Uusi Security update

[MacAntti]

Uusi tietoturvapäivitys saatavilla ja asennettu. Ei ongelmia. Näyttää korjaavan edellisen (hieman hätäisen) turvapäivityksen virheitä, vahvistaa edelleen safarin ja mailin suojaa liitteiden ja siirrettyjen tiedostojen osalta sekä paikkaa pari uutta aukkoa.

[eskofot]

Pah. Heise.jpg avaa yhä ilman varoitusta päätteen ja suorittaa scriptin, jos jpeg-ikonia kaksoisklikkaa. Safari kyllä varoittaa että voi sisältää ohjelman eikä avaa sitä automaattisesti. Mutta tämä ei minusta riitä, terminaali alkaa olla samanlainen vaara kuin Wintoosan sisäänrakennettu ohjelmointikieli, mikä visualbasic se nyt oli mitä nuo troialaiset ja madot nyt siellä hyödyntävät.

Ilmutan Safe Terminalin, varma on varmaa. Enhän minä voi aina tietää mistä ja miten kovalevylläni oleva jpeg on sinne päätynyt, kun käyttäjiä on useita.

http://www.versiontracker.com/dyn/moreinfo/macosx/29221

[NOx]

Mutta tämä ei minusta riitä, terminaali alkaa olla samanlainen vaara kuin Wintoosan sisäänrakennettu ohjelmointikieli, mikä visualbasic se nyt oli mitä nuo troialaiset ja madot nyt siellä hyödyntävät.

Vika ei ole päätteessä vaan käyttöjärjestelmässä itsessään josta puuttuu yleispätevä koodin/sovelluksen tarkistus. Tuplaklikkaus on aina ollut riski, tiedoston naamioiminen joksikin muuksi ei ollut Mac OS 9:ssä Resedit-puukotusta ja uudelleen nimeämistä kummempi juttu.

Jos turvallisuudesta on tosissaan huolissaan niin kyselyä F-Securelle. Jos riittävästi on asiakkaita tiedossa niin F-Secure Client Security koodin tarkistuksella, sovellusten hallinnalla ja virusvalvonnalla ilmestyy varmasti myös Macille.

[eskofot]

Vika ei ole päätteessä vaan käyttöjärjestelmässä itsessään josta puuttuu yleispätevä koodin/sovelluksen tarkistus. Tuplaklikkaus on aina ollut riski, tiedoston naamioiminen joksikin muuksi ei ollut Mac OS 9:ssä Resedit-puukotusta ja uudelleen nimeämistä kummempi juttu.

Niin, mutta

a) eihän ysissä ollut mitään "residenttiä ohjelmointikieltä" jota hyäksikäyttämällä troijalainen olisi päässyt helposti käsiksi dataan

b) ResEditillä ei käsittääkseni voinut tehdä samankaltaista camouflage-tiedostoa: jos tuho-ohjelman creatorin muuttaa vanhassa käyttiksessä JPEG:ksi niin sehän käynnistyi juuri siinä ohjelmassa johon JPEG oli määrätty käynnistyvän ko. koneessa.

c) Yleispätevä tarkistin, kyllä kiitos. Mutta ongelma olisi ratkaistavissa yksinkertaisestikin: jos joku yrittää käynnistää terminaalin niin käyttäjää infottaisiin asiasta. Jos on turvallisuudesta huolissaan tässä asiassa niin jotenkin on, imho, instant-tehokkaampaa laittaa koneeseen SafeTerminal, sen sijaan että lähettelisi e-mailia jollekin Hyppöselle. (;

[Sälli]

a) eihän ysissä ollut mitään "residenttiä ohjelmointikieltä" jota hyäksikäyttämällä troijalainen olisi päässyt helposti käsiksi dataan

AppleScript?

b) ResEditillä ei käsittääkseni voinut tehdä samankaltaista camouflage-tiedostoa: jos tuho-ohjelman creatorin muuttaa vanhassa käyttiksessä JPEG:ksi niin sehän käynnistyi juuri siinä ohjelmassa johon JPEG oli määrätty käynnistyvän ko. koneessa.

Ohjelmaksi tallennettu AppleScript, jonka jälkeen tiedostolle Finderissä custom-icon, jolloin se näyttää esim jpeg:ltä?

[eskofot]

AppleScript?

Hmm.. ei kai AppleScriptillä pystynyt ennen massiivista tuhoa tekemään, eihän vanhassa systeemissä ollut mitään määrättyä oletushakemistoakaan mistä AppleScript olisi voinut käydä esim. heittelemässä tiedostoja roskiin ja tyhjentämään sitten roskista ilman varoitusta. Ei ainakaan koskaan korviin kantautunut puhetta vihamielisistä AppleScripteista, siis ennen kymppiä.

Finderissä custom-icon, jolloin se näyttää esim jpeg:ltä?

Ei se custom-ikoni tartu siihen ysissä, se näkyy vain tekijän koneella.

[NOx]

a) eihän ysissä ollut mitään "residenttiä ohjelmointikieltä" jota hyäksikäyttämällä troijalainen olisi päässyt helposti käsiksi dataan

Troijalainen on mikä tahansa ohjelma jossa on piilotettuna haittakoodia. AppleScript on skriptikieli siinä missä päätteen skriptaaminenkin. 9:ssä ja aiemmissa ei myöskään ilman erityisiä toimenpiteitä ollut mitään estoja kenen tahansa tehdä ihan mitä tahansa koneella.

b) ResEditillä ei käsittääkseni voinut tehdä samankaltaista camouflage-tiedostoa: jos tuho-ohjelman creatorin muuttaa vanhassa käyttiksessä JPEG:ksi niin sehän käynnistyi juuri siinä ohjelmassa johon JPEG oli määrätty käynnistyvän ko. koneessa.

Laitetaan päätteeksi feikki .jpg ja laitetaan ikoniksi kuvan esikatselun näköinen ikoni. Viritellään sopivat dialogit hämäämään käyttäjää siksi aikaa kun tehdään tuhoja. Yksinkertaisimmillaan annetaan ohjelman olla ohjelma ja muuten vaan väitetään sen tekevän jotain muuta kuin todellisuudessa tapahtuu. Tilanne ei ole nyt sen huonompi kuin ennenkään. Tuntemattomasta lähteestä tulleen tiedoston tuplaklikkaus on aina ollut riski, taisin jo todeta.

c) Yleispätevä tarkistin, kyllä kiitos. Mutta ongelma olisi ratkaistavissa yksinkertaisestikin: jos joku yrittää käynnistää terminaalin niin käyttäjää infottaisiin asiasta. Jos on turvallisuudesta huolissaan tässä asiassa niin jotenkin on, imho, instant-tehokkaampaa laittaa koneeseen SafeTerminal, sen sijaan että lähettelisi e-mailia jollekin Hyppöselle. (;

Terminaali ei ole ongelma ydin vaan itse käyttöjärjestelmä, tarkemmin LaunchServices ja tiedostosidokset. Tähän voisi vielä lisätä että Applella ei varmaan ole kovin isoa halua alkaa kehittelemään käyttäjien mukavuutta haittaavia estotekniikoita toistaiseksi. Automaattisia mekanismeja ja tietoturva-aukkoja joilla saataisiin epidemia aikaiseksi on edelleen vähän tai ei ollenkaan. Saatu hyöty olisi pienempi kuin haitat koneen päivittäisessä käytössä. En aio asentaa Safe Terminalia kun asia ei sillä tule kuntoon. Unsanity Paranoid Android menee askeleen pidemmälle kuin Safe Terminal, mutta en näe toistaiseksi syytä senkään asentamiseen. Pääte on nyt tapetilla, mutta samoin periaattein voidaan koodia suorittaa missä tahansa ohjelmassa, ei vain päätteessä.

[eskofot]

Laitetaan päätteeksi feikki .jpg ja laitetaan ikoniksi kuvan esikatselun näköinen ikoni. Viritellään sopivat dialogit hämäämään käyttäjää siksi aikaa kun tehdään tuhoja. Yksinkertaisimmillaan annetaan ohjelman olla ohjelma ja muuten vaan väitetään sen tekevän jotain muuta kuin todellisuudessa tapahtuu. Tilanne ei ole nyt sen huonompi kuin ennenkään.

Ei, ei, ei. Tämänkaltainen Finderin toiminta alkoi vasta kympissä. Ysissä voit ihan rauhassa liitellä vaikka mitä ikoneita ohjelmiin, ne eivät vastaanottajan koneessa näy kuin epäilyttävänä geneerisenä ikonina tai default-ikonina.

Ikoni on kuitenkin toisarvoinen, tästä on kyse: kympissä on kolme tapaa määritellä avaava ohjelma, ja ne ovat hierarkisia. Näin: 1) Open with -komento 2) Creator 3) Tiedostopääte. Nämä datat kulkevat tiedoston mukana metadatassa ja resurssihaarukassa. Tämä aivan uuden mahdollisuuden venkslata. Tätä juur käyttää Heise.jpg. Tämä on se siperian kokoinen aukko joka oli ysissä aika paljon pienempi.

Lisäksi homman tekee erityisen helpoksi se että kympissä on strukturoitu rakenne johon malwaren tekijän on helppo viitata – ja terminaali, jolla voi tehdä helposti mitä tahansa. Ysissä oli todella vain AppleScript jolla ei tiedetä yhtään kovalevyä tyhjennetyn. Ei ole -rm, komentoja siellä.

[kermit]

Path Finderissä ei näytä toimivan tuo kuvakkeella k*settaminen. Ei ainakaan niissä kahdessa demossa (secunia.mov ja heise.jpg).

[NOx]

Ei, ei, ei. Tämänkaltainen Finderin toiminta alkoi vasta kympissä. Ysissä voit ihan rauhassa liitellä vaikka mitä ikoneita ohjelmiin, ne eivät vastaanottajan koneessa näy kuin epäilyttävänä geneerisenä ikonina tai default-ikonina.

Muistelen vuosikaudet tuijotelleeni esimerkiksi PhotoShopin omaa erityistä ikonia. En ole sitä tehnyt vaan joku Adobella puolestani.

Troijalaisen tekijä koodaa ilkiönsä. Sitten hän määrittelee ilkiön resursseihin ikonin, kuten Adobekin tekee ohjelmilleen. Erona vain se että ikoniksi hän liittää kirkkoveneen kuvan tai ehkäpä Video Ipodin 7" näytöllä. Ohjelman nimeksi hän laittaa kirkkovene.jpg____. Korvaa _____ esim. välilyönneillä, miltä tuollainen tiedosto äkkiseltään näyttää?

Toinen kikka, valitaan resursseihin Creator Codeksi jokin ohjelma joka melko varmasti löytyy kaikista koneista, vaikka Stuffit Expander. Kts. lopusta mitä "aust" saa aikaan AppleScriptille.

On hyvä muistaa ettei pakattujen tiedostojen vastaanotto tai imurointi ja purkaminen ollut mitenkään tavatonta Mac OS 9 aikaan.

Ikoni on kuitenkin toisarvoinen, tästä on kyse: kympissä on kolme tapaa määritellä avaava ohjelma, ja ne ovat hierarkisia. Näin: 1) Open with -komento 2) Creator 3) Tiedostopääte. Nämä datat kulkevat tiedoston mukana metadatassa ja resurssihaarukassa. Tämä aivan uuden mahdollisuuden venkslata. Tätä juur käyttää Heise.jpg. Tämä on se siperian kokoinen aukko joka oli ysissä aika paljon pienempi.

HFS+ metadata ei kulje koneesta toiseen, tiedostopääte kulkee. Tiedostopääte vaikuttaa siihen pitääkö Safari tiedostoa turvallisena vai ei. Ongelmallinen kohta on tämä: Otetaan kuva, määritellään se aukeamaan Terminalissa, ei paineta Use for All eli määritellään vain tämä nimenomainen tiedosto aukeamaan Terminalissa. Lopputuloksena kuvan "usro" resurssiin tallentuun pysyvä ja koneesta toiseen kulkeva tieto että tiedosto pitää avata Terminalissa. "Usro"-resurssiin tallentuu koko polku millä ohjelmalla kyseinen tiedosto pitää avata. Siksi Terminalin nimeäminen uudelleen estää kyseisen kikan käytön. Ellei resurssia ole, se luodaan.

Jo ennen Mac OS X:ää myös tiedostopäätteitä käytettiin tunnistamaan tiedostoja, varsinkin silloin kun netistä ladattiin tavaraa ja haluttiin tulevien tiedostojen kytkeytyvän johonkin tiettyyn ohjelmaan. MIME-vastaavuuksilla pystyi muutenkin kikkailemaan.

Mac OS on aina ollut haavoittuva paikallisella tasolla tapahtuville hyökkäyksille. Verkon (sähköpostin, internetin) yli muita koneita saastuttavia mekanismeja on ollut vaikea tehdä. Siksi ei ole ollut epidemioita, ei siksi että Mac OS olisi ollut sisäisesti turvallinen.

Lisäksi homman tekee erityisen helpoksi se että kympissä on strukturoitu rakenne johon malwaren tekijän on helppo viitata – ja terminaali, jolla voi tehdä helposti mitä tahansa. Ysissä oli todella vain AppleScript jolla ei tiedetä yhtään kovalevyä tyhjennetyn. Ei ole -rm, komentoja siellä.

Ei tuhon tekemiseen tarvita rm-komentoa eikä tuhon tarvitse olla koko kovalevyn mittainen ollakseen perusteellinen. AppleScript sisältää ilmankin tarvittavat komennot joilla päästään turhista tiedostoista eroon tai kirjoitetaan höpöhöpöä oikeiden tiedostojen päälle. 9:ssä laitetaan creator codeksi "aust" ja tuholainen näyttää itsepurkautuvalta Stuffit-tiedostolta. Joku saattaa vielä muistaa Simpsons troijalaisen? Se oli tehty AppleScriptillä ja toimi siis Mac OS 9:ssä Outlook-postiohjelmassa. Vaikka 9:lle olikin vähän haittaohjelmia niin niistä vähistä melkein kaikki oli tehty AppleScriptillä, mm. Mac OS 8.5 Tips and Tricks joka oikeasti myös heitteli tavaraa roskikseen ja muisti tyhjentää sen.

Päätteellä ei voi tehdä mitä tahansa ilman riittäviä oikeuksia. Toisin kuin Mac OS 9:ssä niin Mac OS X.ssä on sentään käyttäjätunnukset ja eri käyttäjätasot. 9:ssä oli vain ylläpitäjiä tai paremmin peräti root-käyttäjiä eikä perään kyselty muutenkaan jos vaikka tuli mieliteko tehdä hilloa järjestelmäkansion sisällöstä tai toisen käyttäjän dokumenteista.

[Sälli]

Ysissä oli todella vain AppleScript jolla ei tiedetä yhtään kovalevyä tyhjennetyn. Ei ole -rm, komentoja siellä.

Kuten NOx sanoi, kyllä se AppleScriptilläkin onnistuu helposti. Ei tosiaan ole rm-komentoja, mutta on tell application "Finder" to delete every file of startup disk -komentoja.

Se, että jotain tiettyä haittaohjelmaa ei löydy, ei tarkoita että sen tekeminen olisi ollut mahdotonta.

[MacAntti]

Voiko 16 kysymykseen vastata sanomatta mitään? Applen tietoturvaekspertti Bud Tripple näköjään pystyy tähän kevyesti:

http://news.com.com/Tribble+on+Apples+s ... ag=st.prev

[Juhani L]

Voiko 16 kysymykseen vastata sanomatta mitään? Applen tietoturvaekspertti Bud Tripple näköjään pystyy tähän kevyesti:

http://news.com.com/Tribble+on+Apples+s ... ag=st.prev

Taitaa olla kaikkien tietoturvaihmisten ammattitauti. Ei parane retostella turvallisuudella, ettei houkuttele yrittämään murtautumista. Ei saa kertoa liikaa yksityiskohtia turvatoimista. Ei saa luvata mitään täsmällistä. ...mutta haastattelukuvassa pitää hymyillä

[HOV]

Turvapäivitykseen 2006-002 on tullut tänään päivitys. Ei näy ohjelmiston päivityksen kautta, vaan pitää ladata erikseen.

Apple Security Update - 2006-002v1.1

[NOx]

Turvapäivitykseen 2006-002 on tullut tänään päivitys. Ei näy ohjelmiston päivityksen kautta, vaan pitää ladata erikseen.

Nyt näkyy Software Updatessa version 1.1.

[biblo]

Turvapäivitykseen 2006-002 on tullut tänään päivitys. Ei näy ohjelmiston päivityksen kautta, vaan pitää ladata erikseen.

Nyt näkyy Software Updatessa version 1.1.

Ei täällä näy kyllä.