[GastForen Betriebsysteme und Dienste Apple (Hard- und Software) Rootkits am Mac - Viren?

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Rootkits am Mac - Viren?

WolfJack
Beiträge gesamt: 2851

27. Okt 2004, 22:09
Beitrag # 1 von 1
Bewertung:
(1439 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Opener ist kein Mac-OS-X-Virus

Im Gefolge der Slashdot-Meldung 'Opener' Malware Targets OS X stehen auch Mutmaßungen im Raum, die von einem Virus oder Wurm für Mac OS X sprechen. Diese Einschätzung lässt sich jedoch mit den bekannten Tatsachen nicht stützen…

<http://www.heise.de/...er/meldung/52460>

Zur Ergänzung:

http://www.macnews.de/news/55951/

http://www.macnews.de/...php?&newsid=8052
macnews.de-Interview: Rootkits am Mac
Im September ist erstmals ein so genanntes Rootkit für Mac OS X [ http://www.macnews.de/news/55940 ]aufgetaucht - spezielles "Einbruchswerkzeug" für böswillige Hacker, das man so bislang nur unter Linux und Windows kannte. macnews.de sprach mit dem Netzwerk- und Mac-Spezialisten [ http://shiftzwei.blogg.de/ ]Christian Zülch, der das Rootkit als einer der Ersten analysiert hat.

macnews.de: Herr Zülch, können Sie unseren Lesern kurz erklären, was ein Rootkit überhaupt ist?

Christian Zülch: Eine gängige Definition ist, dass ein Rootkit eine Ansammlung von Tools ist, die nach einem Einbruch auf dem Rechner hinterlassen werden. Diese Tools verhindern die Entdeckung des Einbruchs und machen auch zukünftige Anmeldungen möglich. Oft werden diese mit Programmen gekoppelt, die Passwörter oder andere Information sammeln.

macnews.de: Wie gefährlich ist das nun aufgetauchte Kit für Mac OS X tatsächlich?

Zülch: Das kann man noch nicht genau sagen. Im Vergleich zu ausgefeilten Rootkits, welche sich als ladbare Module installieren (z.B. LKM-Rootkits), und die man schon unter Linux kennt, erscheint "OSXrk 0.2.1" doch eher hammlos. Ich kann mir vorstellen, dass in Mailinglisten zum Thema Sicherheit, wie zum Beispiel [ http://lists.netsys.com/...closure-charter.html ]full-disclosure schnell "Skript-Kiddie"-Rufe laut werden.

Doch sollte man bedenken, dass viele Skripte aus dem Rootkit durchaus funktionieren. Das heißt, wenn Sie sich für die Daten und Passwörter Ihrer Redaktionskollegen interessieren, ist das Mac OS X-Rootkit ein geeigneter Weg, diese in Erfahrung zu bringen...

macnews.de: Welche Bestandteile enthält das Rootkit?

Zülch: Es besteht aus einem Shell-Skript, das zur Installation dient. Ein zweites Shell-Skript enthält einige Terminal-Befehle zum Ausspähen von Daten. Außerdem beinhaltet es einen Log-Cleaner ("die Putze") zum Löschen angefallener Log-Dateien, sowie einer "Backdoor", die auf dem Port 31337 lauscht. Alle Dateien erhält man als Source Code, der entsprechend kompiliert und angepasst werden muss.

Allein das Installations-Skript sammelt schon während der Ausführung Informationen über Passwörter, Benutzer und Startobjekte. Es erzeugt einen neuen Benutzer und verschiebt alle Informationen in einen unsichtbaren Ordner.

Das zweite Shell-Script ist eine Sammlung von Terminal-Befehlen, die zum Beispiel das Filesharing starten oder Programme nachladen sollen. Einzelne Befehle können angepasst oder auskommentiert werden, einige Skripte funktionieren schlichtweg nicht.

macnews.de: Wie könnte man sich das Rootkit überhaupt "einfangen"?

Zülch: Rootkits werden nicht wie Viren über Mail verschickt, sondern eher gezielt und mit einer bestimmten Absicht installiert. Um das Rootkit zu installieren, braucht man mindestens Administrator-Rechte. Die sind jedoch, zumindest wenn man räumlichen Zugang zu dem Mac hat, relativ schnell erlangt.

Das Booten im Single User-Mode oder eine Installations-CD reichen aus. Und natürlich sind in der Vergangenheit schon Exploits gegen Mac OS X aufgetaucht, die dem Angreifer ein Terminal mit Root-Rechten über das Netzwerk oder Internet zur Verfügung stellen. Für ein aktuelles Mac OS X 10.3.5 mit allen Sicherheitsupdates existieren allerdings nach meinem Wissen keine Exploits.

macnews.de: Gab es zuvor bereits ähnliche Versuche, eine solche Software für Mac OS X zu schreiben?

Zülch: Mir sind keine anderen speziell für Mac OS X geschriebenen Rootkits bekannt. Das ist allerdings kein Grund, nicht wachsam zu sein. Für viele Linux- oder BSD-Rootkits ist der Source Code vorhanden, den man sicherlich auch auf Mac OS X portieren könnte.

macnews.de: Sind tatsächlich Anwendungsfälle bekannt?

Zülch: Ich kenne keine.

macnews.de: Was kann man gegen Rootkits tun?

Zülch: Wichtig sind: Wachsamkeit, sichere Passwörter, keine automatische Anmeldung, OpenFirmware-Passwort, Sicherheitsupdates und so weiter. Es gibt aber auch Rootkit-Scanner, die Checksummen überprüfen und nach verdächtigen Dateien scannen, wie z.B. [ http://www.rootkit.nl/ ]Rootkit Hunter. Diese Programme beschränken sich allerdings auf das Terminal, haben also keine grafische Oberfläche. Einmal Installiert, können Scans auch als automatisierter Cron Job laufen.

macnews.de: Warum wurde das Mac OS X-Rootkit Ihres Wissens nach erstellt?

Zülch: Das Mac OS X-Rootkit ist zumindest in Teilen in einem Forum geschrieben worden - und meiner Ansicht nach aus Interesse an sicherheitstechnischen Themen. Die Diskussion, ob solche Programme veröffentlich werden, um Schaden anzurichten oder um auf Sicherheitsmängel aufmerksam zu machen, ist schon oft geführt worden.

Da eine Sicherheitslücke aber auch besteht und ausgenutzt werden kann, wenn Sie nicht veröffentlicht wird, bin ich generell für die Veröffentlichung solcher Software. Nur dann hat jeder einzelne die Möglichkeit, sich zu informieren und die Gefahren abzuwägen.

macnews.de: Denken Sie, dass in der "Szene" ähnliche Projekte kursieren? Oder bleibt Mac OS X eher weniger betroffen? Von seiner Architektur oder seiner Verbreitung her?

Zülch: Beobachtungen zeigen, dass vielen erst jetzt bewusst wird, das Mac OS X einen Unix-Unterbau hat, was natürlich die Nutzung von Compilern, Debuggern, Perl, und anderem möglich macht. Wie bereits erwähnt ist es durchaus denkbar, dass Linux- oder BSD-Rootkits auf Mac OS X portiert werden können. Allerdings stehen viele Tools zur Abwehr, die die Linux-Gemeinde entwickelt hat, schon jetzt für Mac OS X zur Verfügung. Ich denke da nicht nur an das bereits erwähnte Rootkit Hunter, sondern auch an Tools wie Snort, Nessus, Honeypot und andere Open Source-Projekte.

macnews.de: Sehen Sie eine Zunahme an Malware für Mac OS X?

Zülch: Ich denke, dass das mit dem Marktanteil und der Popularität von Mac OS X verknüpft ist.

macnews.de: Also bleiben Linux und Windows auf längere Zeit stärker bedroht?

Zülch: Da kommen eine Menge Faktoren zusammen. Der größte Schutz im Moment ist der geringe Marktanteil von Apple, der allerdings auch die Gefahr mit sich bringt, dass die Sicherheit vernachlässigt wird. Ich habe schon verfolgt, dass Leute, die Fragen zum Thema Viren in deutschen Macintosh-Foren gestellt haben, als totale Panikmacher abgestempelt wurden.

Wenn sich eine Sicherheitslücke in Mac OS X finden lässt, die zur Verbreitung eines Virus geeignet ist, dann wird dieser Virus die Mac-User ähnlich hart treffen wie die Viren, mit denen Windows-Benutzer zu kämpfen haben.

Ob jetzt Windows, Linux oder Mac OS X das sicherste Betriebssystem ist, kann ich nicht objektiv sagen. Allerdings haben Windows-Benutzer, auch aufgrund ihrer Erfahrungen, das ausgeprägtere Sicherheitsbewusstsein, wie man in Agenturen, die sowohl Macs als auch Windows-Rechner benutzen, sehen kann. Für mich persönlich und beruflich ist allerdings Mac OS X das fortschrittlichste Betriebssystem.

23.10.2004 11:15

=8¬)

---
mfG WolfJack
http://www.webdesignausberlin.de/php/index.php?home
---
X

Aktuell

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.

pdf-icon Hier eine kleine Anleitung hinsichtlich Bedeutung der auszufüllenden Formularfelder.

Veranstaltungen
29.09.2022

IDUGS#85 Press2id

Zoom Meeting
Donnerstag, 29. Sept. 2022, 19.00 - 21.00 Uhr

Vortrag

Kennst du WordPress? Vielleicht. Verwendest du WordPress? Ja, klar! WordPress ist das am weitesten verbreitete System für die Erstellung von Webseiten. Um Webseitenbau soll es auf dieser IDUG aber nicht gehen. Gregor zeigt press2id (github.com/grefel/press2id). Seine Open-Source-Lösung für die Verbindung von Web und InDesign. Richtig gelesen: InDesign liest mithilfe von press2id die Inhalte der WordPress-Webseiten und generiert daraus Zeitschriften, Kataloge, Programmhefte oder Bierdeckel (das zeigen wir natürlich auch!). So wird die „Content First“ Theorie zu einer konkret anwendbaren Praxis, ohne gleich die ganz großen Räder zu drehen. Versprochen: Jeder kann nach der IDUG innerhalb kürzester Zeit Daten von WordPress nach InDesign importieren. Aber Achtung: Prinzipiell kann press2id aus jeder Website, oder besser Contentmanagementsystem (CMS) Daten auslesen und nach InDesign importieren! Spannend, oder? Danach geht es in die Praxis: Stefan hat die Webseite des Parktheater Iserlohn (parktheater-iserlohn.de) gestaltet. Die gedruckten Spielpläne (parktheater-iserlohn.de/interaktive-spielplaene) werden mit press2id realisiert. Wir schauen in den Maschinenraum und zeigen, wie die Lösung des Projekts realisiert wurde.

Nein

Organisator: InDesign Usergroup Stuttgart

Kontaktinformation: Christoph Steffens, E-Mailidug AT satzkiste DOT de

https://idugs85.eventbrite.de/

Von Wordpress nach InDesign
Veranstaltungen
08.11.2022

Frankfurt, Fraport Conference Center
Dienstag, 08. Nov. 2022, 13.30 - 18.00 Uhr

Seminar

Auf der Enfocus World Tour stellen wir Ihnen gemeinsam mit Enfocus die aktuellen Highlights von Enfocus Switch und dem Impressed Workflow Server (IWS) vor. Wir präsentieren Ihnen anhand typischer Aufgabenstellungen in einem modernen Produktionsbetrieb die Möglichkeiten, die Enfocus Switch für die Automatisierung und Standardisierung von Abläufen bietet. Wir haben sowohl für Produktionsverantwortliche als auch technisch Interessierte ein spannendes Programm vorbereitet, bei dem Sie sicherlich viel Neues erfahren werden, welches Sie in Ihrem eigenen Betrieb umsetzen können. Die Veranstaltung bietet darüber hinaus eine hervorragende Möglichkeit, sich mit anderen Anwendern und Workflow-Spezialisten auszutauschen und Antworten auf konkrete Aufgabenstellungen zu erhalten, welche Sie mit Hilfe von Enfocus Switch/IWS umsetzen möchten.

Wir sind jeweils an 2 Tagen in Frankfurt, Hamburg und München vor Ort. Der erste (halbe) Tag richtet sich in erster Linie an Betriebsleiter und Produktionsverantwortliche in Druckereien - ist also weniger technisch orientiert - sondern gibt einen Überblick zu den heutigen Möglichkeiten einer automatisierten Produktion.

Der zweite Tag (Switch Anwender-Treffen) richtet sich an bestehende Switch-Anwender und Administratoren.

Anmeldung und weitere Infos: https://www.impressed.de/schulung.php?c=sDetail&sid=310

Ja

Organisator: Enfocus/Impressed

Kontaktinformation: Silvia Noack, E-Mailsnoack AT impressed DOT de

https://www.impressed.de/schulung.php?c=sDetail&sid=310

Enfocus World Tour 2022