Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Risiko von Malware im Mac OS X?
Risiko von Malware im Mac OS X?
crissi
07.02.06
12:28
Hallo,
ich habe gestern wärend einer einstündigen Autofahrt ein wenig nachgegrübelt und dabei fragte ich mich, wie kann Mac OS technisch verhindern dass sich Malware installiert?
Angenommen ich versuche es im trojanischen Stil, mache ein Programm das nützlich ist und im Hintergrund mitlaufen kann (zB eine Mondphasenanzeige im Dock). Nun könnte dass Programm doch einfach schön im Hintergrund warten bis mich das OS auffordert meine Admindaten einzugeben. Da dies nun nicht aus heiterem Himmel passiert [es würde mich ja misstrauisch machen wenn das Mondphasentool einfach nach den Admindaten fragt] sondern eine Folge meines gewollten handelns ist gebe ich sie ein. Das Mondphasentool captured nun einfach die Eingabe der Admindaten und kann sich nun daran machen 0900er Nummern anzurufen oder ein Rootkit zu installieren oder dergleichen.
Gibt es gegen eine solche Vorgehensweise einen Schutzmechanismus?
Gruß
Hilfreich?
0
Kommentare
rofl
07.02.06
12:40
Nein, denn es ist ein Unterschied, wenn du es bewusst installiert (ja ich will die Mondphasen sehen, egal was es kostet
)
Und Software die sich im Hintergrund (also zB wie beim IE) einfach installiert, ohne das der Benutzer etwas dazu tun muss.
Hilfreich?
0
crissi
07.02.06
12:46
Nein nein, das hypotetische Mondphasentool fragt nicht nach den Admindaten, sondern läuft einfach munter im Hintergrund und wartet.
Nun will ich zB ein Programm aus dem Programmeordner löschen und das System fragt mich nach den Admindaten, diese gebe ich nun ein.
Das Mondphasentool schneidet jetzt die Eingaben mit die ich in den legitimen Admindatenabfragedialog eingebe.
Wird dies verhindert, und wenn ja wie?
Gruß
Hilfreich?
0
oefinger
07.02.06
12:50
Grundsätzlich gibt es keinen Schutz gegen derartige Mechanismen, da es unmöglich ist, technisch zwischen Tools, die administrative Rechte brauchen (z.B. LittleSnitch) und Malware zu unterscheiden.
Allerdings (wie rofl schon meinte) ist es unter MacOS X schwieriger, derartige Programme unerkannt einzuschleusen, da der Zugriff auf systemkritische Bestandteile (z.b. Kernel-Extensions) immer eine Authentifizierung erfordert, auch wenn der Benutzer bereits über Aministratorrechte verfügt. Insofern ist der einzige Schutz gesundes Misstrauen.
Zudem kann ein Programm nicht einfach Eingaben abfangen, die an einen anderen Prozess gerichtet sind. Dafür würde es bereits Administratorrechte benötigen, daher ist dieses Vorgehen ungeeignet, Administratorrechte zu erlangen.
Hilfreich?
0
rofl
07.02.06
12:51
Nun er müsste die Tastatur abfragen, die über USB läuft. Dazu benötigt er einen alternativen Treiber, dieser wird nur durch Admin-Rechte installiert. *zonk*
Hilfreich?
0
crissi
07.02.06
12:53
macmark
Das ist ja meine Frage
Unter Windows gibt es Programme die mir die Daten aus anderen Fenstern auslesen können, zB Fenstertitel, Beschriftungen, Buttons und auch Eingabefelder (und da gibt es dann noch Progrämmchen die aus den ******* das Passwort im Klartext fischen).
Weiterhin gibt es Tool die sich "in die Tastatur" einschalten und alle Eingaben mitschneiden können.
Letzteres halte ich im Mac OS für unwahrscheinlich weil man sich da wohl in die Treiber einklinken muss.
Aber wie wird verhindert dass mein hMPT (hypothetisches Mondphasentool) einfach wartet bis ich in ein lADADF (legitimes Admindatenabfragedialogfenster) meine Daten eingebe und diese dann im Zweifelsfall einfach stupide rauskopiert?
Gruß
P.S.
Ich meins natürlich ernst, auch wenn ich mit den Abkürzungen etwas rumalbere.
Hilfreich?
0
rofl
07.02.06
12:55
Probier mal ein Passwort aus so einem Dialog per Hand zu kopieren. Als kleiner Test.
Hilfreich?
0
crissi
07.02.06
12:55
oefinger
Zudem kann ein Programm nicht einfach Eingaben abfangen, die an einen anderen Prozess gerichtet sind. Dafür würde es bereits Administratorrechte benötigen, daher ist dieses Vorgehen ungeeignet, Administratorrechte zu erlangen.
OK, gut so etwas in der Art wollte ich hören
Hilfreich?
0
Rantanplan
07.02.06
12:59
Das "Capturen" der Logindaten stellst du dir zu einfach vor
Das echte Problem von OS X ist eines seiner Vorteile: die leichte Erweiterbarkeit durch "code injection". Man kann sehr einfach eigenen Code in laufende [!] Applikationen einschleusen, so funktionieren viele AddOns für diverse Programme, z.B. Safari. Dieser injizierte Code läuft mit den Rechten der Applikation, und für den Benutzer ist nicht ersichtlich, ob die Applikation der man vertraut nach dem Kennwort fragt, oder ein Addon.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
oefinger
07.02.06
13:01
Na ja, das heisst nur, das ein potentieller Trojaner so konstruiert sein müsste, dass er eine nützliche Funktion enthält, die nachvollziehbar Administratorrechte benötigt. Wenn ich einen derartigen Trojaner konstruieren wollte, würde ich mich z.B. an der Funktion von LittleSnitch orientieren.
Weiterhin gibt/gab es auch in MacOS X Lücken, die es ermöglichen durch geeignete Maßnahmen (z.B. Buffer-Overflows) Code mit administrativen rechten auszuführen. Das ist zwar etwas aufwendiger als obige Variante, aber durchaus möglich.
Hilfreich?
0
Rantanplan
07.02.06
13:04
Nachtrag. Siehe zum Beispiel auch hier:
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
rofl
07.02.06
13:09
Rantanplan
Zum Schluß läuft alles auf den Fluch der Faulheit oder des Menschseins hinaus.
100% Sicherheit gibt es nicht. (Außer bei einem Tresor ohne Tür)
Hilfreich?
0
crissi
07.02.06
13:15
macmark
crissi
... Das Mondphasentool schneidet jetzt die Eingaben mit die ich in den legitimen Admindatenabfragedialog eingebe. ...
Wie soll es das denn machen können?
Nochmal ...
... es war die Frage ob sowas geht oder ob es verhindert wird.
Wenn ich wüsste wie es geht hätte ich nicht gefragt
Was ich bisher als Fazit nehme ist:
Zwei Programme können nicht abweichend von den vorgegebenen Schnittstellen miteinander kommunizieren/Daten austauschen ohne dass ich dafür Adminrechte erteile.
Gruß
Hilfreich?
0
Rantanplan
07.02.06
13:16
macmark
Nein, kann man nicht. Wenn das das Ziel ist, hilft dieser Ansatz nicht weiter
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
Rantanplan
07.02.06
13:20
macmark
Ah, du hast das ja alles fein säuberlich durchdiskutiert. Hut ab
Ja, also wie gesagt, ein "Rootkit" kann man damit natürlich nicht basteln, der einzige direkte Angriff der mir damit einfällt ist das Ausspähen von Einträgen im Schlüsselbund (für die diese App als vertrauenswürdig eingetragen ist).
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
crissi
07.02.06
13:23
Oh und zweites Fazit:
Es gibt Prozesse mit höheren und mit niederen Privilegien.
Prozesse mit niederen Privilegien können denen mit höheren Privilegien nicht "an den Karren pinkeln"
Ich vermute also, dass Mondphasentool läuft mit den Privilegien meines Benutzers, während der Admindialog vom System her kommt und damit höhere Privilegien hat.
Sprich letztlich sind die ganz normalen Unix Schutzmechanismen auch in der GUI sauber implementiert.
Hilfreich?
0
crissi
07.02.06
13:25
Noch schnell:
Lob und Dank an alle Teilnehmer dieser Diskussion, war bisher für mich sehr fruchtbar
Gruß
Hilfreich?
0
crissi
07.02.06
14:26
macmark
Bei Unix war das Ziel, daß keiner etwas darf. Außer es wird ausdrücklich erlaubt. Daher ist es - einfach gesagt - sicher per Default, es sei denn man reißt selbst ein paar Lücken rein.
Deswegen werde ich auch wenn ich als Admin arbeite bei bestimmten Aktionen nach meinem Passwort gefragt?
Die Sicherheits meines Macs stelle ich nicht in frage (natürlich gesundes Mißtrauen vorrausgesetzt) aber jetzt habe ich sogar noch ein paar Argumente mehr für potentielle Switcher =)
Gruß
Hilfreich?
0
slith76
08.02.06
10:20
Ich denke es wäre natürlich auch vorstellbar, diesen Passwortabfrage-Dialog einfach nachzubauen. Sollte wohl kein Problem sein. Und wie erkennt nun der User, ob es der Original-Dialog gewesen ist?
Hilfreich?
0
MacMark
07.02.06
12:46
crissi<br>
... Das Mondphasentool captured nun einfach die Eingabe der Admindaten ...
Wie soll das "Capturen" denn funktionieren?
„@macmark_de“
Hilfreich?
0
MacMark
07.02.06
13:07
crissi<br>
... Das Mondphasentool schneidet jetzt die Eingaben mit die ich in den legitimen Admindatenabfragedialog eingebe. ...
Wie soll es das denn machen können?
„@macmark_de“
Hilfreich?
0
MacMark
07.02.06
13:11
crissi<br>
macmark
Das ist ja meine Frage
Unter Windows gibt es Programme die mir die Daten aus anderen Fenstern auslesen können, zB Fenstertitel, Beschriftungen, Buttons und auch Eingabefelder (und da gibt es dann noch Progrämmchen die aus den ******* das Passwort im Klartext fischen)....
Windows ist ja auch "broken by design". Unter OS X gibt es so etwas nicht. Bei Windows kann selbst ein unprivilegierter Prozeß einen Prozeß mit höchsten Rechten fernsteuern.
heise dazu: http://www.heise.de/security/news/meldung/63668
ich dazu: http://osx.realmacmark.de/osx_security.php
„@macmark_de“
Hilfreich?
0
MacMark
07.02.06
13:15
Rantanplan<br>
Nachtrag. Siehe zum Beispiel auch hier: https://dsred.ccc.de/086/macosxkeychain
Man kann sich damit nicht über Usergrenzen hinwegsetzen und auch nicht auf höherprivilegierte Prozesse zugreifen.
http://osx.realmacmark.de/osx_dynamic-overriding.php
„@macmark_de“
Hilfreich?
0
MacMark
07.02.06
13:22
crissi
Auch mit Adminrechten fällt mir grad kein Weg ein.
„@macmark_de“
Hilfreich?
0
MacMark
07.02.06
13:25
Rantanplan
Dann spioniert sich der User nur selbst aus, da man damit nur eigenen Prozesse patchen kann. Ich greife mich selbst an
Vor Trojanern kann einen niemand schützen außer man selbst mit genügend Mißtrauen und Auf-den-Händen-sitzen.
„@macmark_de“
Hilfreich?
0
MacMark
07.02.06
13:33
Chrissi
Bei Windows war das Ziel, daß jeder alles darf. Das führte sogar dazu, daß eine Bilddatei Programmcode enthalten darf, der mehr Rechte hat als der Benutzer. Zur Zeit sind sämtliche Nachflickereien in Windows (inkl. "run as") hinfällig, da sie nicht effektiv schützen. Es kann weiterhin jeder Trottelprozeß jedem anderen noch so hohen Prozeß Kommandos schicken. Windows ist komplett falsch konstruiert, wenn man es unter Sicherheitsgesichtspunkten betrachtet.
Bei Unix war das Ziel, daß keiner etwas darf. Außer es wird ausdrücklich erlaubt. Daher ist es - einfach gesagt - sicher per Default, es sei denn man reißt selbst ein paar Lücken rein.
„@macmark_de“
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.