Ensimmäinen OS X -virus?

Jamac · Viesti Kirjoittaja **Jamac** » 18.2.2006 klo 13.56

Hmm.. En oikein lämpene että palomuuriin tulisi ominaisuuksia mikä olisi sidoksissa muihin ohjelmiin. Käytännön puolta tuntematta mulle tulee olo että siinä mennään sellaiseen sorkitaan jokapuolelle meininkiin. Ennemmin ajattelisin vaikka erillinen ohjelma mikä tutkisi että asennetut ohjelmat ei muutu koodiltaan. Kannattaisin tässä edelleen sitä yksi työkalu yhteen tarkoitukseen -periaatetta. Palomuuri hoitaa palomuurin töitä ja jokin toinen ohjelma huomauttaisi käyttäjää jos asennettuihin ohjelmiin yritetään kajota.

MoonMac · Viesti Kirjoittaja **MoonMac** » 18.2.2006 klo 14.11

Jamac kirjoitti:Hmm.. En oikein lämpene että palomuuriin tulisi ominaisuuksia mikä olisi sidoksissa muihin ohjelmiin. Käytännön puolta tuntematta mulle tulee olo että siinä mennään sellaiseen sorkitaan jokapuolelle meininkiin. Ennemmin ajattelisin vaikka erillinen ohjelma mikä tutkisi että asennetut ohjelmat ei muutu koodiltaan. Kannattaisin tässä edelleen sitä yksi työkalu yhteen tarkoitukseen -periaatetta. Palomuuri hoitaa palomuurin töitä ja jokin toinen ohjelma huomauttaisi käyttäjää jos asennettuihin ohjelmiin yritetään kajota.

Kyllä. Samaa mieltä olen. Olen myös huomannut, että JavaScriptillä voidaan kajota Terminal ohjelmaan ja vaikkapa pyyhkiyttää oma kotikansio. Safarissa on JS oletuksena päällä.

wanders · Viesti Kirjoittaja **wanders** » 18.2.2006 klo 15.04

MoonMac kirjoitti: Kyllä. Samaa mieltä olen. Olen myös huomannut, että JavaScriptillä voidaan kajota Terminal ohjelmaan ja vaikkapa pyyhkiyttää oma kotikansio. Safarissa on JS oletuksena päällä.

Uskallatko antaa tarkempia koordinaatteja, kuinka javascriptilla käynnistetään terminal? Jos tuo pitää paikkansa (javascript > terminal > kotikansion pyyhkiminen), niin os x:n tietoturva on heikoissa kantimissa.

--
w

G6 · Viesti Kirjoittaja G6 » 18.2.2006 klo 15.11

Kyllähän tuo näyttäisi moninkertaista omaa typeryyttä vaativan, että vahinkoa tapahtuu. Viesti on silti selvä. Enää ei voi olettaa olevansa verkossa täysin turvassa mäkinkään kanssa. Niinkuin joku tuolla oli jo huomannutkin, ensimmäisten virusten tarkoitus voi olla puhtaasti tutkia kuin helposti tällainen haittaohjelma leviää.

MoonMac · Viesti Kirjoittaja **MoonMac** » 18.2.2006 klo 15.20

wanders kirjoitti:
MoonMac kirjoitti: Kyllä. Samaa mieltä olen. Olen myös huomannut, että JavaScriptillä voidaan kajota Terminal ohjelmaan ja vaikkapa pyyhkiyttää oma kotikansio. Safarissa on JS oletuksena päällä.
Uskallatko antaa tarkempia koordinaatteja, kuinka javascriptilla käynnistetään terminal? Jos tuo pitää paikkansa (javascript > terminal > kotikansion pyyhkiminen), niin os x:n tietoturva on heikoissa kantimissa.

--
w

No periaatteessahan tuolla JS:llä voidaan tehdä mitä vain. Tuon tuen saa kuitenkin pois päältä Safarin asetukseista, mutta silloin jotkin sivut menevät ns. sekaisin. rm -rf ~/ on siis se kuuluisa komento jolla saadaan kotikansio tyhjäksi. En ole testannut, mutta luulisin, että kone ei kysele sen enempiä, koska omistat kyseisen kansion kokonaan.

Jamac · Viesti Kirjoittaja **Jamac** » 18.2.2006 klo 17.57

MoonMac kirjoitti:No periaatteessahan tuolla JS:llä voidaan tehdä mitä vain.

[:O] Paitsi että tietääkseni sillä ei pääse kohdekoneen tiedostojärjestelmään mitenkään? No Cookkien sillä saa selaimen tallentamaan mutta ei muuta mun tietääkseni.

MoonMac · Viesti Kirjoittaja **MoonMac** » 18.2.2006 klo 18.03

Jamac kirjoitti:
MoonMac kirjoitti:No periaatteessahan tuolla JS:llä voidaan tehdä mitä vain.
[:O] Paitsi että tietääkseni sillä ei pääse kohdekoneen tiedostojärjestelmään mitenkään? No Cookkien sillä saa selaimen tallentamaan mutta ei muuta mun tietääkseni.

Ei se pääsekkään yhtään mitenkään kräkkäämään koneeseen. Se vain käskyttää Terminalin pistämään tuon komennon ja suorittamaan sen. Kuten vaikkapa AppleScriptin komento:

Koodi: Valitse kaikki

tell application "Terminal"
do script rm -rf ~/
end tell

MacAntti · Viesti Kirjoittaja **MacAntti** » 18.2.2006 klo 18.18

MoonMac kirjoitti: Ei se pääsekkään yhtään mitenkään kräkkäämään koneeseen. Se vain käskyttää Terminalin pistämään tuon komennon ja suorittamaan sen. Kuten vaikkapa AppleScriptin komento:
Koodi: Valitse kaikki
tell application "Terminal"
do script rm -rf ~/
end tell

Mä en kyllä usko tuohon. Missä tuo on dokumentoitu?

Jamac · Viesti Kirjoittaja **Jamac** » 18.2.2006 klo 18.42

MacAntti kirjoitti:
MoonMac kirjoitti: Ei se pääsekkään yhtään mitenkään kräkkäämään koneeseen. Se vain käskyttää Terminalin pistämään tuon komennon ja suorittamaan sen. Kuten vaikkapa AppleScriptin komento:
Koodi: Valitse kaikki
tell application "Terminal"
do script rm -rf ~/
end tell
Mä en kyllä usko tuohon. Missä tuo on dokumentoitu?

Jos tämä onnistuumuka, niin OS X:ssä olisi ruotsinlaivankokoinen tietoturva-aukko. [:S]

Ei javascriptin pitäisi pystyä käskyttämään mitään muuta kuin selainta jossa JS ajetaan.

Syön lenkkar…eistani nau…hasesta kolmemilliä jos tuo muka onnistuu.

NOx · Viesti Kirjoittaja **NOx** » 18.2.2006 klo 19.08

Jamac kirjoitti:Jos tämä onnistuumuka, niin OS X:ssä olisi ruotsinlaivankokoinen tietoturva-aukko. [:S]

Safarissa oli 10.3.x jotain aikaan mahdollista ajaa koodia kutsumalla ensin Ohjeita ensin avuksi. Tuo reikä paikattiin aika vilkkaasti. Hetken aikaa oli muotia ohjeistaa käyttäjiä suoralla linkillä koneen omaan helpiin, help:runscript ja niin edelleen. Oli myös mahdollista syöttää kutsu ensin ohjeille ja help-tiedoston sijaan olisi syötetty web-sivulta koodia. Tällöin kutsu olisi siis tullut helpiltä eikä Safarilta. Pikakorjaus oli asettaa help-protokolla käynnistämään jokin muu ohjelma kuin Ohjeselain. Vaikkapa Laskin. Tämäkin taisi jäädä teorian tasolle, käytännössä kukaan ei muistini mukaan joutunut ilkeämielisen web-sivun uhriksi kyseisellä menetelmällä.

Mielestäni rm -rf teorioiden ilmaan heittely ilman perusteluja ja testaamista ei ole oikein. Tällainen luo vain turhaa sekaannusta vähemmän kokeneiden koneistajien parissa.

Jos annettu esimerkki olisi totta niin kone pitäisi oitis irrottaa verkosta. Ihmeen laiskoja ovat hakkerit, macci-kalustoa on varmaan niin vähän ettei edes noin yksinkertaista reikää jakseta hyödyntää.

kide- · Viesti Kirjoittaja **kide-** » 18.2.2006 klo 19.38

Symantecin ja F-Securen herrojen mielestä kyseessä on ehdottomasti virus.

Etenkin Symantecin tietoturva-asiantuntijan Marko Mikkolan kommentista paistaa läpi miksi tästä on nostettu niin suuri meteli.

"Mikkolan mielestä tapaus osoittaa ennen kaikkea, että tulevaisuudessa Mac OS X -käyttöjärjestelmäkin tarvitsee virustorjuntaa."

F-Securen herra taas sanoo:
- Paikallinen infektio tietokoneessa on ihan samanlainen kuin 90 -luvun exe-viruksien. Tämä nyt on virusta niin paljon kuin mikään vain voi olla, Hyppönen sanoo.

Kun mäccien määrä kasvaa koko ajan, tottakai tietoturvayhtiöt haluavat niidenkin käyttäjät asiakkaikseen. Windows käyttäjät he ovat jo lähes kaikki kalastaneet itselleen. Jos viruksia ei muuten mäcille tule, nämä koko ajan kasvavat ja lisääntyvät tietoturvayhtiöt pitävät varmasti siitä itse huolen. Virustorjuntabisneksen rinnalla Applenkin liikevaihto tuntuu mitättömältä.

Viesti Kirjoittaja **amanita** » 18.2.2006 klo 23.41

Luin koko viestilitanian läpi, en saanut ihan selvää vastausta, jotta mitä nyt pitäisi tehdä saadakseen hyvän suojan "vihollista" vastaan.Palomuuri on päällä, latauksia tarkkailen, virustorjuntaa ei liene laadittuMacille.UDP-liikenteen esto-kysymykseenkään kukaan ei ole tarttunut. Osaako joku antaa lisävalaistusta tilanteeseen?[:^)]

Repe Ruutikallo · 19.2.2006 klo 10.38

amanita kirjoitti:Luin koko viestilitanian läpi, en saanut ihan selvää vastausta, jotta mitä nyt pitäisi tehdä saadakseen hyvän suojan "vihollista" vastaan.

En minä ainakaan meinaa tehdä mitään. Vihollisia on tasan yksi (se toinenhan ei yksinkertaisesti toimi) ja sen temput on hyvin selvitetty. Tyhjästä se ei ilmaannu kakkaa lykkäämään. Jos tulee uusia uusin tempuin, sitten mietitään uudelleen. Niin kauan kuin harvat vihamiehet tunnistaa naamasta jo kaukaa, no problem.

Yks Kake reagoi Symantecin pelotteluun lataamalla demonoid.comista Norton Antivirus 10 Corpporaatten. Ajatteli, että kun kerran pelottelevat liioitelluilla argumenteilla saadakseen lisää liikevaihtoa, niin voihan siihen pelotteluun näinkin vastata. Jokainen saa tietysti olla tästä reagoinnista mitä mieltä tahtoo.

Sanokaa mun sanoneen, lähikuukausina F-Securemmekin yrittää aloittaa Mac-käyttäjien rahastuksen. Valmisteleva pelottelu on sielläkin jo meneillään. Vaan senttiäkään eivät ainakaan multa tule saamaan. Eivätkä Kakelta.

BlueTide · Viesti Kirjoittaja **BlueTide** » 19.2.2006 klo 11.36

NOx kirjoitti:Mielestäni rm -rf teorioiden ilmaan heittely ilman perusteluja ja testaamista ei ole oikein. Tällainen luo vain turhaa sekaannusta vähemmän kokeneiden koneistajien parissa.

Jos annettu esimerkki olisi totta niin kone pitäisi oitis irrottaa verkosta. Ihmeen laiskoja ovat hakkerit, macci-kalustoa on varmaan niin vähän ettei edes noin yksinkertaista reikää jakseta hyödyntää.

Minua kiinnostaisi nämä JavaScript-huökkäyksien perustelut myös.

JavaScript PITÄISI olla sangen tiukka "hiekkalaatikko", jonka yhteydet ulkomaailmaan ovat sangen rajallisia ja tiedostojärjestelmiin/ohjelmiin liki olemattomat. Widgeteissä VOI olla näiltä osin laajennettu API, en ole (vielä) katsellut.

Mikään tietysti ei sano, etteikö Safarissa voisi olla mahdollista pistää järjestelmäkutsuja JS:n/ohjelmien kautta, mutta epäilisin kyllä erittäin vahvasti. Koko idea kun on pitkälti ollut se, että näitä yhteyksiä ei tarjota ohjelmoijille tietoturvan säilymiseksi.

AppleScript ei ole todellakaan verrattavissa JS:ään.

NOx · Viesti Kirjoittaja **NOx** » 19.2.2006 klo 12.07

Repe Ruutikallo kirjoitti:Sanokaa mun sanoneen, lähikuukausina F-Securemmekin yrittää aloittaa Mac-käyttäjien rahastuksen. Valmisteleva pelottelu on sielläkin jo meneillään. Vaan senttiäkään eivät ainakaan multa tule saamaan. Eivätkä Kakelta.

Sinun rahoillasi tuskin on merkitystä asian kannalta ja tuskin ne Mac-käyttäjiä alkaa rahastamaan. Ostopakkoa ei ole. Organisaatioissa joudutaan ajattelemaan toisella tavalla jo pelkkien vastuukysymysten takia kuin kotona tai pientoimistossa. Sillä ei ole merkitystä onko uhka todellinen vai teoreettinen. Jos F-Secure tuo oman tuotteensa markkinoille niin sehän on pelkästään positiivinen asia Applen kannalta. Kun se virusturva nyt kuitenkin pitää olla. Jos käytössä on F-Securen turvatuotteet niin mikäs on sen helpompaa kuin niputtaa Macit samaan lisenssiin PC-koneiden kanssa.

Olen kyllä samaa mieltä Mikkosen kanssa kehityssuunnasta, proof of conceptejä on jo jokunen ja tämä viimeinen aiheutti joillekin käyttäjille oikeastikin harmia ohjelmien toimimattomuutena. Vain typerys jättää asian sikseen jos vastuulla on yrityksen/yhteisön Mac-kanta. Kun TJ kysyy että miten mahdollinen riski on huomioitu, niin siihen on paras vastaus että kaikki mahdollinen on tehty. Jos on vastuussa vain itselleen niin tilanne on kokonaan toinen. En minäkään kotioloissa jaksa tästä huolestua.

NOx · Viesti Kirjoittaja **NOx** » 19.2.2006 klo 12.11

BlueTide kirjoitti: Mikään tietysti ei sano, etteikö Safarissa voisi olla mahdollista pistää järjestelmäkutsuja JS:n/ohjelmien kautta, mutta epäilisin kyllä erittäin vahvasti. Koko idea kun on pitkälti ollut se, että näitä yhteyksiä ei tarjota ohjelmoijille tietoturvan säilymiseksi.

Tuo help-esimerkki oli juuri tätä. Myös Widgeteistä löydettiin samantapainen aukko. Molemmat on paikattu turvapäivityksissä ja järjestelmäpäivityksissä. Paikkausta ei välttämättä tietysti ole ajettu kaikkiin käytössä oleviin Maceihin, osa meistä ei juuri päivitä konettaan.

JanNebert · Viesti Kirjoittaja **JanNebert** » 19.2.2006 klo 12.14

TransparentDockin uusinta versiota asentaessa, selvisi (ainakin osittain) mikä on erillisen admin käyttäjätunnuksen logiikka.

Vanhempia versioita asentaessa kysyi aina adminin salasanan ja se oli siinä (ennen minun käyttäjä tunnuksella oli admin oikeudet.) Nyt kun minulla ei enää ole admin oikeuksia, ei riittänyt adminin tunnuksen ja salasanan syöttö. Vaan piti kirjautua sisään adminina, jotta dockin puukotus onnistui. Ihan hyvä näin, ei onnistu käyttiksen muuttelu edes "vahingossa" syötetyllä adminin salasanalla.

Ohjelmat kansiosta ohjelmia poistaessa tai uudempaa päälle raahatessa, taas riittää kun syöttää adminin tunnuksen ja salasanan. Eli ei vaadi adminina sisään kirjautumista, kun ei tehdä jotain syvällisempää käyttöjärjestelmälle.

BlueTide · Viesti Kirjoittaja **BlueTide** » 19.2.2006 klo 13.44

NOx kirjoitti:Tuo help-esimerkki oli juuri tätä. Myös Widgeteistä löydettiin samantapainen aukko. Molemmat on paikattu turvapäivityksissä ja järjestelmäpäivityksissä.

Jep. Meinasin nyt, että se ei tainnut olla suunniteltu juttu kun kerran paikattiin. Eli halutaan säilyttää yhä se "hiekkalaatikko."

Zuc · Viesti Kirjoittaja **Zuc** » 19.2.2006 klo 20.00

NOx kirjoitti: Mielestäni rm -rf teorioiden ilmaan heittely ilman perusteluja ja testaamista ei ole oikein. Tällainen luo vain turhaa sekaannusta vähemmän kokeneiden koneistajien parissa.

Mitäs se sitten on, kun lukee kirjaa, siis varmasti tarkastettua, luotettavaa totuutta ja siellä eri käyttöjärjestelmiä esitellessä kappaleessa sanotaan näin: "...eli esimerkiksi Macintosh-virus ei voi tarttua Windows-koneeseen..." Ai että mikä oli?! *pikainen selaus etusivun tekijätietoihin* Papukaijamerkit sille, joka arvaa, kuka oli opuksen kustantaja! Vähän meinas tuon hymyilyttää, että asia oli saatu muotoiltua juurikin noin....

sieda84 · Viesti Kirjoittaja **sieda84** » 20.2.2006 klo 9.02

kermit kirjoitti:
Mac Classic kirjoitti:Aika tylsä homma kaikkiaan, jos täytyy alkaa tutkia tiedostoja Omppu-I:llä ennen avaamisia.[:@]
Ei syytä paniikkiin. Pärjäähän miljuunat Win-useritkin (osa ihan kunnialla) vaikka erityisesti muutaman viime vuoden aikana on jatkuvasti joku uhka päällä.

Ei tarvitset omppu iitä lykkiä. Zebra Scanner tutkailee ja hälyttyy jos jokin tiedosto onkin muuta kuin väittää olevansa.

Leap-A -virukselta voi suojautua ClamXAV:llä, sillä ClamAV -tietokannat tunnistavat Leap-A:n.

Tässä viellä linkit:
http://home.wanadoo.nl/denheyer/webpagi ... ation.html

http://clamav.net/
http://www.clamxav.com (graaffinen käyttis OS X:n ClamAV:lle)

Vakuutan antamani tiedot oikeellisiksi!
EDIT: Mainitut ohjelmat: ClamAV, ClamXAV ja Zebra Scanner ovet ilmaisohjelmia (freeware).

AppleFarmer · Viesti Kirjoittaja **AppleFarmer** » 20.2.2006 klo 9.52

No nyt on sitten toinenkin "virus" markkinoilla. Tuntuu nyt vähän siltä, että tässä halutaan lietsoa massahysteriaa. Uuh, Macille löytyy nyt jopa kaksi "virusta!. In your face Mac-users!

sieda84 · Viesti Kirjoittaja **sieda84** » 20.2.2006 klo 10.09

AppleFarmer kirjoitti:No nyt on sitten toinenkin "virus" markkinoilla. Tuntuu nyt vähän siltä, että tässä halutaan lietsoa massahysteriaa. Uuh, Macille löytyy nyt jopa kaksi "virusta!. In your face Mac-users!

Joo... Maalaisjärkeä vaan kehiin

Ei tässä pidä panikoitua.
Noi ClamXAV ja Zebra Scanner ovat lähinnä maalaisjärjen jatkeeksi tarkoitettuja "suojakkeita".

EDIT: 12:00 YleX:ssä on puhetta viruksista. Mm. ensimmäinen leviävä Mac -virus.

masa · Viesti Kirjoittaja **masa** » 20.2.2006 klo 10.10

tIETOkOnE-Lehti taas räväyttää

Voi juma- Löydetty haittaohjelma- joka on toki korjattu lähes vuosi sitten. En tilaa enää tuota lehteä...

Eliol · Viesti Kirjoittaja **Eliol** » 20.2.2006 klo 11.13

Lukiessani Symantecin sivuja törmäsin myös näihin ensimmäisiin tietoturvaongelmiin. http://securityresponse.symantec.com/av ... ana.a.html

Toistaiseksi riskitasot ja muut ovat matalat, mutta kun joku noita viruksia alkaa tehtailemaan, niin eiköhän nekin "parannu" aikojen kuluessa.

edit:
Huomasin vasta kirjoiteltuani keskustelun olevan jo monta sivua pitkä. Niimpä taas jakelen vanhentunutta tietoa.

Sparta · Viesti Kirjoittaja **Sparta** » 26.2.2006 klo 19.09

Jubax kirjoitti:@Troubleman

1.Luo uusi ylläpitäjä

....

6.Kirjaudu sisään vanhoilla tunnuksillasi, kuten huomaat heti kättelyssä, kaikki oma on tutuilla paikoillaan! Mutta nyt sinulla on hieman rajoitetummat oikeudet joten muista se kilometrin päässä oleva koivunoksa!

Itsekin vanhana windowskäyttäjänä olin itse adminina ja toiset tunnukset koneella olivat rajoitettuja. Nyt tästä viisastuneena tein myös näiden ohjeiden mukaan admin-käyttäjän erikseen, ja omalla käyttäjällä vain perusoikeudet. Onpa heti turvallisempi fiilis.

Mitäs tässä nyt pitää sitten ottaa huomioon, eli onnistuuko softien asentaminen ihan tällä taviskäyttäjällä, ja jos onnistuu niin tuleeko softat sitten kaikkien käyttäjien käyttöön? Eli missä tapauksessa tuota admin-tunnusta sitten tarvitaan tai on syytä käyttää? uusien softien asentamiseen(ko)? Vai muiden käyttäjien hallinnoimiseen vain?

Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?

Re: Ensimmäinen OS X -virus?