Windows pesee Macin tietoturvassa [lainattu it-viikosta]

[Macco]

joutuisinko tuossa maailmassa tekemään yhtä paljon "palkatonta ylityötä"...

Luultavasti et. Winkkareiden muuttuminen Maceiksi on omalta osaltani vähentänyt tukitoimia varmaan 95%:lla. Joskus tulee silti säädettyä niitä Macceja, mutta lähinnä huvikseen. Jotain Onyxin ajelua jne.

[Sherukka]

joutuisinko tuossa maailmassa tekemään yhtä paljon "palkatonta ylityötä"...

Luultavasti et. Winkkareiden muuttuminen Maceiksi on omalta osaltani vähentänyt tukitoimia varmaan 95%:lla. Joskus tulee silti säädettyä niitä Macceja, mutta lähinnä huvikseen. Jotain Onyxin ajelua jne.

Komppaan, turhat tukihenkilötyöt vähentyneet 100% minullakin.

[jpsuominen]

joutuisinko tuossa maailmassa tekemään yhtä paljon "palkatonta ylityötä"...

Luultavasti et. Winkkareiden muuttuminen Maceiksi on omalta osaltani vähentänyt tukitoimia varmaan 95%:lla. Joskus tulee silti säädettyä niitä Macceja, mutta lähinnä huvikseen. Jotain Onyxin ajelua jne.

Komppaan, turhat tukihenkilötyöt vähentyneet 100% minullakin.

Tarkoitinkin lähinnä sellaista tilannetta jossa lähes koko "tavis-maailma" käyttäisi macceja. Olisivatko ne loppujen lopuksi sen turvallisempia tai huoltovapaampia jos kaikki "pahikset" kohdistaisivat mielenkiintonsa niihin winkkarien sijaan? Mene ja tiedä.

[Macco]

Tarkoitinkin lähinnä sellaista tilannetta jossa lähes koko "tavis-maailma" käyttäisi macceja. Olisivatko ne loppujen lopuksi sen turvallisempia tai huoltovapaampia jos kaikki "pahikset" kohdistaisivat mielenkiintonsa niihin winkkarien sijaan? Mene ja tiedä.

Kiinnostus tehdä haittaohjelmia olisi varmasti kova, mutta siinä onnistuminen on vähän siinä ja siinä. Mac OS 9:lle esim. oli viruksia, vaikka markkinaosuus oli mitätön Mac OS X:een verrattuna.

[Sherukka]

Tarkoitinkin lähinnä sellaista tilannetta jossa lähes koko "tavis-maailma" käyttäisi macceja. Olisivatko ne loppujen lopuksi sen turvallisempia tai huoltovapaampia jos kaikki "pahikset" kohdistaisivat mielenkiintonsa niihin winkkarien sijaan? Mene ja tiedä.

Kiinnostus tehdä haittaohjelmia olisi varmasti kova, mutta siinä onnistuminen on vähän siinä ja siinä. Mac OS 9:lle esim. oli viruksia, vaikka markkinaosuus oli mitätön Mac OS X:een verrattuna.

Minusta tuntuu että pelit ovat aina olleet hyvä virusten jakelukanava (Amiga, Atari ST, PC jne), ja pelejä on alkanut tippumaan enemmän myös Mac:lle vai onko mutuni väärä?

[jpsuominen]

Kiinnostus tehdä haittaohjelmia olisi varmasti kova, mutta siinä onnistuminen on vähän siinä ja siinä.

Onnistuminen tosin yleensä korreloi melko vahvasti kiinnostuksen kanssa. Eipä sinäänsä, jos oikeasti virus-tehtailijoilla olisi rahallisia intressejä ja tarpeeksi tietotaitoa, niin kuvittelisi että he olisivat käyneet linuxin (ja muiden *NIX:ien) kimppuun jo aikoja sitten. Pitkälti yli puolet maailman weppiservereistä kuitenkin pyörii linuxin tai muiden unixien päällä, ja tuolla yritysmaailmassahan ne isot kalat uivat...

Minusta tuntuu että pelit ovat aina olleet hyvä virusten jakelukanava (Amiga, Atari ST, PC jne), ja pelejä on alkanut tippumaan enemmän myös Mac:lle vai onko mutuni väärä?

No waretetut pelit ainakin. Tosin siinäkin ehkä pätee vanha sanonta: "you get what you pay for"...

[Rillipiru]

F-Secure huomasi: macitkin tarvitsevat tietoturvaa
http://www.mikropc.net/kaikki_uutiset/article381091.ece

Kotimainen tietoturvayhtiö F-Secure kehittää Mac Protection -tuotetta, jolla yhtiö pyrkii vastaamaan lisääntyneeseen mac-koneiden suojaamisen tarpeeseen.

“Suurin osa nykyisistä maceistä on turvallisemmassa nettiympäristössä eivätkä ole joutuneet hyökkäysten kohteiksi. Rikolliset yksinkertaisesti saavat paremmat voitot pc-maailmassa”, kertoo Sean Sullivan F-Securen tietoturvalaboratoriosta. Hänen mukaansa mac-koneet ovat silti yhtä lailla vaarassa: "Turvallisella asuinalueella olevat talot eivät välttämättä ole paremmin suojattuja varkailta."

Sullivan huomauttaa, että monet nykyisistä uhista ovat selainpohjaisia, minkä johdosta macin käyttäjät ovat yhtä alttiita nettihuijareiden hyväksikäyttöyrityksille kuin pc-käyttäjätkin. ”Macille suunniteltu tietoturvaohjelma on ensimmäinen askeleemme mac-yhteisön suojaamiseksi”, Sullivan toteaa.

F-Secure Mac Protection torjuu ja poistaa automaattisesti haittaohjelmia. Ohjelmassa on sisäänrakennettu palomuuritoiminto, joka kytkee OS X -käyttöjärjestelmän palomuurin päälle, mikäli se ei ole toiminnassa. Hätätilanteita varten Mac Protectionissa on paniikkinäppäin joka estää kaiken liikenteen kriittisiä päivityksiä lukuun ottamatta.

F-secure tarjoaa mac-koneille myös F-Secure Online Backup -varmuuskopiointipalvelua, joka suojaa tietokoneen lisäksi käyttäjän tiedostot. Tuote toimii sekä pc- että mac-ympäristöissä.

F-Secure Mac Protection on saatavilla valikoiduilta operaattoreilta ja F-Securen beetaohjelmasivulta. Beeta-ohjelmaan osallistuvat saavat ilmaisen kuuden kuukauden käyttöoikeuden, joka sisältää tietokanta- ja versiopäivitykset. Osallistujilla on mahdollisuus vaikuttaa tuotteen kehittämiseen.

Ei sitten skulaa 64-bittisessä, eli ilmeisesti ei ole tarvetta edes saada siinä toimimaan?

[Captain Napalm]

BTW... miten voi murtautua koneeseen safarin tietoturva-aukon kautta?

Siten, että tehdään passelin mallinen webbisivu joka syöttää sopivaa dataa safarille jotta saadaan aikaiseksi buffer overflow ja sitä kautta ajettua joku sopiva koodinpätkä jolla saadaan haluttu efekti aikaiseksi. Kierompi (ja hankalampi) vaihtoehto on ihan vaan kaapata safarille menossa olevaa paluuliikennettä ja ujuttaa tuo kyseinen exploitti siihen.

Joo ei.

Siis kysyys oli tosiaan hieman irrallinen mutta kyse oli tilanteesta, jossa murtautuja pääsee fyysisesti Macin näppäimistölle ja käyttää sisään murtautuakseen Safarin aukkoa. Jäin ihmettelemään, että miten se saa sen Safarin edes päälle siihen koneeseen. Ei kai sitä aukkoa voi hyödyntää, jos Safari ei ole päällä ja vielä joku käske sitä menemään jollekin mainitsemasi kaltaiselle sivulle?

[Armadillo]

BTW... miten voi murtautua koneeseen safarin tietoturva-aukon kautta?

Siten, että tehdään passelin mallinen webbisivu joka syöttää sopivaa dataa safarille jotta saadaan aikaiseksi buffer overflow ja sitä kautta ajettua joku sopiva koodinpätkä jolla saadaan haluttu efekti aikaiseksi. Kierompi (ja hankalampi) vaihtoehto on ihan vaan kaapata safarille menossa olevaa paluuliikennettä ja ujuttaa tuo kyseinen exploitti siihen.

Joo ei.

Siis kysyys oli tosiaan hieman irrallinen mutta kyse oli tilanteesta, jossa murtautuja pääsee fyysisesti Macin näppäimistölle ja käyttää sisään murtautuakseen Safarin aukkoa. Jäin ihmettelemään, että miten se saa sen Safarin edes päälle siihen koneeseen. Ei kai sitä aukkoa voi hyödyntää, jos Safari ei ole päällä ja vielä joku käske sitä menemään jollekin mainitsemasi kaltaiselle sivulle?

"VANCOUVER, BC — Charlie Miller has done it again. For the second consecutive year, the security researcher hacked into a fully patched MacBook computer by exploiting a security vulnerability in Apple’s Safari browser.

“It took a couple of seconds. They clicked on the link and I took control of the machine,” Miller said moments after his accomplishment."

http://blogs.zdnet.com/security/?p=2917

Se, miten sitten murtauduttaisiin koneelle jolle päästään fyysisesti lienee erilainen kilpailu.

[JHA]

Se, miten sitten murtauduttaisiin koneelle jolle päästään fyysisesti lienee erilainen kilpailu.

Jos koneelle on fyysinen pääsy, käytössä riittävästi aikaa ja kovalevy ei ole kryptattu niin tuollainen murtohan on helppo nakki: Kuoret auki, kovalevy kiinni toiseen koneeseen, tarpeelliset softat levylle, levy takaisin, kuoret kiinni...

[morbusg]

They clicked on the link and I took control of the machine,”

Eh. Hippasen vaikea uskoa. Jos suorittavalla käyttäjällä ei ole ylläpitäjän oikeuksia, niin ei kukaan saa "kokonaisvaltaista hallintaa koneesta" tuota kautta.

[zuki]

They clicked on the link and I took control of the machine,”

Eh. Hippasen vaikea uskoa. Jos suorittavalla käyttäjällä ei ole ylläpitäjän oikeuksia, niin ei kukaan saa "kokonaisvaltaista hallintaa koneesta" tuota kautta.

Näin on, paskapuhetta koko uutinen.

[JHA]

They clicked on the link and I took control of the machine,”

Eh. Hippasen vaikea uskoa. Jos suorittavalla käyttäjällä ei ole ylläpitäjän oikeuksia, niin ei kukaan saa "kokonaisvaltaista hallintaa koneesta" tuota kautta.

Puskurin ylivuotoa hyödyntävissä hyökkäyksissä idea onkin nimenomaisesti se että ohjelmakoodin tiedettyä heikkoutta hyödyntämällä prosessorille pystytään ajamaan kolmannen osapuolen koodia.

Ohessa esimerkiksi linkki yhteen googlella vastaantulleeseen tietoturvakurssin labratyöhön jossa nimenomaisena tehtävänä on kaapata Root-oikeudet Ubuntu-koneeseen jossa on ennalta tiedetty virhe..

"In this lab, students will be given a program with a buffer-overflow vulnerability; their task is to develop
a scheme to exploit the vulnerability and finally to gain the root privilege. In addition to the attacks, students
will be guided to walk through several protection schemes that have been implemented in Fedora to counter
against the buffer-overflow attacks. Students need to evaluate whether the schemes work or not and explain
why."

http://www.cis.syr.edu/~wedu/seed/Labs/ ... erflow.pdf

[Captain Napalm]

BTW... miten voi murtautua koneeseen safarin tietoturva-aukon kautta?

Siten, että tehdään passelin mallinen webbisivu joka syöttää sopivaa dataa safarille jotta saadaan aikaiseksi buffer overflow ja sitä kautta ajettua joku sopiva koodinpätkä jolla saadaan haluttu efekti aikaiseksi. Kierompi (ja hankalampi) vaihtoehto on ihan vaan kaapata safarille menossa olevaa paluuliikennettä ja ujuttaa tuo kyseinen exploitti siihen.

Joo ei.

Siis kysyys oli tosiaan hieman irrallinen mutta kyse oli tilanteesta, jossa murtautuja pääsee fyysisesti Macin näppäimistölle ja käyttää sisään murtautuakseen Safarin aukkoa. Jäin ihmettelemään, että miten se saa sen Safarin edes päälle siihen koneeseen. Ei kai sitä aukkoa voi hyödyntää, jos Safari ei ole päällä ja vielä joku käske sitä menemään jollekin mainitsemasi kaltaiselle sivulle?

"VANCOUVER, BC — Charlie Miller has done it again. For the second consecutive year, the security researcher hacked into a fully patched MacBook computer by exploiting a security vulnerability in Apple’s Safari browser.

“It took a couple of seconds. They clicked on the link and I took control of the machine,” Miller said moments after his accomplishment."

http://blogs.zdnet.com/security/?p=2917

Se, miten sitten murtauduttaisiin koneelle jolle päästään fyysisesti lienee erilainen kilpailu.

okei, no jotenkin jäi aiemmasta sellainen kuva, että kyse nimenomaan oli siitä, että oli fyysisesti päästy koneelle ja sitten käytetty safarin aukkoa.

[morbusg]

Ohessa esimerkiksi linkki yhteen googlella vastaantulleeseen tietoturvakurssin labratyöhön jossa nimenomaisena tehtävänä on kaapata Root-oikeudet Ubuntu-koneeseen jossa on ennalta tiedetty virhe..

Linkittämässäsi dokumentissa haavoittuvaa ohjelmaa ajettiin nimenomaan root-tunnuksella. Syy, miksi palvelinohjelmistot tiputtavat oikeutensa käynnistyksessä. Mahdollisesti aiheeseen liittyen: OSX:ssähän root-tunnus on oletuksena pois käytöstä.

[jpsuominen]

They clicked on the link and I took control of the machine,”

Eh. Hippasen vaikea uskoa. Jos suorittavalla käyttäjällä ei ole ylläpitäjän oikeuksia, niin ei kukaan saa "kokonaisvaltaista hallintaa koneesta" tuota kautta.

Meinaat että vahingossa antoivat kaverille palkinnon? Kyllä tuollaisen BO aukon kautta pääsee ajamaan ihan mitä hyvänsä koodia.

[morbusg]

Meinaat että vahingossa antoivat kaverille palkinnon?

En, vaan että kaveri liioitteli.

Kyllä tuollaisen BO aukon kautta pääsee ajamaan ihan mitä hyvänsä koodia.

Mitä tahansa koodia, kyllä. Minä tahansa käyttäjänä, ei. Opettele lukemaan.

[jpsuominen]

Kyllä tuollaisen BO aukon kautta pääsee ajamaan ihan mitä hyvänsä koodia.

Mitä tahansa koodia, kyllä. Minä tahansa käyttäjänä, ei. Opettele lukemaan.

Eipä taida prosessoritasolla paljoa käyttöoikeuksista olla väliä.

[morbusg]

Eipä taida prosessoritasolla paljoa käyttöoikeuksista olla väliä.

"Prosessoritasolla"? lulz.

[jpsuominen]

Eipä taida prosessoritasolla paljoa käyttöoikeuksista olla väliä.

"Prosessoritasolla"? lulz.

Niin, prosessoritasolla. Tiedätkö sellaisen pii-möykyn siellä koneen sisällä? Jos puskurivuodon kautta saat annettua sille vaikkapa uuden paluuosoitteen, tai vaihtoehtoisesti ylikirjoitat sen paluuosoittessa olevan koodin, niin se prosessorihan ajaa juuri ne komennot jotka siinä osoitteessa on välittämättä käyttistason oikeuksista tuon taivaallista.

[morbusg]

Eipä taida prosessoritasolla paljoa käyttöoikeuksista olla väliä.

"Prosessoritasolla"? lulz.

Niin, prosessoritasolla. Tiedätkö sellaisen pii-möykyn siellä koneen sisällä? Jos puskurivuodon kautta saat annettua sille vaikkapa uuden paluuosoitteen, tai vaihtoehtoisesti ylikirjoitat sen paluuosoittessa olevan koodin, niin se prosessorihan ajaa juuri ne komennot jotka siinä osoitteessa on välittämättä käyttistason oikeuksista tuon taivaallista.

Puskurin ylivuodon hyödynnys tapahtuu haavoittuvan ohjelman kontekstissa. http://en.wikipedia.org/wiki/Buffer_overflow
Mikä siinä nyt on niin vaikea ymmärtää?

[jpsuominen]

Juu, useimmiten, koska yleensä ne toteutetaan ampumalla taustalle joku shelli tai muu takaportti. Mikään ei kuitenkaan estä tekemästä kuten tuossa edellä kirjoitin.

Ja jos nyt puhutaan tietomurrosta yhden käyttäjän työpöytäjärjestelmään, niin mihin niitä pääkäyttäjän oikeuksia mukamas edes tarvitsee? Kaikki oleellinen tieto on kuitenkin sen käyttäjän omistuksessa joka sitä softaa ajaa.

[morbusg]

Mikään ei kuitenkaan estä tekemästä kuten tuossa edellä kirjoitin.

Executable space protection is an approach to buffer overflow protection which prevents execution of code on the stack or the heap. An attacker may use buffer overflows to insert arbitrary code into the memory of a program, but with executable space protection, any attempt to execute that code will cause an exception.
...
Some Unix operating systems (e.g. OpenBSD, Mac OS X) ship with executable space protection (e.g. W^X).

Minä lukisin tuon kutakuinkin niin että kyllä estää. Ja toisekseen, se suoritettava koodi, oli se mitä hyvänsä, on yhä sen ohjelman kontekstissa jonka puskuria ajetaan yli. En tiedä kuinka monella eri tapaa voin vielä sanoa saman asian.

[jpsuominen]

Mikään ei kuitenkaan estä tekemästä kuten tuossa edellä kirjoitin.

Executable space protection is an approach to buffer overflow protection which prevents execution of code on the stack or the heap. An attacker may use buffer overflows to insert arbitrary code into the memory of a program, but with executable space protection, any attempt to execute that code will cause an exception.
...
Some Unix operating systems (e.g. OpenBSD, Mac OS X) ship with executable space protection (e.g. W^X).

Minä lukisin tuon kutakuinkin niin että kyllä estää. Ja toisekseen, se suoritettava koodi, oli se mitä hyvänsä, on yhä sen ohjelman kontekstissa jonka puskuria ajetaan yli. En tiedä kuinka monella eri tapaa voin vielä sanoa saman asian.

Juu, tuo executable space protection tosiaan estää (tai ainakin pitäisi) nuo "perinteiset" yritykset, eli ujutetaan se koodi sinne softan data-alueelle. Väitän kuitenkin edelleen, että jos ujutat johonkin ajokelpoiseen osoitteeseen "raakaa konekieltä" joka käskee CPU:n kirjoittamaan 16 kiloa nollia kovalevyn 0-blokista eteenpäin, niin kyllä se sen sinne kirjoittaa. Asia on eri jos yrität tehdä saman käyttämällä käyttiksen tarjoamaa palvelua, silloin Wayne Knight heristää sormea ja sanoo "soo soo".

Tosin siitä on luokkaa kymmenen vuotta aikaa kun itse noita tuli harjoitustöinä tehtyä, joten moni asia lienee muuttunut sen jälkeen.

Silti on aivan yhdentekevää missä kontekstissa se exploitti ajetaan kun on kyse yhden käyttäjän järjestelmästä. Kaikki mahdollinen mielenkiintoinen (?) data on kuitenkin käyttäjän itsensä omistuksessa ja siihenhän kyllä päästään käsiksi.

[morbusg]

...Väitän kuitenkin...

Ja minä väitän että ei, koska silloinhan kaikki "privilege separation"it mitä palvelinohjelmistoissa on, olisivat tyhjänpäiväisiä. Esimerkkinä IBM:n artikkeli.

Silti on aivan yhdentekevää missä kontekstissa se exploitti ajetaan kun on kyse yhden käyttäjän järjestelmästä. Kaikki mahdollinen mielenkiintoinen (?) data on kuitenkin käyttäjän itsensä omistuksessa ja siihenhän kyllä päästään käsiksi.

Enhän minä muuta ole väittänytkään. Kuitenkin "täydellinen hallinta koneesta" on mielestäni virheellinen ilmaisu, ja se oli se asia mistä aloin nillittämään ;-)

Muoks:
Korjatkaa jos olen väärässä, mutta eikös kaikki cpu:lle suoritettavaksi menevä data mene kernelin kautta, ja kernel ei hyväksyisi kuin järjestelmäkutsujen kautta tulevia pyyntöjä?