Ensimmäinen OS X -virus?

[Simppa]

Pahinta tässä on mielestäni se, että tuo pystyy lataamaan itseään iChatin kautta käyttäjän tietämättä että lataus on käynnissä.

Muuten aika vaaraton otus: pitää itse aktiivisesti ladata, Safarille ilmoittaa, että, joo taitaa olla tosiaan ohjelma, lataa vain. Ja vielä kaksoisklikkaamalla purkaa ja käynnistää.

Mutta sulattelua tämä vaatii. Sille ei voi mitään.

Ei toi itseasiassa konseptina ole ollenkaan harmiton, toi idea, että .app:eihin voi lisäillä koodia, voi avata kekseliäissä päissä paljon ajatuksia: Aina kun käytät mailia tms. tapahtuu jotain. Siinä ollaan ihan oikean ongelman alkulähteillä.

iChatti varmaan on easy korjata, ja varmaan pian korjataankin.

[cubisti]

Tuotanoin...vaikka Pantterilla suhaankin, sen verran tuo troijalainen kuitenkin sai mut miettimään näitä turva-asioita, että päätin ruveta
käyttämään miniäni taviskäyttäjänä. Aikaisemmin olen ollut ainoa
käyttäjä koneessani, tietysti ylläpitäjän oikeuksin. Vaimo on käyttänyt
myös konetta samoilla tunnuksilla, ei meillä muutenkaan mitään salaisuuksia ole, joten ristiriitoja ei ole syntynyt.

Kun nyt lueskelin noita macrumorsin postauksia, ajattelin että olis varmastikin parasta ruveta tavikseksi päivittäisissä hommissa.
Perustin siis vain yksinkertaisesti uuden käyttäjän ja annoin sille ylläpitäjän oikeudet. Sen jälkeen vain ruksasin ruksin nuo ylläpito-oikeudet vanhalta tililtäni veks pois antamalla uuden adminin nimen ja salasanan. En siis edes kirjautunut sisään uutena ylläpitäjäna, vaan käsitykseni mukaan alensin vain statukseni kenraalista korpraaliksi.

Kaikki toimii kuten ennenkin, mutta mites nyt on noiden oikeuksien laita.
Olen ymmärtänyt niin, että asennettujen ohjelmien kirjoitusoikeudet pitäis antaa tuolle uudelle adminille. Olisko tähän jotain yksinkertaista ohjetta tai skriptiä? Terminaalia ei ole tähän päivään mennessä tarvinnut käyttää, joten jos joku innostuu ohjeita antamaan, pyydän pitämään mielessä että ne kannattaa suunnata täyspöllölle räpeltäjälle. Vai tartteeko ylipäätäänsä tehdä jotain muuta?

C

[Simppa]

Kaikki toimii kuten ennenkin, mutta mites nyt on noiden oikeuksien laita.Olen ymmärtänyt niin, että asennettujen ohjelmien kirjoitusoikeudet pitäis antaa tuolle uudelle adminille. Olisko tähän jotain yksinkertaista ohjetta tai skriptiä? Terminaalia ei ole tähän päivään mennessä tarvinnut käyttää, joten jos joku innostuu ohjeita antamaan, pyydän pitämään mielessä että ne kannattaa suunnata täyspöllölle räpeltäjälle. Vai tartteeko ylipäätäänsä tehdä jotain muuta?

Mä luulen, et sun ei tartte tehdä mitään, koska tois uus käyttäjä luultavasti kuuluu admin ryhmään ja kaikilla softilla luulis olevan kirjoitusoikeus tuolle ryhmälle. Et eiköhän toi ole kunnosssa.

[Simppa]

Pahinta tässä on mielestäni se, että tuo pystyy lataamaan itseään iChatin kautta käyttäjän tietämättä että lataus on käynnissä.

iChatti varmaan on easy korjata, ja varmaan pian korjataankin.

Toi iChatti muuten kysyy, että haluatko tälläsen applicaation, ei siis kuvan, ladata. Toi, että se tapahtuis tosta vaan oli F-securen keksimä tulkinta. Yli-intoa.

[kermit]

Tuotanoin...vaikka Pantterilla suhaankin, sen verran tuo troijalainen kuitenkin sai mut miettimään näitä turva-asioita, että päätin ruveta
käyttämään miniäni taviskäyttäjänä. Aikaisemmin olen ollut ainoa
käyttäjä koneessani, tietysti ylläpitäjän oikeuksin. Vaimo on käyttänyt
myös konetta samoilla tunnuksilla, ei meillä muutenkaan mitään salaisuuksia ole, joten ristiriitoja ei ole syntynyt.

Voi, voi. Tämähän on ihan perusasioita, että normaalisti ollaan tavallisen luuserin oikeuksilla. Vain Windowsissa ylläpitäjän oikeuksia voisi puolustella sillä, että (Microsoftin lisäksi) on jonkin verran omituisen logiikan omaavia koodareita, joiden ohjelmat haluaa kirjoitella sellaisiin paikkoihin, joihin tavallisella luuserilla ei ole oikeuksia. Voisihan niitäkin (usein miten) ajaa runasilla, mutta peruspeelo ei taas ymmärrä sellaisesta mitään.

[masa]

Mielellään tuota juttua nyt viruksena kaupataan. Hyvä varoitus toki kaikille miten tietoturva pitää hoitaa.

[kallekilponen]

Toi palomuuri olis varmaan nykyaikana tosi hyvä uudistus.

Mikäs nykyisessä on vikana?

[Simppa]

Toi palomuuri olis varmaan nykyaikana tosi hyvä uudistus.

Mikäs nykyisessä on vikana?

No se, että se ei ole kaksisuuntainen, niinkuin Arnavista Santiago tossa totesikin, ja sitä hän siinä nimenomaan oli uudistamassa. Mun lainaus oli tietty huono, mut kait silti vois lukea koko ketjun eikä kysellä, mitä joku muu on aikaisemmin kirjoittanut?

[boer]

Mielestäni tähän nyt ilmi tulleeseen ongelmaan pitäisi puuttua rankalla kädellä. Ehdotan seuraavaa:

Apple voisi viimeistään nyt hieman muokata tuota salasanapolitiikkaa siten, että myös ylläpitäjältä kysytään salasanaa jos Applications-kansion sisältöä pyritään puukottamaan. Ja tämä siis riippumatta siitä, onko kirjautuneena ylläpitäjänä vai ei.

En ole vielä keksinyt syytä käyttää Mac OS X:aa jatkuvasti pääkäyttäjänä. Tuskin se mikään best practise niin tehdä, ainakaan jos haluaa käyttää järjestelmää turvallisesti.

Toinen yhtä lailla tärkeä lääke olisi se, että oikeudet korjattaisiin esimerkiksi tietokoneen käynnityksen yhteydessä tai vähintään vaikka kerran viikossa. Nykyäänhän moinen sujuu huomattavasti nopeammin kuin aikaisemmin (vrt. 10.3 ja 10.4).

Kohtuullisen tuoreena Mac-käyttäjänä en vielä ole ymmärtänyt tätä logiikkaa. Miksi tällainen korjailu niellään normaalina osana järjestelmän käyttöä? Toki automaattinen korjaus olisi parempi, mutta eikö parasta olisi jos järjestelmä ei jatkuvasti "rikkoisi" itseään, ja siten poistaisi korjailun tarpeen kokonaan?

Kolmas parannus olisi monipuolisempi palomuuri. Nythän Tiikerissä taitaa jo olla tarvittava tekniikka, joka vain tarvitsisi graafisen käyttöliittymän ympärilleen. Tällä tarkoitan sitä, että myös ulospäin suuntautuvaa liikennettä suodatettaisiin ohjelmakohtaisesti. Näin vastaavat troijalaiset ja muut haittaohjelmat eivät pääsisi lähettelemään omiaan aivan yhtä helposti eteenpäin.

Valitettavasti tällainen palomuuri ei ole mikään magic bullet. Käsittääkseni esimerkiksi tämä haittaohjelma levittää itseään iChatin kautta. Miten se palomuuri auttaa, jos iChat on sallittu sovellus? Nämä host-tason muurit voi aina kiertää, jos järjestelmä ylipäänsä sallii muiden sovellusten kirjastojen käytön, eikä palomuuri tällöin huomaa eroa sovelluksissa.

[Simppa]

Valitettavasti tällainen palomuuri ei ole mikään magic bullet. Käsittääkseni esimerkiksi tämä haittaohjelma levittää itseään iChatin kautta. Miten se palomuuri auttaa, jos iChat on sallittu sovellus? Nämä host-tason muurit voi aina kiertää, jos järjestelmä ylipäänsä sallii muiden sovellusten kirjastojen käytön, eikä palomuuri tällöin huomaa eroa sovelluksissa.

Tietysti saman logiikan pitää pelata myös sovelluksissa. Nythä iChat kysyy vastaanottajalta, että haluatko vastaanottaa tämän sovelluksen, ei siis kuvan. Tälläinen käytös sovellukselta ja kaksisuuntainen palomuuri, on kyllä melko hyvä turva.

[Mac Classic]

Voi, voi. Tämähän on ihan perusasioita, että normaalisti ollaan tavallisen luuserin oikeuksilla.

Jaa. Enpä ole tuota ajatellutkaan, että ylläpitäjänä heiluminen voisi olla jotenkin vaarallista. Jos tietää mitä tekee. Mutta ehkä tässä pitää tosiaan tuotakin miettiä.

Aika tylsä homma kaikkiaan, jos täytyy alkaa tutkia tiedostoja Omppu-I:llä ennen avaamisia.[:@]

Voih! Viattomuuden aika on lopultakin siis ohi...

[Troubleman]

Kertokaas aloittelijalle...:

Eli minä käytän konettani (10.3) pelkästään admin-tunnuksella. Jos luon lisäksi "tavallisen" käyttäjätunnuksen, mitä tapahtuu? Pystynkö käyttämään samoja ohjelmia? Pääsenkö käsiksi samoihin tiedostoihin? Onko jotain potentiaalista haittaa/ongelmia tiedossa?

(juu, tiedän ettei tämä troijalaisongelma taida liittyä Pantheriin, mutta voisi silti olla viisainta olla käyttämättä admin-tunnuksia jatkuvasti)

[Lakki]

Voih! Viattomuuden aika on lopultakin siis ohi...

Näin piti käydä ennemmin tai myöhemmin. YLEn sivustossa
loisolio oli luokiteltu matovirukseksi -- 'Lakki' ei tunne genetiikkaa
tietääkseen voiko tällaisiakin mutantteja olla. Ikävä juttu tietenkin.

Taivaan merkit olivat kuitenkin olemassa, ja ainakin 'Repe R.'
ne oraakkelimaisen tarkasti lukenut...

tietoturvaa ei mainita edes Applen omilla
switch-sivuilla.

Varovaisuussyistä ei, ensimmäinen vakavampi haittishan voi teoriassa ilmaantua vaikka tänään,

[matrisfi]

Lisää tietoa

Leap-A malware: what you need to know

http://www.macworld.com/news/2006/02/16 ... lsrc=mwrss

matti

[Jubax]

@Troubleman

1.Luo uusi ylläpitäjä, siis täysin oikeuksin, jolle keksit vaikeasti arvattavan nimen ja varsinkin salasanan jonka varmuuskopio roikkuu kilometrinpäässä olevan koivun ylimmällä oksalla mutta jonka paikan vain SINÄ tiedät, sitä tarvitset joka tapauksessa.

2.Kirjaudu ulos omalta ylläpitäjän istunnolta.

3. Kirjaudu sisään uuden ylläpitäjän tunnuksilla, tulee näin varmasti testattua "uuden"ylläpitäjän toimivuus. Kuten huomaat, uudella ylläpitäjällä on kaikki tiedostot tyhjää täynnä ja niin ne saavatkin olla.

4.Nyt koneellasi on kaksi ylläpitäjää, joten tällä viimeeksi luomalla( jonka tunnuksilla olet nyt sisässä) pääset rajoittamaan entisen ylläpitäjän oikeuksia. Pantterissa sinun tulisi valita se keskimmäinen vaihtoehto, "rajoitettu", jolla supistat entisiä oikeuksiasi.

5. Uusi ylläpitäjä oli siis OK? Sekä muutokset vanhan ylläpitäjän oikeuksiin? Nyt kirjaudut ulos uuden ylläpitäjän istunnolta.

6.Kirjaudu sisään vanhoilla tunnuksillasi, kuten huomaat heti kättelyssä, kaikki oma on tutuilla paikoillaan! Mutta nyt sinulla on hieman rajoitetummat oikeudet joten muista se kilometrin päässä oleva koivunoksa!

[kermit]

Aika tylsä homma kaikkiaan, jos täytyy alkaa tutkia tiedostoja Omppu-I:llä ennen avaamisia.[:@]

Ei syytä paniikkiin. Pärjäähän miljuunat Win-useritkin (osa ihan kunnialla) vaikka erityisesti muutaman viime vuoden aikana on jatkuvasti joku uhka päällä.

[kermit]

Kertokaas aloittelijalle...:

Eli minä käytän konettani (10.3) pelkästään admin-tunnuksella. Jos luon lisäksi "tavallisen" käyttäjätunnuksen, mitä tapahtuu? Pystynkö käyttämään samoja ohjelmia? Pääsenkö käsiksi samoihin tiedostoihin? Onko jotain potentiaalista haittaa/ongelmia tiedossa?

(juu, tiedän ettei tämä troijalaisongelma taida liittyä Pantheriin, mutta voisi silti olla viisainta olla käyttämättä admin-tunnuksia jatkuvasti)

Ylläpitäjä voi säätää oikeuksia. Ainakin 10.4:ssa on oletuksena "Some Limits", eli oikeuksia vähintäänkin riittävästi normaaliin käyttöön. 10.3:ssa se säätöjuttu taisi olla vähän erilainen, enkä muista millaiset siinä oli oletuksena. Periaate on kuitenkin, ettei tavallisella käyttäjällä ole järjestelmälevyllä kirjoitusoikeuksia kuin omaan kotihakemistoon.

[thebanzai]

Kermitti sanoi juuri sen mitä meinasin. Jokaista windozekäyttäjää jolla virus on tehnyt tuhojaan tuntee vielä monta kertaa enemmän, jolla ei ole ollut ongelmia.

Enemmän harmia, ainakin niille jotka osaavat pistää palomuurin (edes sen xp:n softasellaisen) ja virustorjunnan pystyyyn, tuottaa normaali rekisterinahottajasieni ja muu hölmöily joka aiheuttaa käytännössä käynnistä-käytä-sammuta-rutiinin macin nukkumaanlaittamisen sijasta. Ainakin näin, jos ei käytä exploderia.

Tietysti käyttäjänhölmöysrajapinta on windozessakin suuressa osassa. Osa porukasta painelee ok-nappulaa lukematta sekuntiakaan mitähän se kone nyt mahtaa kysellä.

[Jansko]

Olen sitä mieltä, että ehdottomasti tulee olla eri tilit käyttäjille ja järjestelmänvalvojalle. Ja valvojan salasana niin pirun vaikea ja pitkä, ettei tule kenellekään pieneen mieleenkään sitä kokeilla.

Itse olen näin tehnyt aina. Ilmeisesti sen takia kun on Windowsin kanssa tullut tapeltua aikas monta vuotta.

[kermit]

http://www.f-secure.com/v-descs/inqtana_a.shtml

OSX/Inqtana.A -mato on myös löydetty. OS X 10.4:n aukko taitaapi kuitenkin olla paikattu jo aikoja sitten.

[MacAntti]

http://www.f-secure.com/v-descs/inqtana_a.shtml

OSX/Inqtana.A -mato on myös löydetty. OS X 10.4:n aukko taitaapi kuitenkin olla paikattu jo aikoja sitten.

Joo, tuo haiskahtaa kyllä vahvasti siltä, että nyt Symantecissa nähdään hyvä markkinarako alkaa maalailemaan uhkia MacOSX:n ylle ja vedetään julkisuuteen ihan olemattomiakin "matouhkia". Tuon reiän Apple on paikannut jo viime kesäkuussa. Tietoturvayhtiöt itsekin myöntävät, ettei tuosta saastu varmasti yksikään mäcci. Niiden ja erityisesti Symantecin strategianahan on käyttää hyväntahtoista madoista ja viruksista "tiedottamista" omien tuotteidensa markkinointiin. Ja kun nyt on saatu hieman kipinää, niin siitä yritetään puhaltaa oikea roihu.

MacWorldin sivuilla on tuosta iChat-madosta mielenkiintoinen juttu, jossa asensivat madon parille koneelle ja katsoivat mitä tapahtuu. Eli käytännössä tuo "mato" ei pääse leviämään koneesta toiseen, joten ei sitä voi verrata pc:ssä jylläävin matoihin.

Hyvä muistutus kuitenkin meille kaikille siitä, että netistä saatavaan kamaa kannattaa suhtautua epäillen eikä availla mitä tahansa paketteja. Oli sitten windows, mac tai linux.

Mä olen kuitenkin sitä mieltä, ettei tuokaan vielä mikään ensimmäinen mac-virus ole, haittaohjelma kylläkin. Ja koska se vaatii käyttäjältä aika paljon vaivaa asentuakseen, niin jokainen koneensa sillä saastuttava voi syyttää lähinnä itseään. Kyllä tylsälläkin puukolla haavan saa sormeensa, kunhan riittävästi näkee vaivaa.

[MacFinn]

Taisi olla sellainen close but no cigar tilanne:

Tarkempaa tietoa

Eli iChat ei riitä, pitää käyttää Bonjour-yhteyttä ja asennella itse sitä matoa.

[matteus/2]

Eli iChat ei riitä, pitää käyttää Bonjour-yhteyttä ja asennella itse sitä matoa.

Olisi mielenkiintoista tietää onko tähän Bounjour-hommaan jokin erityinen syy, vai onko Leap-A:n koodaaja vain päättänyt tehdä siitä huomattavasti tehottomammin leviävän kuin mahdollista.

[Mac Classic]

Hyvä muistutus kuitenkin meille kaikille siitä, että netistä saatavaan kamaa kannattaa suhtautua epäillen eikä availla mitä tahansa paketteja. Oli sitten windows, mac tai linux.

Juuri tämähän tässä nyt ehkä eniten risoo; tuo Windows-käyttäjien paranoia, jolle on itse hymähdellyt välinpitämättömänä, onkin nyt ainakin potentiaalinen uhka.

Ja olemassaolevien etuoikeuksien menettäminenhän kirpoo tunnetusti aina kaikkein kipeimmin. [H]

Nyt ainoastaan toivoisin että Classic-aikakauden riittävä perusturvaohjelma nostettaisiin uudelleen henkiin:

Disinfectant for OS X v.1.0

[Arnavista Santiago]

Kunnon kaksisuuntainen ja ohjelmakohtaisesti tietoliikennettä suodattava palomuuri on sikäli oiva apu troijalaisia vastaan, että se puuttuu tilanteeseen uudemman kerran, mikäli ohjelman sisäinen rakenne on tavalla tai toisella muuttunut.

Esimerkki: aiemmin hyvin toiminut Applen Mail joutuu käyttäjän tietämättä puukotuksen uhriksi. Sille on myös aikaisemmin myönnetty lupa kytkeytyä verkkoon. Mutta kun ohjelman rakenne on muuttunut (haittaohjelman toimesta), palomuuriohjelma vertaa sitä aikaisemmin "otettuun" tunnisteeseen ja huomaa, että kyseessä ei ole enää se sama Mail-ohjelma, jolle liikennöintioikeudet annettiin.

Niinpä palomuuri joutuu pyytämään käyttäjältä lupaa uudemman kerran, minkä pitäisi herättää epäilyksiä etenkin siinä tapauksessa, että Mail-sovellusta ei ole päivitetty luvan myöntämisen jälkeen. Niin tai näin, moinen takuuvarmasti tekee valtaosan onnettomimmista haittaohjelmista hampaattomiksi.