von der theoretischen, grundsätzlichen Sicht der Dinge trennen. Für den Benutzer ist der pragmatische Standpunkt der täglich entscheidende, und da gilt: Die Berichte kann man getrost in der Pfeife rauchen. Echte Exploits mit tatsächlichen Schadroutinen sind nicht unterwegs, und wenn ein jpg erst einmal nach einem Admin-Passwort fragt, sollte man sich Gedanken machen und nicht auf OK klicken.

Bei aller Gelassenheit muss abseits der oftmals zu reißerischen Berichte aber eines durchsickern: Kein System kann je vollständig sicher sein. Security Updates gibt Apple nicht aus Langeweile heraus, wer Updates nicht installiert handelt grob fahrlässig: Die letzten großen Windows-Würmer konnten sich auch nur deshalb so schnell verteilen, weil es Unmengen ungepatchter Systeme gibt, die einmal installiert werden und dann so verharren, bis sie auseinanderfallen. Und leider ist halt auch nicht alles harmlos, was ".jpg" heißt oder sich als Link im Forum um die Ecke präsentiert. Man muss ja nicht gleich paranoid werden, nur vorsichtiger.

Bliebe die grundsätzliche Sicht der Dinge. Da kann der User wenig machen, jedoch erwarten, dass Apple sich darum kümmert. Heuter verlinkt MacEssentials auf ein Macworld-Interview mit Bud Tribble, der versucht, die Meldungen der letzten Wochen auf eine rationale Ebene zu reduzieren. In einigen Aussagen klingt er aber auch wieder zu verharmlosend: "Proof of concepts are out there but end users have not been affected by exploits in the wild the way they typically are with some other platforms". Das ist sehr pragmatisch und wohl als einleitende Beruhigung gedacht. Aufhören darf Apple dort aber lange nicht, denn für die Entwickler muss ein Proof-of-concept als real existierendes Problem gelten. "That said Apple does fix security issues in Mac OS X whenever they arise, but most times, these are before the issues are even known publicly." Auch das klingt nett, aber ist eben nicht immer so: Auch Apple bekam in der Vergangenheit schon eins auf den Deckel, da sie zu langsam auf länger bekannte Sicherheitsprobleme reagierten. "We actually build a lot of security functionality into Mac OS X including things like download validation, flagging junk mail, making sure the ports are turned off, and we have a firewall there if you need it. There are a lot of things we do." Und genau da kann man sich als User fragen, ob Apple denn wirklich viel/genug tut.

Als Reaktion auf Leap.A führte Apple die "Download Validation" ein, um getarnte Programme besser erkennen zu können. Das ist ja schön und gut, aber eben auch nur ein Mechanismus, der früher oder später umgangen wird. Immer noch standardmäßig aktiv geblieben hingegen ist die Option in Safari, "sichere" Dateien automatisch zu öffnen. Hätte man nicht auch diese Option präventiv per default deaktivieren sollen? Und dann auch die Formulierung: "Sichere" Dateien. Was soll das sein? Der User klickt hier eine Option an, die alles andere als selbsterklärend ist, genauer gesagt: Sie sagt überhaupt nichts aus.

Auch muss man sich fragen, warum man immer als Admin unterwegs ist und nicht schon bei der Erstinstallation zwei User angelegt werden, ein Admin und ein "normaler" User. Würde das den Benutzer überfordern? Wohl kaum. Zwar ist man auch dann nicht vor allem Übel gefeit, aber es wäre ein Schritt. Ein weiterer, notwendiger Schritt wäre eine flexiblere Rechteverwaltung. Denn auch wenn man als Nicht-Admin im Alltag überleben kann, nicht alles funktioniert reibungslos: FontAgent Pro will hier zum Beispiel keine Schriften aktivieren, wenn der aktive Benutzer über keine Adminrechte verfügt -- weiß der Geier warum. Auch ist die Synchronisation mit anderen Rechnern schwieriger: Meldet man sich vom entfernten Rechner als normaler Benutzer an, kommt man nur ins Userverzeichnis, meldet man sich als Admin an, kommt man nicht ins Userverzeichnis -- standardmäßig. Das ist das Zauberwort: standardmäßig. Ob man mit Terminal oder Zusatztools oder Tweaks und Zeug vieles irgendwie hinbekommt, ist eine Sache, ob es der typische Mac-User auf typische Mac-Art auch kann, eine ganz andere. Muss User- und Rechteverwaltung ein solch undurchdringlicher Wust sein? Muss "Komfort" immer die Standardeinstellung sein (Stichwort: Firewall per default inaktiv etc.)? Sollte man statt wabernder, wellenwerfender Widgets, Webseitenphotogalleriepodcast-erzeugender iLife-Programme und selbst Ansätzen wie Spotlight den Fokus einmal auf ein filigranes, aber simpel präsentiertes System der User- und Rechteverwaltung legen? 10.5, Apple?

Kommentare

Erstes OSX-Rootkit existiert

Von: Big Apple | Datum: 14.03.2006 | #1
Bei Mac-Essentials ging es um das selbe Thema und auch die immer gleichen Beiträge.
[Link]

Und dann kam Paul. Der schrieb sein iBook hat ein Rootkit erwischt. Der beschreibt total genau und detailiert was das alles gemacht hat, wo sich das rein gesetzt hat und wie maclike durchdacht das war. Die Hacker haben wohl echt an alles gedacht.

Das war ja klar, dass das passiert wenn genug Macs verkauft werden.

PS

Von: Big Apple | Datum: 14.03.2006 | #2
Das Rootkit war auf einer versteckten Partition, mit allen Programmen die man braucht. Das Festplattendienstprogramm war auch infiziert. [Link]

Apple hat versagt

Von: ionas | Datum: 14.03.2006 | #3
So wie viele andere auch.

Um ein System wirklich zu schützen müssen für eigentlich alle Dinge standardtisierte Schnittstellen her gegen die geprüft werden kann. Vor Malware und Spyware z.B. aber schützt dies aber noch lange nicht. Mac OS X ist vom Grundkonzept her kein OS dass den Benutzer schützt es ist ein OS in dem der Benutzer sich selbst schützen muss. Dies jedoch kann Opa Uli nicht besonders gut.

Sobald Mac OS X, wirklich das beste OS was die Schnittmenge aus Usability, Stability und verfügbaren Applikationen bildet, auf einen größeren Markt trifft wird es böse krachen.

Durchgeknallt ?

Von: pm | Datum: 14.03.2006 | #4
Wo ist das Problem bei der Userverwaltung ? Wir haben jetzt ACL's. Wieviele Viren gab es für NeXT ? Keine. OS X ist das einzige System auf dem Markt, dass den User grösstmöglichst schützt. Selbst die Research Abteilung von Kaspersky Lab gibt das zu. Nirgends gibt es dermassen viele geschlossene Ports wie bei OS X. Saubere Schnittstellen. Da können SUN und M$ noch ein Jahrzehnt programmieren.

Apple hat jetzt seit über 10 Jahren Apple-script installiert und ich warte seit Jahren darauf, dass von dort das System richtig unter die Räder kommt. Aber bisher wartete ich vergebens.
Bisher kamen die Apple User als Admins sehr gut klar. Root der Superuser ist immer noch geschlossen.

@neu

Von: flo (MacGuardians) | Datum: 14.03.2006 | #5
((gelöschter Beitrag))

Du wunderst dich hoffentlich nicht auch noch, warum?

@flo

Von: neu | Datum: 14.03.2006 | #6
du unterstützt doch wohl diesen schon x-fach widerlegten blödsinn von wegen "wenn der mac erst einmal einen größeren marktanteil hat... dann ja dann aber dann ganz wirklich, dann, ja aber sowas von dann, dann wird es aber sowas von extrem boah eh viel viren geben"?

wenn man sich "eure" redaktionsbeiträge mal ansieht und meinen gelöschten beitrag als maßstab nehmen würde, dann müßte wohl 2/3 davon ebenfalls gelöscht werden!

und trotzdem war der beitrag von ionas nur aufgewärmter schwachsinn!


und nun drück mal gleich wieder auf die löschtaste, davon wird der quatsch mit den viren bei mehr marktanteil auch nicht wahrer!!!


nur zu, nach der ppc-for-ever-phase nun die "mir passt ein beitragnicht und deshalb lösch ich den mal"-phase.


ihr werdet ja immer alberner

noch was!

Von: neu | Datum: 14.03.2006 | #7
wenn schon löschen, dann solltet ihr "chefprogrammierer" wenigstens die verbleibenden beiträge korrekt zählen oder ist das nun schon zu weit entfernt von 3?

ach neu...

Von: flo (MacGuardians) | Datum: 14.03.2006 | #8
...verpacke, was immer du sagen möchtest, einfach in dem allgemeinen Anstand entsprechenden Worten.

Fassen wir zusammen...

Von: dermattin | Datum: 14.03.2006 | #9
1. Kein OS(X) ist 100% sicher
2. Aber OSX ist wahrscheinlich das sicherste Desktop OS
3. Der Wirbel war ein Sturm im Wasserglas, NICHTS ist passiert
4. Man sollte dennoch wachsam sein, siehe 1.

5. bis 32093. DIE SICHERHEIT EINES OS HÄNGT NICHT, ICH WI(E)DERHOLE, NICHT!!!! VON DER VERBREITUNG AB!

Exakt (@mattin)

Von: flo (MacGuardians) | Datum: 14.03.2006 | #10
Bezüglich Punkt 5 bis infinity...

In allen Artikeln zur Sicherheit, zu Würmern und anderem Ungemach, taucht früher oder später der Punkt auf, dass die Verbreitung etwas mit der Sicherheit zu tun habe. _Gemeint_ ist (hoffentlich ;) aber eher, dass die Anzahl der tatsächlichen Exploits mit der Verbreitung steigt, weil bei geringer Verbreitung eine vorhandene Lücke einfach nicht ausgenutzt wird oder ein Exploit nicht öffentlich wird... Mit der prinzipiellen (Un-)Sicherheit hat dies in der Tat rein gar nichts zu tun. Der Umkehrschluss, ein gering verbreitetes System, für das keine Exploits im Umlauf sind, sei nur deswegen augenscheinlich sicher, weil es eben eine geringe Verbreitung hat, ist daher nicht zulässig. Es _könnte_ zufällig zutreffen, es kann aber auch sein, dass es einfach sicherer ist ;)

Zombie Macs hatte ich auch schon

Von: Jörg Gudehus | Datum: 14.03.2006 | #11
Über die Zombiemacs hatte ich Macguardians schon vor einem Jahr informiert.
Ich hatte einen ähnliches Fall auf einem OS X Server 10.3.x.
Wahrscheinlich war es ein Apache-exploit. Ich habe leider nie rausfinden können was genau passiert ist. Aber nach dem Angriff/Verseuchung versuchte unser Server diverse Adressen im Netz per DOS anzugreifen. Das heisst sinnlos http-Aufrufe auf eine handvoll von russischen und deutschen Servern. Das konnte durch das abschalten von Port 80 nach aussen gespeert werden. Aber das Problem habe ich erst durch eine Neuinstallation lösen können. Und keiner konnte mir helfen. Auch die Unix/Apache Cracks nicht.

Leichtsinn ist gefaehrlich -

Von: apprendi | Datum: 14.03.2006 | #12
man kann eben nicht glauben, dass irgendwas absolut (sicher) ist.
Es bleibt eben dabei, dass man auch moeglichst kritisch gegenueber komischer Anhaenge bleibt und hin und wieder sein Systemupdate laedt. Ich als Computeruser weiss niemals welche Tricks irgendwelche Leute sich ausgedacht haben.
Ansonsten hoffe ich, dass es an der Virenfront fuer Macs weiter so ruhig bleibt - dann bin ich sehr gluecklich.

@neu:
Ich find ganz interessant zu sehen, wieviele Belaestigungen mir erspart bleiben...:-)

Verbreitung schon wichtig

Von: Thyl (MacGuardians) | Datum: 14.03.2006 | #13
Ich glaube, dass die Verbreitung eines Betriebssystems schon wichtig ist für die Entwicklung von Malware, weil:
1. Es dem Ego der Programmierer gut tut, wenn mehr Rechner als, äh, sieben infiziert werden;
2. gerade das Kidnappen von Rechnern attraktiver wird, wenn man mehr Rechner kontrollieren kann (DOA Attacken etc); und
3. Mit dem kommerziellen Erfolg auch der Hass auf ein System wächst.

@big apple

Von: neu | Datum: 14.03.2006 | #14
"Der beschreibt total genau und detailiert was das alles gemacht hat, wo sich das rein gesetzt hat und wie maclike durchdacht das war"

ja "total genau" beschreibt der paul das *lach*
und mal eben eine partition zusätzlich auf der festplatte erstellen, ohne andere partitionen teilweise zu löschen und das im hintergrund ohne sicherheitsabfrage, boa eh, das waren aber wirklich mac-like-hacker diese pösen.

na wenn der paul das schreibt, dann muß das wohl so stimmen :-).
na gott sei dank haben die hacker dann seinen rechner nicht mehr gefunden als er wieder ans netz ging.....


lach

im gegenteil

Von: neu | Datum: 14.03.2006 | #15
der erste hacker, der (halb)offiziell einen mac hackt, ist DER HELD (jedenfalls in der szene), die anderen sind doch bloß virenzusammenklickende windowsweicheier mit tools, die man an jeder "ecke" im internet findet.

@neu

Von: Big Apple | Datum: 14.03.2006 | #16
Das Mac Rootkit hat einen Bootloader auf Debiangrundlage. Der hat sich nach jeder Neuinstallation der Java shared archive aus der normalen Installation bedient um wieder benötigte Dateien nachzuladen.
[Link]

Kannst es ja selbst nachlesen.

Glaubwürdigkeit

Von: Gimli | Datum: 14.03.2006 | #17
Erst dachte ich auch, der erzählt nur. Jetzt bin mir nicht mehr sicher.

Ist an dem von diesem Paul geschilderten Rootkit etwas dran? Oder kann man das doch ausschließen?

Alle übertrieben

Von: StevesBaby | Datum: 14.03.2006 | #18
Ich finde das alles übertrieben. Mac OS X ist immer noch sicher. Cracker haben es schwer. Bleiben wir realistisch. Windows ist die Zentrale Plattform für Viren und Trojander und wird es noch lange bleiben.

root Kits

Von: neo | Datum: 14.03.2006 | #19
für OS X gibt es schon seid 2004 rootkits ein sehr bekanntes ist das weaponx, oder osxrt. bei anderen fallen mir die namen nicht ein. die lassen sich auch recht einfach vom BSD portieren.
und passende exploits sucht man am besten bei den server applications, das enduser os x ist relativ sicher wenn die firewall an ist. unter advance kann man noch ein paar nette features einstellen.

gruss neo

flo,

Von: Hawk | Datum: 14.03.2006 | #20
ein Artikel genau zur richtigen Zeit, in Bezug auf destruktive reisserische Meldungen von einigen, in diesem Fall, Möchtegern Berichterstattern wie z.B. "heise" mit Headlines wie "Mac OS X in 30 min. geknackt...", und zur Bewusstseins Änderung, hinsichtlich Systemen und ihrer Sicherheit im Einzugsgebiet vom Internet, und nicht in Security-Areas.
Da die Presse in den letzten Wochen so quantitativ über diese "Überviren" auf dem Mac OSX inkl. der "Zombi-Rechner" von Apple redet, sollten tatsächlich diese Strömung benutzt werden, um zumindest bei Einigen, bestimmte Sicherheitsaspekte wieder wach rütteln. Rein zur Information, versteht sich...

Nach wie vor macht Apple eine gute Arbeit, und diese in einer größeren Form der Vorbeugung als in einer Form der Schadensregulierung.
Nach wie vor brauchen wir uns unter Mac OS X (noch) nicht für den einfachen Betrieb an Hinweise zu halten, wie z.B.

THE SYSTEM SHOULD BE DISCONNECTED
FROM NETWORK UNTIL IT IS
COMPLETELY AND SECURELY
CONFIGURED!

doch es wird Zeit, zumindest darüber nachzudenken, dafür ein Bewusstsein zu entwickeln, um "mit dem zu rechnen, womit man nicht rechnet".
Dazu gehört leider auch die Lobby der Virenscanner Hersteller, und wie immer das liebe Geld durch ein schnelles Geschäft inkl. Neid über Funktion durch gestandene Sicherheit.
Da wir alle für die Integrität unserer Daten selbst verantwortlich sind, die wenigsten per VPN ein zweites Mac OS X System unter Apple Remote fernsteuern, sondern die meisten ihre DSL-Leitung kochen lassen und sich sofort auf alle "ok" Buttons stürzen, würde ich mich freuen, wenn hier im MG in der nächsten Zeit ein wenig mehr über Sicherheit geschrieben würde. Rein zur Information, versteht sich...
Als Anfang wäre es bestimmt für viele interessant zu wissen, wie in der NSA eine "Security Configuration" unter Mac OS X aufgebaut wird. Hiernach haben wir zwar bis auf den menschlichen Faktor, ein sicheres System, aber Musik hören ist nicht mehr.
Da diese Art der Installation Sicherheit bringt, aber nichts mehr mit Mac OS X für den einfachen Anwender zu tun hat, sollte jeder für sich selbst entscheiden, was er braucht.
Ich glaube nicht dass es auch mit einem 10%igen Marktanteil in den nächsten Jahren krachen wird, und schon gar nicht zusammen krachen wird. Warum? Darum...
flo, wenn Interesse besteht, lasse ich dir gerne das Material zukommen.
Rein zur Information, versteht sich...

Tool zur Überprüfung?

Von: Rene | Datum: 14.03.2006 | #21
Gibt es denn Tools aus vertrauenswürdigen Quellen, auf die man sein System auf installierte RootKits überprüfen lassen kann?

Irgendwie wurde diese Frage hier nicht erläutert...

@big apple was soll das

Von: neu | Datum: 15.03.2006 | #22
davon, daß du nun schon zum 3. mal die gleiche webseite hier rein spamst, wird das dort behauptete immer noch mit kein bißchen wahrer.


wer ist paul?
paul der infizierte?
dieser paul behauptet dort einfach nur mal so etwas. wäre etwas dran, würden sich schon scharen von sensationsgeilen darauf stürzen.

dieser paul ist ebenso glaubwürdig wie die 30 min hacker.

p.s.
kleiner tip, den link, den du wohl gleich wieder posten wirst, hast du schon 3 MAL!!!!!!! gepostet! solltest du dies schon vergessen haben, dann schnell zum arzt.................. aber vielleicht vergißt du das dann wahrscheinlich auch ;-)
eine behauptung wird nicht dadurch wahr, daß man diese ständig wiederholt, das bildlügtprinzip wirkt nicht immer!

kindergarten für erwachsene

Von: blacktea | Datum: 15.03.2006 | #23
dieses gegenseitige angepisse in diesem thread nervt, ist kindisch und tut nichts zur sache. wenn ihr euch wirklich auf den sack geht, dann fickt euch anderswo in den a&%*$ aber nicht in einem forum wo ich technische informationen und meinungen lesen will.

@Jörg Gudehus

Von: Bodo | Datum: 15.03.2006 | #24
Dann war es aber eher ein Problem mit Apache. Und wie wir wissen, stammt der nicht von Apple. Einen Fehler in Apache mit der Sicherheit von OSX gleichzusetzenm ist aber ein wenig am Ziel vorbei. ;-)

bodo

Von: nico | Datum: 15.03.2006 | #25
ist ja nicht so, dass man apache irgendwie nachinstalliert. wird ja fix und fertig mitgegeben.

@bodo

Von: neu | Datum: 16.03.2006 | #26
ist bei linux nicht anders.
nur da posaunt sicher niemand herum "linux virus"......

oder habe ich da was übersehen?

wenn man sich die sicherheitsupdates von apple mal ansieht, dann sind mehr als die hälfte aller lücken ja wohl in den oss-programmen.
demnach müßten linuxer ja keine ruhige nacht mehr haben :-).

nur labert da niemand etwas von "linux virus, linux unsicher usw."