OS X und Sicherheit

[kullerhamPster]

Ich nutze auch das Admin-Konto - hatte eine Zeitlang einen zweiten Account, aber das gefiel mir nicht so gut.

Klar ist die Sicherheit theoretisch bei dieser Lösung besser. Das Problem ist, wie oben schon jemand geschrieben hat, dass der Admin ein paar Dinge OHNE Passwort tun darf, die unter Umständen Probleme machen können. Es gab zumindest schon Sicherheitslücken, durch die man dann ohne Passwort root-Rechte erhalten konnte, wenn man mit dem Admin-Account unterwegs war. Es gab allerdings auch schon Lücken, mit denen man von einem eingeschränkten Account an root-Rechte kam

 

[kullerhamPster]

http://osx.macmark.de/osx_security.php

Hm, also die Argumentation zum Marktanteil scheint mir doch etwas "gewagt".

 

[nno]

@MacMark
Danke, das werde ich mal studieren!

@sportler
Ok, danke habe ich mir jetzt so eingerichtet, ich arbeite nun auf dem Standard-Account und habe aber nen Verwalteraccount.

 

[Kernelpanik]

hm, also ich halte nichts davon, mir nen zweiten account einzurichten. ganz ehrlich. aber ich bin ja auch noch kein eingesessener macianer. aber irgendwie find ich das albern... vielleicht mach ich das ja bald noch, sobald ich schlechte erfahrungen gemacht hab...

Warum fragst Du dann? sportler gibt heisse Tips und zurück kommt Schnullergenöle. Doofer gehts nimmer.
Ja mach Dir nen Admin Account. Ich würde noch automatisch Einloggen aktivieren, sicheren virtuellen Speicher würde ich ausschalten. Ausserdem würde ich noch ftp einschalten und die Firewall aus.

Mein Beitrag oben stellt das zusätzliche Anlegen eines Nicht-Admins eigentlich in Frage!

Unter OS X muss man zum Installieren von Updates und Programmen mit dem Installer oder zum Entfernen / Verändern von Systemkomponenten immer ein Admin-Kennwort eingeben. Dabei spielt es keine Rolle, ob man zu diesem Zeitpunkt als Admin oder als Nicht-Admin eingeloggt ist.

Insofern macht es keinen Sinn, extra einen Nicht-Admin-Account anzulegen.

Ja das stimmt. Aber wenn Du oder ein anderes Programm Software installiert fragt es im Admin Account nicht nach einem Passwort. Im User Account habe ich immer die Kontrolle fals ein Programm oder Komponenten davon etwas User-übergreifendes installieren wollen.

 

[kullerhamPster]

Warum fragst Du dann? sportler gibt heisse Tips und zurück kommt Schnullergenöle. Doofer gehts nimmer.
Ja mach Dir nen Admin Account. Ich würde noch automatisch Einloggen aktivieren, sicheren virtuellen Speicher würde ich ausschalten. Ausserdem würde ich noch ftp einschalten und die Firewall aus.

Du musst zugeben, dass es ein Unterschied ist, ob einem eine bestimmte Standard-Konfiguration sicher genug erscheint oder ob man sein System absichtlich unsicher konfiguriert.
Ich z.B. denke nicht, dass es im Sinne von Apple war, dass ein Anwender, der sein System alleine benutzt, zwei getrennte Konten verwenden soll. Sonst wäre die Passwortabfrage für den Admin unnötig und man hätte gleich eine "klassische" Unix-Konfiguration mit einem eingeschränkten Konto und einem vollen root-Konto verwenden können.
Der sichere virtuelle Speicher ist übrigens afaik wirklich unnötig, solange man sein home-Verzeichnis nicht verschlüsselt hat

Ja das stimmt. Aber wenn Du oder ein anderes Programm Software installiert fragt es im Admin Account nicht nach einem Passwort. Im User Account habe ich immer die Kontrolle fals ein Programm oder Komponenten davon etwas User-übergreifendes installieren wollen.

Wenn mehrere Leute an einem System arbeiten, erscheint es mir auch sinnvoll, allen eingeschränkte Konten zu geben. Für einen einzelnen Benutzer, wo es nur darum geht, potentielle Malware in Grenzen zu halten, scheint mir der Ansatz mit dem eingeschränkten Admin (den übrigens auch Ubuntu-Linux in ähnlicher Weise hat) ausreichend.

 

[pepi]

[...]Ich z.B. denke nicht, dass es im Sinne von Apple war, dass ein Anwender, der sein System alleine benutzt, zwei getrennte Konten verwenden soll. Sonst wäre die Passwortabfrage für den Admin unnötig und man hätte gleich eine "klassische" Unix-Konfiguration mit einem eingeschränkten Konto und einem vollen root-Konto verwenden können.
Der sichere virtuelle Speicher ist übrigens afaik wirklich unnötig, solange man sein home-Verzeichnis nicht verschlüsselt hat

Wenn mehrere Leute an einem System arbeiten, erscheint es mir auch sinnvoll, allen eingeschränkte Konten zu geben. Für einen einzelnen Benutzer, wo es nur darum geht, potentielle Malware in Grenzen zu halten, scheint mir der Ansatz mit dem eingeschränkten Admin (den übrigens auch Ubuntu-Linux in ähnlicher Weise hat) ausreichend.

Ein Anwender ist nur ein normaler Anwender, ein Admin sollte niemals auch gleichzeitig ein normaler Anwender sein. Daher ist es durchaus im Sinne von Apple einen Administrator und einen normalen Benutzer einzurichten.

Die "klassische" Unix Konfiguration mit einem allmächtigen root User ist übrigens auch im Serverbereich seit Jahren vorbei. Rollen basierte Administration ist das Konzept welches heutzutage nicht nur unter Mac OS X angewandt wird.

Der sichere virtuelle Speicher ist nicht nur sinnvoll wenn man sein Home Directory verschlüsselt hat. Es befinden sich dort potentiell ja nicht nur Zugangsdaten (und andere Daten) mit denen man auf den lokalen Benutzer zugreifen kann, sondern auch die für andere Rechner/Server. (zB Mailaccounts, Fileserver, VPN Passwörter, etc.) Auch ein verschlüsseltes Home directory hilft nur wenig gegen unerwünschte Dateizugriffe wenn ich nicht dafür sorge, daß sämtliche Cache Dateien auch verschlüsselt abgelegt werden. Das selbe gilt für die Defragmentierung und Adaptive-Hot-File-Clustering. Dort könnte ich in unbelegten Sektoren der Festplatte immer noch Inhalte finden auf die ich nicht zugreifen können sollte. Security beginnt viel früher, nämlich bei entsprechender physischer Zugangskontrolle.
Gruß Pepi

 

[kullerhamPster]

Ein Anwender ist nur ein normaler Anwender, ein Admin sollte niemals auch gleichzeitig ein normaler Anwender sein. Daher ist es durchaus im Sinne von Apple einen Administrator und einen normalen Benutzer einzurichten.

Die "klassische" Unix Konfiguration mit einem allmächtigen root User ist übrigens auch im Serverbereich seit Jahren vorbei. Rollen basierte Administration ist das Konzept welches heutzutage nicht nur unter Mac OS X angewandt wird.

Ich behaupte jetzt einfach mal, dass wenn so was im Sinne von Apple wäre, dass sie es dann als Standardkonfiguration gemacht hätten oder es dem Benutzer zumindest irgendwie nahelegen würden. Da beides nicht der Fall ist, kann man entweder daraus schließen, dass es eben nicht im Interesse von Apple ist oder dass OS X in einer unsicheren Standardkonfiguration ausgeliefert wird.

Wie definierst Du rollenbasierte Administration? Ich interpretiere das im Sinne von verschiedenen Adminkonten für verschiedene Aufgaben. Das mag im professionellen Umfeld sinnvoll sein, für einen Privatanwender ist das imo Overkill.
Außerdem sehe ich in der Konfiguration "eingeschränktes Konto" + "eingeschränkter Admin" absolut nix Rollenbasiertes, sondern lediglich eine zusätzliche "Schwelle" für den Admin. Wenn ich mich aber zum Administrieren mit meinem Admin-Account an meinem (!) System anmelde, dann will ich nicht noch bei jeder Aktion mein Passwort eintippen müssen.
Wohlgemerkt: Ich rede hier von Privatnutzern an ihrem eigenen Rechner, nicht von einem Firmennetz oder dergleichen.

Der sichere virtuelle Speicher ist nicht nur sinnvoll wenn man sein Home Directory verschlüsselt hat. Es befinden sich dort potentiell ja nicht nur Zugangsdaten (und andere Daten) mit denen man auf den lokalen Benutzer zugreifen kann, sondern auch die für andere Rechner/Server. (zB Mailaccounts, Fileserver, VPN Passwörter, etc.) Auch ein verschlüsseltes Home directory hilft nur wenig gegen unerwünschte Dateizugriffe wenn ich nicht dafür sorge, daß sämtliche Cache Dateien auch verschlüsselt abgelegt werden. Das selbe gilt für die Defragmentierung und Adaptive-Hot-File-Clustering. Dort könnte ich in unbelegten Sektoren der Festplatte immer noch Inhalte finden auf die ich nicht zugreifen können sollte. Security beginnt viel früher, nämlich bei entsprechender physischer Zugangskontrolle.
Gruß Pepi

Der sichere virutelle Speicher bezieht sich ja nur darauf, dass das Swap-File verschlüsselt wird. Und darauf hat ohnehin nur root Zugriff. Um also sensitive Daten, die sich darin möglicherweise befinden, auslesen zu können, braucht man entweder root-Rechte, oder aber physischen Zugriff auf die Platte (denn dann sind Zugriffsrechte wirkungslos). Falls man (als Angreifer) root-Rechte hat, ist man nicht mehr auf den virtuellen Speicher angewiesen, um z.B. an eMail-Passwörter etc. zu kommen.
Aber Du hast Recht, bei physischem Zugriff könnte man eventuell auch andere Passwörter darin finden (oder eben das Benutzerpasswort, mit dem man dann andere Passwörter im Schlüsselbund entschlüsseln kann). Wobei direkter physischer Zugriff ja ein eher unwahrscheinliches Szenario ist. Aber das Aktivieren des sicheren virtuellen Speichers schadet sicher nix. Ist übrigens auch keine Standardeinstellung bei einem frisch installierten OS X - und nebenbei erst ab Tiger verfügbar.

 

[wolfsbein]

Ich bin seit 2001 ausschließlich mit Admin-Accounts unter OS X unterwegs, arbeite täglich mit dem Mac und bin dauernd online. Und nun ratet mal, wie oft mein Mac schon das Ziel von Hackerangriffen wurde...

Woher weisst du das? Nur weil es noch keine flaechendeckenden Angriffe auf OS X gibt sind dennoch einige Luecken bekannt. Je nach dem wie Apple mit dem Patchen hinterherkommt.

 

[fluidium]

Erstmal danke für die Beiträge!

Ich bin zu dem Schluß gekommen, das es kein Beinbruch ist, sich einen neuen Nicht-Admin-User anzulegen, auch wenn ich als Daueradmin noch nie Probleme hatte.

Wie stellt man das aber nun geschickt an, sämtliche Einstellugen, die ich als Admin angelegt habe mit in den neuen User zu nehmen? Alles zu Fuß zu erledigen ist ja dann doch etwas mühselig!

In meinem Fall mit OSX 10.3.9

 

[flo911]

Erstmal danke für die Beiträge!

Wie stellt man das aber nun geschickt an, sämtliche Einstellugen, die ich als Admin angelegt habe mit in den neuen User zu nehmen? Alles zu Fuß zu erledigen ist ja dann doch etwas mühselig!

In meinem Fall mit OSX 10.3.9

Du erstellst dir einen neuen Benutzer mit Admin Rechten.
Danach enziehst du deinem jetzigen Benutzer die Admin Rechte (Hacken entfernen bei "Benutzer darf diesen Computer verwalten") und kannst ihn dann weiterverwenden.

 

[kullerhamPster]

Woher weisst du das? Nur weil es noch keine flaechendeckenden Angriffe auf OS X gibt sind dennoch einige Luecken bekannt. Je nach dem wie Apple mit dem Patchen hinterherkommt.

Diese Sicherheit hast Du aber nie, ob mit oder ohne eingeschränktem Konto.

Ich will mal auf diesen Heise-Artikel verweisen, eine Nachlese zum "Month of Apple Bugs".
http://www.heise.de/security/artikel/84663

Ich stimme dem Artikel nicht in jeder Hinsicht zu, aber er zeigt imo einige durchaus ernstzunehmene Probleme auf, die OS X hat(te).

Besonders interessant ist imo dieser Abschnitt:

Während die meisten Schwachstellen zum Erhöhen der Rechte neu sind, stimmt es bedenklich, dass die kritischste davon schon seit langer Zeit bekannt ist. Um über die Manipulation der InputManager an Root-Rechte zu gelangen, muss ein Anwender nicht einmal Mitglied der Admin-Gruppe sein. Der OS-X-Wurm Leap.A nutzte das Schlupfloch schon vor gut einem Jahr aus, um sich automatisch mit Root-Rechten zu starten. Apple hat bis heute keine Abhilfe für dieses Problem geschaffen.

Falls diese Information korrekt ist, heißt das also, dass eine Lücke, die jedem (!) lokalen Anwender erlaubte, an root-Rechte zu kommen, ein gutes Jahr lang offen war und sogar der passende Wurm dazu existiert(e).
Man darf sich gerne mal überlegen, zu was ein solches Szenario unter Windows geführt hätte.

 

[pepi]

Ich bin seit 2001 ausschließlich mit Admin-Accounts unter OS X unterwegs, arbeite täglich mit dem Mac und bin dauernd online. Und nun ratet mal, wie oft mein Mac schon das Ziel von Hackerangriffen wurde...

Nun ich würde sagen, schon mehrmals. (Vielleicht sogar schon einige (zig)tausend Male.) Die Frage ist, wie oft hast Du es mitbekommen, daß Du angegriffen wurdest? Wie oft schaust Du denn nach ob jemand versucht hat einen Account bei Dir zu hacken, oder ob Dich jemand gescannt hat? Einmal im Internet mit einer öffentlichen IP Nummer genügt um durch automatisierte Robots gescannt und angegriffen zu werden. Auch eine private IP in einem (öffentlichen) WLAN ist wunderbar dafür geeignet.

[...]
Wie definierst Du rollenbasierte Administration? Ich interpretiere das im Sinne von verschiedenen Adminkonten für verschiedene Aufgaben. Das mag im professionellen Umfeld sinnvoll sein, für einen Privatanwender ist das imo Overkill.
Außerdem sehe ich in der Konfiguration "eingeschränktes Konto" + "eingeschränkter Admin" absolut nix Rollenbasiertes, sondern lediglich eine zusätzliche "Schwelle" für den Admin. Wenn ich mich aber zum Administrieren mit meinem Admin-Account an meinem (!) System anmelde, dann will ich nicht noch bei jeder Aktion mein Passwort eintippen müssen.
Wohlgemerkt: Ich rede hier von Privatnutzern an ihrem eigenen Rechner, nicht von einem Firmennetz oder dergleichen.

Der sichere virutelle Speicher bezieht sich ja nur darauf, dass das Swap-File verschlüsselt wird. Und darauf hat ohnehin nur root Zugriff. Um also sensitive Daten, die sich darin möglicherweise befinden, auslesen zu können, braucht man entweder root-Rechte, oder aber physischen Zugriff auf die Platte (denn dann sind Zugriffsrechte wirkungslos). Falls man (als Angreifer) root-Rechte hat, ist man nicht mehr auf den virtuellen Speicher angewiesen, um z.B. an eMail-Passwörter etc. zu kommen.
Aber Du hast Recht, bei physischem Zugriff könnte man eventuell auch andere Passwörter darin finden (oder eben das Benutzerpasswort, mit dem man dann andere Passwörter im Schlüsselbund entschlüsseln kann). Wobei direkter physischer Zugriff ja ein eher unwahrscheinliches Szenario ist. Aber das Aktivieren des sicheren virtuellen Speichers schadet sicher nix. Ist übrigens auch keine Standardeinstellung bei einem frisch installierten OS X - und nebenbei erst ab Tiger verfügbar.

Ungefähr so, darfst Du Dir das mit der Rollen basierten Administration vorstellen. Niemand trifft eine Aussage darüber wieviele Rollen es geben muß. Ein normaler User ist ein normaler User. Ein Admin unter Mac OS X hat eben alle möglichen administrativen Rollen inne. (Mac OS X Client!)

Du mußt auch nicht bei jeder Aktion (D)ein Admin Passwort eingeben. Nur bei solchen die gesperrt sind und eine höhere Authentifizierung erfordern als Du momentan trägst. Dies verhindert unter anderem, daß automatisierte Prozesse die Du nicht selbst aktiviert hast solche Dinge ohne Dein Zutun/Wissen ebenfalls erledigen können.

Ich bin durchaus der Meinung, daß ein privater Rechner ebenso schützenswert ist wie ein Firmenrechner. Immerhin läuft (in unserem Fall) auf beiden ein sehr mächtiges und gut ausgestattetes System welches für einen Angreifer sehr interessant ist (und heutzutage über eine ganze Menge Bandbreite verfügt).

Als root User auf Deinem lokalen System bin ich sehr wohl noch auf die (evt. verschlüsselten) Swap Files angewiesen. Zumindest solange bis ich aus denen Dein(e) Schlüsselbund Passwo(¨)rt(er) extrahiert habe um diesen zu öffnen. Die Schlüsselbunddateien sind nämlich ebenfalls verschlüsselt auf der Platte abgelegt. Über die Swap Files komme ich aber sogar uU an Paswörter dran die garnicht auf Deinem System abgelegt sind. (Beispielsweise von verschlüsselten DMG Dateien.)

Wie sehr wahrscheinlich physischer Zugriff auf einen Rechner ist hängt von Deiner persönlichen Zugangsregelung ab. Bei portablen Geräten ist das Risiko insgesamt enorm hoch. Die werden durchaus mal verloren/vergessen oder sogar gestohlen! Man darf auch nicht vergessen, daß man nicht immer daneben sitzt und es wie klein Adlerauge bewacht. Physischer Zugang ist ein sehr häufiger Grund für Datendiebstahl. (Weswegen beispielsweise auch viele Drucker- und Kopierer-Hersteller dazu übergegangen sind die Spool Dateien verschlüsselt abzulegen.)

Man kann eine Mac OS X Standardinstallation mit einigen wenigen Klicks vergleichsweise sicher machen. Das sind alles Dinge die ich jedem Benutzer ans Herz legen würde und die auch im normalen täglichen Betrieb absolut zumutbar sind. Wer genauer bescheid weis sei natürlich gerne dazu angehalten sein System noch weiter abzusichern. Die NSA und Apple Security Guides zu Mac OS X sind hier eine hervorragende Lektüre für den angehenden (noch nur partiell paranoiden) User/Sysadmin. Wer weis was möglich ist, hat hoffentlich auch einen Plan dem Einhalt zu gebieten.
Gruß Pepi

 

[kullerhamPster]

Ungefähr so, darfst Du Dir das mit der Rollen basierten Administration vorstellen. Niemand trifft eine Aussage darüber wieviele Rollen es geben muß. Ein normaler User ist ein normaler User. Ein Admin unter Mac OS X hat eben alle möglichen administrativen Rollen inne. (Mac OS X Client!)

Du mußt auch nicht bei jeder Aktion (D)ein Admin Passwort eingeben. Nur bei solchen die gesperrt sind und eine höhere Authentifizierung erfordern als Du momentan trägst. Dies verhindert unter anderem, daß automatisierte Prozesse die Du nicht selbst aktiviert hast solche Dinge ohne Dein Zutun/Wissen ebenfalls erledigen können.

Und eigentlich sollte es so sein, dass alle "kritischen" Dinge, die das Gesamtsystem kompromittieren könnten, ein Passwort erfordern. Und aus ebendiesem Grund bin ich der Meinung, dass theoretisch die einzige zusätzliche Sicherheit von getrennten Konten darin besteht, dass man unterschiedliche Passwörter wählen kann. In der Praxis und speziell unter OS X kommt noch hinzu, dass Apple (aus welchen Gründen auch immer) die Trennung "aufgeweicht" hat, der Admin-User also auch ohne Passwort ein paar Dinge tun darf, die ein Standardnutzer nicht darf. Zum Beispiel Programme in /Applications ablegen (was imo kein Sicherheitsproblem darstellt, solange nur eine Person an dem System arbeitet) oder darin vorhanden Programme manipulieren (auch bereits installierte Systemtools wie das Terminal). Letzteres könnte in der Tat ein Sicherheitsproblem sein.
Dennoch bin in der Meinung, dass die Lösung, die Apple hier fährt, einen guten Kompromiss aus Sicherheit und Benutzbarkeit darstellt (nicht zuletzt deswegen dürfte Ubuntu ein ähnliches System verwenden). Sie erscheint mir für ein Einbenutzersystem auch deutlich intuitiver zu sein als zwei Benutzerkonten.

Ich bin durchaus der Meinung, daß ein privater Rechner ebenso schützenswert ist wie ein Firmenrechner. Immerhin läuft (in unserem Fall) auf beiden ein sehr mächtiges und gut ausgestattetes System welches für einen Angreifer sehr interessant ist (und heutzutage über eine ganze Menge Bandbreite verfügt).

Dem widerspreche ich. Für die meisten Anwender ist es imo weder von Interesse noch im Bereich des Möglichen (weil ihnen einfach Wissen und Zeit fehlen), ihr System zu schützen wie die kritische IT-Infrastruktur einer Firma. Deswegen ist es wichtig, dass ein Betriebssystem von sich aus sicher (genug) ist, um halbwegs gefahrlos damit arbeiten zu können. Das ist Windows XP zum Beispiel nicht, denn das legt nach der Installation einen Benutzer mit vollen Admin-Rechten an, den wahrscheinlich dann auch 90% der Nutzer benutzen. OS X ist es bedingt, die Standardeinstellungen könnten imo restriktiver sein.

Ich will auch gar nicht bestreiten, dass eine Lösung mit zwei separaten Konten möglicherweise eine bessere Sicherheit bietet als das Standardkonto. Nur ist es imo keineswegs eine Notwendigkeit, schon gar nicht, solange die Malware-Situation unter OS X so ist, wie sie im Moment ist. Sollten Macs in Zukunft im großen Stil angegriffen werden, so müsste ich meine Meinung wohl revidieren.

 

[MacMark]

… falls diese Information korrekt ist, heißt das also, dass eine Lücke, die jedem (!) lokalen Anwender erlaubte, an root-Rechte zu kommen, ein gutes Jahr lang offen war und sogar der passende Wurm dazu existiert(e).
Man darf sich gerne mal überlegen, zu was ein solches Szenario unter Windows geführt hätte.

Langsam mit den jungen Pferden, langsam

Das Problem bzgl. InputManger war, daß das UserNotificationCenter auch InputManager aus Userverzeichnissen geladen hat. Der Code des InputManagers läuft dann unter der Gruppe wheel, die die primäre Gruppe von root ist.

Die UserNotificationCenter-Lücke stand auch nicht "ein gutes Jahr" offen sondern nur wenige Tage: Am 24.01.07 aufgedeckt und am 13.02.07 von Apple gefixt.
http://docs.info.apple.com/article.html?artnum=305102

Es sieht sogar so aus, als würde Apple den oft zweckentfremdet eingesetzten InputManager-Mechanismus mit 10.5 streichen.

Leap ist kein Wurm, sondern ein Trojaner. Der User muß auf einen per iChat zugeschickten Link klicken, den Download der Datei bestätigen, die runtergeladene Datei entpacken und anschließend die Datei per Doppelklick öffnen. Ein Wurm erfordert keine User-Interaktion, wodurch er sich schnell und problemlos verbreitet.

Die technisch unpassende Bezeichnung "Wurm" wird wegen der schöneren Schlagzeile (Werbekunden, Hits) immer gerne genommen. Nichstdestotrotz ist es Unfug.

Leap hat nicht diese UserNotificationCenter-Lücke ausgenutzt, denn er hatte keinerlei Schadroutinem: Er versuchte, nachdem man ihn von Hand gestartet hatte, anderen Usern in der iChat-Liste Nachrichten mit sich zu schicken. Die Lücke im UserNotificationCenter war auch noch nicht bekannt zu der Zeit als Leap auftauchte.

 

[kullerhamPster]

Das Problem bzgl. InputManger war, daß das UserNotificationCenter auch InputManager aus Userverzeichnissen geladen hat. Der Code des InputManagers läuft dann unter der Gruppe wheel, die die primäre Gruppe von root ist.

Die UserNotificationCenter-Lücke stand auch nicht "ein gutes Jahr" offen sondern nur wenige Tage: Am 24.01.07 aufgedeckt und am 13.02.07 von Apple gefixt.
http://docs.info.apple.com/article.html?artnum=305102

Hm, ich habe grade diese Meldung zu Leap auf Heise gefunden, werde aber nicht schlau daraus, ob der irgend eine Lücke ausgenutzt hat oder nicht:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/69677

Leap ist kein Wurm, sondern ein Trojaner. Der User muß auf einen per iChat zugeschickten Link klicken, den Download der Datei bestätigen, die runtergeladene Datei entpacken und anschließend die Datei per Doppelklick öffnen. Ein Wurm erfordert keine User-Interaktion, wodurch er sich schnell und problemlos verbreitet.

Die technisch unpassende Bezeichnung "Wurm" wird wegen der schöneren Schlagzeile (Werbekunden, Hits) immer gerne genommen. Nichstdestotrotz ist es Unfug.

Na ja, das ist nun imo Wortklauberei, zumal "Trojaner" meiner Meinung nach nicht weniger bedrohlich klingt als "Wurm". Nebenbei laufen afaik auch die ganzen Windows-Malwares mit ausführbaren eMail-Anhängen à la "rechnung.pdf.exe" unter der Bezeichnung "Wurm".

Leap hat nicht diese UserNotificationCenter-Lücke ausgenutzt, denn er hatte keinerlei Schadroutinem: Er versuchte, nachdem man ihn von Hand gestartet hatte, anderen Usern in der iChat-Liste Nachrichten mit sich zu schicken. Die Lücke im UserNotificationCenter war auch noch nicht bekannt zu der Zeit als Leap auftauchte.

Ah ok, dann ist obige Meldung wohl wirklich etwas anderes. Scheint also, als wäre besagte Heise-Meldung fehlerhaft.

Dennoch bleibt festzuhalten, dass es eine Lücke gab, die es jedem Benutzer erlaubt hätte, an root-Rechte zu kommen. Wenn Du allerdings recht hast damit, dass die Lücke vor dem 24.1. nicht offiziell bekannt war, dann war Apple mit dem Patchen wirklich schnell.

 

[MacMark]

Hm, ich habe grade diese Meldung zu Leap auf Heise gefunden, werde aber nicht schlau daraus, ob der irgend eine Lücke ausgenutzt hat oder nicht:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/69677



Na ja, das ist nun imo Wortklauberei, zumal "Trojaner" meiner Meinung nach nicht weniger bedrohlich klingt als "Wurm". Nebenbei laufen afaik auch die ganzen Windows-Malwares mit ausführbaren eMail-Anhängen à la "rechnung.pdf.exe" unter der Bezeichnung "Wurm".



Ah ok, dann ist obige Meldung wohl wirklich etwas anderes. Scheint also, als wäre besagte Heise-Meldung fehlerhaft.

Dennoch bleibt festzuhalten, dass es eine Lücke gab, die es jedem Benutzer erlaubt hätte, an root-Rechte zu kommen. Wenn Du allerdings recht hast damit, dass die Lücke vor dem 24.1. nicht offiziell bekannt war, dann war Apple mit dem Patchen wirklich schnell.

Der Heise-Artikel ist über Leap. Ein Trojaner, der dem Benutzer in sein Home einen InputManager installiert oder, wenn man UID 0 hat (also root wäre), in /Library. Damit würden bestimmte Arten von Programmen, wenn der User (im ersten Fall) oder irgendein User (zweiter Fall) ein solches starten, den InputManager nutzen und den Leap per iChat anderen Usern zum Download anbieten. Das ist alles.

Es ist keine Wortklauberei sondern ein erheblicher Unterschied in der Verbreitungs- und Schadmöglichkeit.

Es ist ein bißchen komplizierter, mit dem (gefixten) Bug im UserNotificationCenter an root-Rechte zu kommen. Man muß mit dem InputManager, wenn denn installiert wurde, bestimmte seuid-Dateien überschreiben, auf die Wheel Schreibrechte hat. Dann muß man noch warten, bis ein Admin die Rechte repariert usw. usf. Das ist über Skriptkiddie-Niveau.

Außerdem kann nicht "jeder", sondern nur auf dem Rechner angelegte Benutzer und niemand von außen. Und "können" ist theoretisch, weil es auch mit Anleitung weder einfach noch schnell geht.

 

[kullerhamPster]

Der Heise-Artikel ist über Leap. Ein Trojaner, der dem Benutzer in sein Home einen InputManager installiert oder, wenn man UID 0 hat (also root wäre), in /Library. Damit würden bestimmte Arten von Programmen, wenn der User (im ersten Fall) oder irgendein User (zweiter Fall) ein solches starten, den InputManager nutzen und den Leap per iChat anderen Usern zum Download anbieten. Das ist alles.

Äh, Sekunde, nur mit root in /Library? Es las sich für mich so, als würde es reichen, Mitglied der Admin-Gruppe zu sein.

Es ist keine Wortklauberei sondern ein erheblicher Unterschied in der Verbreitungs- und Schadmöglichkeit.

Die Definition, dass sich ein Wurm komplett ohne Benutzerinteraktion verbreiten muss, ist imo keineswegs zwingend. Der entsprechende Wikipedia-Artikel enthält sogar einen ganzen Abschnitt über "Ausführung durch den Benutzer".
Nach der Definition, wie ich sie kenne, verbreitet sich ein Virus passiv durch Infektion von ausführbaren Dateien, ein Wurm hingegen ist nicht auf einen Wirt angewiesen. Sind diese Begriffe überhaupt in irgend einer Weise standardisiert?

Davon abgesehen sehe ich zunächst einmal keinen Unterschied in der Schadmöglichkeit: Wenn die Malware erst einmal läuft, ist es unerheblich, ob sie der Benutzer selbst gestartet hat oder ob der Schadcode bspw. durch einen Exploit in irgend einer Software zur Ausführung kam (solange diese Software nicht grade mit höheren Rechten läuft).

Es ist ein bißchen komplizierter, mit dem (gefixten) Bug im UserNotificationCenter an root-Rechte zu kommen. Man muß mit dem InputManager, wenn denn installiert wurde, bestimmte seuid-Dateien überschreiben, auf die Wheel Schreibrechte hat. Dann muß man noch warten, bis ein Admin die Rechte repariert usw. usf. Das ist über Skriptkiddie-Niveau.

Außerdem kann nicht "jeder", sondern nur auf dem Rechner angelegte Benutzer und niemand von außen. Und "können" ist theoretisch, weil es auch mit Anleitung weder einfach noch schnell geht.

In Zeiten, in denen Malware-Autoren ganze Rootkits entwickeln, um ihre Schadsoftware zu verstecken und Wissen über offene Lücken in Software für viel Geld gehandelt wird, würde ich mich nicht drauf verlassen, dass eine Lücke nur deswegen nicht ausgenutzt wird, weil sie schwer auszunutzen ist - auch wenn es natürlich ein gewisser Trost ist, dass das nicht jedes Skriptkiddie kann

Aber wenn man mit der Lücke an root-Rechte kommen soll, wie kann es dann dafür nötig sein, dass man Dateien manipulieren muss, die nur wheel schreiben darf?

 

[MacMark]

Äh, Sekunde, nur mit root in /Library? Es las sich für mich so, als würde es reichen, Mitglied der Admin-Gruppe zu sein.

Ein Admin kann /Library ändern, aber Leap prüft nicht auf Admin. Leap prüft, ob er unter UID 0 läuft und schreibt dann in /Library, ansonsten in ~/Library.

Die Definition, dass sich ein Wurm komplett ohne Benutzerinteraktion verbreiten muss, ist imo keineswegs zwingend.

Ansonsten ist es kein Wurm.

Der entsprechende Wikipedia-Artikel enthält sogar einen ganzen Abschnitt über "Ausführung durch den Benutzer".

Wikipedia ist wissenschaftlich irrelevant und nicht zitierfähig.

Ich würde mir so etwas ansehen:
http://www.webopedia.com/DidYouKnow/Internet/2004/virus.asp

Davon abgesehen sehe ich zunächst einmal keinen Unterschied in der Schadmöglichkeit: Wenn die Malware erst einmal läuft, ist es unerheblich, ob sie der Benutzer selbst gestartet hat oder ob der Schadcode bspw. durch einen Exploit in irgend einer Software zur Ausführung kam (solange diese Software nicht grade mit höheren Rechten läuft).

Normale User-Rechte genügen einem Wurm in der Regel nicht. Er greift entweder direkt Prozesse von root an, oder vom User für den Mailserver oder dergleichen. Ein Wurm braucht keine Benutzerfehler. Da er auch keinen eingeloggten Benutzer voraussetzt, greift er in der Regel dauerhaft verfügbare Prozesse an. Wenn Du Dich an richtige Würmer erinnerst, dann sind die lawinenartig durchs Netz gerauscht.

In Zeiten, in denen Malware-Autoren ganze Rootkits entwickeln, um ihre Schadsoftware zu verstecken und Wissen über offene Lücken in Software für viel Geld gehandelt wird, würde ich mich nicht drauf verlassen, dass eine Lücke nur deswegen nicht ausgenutzt wird, weil sie schwer auszunutzen ist - auch wenn es natürlich ein gewisser Trost ist, dass das nicht jedes Skriptkiddie kann

Eine nicht unerhebliche Hürde. Diese zusammen mit Apples raschem Fix, machen das Ausnutzen fast unmöglich.

Aber wenn man mit der Lücke an root-Rechte kommen soll, wie kann es dann dafür nötig sein, dass man Dateien manipulieren muss, die nur wheel schreiben darf?

Das anzugreifende Programm "UserNotificationCenter" läuft unter wheel, kann also nur entsprechende Dateien ändern. Die Idee ist, eine Datei zu ändern, die wheel ändern kann, aber root ausführt irgendwann später. Es ist keine zuverlässige Angriffsmethode, da wie gesagt anschließend auch noch (für das vorgeschlagene Angriffsszenario von MoAB) darauf gewartet werden muß, daß die Rechte repariert werden. "Mal eben übernehmen" ist nicht drin damit.

Nachtrag: Beschreibung des ersten Internet-Wurms:
http://snowplow.org/tom/worm/worm.html
http://world.std.com/~franl/worm.html

 

[kullerhamPster]

Ansonsten ist es kein Wurm.

Wikipedia ist wissenschaftlich irrelevant und nicht zitierfähig.

Ich würde mir so etwas ansehen:
http://www.webopedia.com/DidYouKnow/Internet/2004/virus.asp

Das ist jetzt ein ziemliches Brachialargument, mit der man jeder Diskussion aus dem Weg gehen kann
Die Tatsache, dass sich einer derartige "Falschinformation" in einem als exzellent gekennzeichneten Artikel hält, legt imo doch den Verdacht nahe, dass "Deine" Definition nicht die einzig gebräuchliche ist. Zumal die Begriffe anscheinend wirklich nicht standardisiert sind.

Wikipedia verlinkt übrigens auf einen RFC, da heißt es:

$ worm
(I) A computer program that can run independently, can propagate a
complete working version of itself onto other hosts on a network,
and may consume computer resources destructively. (See: Morris
Worm, virus.)

Das ist imo auch recht schwammig, denn "independently" kann auch einfach heißen, dass der Wurm kein anderes Programm braucht, um zur Ausführung zu kommen (im Gegensatz zu einem Virus).

Im Gegensatz dazu heißt es beim "Virus":

A virus cannot run by itself; it requires that its host
program be run to make the virus active.

Ach ja, der Link dazu:
http://tools.ietf.org/html/rfc2828

Und wenn Du mal in den Heise-News nach "Wurm" suchst, dann wirst Du da auch etliche Dinge finden, die eindeutig Benutzerinteraktion voraussetzen.

 

[MacMark]

Heise und seine Schlagzeilen. Die nennen alles Wurm.

Die RFC-Definition ist korrekt. Der Wurm verbreitet sich selbständig/unabhängig (heißt: ohne Zutun eines Benutzers). Was vom Benutzer Hilfe braucht, ist kein Wurm. Wenn jemand etwas anderes behauptet, würde ich ihn nicht mehr um Rat fragen. Das ist ein KO-Kriterium, kein Totschlag-Argument.

Ein Virus braucht typischerweise einen Wirt, bevorzugt einen ausführbaren Wirt. Der Wurm nicht.

Den Morris Worm, den sie in der RFC als Beispiel nennen, habe ich oben verlinkt. Ist ein Paradebeispiel

Ich kann Dir eine korrekte deutschsprachige Definition von dem ganzen Gekrabbel geben, die mit der RFC und auch mit der anderen Quelle oben (ist auch bei mir verlinkt) sich decken sollte:
http://osx.macmark.de/osx_security.php#handlungsbedarf