Marcel_75@work, Angelo scheint ja ein dicker Freund von dir zu sein, nimm's halt nicht persönlich

MacMark
Wie ist es in Kombination mit Mail.app's Funktion, angehängte Bilder automatisch anzuzeigen?

1.) Könnte Code in einem "falschen" jpg versteckt und über E-Mail verbreitet werden? (Wenn ich die obigen Ausführungen richtig lese: ja.)

2.) Würde der Code ausgeführt, sobald das Bild in "Mail" angezeigt wird?

3.) Könnte die Routine eine automatische Verbreitung an alle Kontakte in "Adressbuch" beinhalten? (Auch das ist, wenn ich die obenstehenden Aussagen richtig gelesen habe, denkbar.)

Ach ja, weiss jemand, ob diese Funktion in Mail per default ein- oder ausgeschaltet ist? Kann mich nicht mehr erinnern, ob ich das selbst ausgeschaltet hatte, oder ob's schon deaktiviert war

thrilseeker
Da sein "Wurm" ein Application ist, die als PDF getarnt ist, oder wie Du möchtest, als JPEG getarnt sein soll, muß man sie immer noch per Hand ausführen. Oder werden von Mail.app alle Anhänge automatisch geöffnet? Dann wären Mail.app und Apple wie Outlook und Microsoft.

Nunja... ich habe ein pdf mal kurz in jpg umbenannt. Vorschau hat gestreikt, aber sowohl GC, als auch TextEdit oder Acrobat 7 Pro haben´s geöffnet! Eben noch schnell getestet: Auch Mail.app zeigt´s ohne wenn und aber an!

Ach so, das geht mit Programmen nicht genauso einfach, weil sich dort automatisch ein .app anhängt. Aber das ließe sich wohl mit einem type-und creator-tool verändern, also muss nur noch der Programm-Code im Bild untergebracht werden (oder das Programm als Bild getarnt werden, wie auch immer).

Wird das Bild nicht automatisch angezeigt (z.B. weil´s in Mail.app so eingestellt ist, oder auch mehrseitige pdfs), wird doppelgeklickt. Nun könnte es sein, dass noch eine Warnung aufpoppt, dass das Programm zum ersten mal gestartet wird, aber das dürfte viele nicht davon abhalten, trotzdem auf o.k. zu klicken.

Oder?

Der Finder ergänzt zwar automatisch beim Umbenennen einer Application immer sofort ein ".app", aber per Terminal kann man beispielsweise aus "Calculator.app" auch "Calculator.pdf" oder anderes machen.

Ties-Malte
Genau darum ist es kein "Wurm". Ein Wurm benötigt keinerlei Useraktion. Sein "proof of concept worm" ist ein klassischer Trojaner.

Ties-Malte

Ich glaube, ich muß meine Meinung in bezug auf hemmungsloses Doppelklicken nochmals überdenken.
Ich habe auch ein PDF in ein JPEG umgewandelt und umgekehrt, um mal zu testen, was "Vorschau" damit anstellt. - Bei mir wird alles sofort angezeigt.- Das konnte man doch irgendwo abschalten, oder nicht ? Ich kann mich daran erinnern, daß bei mir "Vorschau" mal eine Zeitlang nicht automatisch alles angezeigt hat. Wie dem auch sei, so müßte man auf Angelos "Laub-Wurm" ja immer noch Doppelklicken, um Ihn zu befreien.
Die eventuelle Möglichkeit, daß man aber doch irgendwie bösartigen Code über PDFs et cetera einschleusen könnte, läßt einen ja dann doch ein wenig grübeln.
(Um nochmal auf Deine Aussage "...Mac-User klicken auf alles..." einzugehen, muß ich meine ursprüngliche Meinung wohl doch korrigieren. Es ärgert mich zwar sehr dies zugeben zu müssen, aber dieser Thread hat mich doch dazu veranlaßt, mal zu "Testzwecken" entsprechend präparierte Anhänge zu versenden. Erschreckenderweise haben alle bedingungslos die Dateien geöffnet, gerade die, die Thunderbird & Co. verwenden, bei denen man die automatische Anzeige ja bekanntlich abstellen kann.) Mag natürlich sein, daß man sich aufgrund meiner Absenderadresse in Sicherheit glaubte.

MacMark

Ist es denn generell möglich, einen Wurm so zu programmieren, daß er bereits in "Vorschau" aktiv wird, ohne daß man den Anhang angeklickt hat ?

Hot-Mac: Nö, abgestellt hatte ich gar nix. Nur die Endung pdf in jpg geändert bringt in Vorschau ´ne Fehlermeldung und über längere Zeit einen Absturz mit sich (s. Bild).

MacMark: Es ist wohl richtig, dass der Laub-Wurm lt. Def kein Wurm, sondern ein Trojaner ist. Im Endeffekt läuft es auf´s gleiche hinaus, nämlich ein erhöhtes Risiko, weil die Hürde des Klickens recht niedrig liegt.

Den Versuch, ein "verpacktes" Script weiter zu geben habe ich auch mal gemacht (öffnete nur ein Textfenster, war aber "verkauft" als Freeware, die das Blaue vom Himmel versprach): Alle haben´s geöffnet, wirklich alle!!

Wenn Du ein Brett auf die Asche-Bahn legst, ist es möglicherweise kein 400m-Lauf mehr, sondern nach Def. 400m-Hürden, aber wen interessiert das tatsächlich? Wenn mein System kompromittiert wurde, kann ich noch so sehr "disqualifiziert" rufen, zu mehr als einem grinsen dürfte das nicht führen .

Hot Mac
Wenn das verwendete Email-Programm Anhänge automatisch öffnet, also ausführt, dann wäre der "proof of concept worm" von Angelo Laub tatsächlich ein Wurm.

Das Email-Programm Outlook auf Windows kann beispielsweise Anhänge automatisch ausführen. Darum geht dort auch mit Würmern die Post ab. Falls Apple auf die Idee käme, daß Mail.app Anhänge automatisch ausführen können sollte, dann hätten wir ein Problem auf Mac OS X.

Ties-Malte

Bei einem echten Wurm hat der User keine Chance: Der Wurm verbreitet sich und macht, was er will, ohne daß der User es bemerkt oder es verhindern kann und ohne daß der User überhaupt etwas gemacht hat.

Bei Trojanern hat man immer die Chance, nachzudenken, bevor man ihn selbst per Hand startet. Und soweit ich mich erinnere, fragt Mac OS X auch beim ersten Start eines Programms immer nach, ob man das Programm xy tatsächlich starten wollte.

docs.info.apple.com/article.html?artnum=25785

Korrektur URL

Ties-Malte

Bei mir zeigt "Vorschau" alles an, was es anzeigen kann.
Habe das gerade nochmals ausprobiert.
Ich kann tatsächlich die Dateiendungen nach Belieben ändern.
Lediglich wenn ich den Anhang sichere, dann erscheint beim Versuch diesen zu Öffnen, auch bei mir die Fehlermeldung.

Übrigens, mit "Abstellen" meinte ich eigentlich die automatische Anzeige von Anhängen.
Das ging doch irgendwie, oder nicht ?

Egal, MacMark hat mich ja in meiner Vermutung, daß dies keinen Schaden anrichten kann - bestärkt.

MacMark

Vielen Dank.

Ich muß mal schnell ne Korrektur nachschieben.

Jetzt erscheint bei mir dieselbe Fehlermeldung amp;

Gott sei Dank, muß man ja schon fast sagen.

Marcel
Eine "kleine Lücke mit Zutun des Users" klingt schon eher korrekt als "der erste Wurm für OS X". Darauf können wir uns einigen.

Ich finde es nicht gut, wenn jemand aus Geltungsdrang, Rachsucht oder Effekthascherei die Tatsachen verfälscht und maßlos übertreibt. Damit mögt Ihr ja ein paar arme User aufschrecken, aber wer sich kurz in die Materie einarbeitet, bemerkt den Schwindel und wird Euch weder ernst nehmen noch Glauben schenken in Zukunft.

Kennst Du die Geschichte von dem Kind, das bei den Schafhirten lebt und immer gerufen hat "ein Wolf, ein Wolf!"? Irgendwann kam der Wolf tatsächlich und die Hirten hörten diesmal nicht mehr auf sein Geschrei.

Gut, wie klein oder groß die Lücke tatsächlich ist, kann ich nicht genau einschätzen. Aber zugestehen muss man schon, dass eine höhere Aufmerksamkeit sicher nicht verkehrt ist, zumal das die Hürde ("Zutun des Users") keine besonders hohe ist. Auch wenn gewarnt werden sollte, dass dieses oder jenes Programm zum ersten mal gestartet wird: Sie starten den Trojaner xyz zum ersten mal wird da kaum auftauchen, das wird schon etwas besser getarnt sein; und viele, die sich mit OS X in Sicherheit wiegen und nicht regelmäßig in den News / Foren lesen (auch die gibt´s ), werden weiterklicken. So wenige werden das nicht sein, fürchte ich.

Eigentlich gibt es doch nicht viele Möglichkeiten: Egal wie man es nennt und egal wie lange es das schon gibt; die von Angelo postulierte Lücke besteht tatsächlich. Entweder wird Apple reagieren und - wenn es technisch möglich ist -das Loch stopfen. Oder das Loch bleibt offen und wird - vielleicht im Zusammenspiel mit anderen bekannten oder bisher unbekannten Exploits - eines Tages praktisch ausgenutzt. Dann wird sicher niemand mehr darüber reden, ob die Leute, die einst darauf hingewiesen haben, dabei die richtige Terminologie benutzt haben oder nicht.

Und wenn erstmal eine erheblich Anzahl ungeschützter Macs vom Verlust der Home-Verzeichnisse betroffen ist, interessiert keinen der Betroffenen, ob dies durch einen Bug, eine schwerwiegende Lücke oder ein Standard-Feature möglich war. Die meisten Windows-Probleme sind durch Standard-Features möglich.

...sagt Stefan, der dies nicht als Angriff auf einen der Beteiligten verstanden haben möchte

Es gibt verschiedene Klassen von Schädlingen, die verschieden starken Schaden anrichten können. "Stärke" bezieht sich dabei auf die Autonomie (Unabhängigkeit) des Schädlings, seine Verbreitungsmethode soweit vorhanden, und den potentiellen Schaden pro User bzw. pro Maschine. Daher ist es wichtig, einen recht einfachen Schädling auch so zu nennen und ihn nicht als ultimative Bedrohung darzustellen. Angelo Laub hat mit Absicht einen falsche, zu starke Kategorie gewählt, um sein Konzept möglichst bedrohlich erscheinen zu lassen.

Man nennt ja auch keinen Revolver "Atombombe", obwohl beides tödlich sein kann für die einzelne Person. Dennoch ist Euch der Unterschied wichtig. Genauso verhält es sich mit Computerschädlingen.

MacMark: es ist, wie Angelo es auch sagte, ein "Proof-of-Concept" ohne Schadensroutine!

Wieviel Schaden damit dann angerichtet werden könnte, liegt am Programmierer, der diese "Proof-of-Concept"-Vorlage nutzt und durch gefährlichen Code erweitert!

Seine Trojaner-Variante um die Möglichkeit zu ergänzen, z.B. dass gesamte Home-Verzeichnis des angemeldeten Benutzers zu löschen, dürfte nur wenige Zeilen Code benötigen - das sollte auch Dir klar sein.

Und wir alle wissen, dass damit zwar noch nicht das gesamte System zerstört ist - ein Verlust der persönlichen Daten kommt dem GAU aber auch recht nahe...

Du unterstellst hier Angelo und mir Dinge, die Du Dir selbst zusammenreimst - aus welchen Gründen auch immer?

MacMarkWoher weisst Du mit Sicherheit, dass Angelo mit Absicht eine falsche Kategorie gewählt hat? Ist das nicht eher eine Mutmaßung?
Oder unterstellst Du ihm mit Absicht, dass er mit Absicht eine falsche Kategorie gewählt hat, um ihn möglichst unsympathisch erscheinen zu lassen?

Ich glaube fast, es ist hoffnungslos Aber es ist ja auch nicht meine Aufgabe, mich als Newbie einzumischen, und gleich an alteingesessenen Forumsmitgliedern rumzunörgeln (1800 Beiträge? Wow!).
Also nix für ungut... ich verkrümel mich jetzt wieder dahin, wo ich hergekommen bin da sind alle lieb zueinander

MacMark: in Angelos Paper vom 11.12.2004



ist auch der von Dir im Apfeltalk-Forum genannte Link erwähnt, er war Angelo also sehr wohl bekannt!

Marcel
Daß es ein proof of concept ohne Schadroutine ist, ist mir klar. Ich beurteile das concept so, als ob es maximale Schadroutine hätte, um die Möglichkeiten der "Schwachstellte" zu bewerten.

Offensichtlich hat Angelo den Link dann entweder nicht gelesen oder später eingefügt, denn als mac_held im sagte, daß Beispielcode für Machinjection schon seit 2003 öffentlich ist, wußte er nichts davon und bat um den entsprechenden Link. Seltsam, gelle?

Ich geb's auf – echt, so etwas habe ich noch nicht erlebt...

Außer völlig aus der Luft gegriffenen Unterstellungen hast Du diesem Thread hier offensichtlich nichts mehr hinzuzufügen?

So kann man auch auf >1800 Beiträge kommen...

Jeder erarbeitet sich halt den Ruf den er verdient!

thrillseeker

Aus Angelos Vortragsfolien geht klar hervor, was seine Motivation ist: Apple hat seinen Bugreport ignoriert und er ist stinksauer und er will nun von außen Druck machen auf Apple. Außerdem ist er enttäuscht, daß er nur aus Deutschland Resonanz bekommt, aber keine internationalen Reaktionen.

Er hat das ganze Thema so reißerisch und überspitzt wie nur irgend möglich formuliert. Er war von Anfang an nicht sachlich (seit seinem Vortrag) und wollte es auch nicht sein.

Welche Punkte bei ihm schlicht falsch sind, habe ich schon erwähnt. Und wer offensichtlich sachlich inkorrekt ist, wird natürlich von Apple nicht ernst genommen. Aber es reicht als Aufreger für einige Apple-Fan-Sites und um einige User zu verunsichern.

Und allein die banale Tatsache, daß er bei seinem Trojaner-Konzept von einem Wurm-Konzept spricht, disqualifiziert ihn, weil er es mit Absicht tut. Aus Dummheit wäre ja noch schlimmer! Der erste Mac OS X-Wurm wäre in der Tat der Hammer und er nutzt seine (falsche) Behauptung, diesen erstellt zu haben, um Beachtung zu finden. So etwas ist unter Bildzeitung-Niveau!

Und wem das zu unverständlich ist, der sollte darüber nachdenken, warum eiin Feature, das seit mindestens zwei Jahren vollständig dokumentiert und für jeden zugänglich ist, noch nicht für böses genutzt wurde. Weil alle Welt zu dumm ist, den offenen Quellcode zu verwenden? Weil niemand Macusern schaden will?

Marcel_75@work
Ich kann jede von mir gemachte Aussage beweisen. An welcher bestehen Zweifel?

Hm, nun kenne ich nicht die Geschichte und Dokumentationen dieser "Mach-Injections", noch weiß ich, ob hier übertrieben wurde, bzw. ob Apple fahrlässig reagiert oder nicht. Ich unterstelle Apple einmal, daß sie das nicht tun.

Das es Sicherheitslücken gab und gibt, dürfte hingegen klar sein. Das aber ist nichts Besonderes. Meldungen dieser Art wird es immer geben; allerdings brauchen wir nun wirklich nicht die Paranoia von Windows-Usern zu pflegen.

Bisher hatte ich unter Mac OS X nie die Schwierigkeit, überall "draufzuklicken". Dokumente unbekannter Herkunft zu öffnen, wenn sie denn interessant schienen. Oftmals habe ich nicht einmal die Firewall aktiviert und ich bin oft mit dem Rechner unterwegs - off- und online.

Unter OS 9 hingegen hatte ich einmal eine "virusähnliche" Erfahrung. Die kam aber nicht über einen bösen Hackerangriff sondern ganz legal von einer Strato-Software-CD. Das Programm, die Datei Cumullus ließ sich auf der Harddisk einfach nicht mehr löschen, sondern reproduzierte sich dabei ständig. Lösung: ich musste die Partition löschen, wo ich Cumullus installiert hatte. Das erinnerte schon ein wenig an Win - "bitte installieren sie Windoofs neu".

Mit "Tiger" wird das OS ja auch einen neuen Kernel erhalten. Ob damit das hypothetische Mac-Injection-Problem gelöst wird, weiß ich allerdings nicht. Angriffe unter Linux hingegen scheinen will einfacher zu sein, da man dort ja oft per default als root unterwegs ist.

Na dann "beweise" mal z.B. diese Deiner Aussagen:

Zitat: "Angelo Laub hat mit Absicht einen falsche, zu starke Kategorie gewählt, um sein Konzept möglichst bedrohlich erscheinen zu lassen."

Deine Vorstellung von "Beweisführung" nennt man auch Selbstgerechtigkeit.

Alles weitere was ich mittlerweile über Dich denke würde definitiv zu persönlich werden als dass ich es hier niederschreiben könnte – deshalb belasse ich es dabei, diesen Thread einfach zu verlassen.

Menschen mit Deiner Neurose sind nämlich zu einer Sache ganz sicher nicht fähig: Selbstkritik.

Vielleicht solltest Du Dich mal ernsthaft in psychiatrische Behandlung begeben (und das meine ich nicht böse sondern ernst, auch wenn Du es garantiert anders interpretierst).

Ich finde das geht jetzt zu weit!
Für mich steht das fundierte Wissen von MacMark außer Frage!
Was qualifiziert denn Dich?

Mit dieser Aussage bezweifle ich auch in keiner Weise sein fundiertes Wissen sondern lediglich seine unterentwickelte, soziale Kompetenz (mit immerhin 36 Lenzen).

Fakt ist aber ganz davon abgesehen, dass MacMark z.B. nach wie vor das Problem mit den Zugriffsrechten (Library/StartupItems) in Frage stellt, wobei dies erwiesenermaßen so nicht in Ordnung ist!



Und wenn dann Leute wie z.B. Du der Kompetenz von MacMark vertrauen, ist das zumindest bedenklich.

Marcel_75@worka)
Die Tatsache, einen Trojaner als

"The first Mac OS X
Worm
Proof-of-concept, no malicious routine"

zu bezeichnen.
Quelle: Seine Folien, Seite 49.

Korrekte Kategorie wäre gewesen: "One more concept for another Mac OS X trojan horse - compare for this: MP3 trojan horse concept".

b)
Laut Zuhörerbericht, war sein Vortrag mit diesen Folien "bestenfalls reißerisch".
Quelle: Donar- in diesem Thread am 30.12.04 um 16:37 Uhr.

a) und b) zusammen ergibt meine obige Schlußfolgerung, daß Angelo, um möglichst reißerisch zu wirken, diese falsche, wesentlich bedrohlichere Bezeichnung "Wurm" gewählt hat.

Wenn er das unabsichtlich getan haben sollte, dann würde das bedeuten, daß er keine Ahnung hat, Wurm und Trojaner zu unterscheiden. Entscheide Du …

Marcel_75@workDazu hatte ich ja schon ausführlich meine Einschätzung geschrieben in mehreren Beiträgen (31.12.04 ?) in diesem Thread, die darlegen, warum ich es so für okay halte.

Und der von Dir angeführte Artikel auf heise security macht deutlich, daß, selbst wenn es ein tatsächliches Problem darstellen sollte, nicht Mac OS X dran schuld ist, sondern "nachlässige Installer".

Auch wenn "nachlässige Installer" der eigentliche Auslöser für dieses Problem sind ändert es doch nichts an der Tatsache, dass Apple die Reparatur der Zugriffsrechte durch das Festplattendienstprogramm auf diesen Bereich (also nicht nur den Ordner selbst sondern auch dessen Inhalt) ausweiten sollte.

Oder noch besser: gleich nach jeder Programm-Installation diese Sache überprüft wird, auch wenn es ein nicht-Apple-Installer wie z.B. VISE war.