Hallo,

ich habe gestern wärend einer einstündigen Autofahrt ein wenig nachgegrübelt und dabei fragte ich mich, wie kann Mac OS technisch verhindern dass sich Malware installiert?

Angenommen ich versuche es im trojanischen Stil, mache ein Programm das nützlich ist und im Hintergrund mitlaufen kann (zB eine Mondphasenanzeige im Dock). Nun könnte dass Programm doch einfach schön im Hintergrund warten bis mich das OS auffordert meine Admindaten einzugeben. Da dies nun nicht aus heiterem Himmel passiert [es würde mich ja misstrauisch machen wenn das Mondphasentool einfach nach den Admindaten fragt] sondern eine Folge meines gewollten handelns ist gebe ich sie ein. Das Mondphasentool captured nun einfach die Eingabe der Admindaten und kann sich nun daran machen 0900er Nummern anzurufen oder ein Rootkit zu installieren oder dergleichen.

Gibt es gegen eine solche Vorgehensweise einen Schutzmechanismus?

Gruß

Nein, denn es ist ein Unterschied, wenn du es bewusst installiert (ja ich will die Mondphasen sehen, egal was es kostet )

Und Software die sich im Hintergrund (also zB wie beim IE) einfach installiert, ohne das der Benutzer etwas dazu tun muss.

Nein nein, das hypotetische Mondphasentool fragt nicht nach den Admindaten, sondern läuft einfach munter im Hintergrund und wartet.

Nun will ich zB ein Programm aus dem Programmeordner löschen und das System fragt mich nach den Admindaten, diese gebe ich nun ein.

Das Mondphasentool schneidet jetzt die Eingaben mit die ich in den legitimen Admindatenabfragedialog eingebe.

Wird dies verhindert, und wenn ja wie?

Gruß

Grundsätzlich gibt es keinen Schutz gegen derartige Mechanismen, da es unmöglich ist, technisch zwischen Tools, die administrative Rechte brauchen (z.B. LittleSnitch) und Malware zu unterscheiden.
Allerdings (wie rofl schon meinte) ist es unter MacOS X schwieriger, derartige Programme unerkannt einzuschleusen, da der Zugriff auf systemkritische Bestandteile (z.b. Kernel-Extensions) immer eine Authentifizierung erfordert, auch wenn der Benutzer bereits über Aministratorrechte verfügt. Insofern ist der einzige Schutz gesundes Misstrauen.
Zudem kann ein Programm nicht einfach Eingaben abfangen, die an einen anderen Prozess gerichtet sind. Dafür würde es bereits Administratorrechte benötigen, daher ist dieses Vorgehen ungeeignet, Administratorrechte zu erlangen.

Nun er müsste die Tastatur abfragen, die über USB läuft. Dazu benötigt er einen alternativen Treiber, dieser wird nur durch Admin-Rechte installiert. *zonk*

macmark

Das ist ja meine Frage

Unter Windows gibt es Programme die mir die Daten aus anderen Fenstern auslesen können, zB Fenstertitel, Beschriftungen, Buttons und auch Eingabefelder (und da gibt es dann noch Progrämmchen die aus den ******* das Passwort im Klartext fischen).

Weiterhin gibt es Tool die sich "in die Tastatur" einschalten und alle Eingaben mitschneiden können.

Letzteres halte ich im Mac OS für unwahrscheinlich weil man sich da wohl in die Treiber einklinken muss.

Aber wie wird verhindert dass mein hMPT (hypothetisches Mondphasentool) einfach wartet bis ich in ein lADADF (legitimes Admindatenabfragedialogfenster) meine Daten eingebe und diese dann im Zweifelsfall einfach stupide rauskopiert?

Gruß

P.S.
Ich meins natürlich ernst, auch wenn ich mit den Abkürzungen etwas rumalbere.

Probier mal ein Passwort aus so einem Dialog per Hand zu kopieren. Als kleiner Test.

oefinger
OK, gut so etwas in der Art wollte ich hören

Das "Capturen" der Logindaten stellst du dir zu einfach vor

Das echte Problem von OS X ist eines seiner Vorteile: die leichte Erweiterbarkeit durch "code injection". Man kann sehr einfach eigenen Code in laufende [!] Applikationen einschleusen, so funktionieren viele AddOns für diverse Programme, z.B. Safari. Dieser injizierte Code läuft mit den Rechten der Applikation, und für den Benutzer ist nicht ersichtlich, ob die Applikation der man vertraut nach dem Kennwort fragt, oder ein Addon.

Na ja, das heisst nur, das ein potentieller Trojaner so konstruiert sein müsste, dass er eine nützliche Funktion enthält, die nachvollziehbar Administratorrechte benötigt. Wenn ich einen derartigen Trojaner konstruieren wollte, würde ich mich z.B. an der Funktion von LittleSnitch orientieren.
Weiterhin gibt/gab es auch in MacOS X Lücken, die es ermöglichen durch geeignete Maßnahmen (z.B. Buffer-Overflows) Code mit administrativen rechten auszuführen. Das ist zwar etwas aufwendiger als obige Variante, aber durchaus möglich.

Nachtrag. Siehe zum Beispiel auch hier:

Rantanplan

Zum Schluß läuft alles auf den Fluch der Faulheit oder des Menschseins hinaus.
100% Sicherheit gibt es nicht. (Außer bei einem Tresor ohne Tür)

macmark
Nochmal ...

... es war die Frage ob sowas geht oder ob es verhindert wird.

Wenn ich wüsste wie es geht hätte ich nicht gefragt

Was ich bisher als Fazit nehme ist:

Zwei Programme können nicht abweichend von den vorgegebenen Schnittstellen miteinander kommunizieren/Daten austauschen ohne dass ich dafür Adminrechte erteile.


Gruß

macmark

Nein, kann man nicht. Wenn das das Ziel ist, hilft dieser Ansatz nicht weiter

macmark

Ah, du hast das ja alles fein säuberlich durchdiskutiert. Hut ab Ja, also wie gesagt, ein "Rootkit" kann man damit natürlich nicht basteln, der einzige direkte Angriff der mir damit einfällt ist das Ausspähen von Einträgen im Schlüsselbund (für die diese App als vertrauenswürdig eingetragen ist).

Oh und zweites Fazit:

Es gibt Prozesse mit höheren und mit niederen Privilegien.
Prozesse mit niederen Privilegien können denen mit höheren Privilegien nicht "an den Karren pinkeln"


Ich vermute also, dass Mondphasentool läuft mit den Privilegien meines Benutzers, während der Admindialog vom System her kommt und damit höhere Privilegien hat.

Sprich letztlich sind die ganz normalen Unix Schutzmechanismen auch in der GUI sauber implementiert.

Noch schnell:

Lob und Dank an alle Teilnehmer dieser Diskussion, war bisher für mich sehr fruchtbar

Gruß

macmark
Deswegen werde ich auch wenn ich als Admin arbeite bei bestimmten Aktionen nach meinem Passwort gefragt?

Die Sicherheits meines Macs stelle ich nicht in frage (natürlich gesundes Mißtrauen vorrausgesetzt) aber jetzt habe ich sogar noch ein paar Argumente mehr für potentielle Switcher =)

Gruß

Ich denke es wäre natürlich auch vorstellbar, diesen Passwortabfrage-Dialog einfach nachzubauen. Sollte wohl kein Problem sein. Und wie erkennt nun der User, ob es der Original-Dialog gewesen ist?

crissi<br>
Wie soll das "Capturen" denn funktionieren?

crissi<br>
Wie soll es das denn machen können?

crissi<br>
Windows ist ja auch "broken by design". Unter OS X gibt es so etwas nicht. Bei Windows kann selbst ein unprivilegierter Prozeß einen Prozeß mit höchsten Rechten fernsteuern.
heise dazu: http://www.heise.de/security/news/meldung/63668
ich dazu: http://osx.realmacmark.de/osx_security.php

Rantanplan<br>
Man kann sich damit nicht über Usergrenzen hinwegsetzen und auch nicht auf höherprivilegierte Prozesse zugreifen.
http://osx.realmacmark.de/osx_dynamic-overriding.php

crissi
Auch mit Adminrechten fällt mir grad kein Weg ein.

Rantanplan
Dann spioniert sich der User nur selbst aus, da man damit nur eigenen Prozesse patchen kann. Ich greife mich selbst an

Vor Trojanern kann einen niemand schützen außer man selbst mit genügend Mißtrauen und Auf-den-Händen-sitzen.

Chrissi
Bei Windows war das Ziel, daß jeder alles darf. Das führte sogar dazu, daß eine Bilddatei Programmcode enthalten darf, der mehr Rechte hat als der Benutzer. Zur Zeit sind sämtliche Nachflickereien in Windows (inkl. "run as") hinfällig, da sie nicht effektiv schützen. Es kann weiterhin jeder Trottelprozeß jedem anderen noch so hohen Prozeß Kommandos schicken. Windows ist komplett falsch konstruiert, wenn man es unter Sicherheitsgesichtspunkten betrachtet.

Bei Unix war das Ziel, daß keiner etwas darf. Außer es wird ausdrücklich erlaubt. Daher ist es - einfach gesagt - sicher per Default, es sei denn man reißt selbst ein paar Lücken rein.