Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Müssen wir uns jetzt auch warm anziehen?? Rootkit für OS X
Müssen wir uns jetzt auch warm anziehen?? Rootkit für OS X
Hinnerk
23.10.04
16:50
Hallo zusammen,
bin gerade über einen Artikel bei Slashdot gestoßen
Müssen wir uns jetzt doch Sorgen machen um Malware dieser Art? (IMHO war das nur eine Frage der Zeit...)
Weiterführende Infos unter:
und zur Problematik der StatupItems
Schaut euch dass doch mal an...
Hinnerk
Hilfreich?
0
Kommentare
zanda
23.10.04
16:54
Immer ruhig
Schau mal unter ...
macnews.de-Interview: Rootkits am Mac
Wie soll denn (BIS DATO) das Rootkit via Website bzw. Email auf Deinen Rechner kommen?
zanda
Hilfreich?
0
Hinnerk
23.10.04
17:26
Nunja, beim Surfen mach ich mir ja auch keine Sorgen, aber kompromitierte Installer wären schon denkbar...
Hilfreich?
0
Rantanplan
23.10.04
17:33
Jo, deswegen hasse ich auch Installer und lehne Shareware/Freeware die man sich so aus dem Netz lädt auch ab, wenn sie meinen, ohne Installer ginge es nicht. Ohne Installer geht das natürlich genauso, aber es ist schon auffälliger, wenn ein Anwendungsprogramm nach dem (ersten) Start nach dem Adminpaßwort fragt
Für diejenigen, die auf alles klicken was sich bewegt und wie ein Knopf aussieht, werden die Zeiten vielleicht auch am Mac etwas härter
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
iBook.Fan
23.10.04
18:06
gibt doch schon wieder entwarnung...
ich denke wenn man die osx firewall an hat und little snitch benutzt ist man relativ sicher im moment... wobei sicher ist ja eh nur der tod
Hilfreich?
0
Hinnerk
23.10.04
19:14
iBook.Fan
Entwarnung wofür? Für eine aktive Eigenverbreitung des RootKits ja, für das RootKit selber...nein.
Das Problem ist, das ein Admin in das StartupItems-Verzeichnis schreiben kann (also bei jeder Installation oder ähnlichem ausführen von Scripten) und die StartupItems selber beim nächsten Neustart von Root ausgeführt werden.
Nicht das RootKIt selber ist also das Problem, sondern die Standart-Rechteverteilung von OS X....
P.S. LittleSnitch wird durch das RootKit deaktiviert und die Veränderung der Firewallregeln stellt als root auch kein Problem dar
Hilfreich?
0
Rantanplan
23.10.04
19:38
Hinnerik
Stimme dir zu. Übel sind übrigens auch Apps, die ihre StartupItems installieren und diese für alle beschreibbar lassen. Das öffnet Tür und Tor. Übrigens war das auch bei LittleSnitch der Fall, wie es inzwischen ist weiß ich nicht.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
Hinnerk
23.10.04
19:51
Naja, wie auch immer..entweder ändert man die Rechte des Ordners "StatupItems" oder lässt (wie ich
)sich via Ordneraktion (Danke
) Änderungen am Ordner anzeigen und entscheidet dann selber, ob man das Objekt dort belassen will.
Hilfreich?
0
Christian Fries
23.10.04
19:57
Wo wir gerade dabei sind. Die Demo Version von MacGiro 5 verlangt zur Installation das Root Passwort.
Ich finde ein solches Verhalten unverantwortlich, denn damit wird das "Eingaben des Rott-Passworts zur Installation" ja zur Gefährlichen, nicht mehr hinterfragten Gewohnheit.
Ich habe daraufhin die Demo nicht installiert und bleibe bei BankX.
Nicht, dass ich MacGiro nicht traue, aber ich bin mit der Zeit sensibler geworden und würde mich freuen, wenn Entwickler soweit es geht darauf verzichten irgendetwas mit Admin Rechten zu tun. Und daher wird jetzt das Root-PW aus Prinzip nur noch eingegeben, wenn es sein muss!
Hilfreich?
0
iBook.Fan
23.10.04
20:17
"Ordneraktion" kannte ich bis eben überhaupt nicht... ist ja ne richtig geniale funktion, und so kann man ja wirklich alles auf dateiebene überwachen... habs erstma auf meinen freigabe ordner angewendet um zu sehn wenn da jemand was drauf packt
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.