[GastForen Betriebsysteme und Dienste Apple (Hard- und Software) Rootkits am Mac - Viren?

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Rootkits am Mac - Viren?

WolfJack
Beiträge gesamt: 2852

27. Okt 2004, 22:09
Beitrag # 1 von 1
Bewertung:
(1475 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Opener ist kein Mac-OS-X-Virus

Im Gefolge der Slashdot-Meldung 'Opener' Malware Targets OS X stehen auch Mutmaßungen im Raum, die von einem Virus oder Wurm für Mac OS X sprechen. Diese Einschätzung lässt sich jedoch mit den bekannten Tatsachen nicht stützen…

<http://www.heise.de/...er/meldung/52460>

Zur Ergänzung:

http://www.macnews.de/news/55951/

http://www.macnews.de/...php?&newsid=8052
macnews.de-Interview: Rootkits am Mac
Im September ist erstmals ein so genanntes Rootkit für Mac OS X [ http://www.macnews.de/news/55940 ]aufgetaucht - spezielles "Einbruchswerkzeug" für böswillige Hacker, das man so bislang nur unter Linux und Windows kannte. macnews.de sprach mit dem Netzwerk- und Mac-Spezialisten [ http://shiftzwei.blogg.de/ ]Christian Zülch, der das Rootkit als einer der Ersten analysiert hat.

macnews.de: Herr Zülch, können Sie unseren Lesern kurz erklären, was ein Rootkit überhaupt ist?

Christian Zülch: Eine gängige Definition ist, dass ein Rootkit eine Ansammlung von Tools ist, die nach einem Einbruch auf dem Rechner hinterlassen werden. Diese Tools verhindern die Entdeckung des Einbruchs und machen auch zukünftige Anmeldungen möglich. Oft werden diese mit Programmen gekoppelt, die Passwörter oder andere Information sammeln.

macnews.de: Wie gefährlich ist das nun aufgetauchte Kit für Mac OS X tatsächlich?

Zülch: Das kann man noch nicht genau sagen. Im Vergleich zu ausgefeilten Rootkits, welche sich als ladbare Module installieren (z.B. LKM-Rootkits), und die man schon unter Linux kennt, erscheint "OSXrk 0.2.1" doch eher hammlos. Ich kann mir vorstellen, dass in Mailinglisten zum Thema Sicherheit, wie zum Beispiel [ http://lists.netsys.com/...closure-charter.html ]full-disclosure schnell "Skript-Kiddie"-Rufe laut werden.

Doch sollte man bedenken, dass viele Skripte aus dem Rootkit durchaus funktionieren. Das heißt, wenn Sie sich für die Daten und Passwörter Ihrer Redaktionskollegen interessieren, ist das Mac OS X-Rootkit ein geeigneter Weg, diese in Erfahrung zu bringen...

macnews.de: Welche Bestandteile enthält das Rootkit?

Zülch: Es besteht aus einem Shell-Skript, das zur Installation dient. Ein zweites Shell-Skript enthält einige Terminal-Befehle zum Ausspähen von Daten. Außerdem beinhaltet es einen Log-Cleaner ("die Putze") zum Löschen angefallener Log-Dateien, sowie einer "Backdoor", die auf dem Port 31337 lauscht. Alle Dateien erhält man als Source Code, der entsprechend kompiliert und angepasst werden muss.

Allein das Installations-Skript sammelt schon während der Ausführung Informationen über Passwörter, Benutzer und Startobjekte. Es erzeugt einen neuen Benutzer und verschiebt alle Informationen in einen unsichtbaren Ordner.

Das zweite Shell-Script ist eine Sammlung von Terminal-Befehlen, die zum Beispiel das Filesharing starten oder Programme nachladen sollen. Einzelne Befehle können angepasst oder auskommentiert werden, einige Skripte funktionieren schlichtweg nicht.

macnews.de: Wie könnte man sich das Rootkit überhaupt "einfangen"?

Zülch: Rootkits werden nicht wie Viren über Mail verschickt, sondern eher gezielt und mit einer bestimmten Absicht installiert. Um das Rootkit zu installieren, braucht man mindestens Administrator-Rechte. Die sind jedoch, zumindest wenn man räumlichen Zugang zu dem Mac hat, relativ schnell erlangt.

Das Booten im Single User-Mode oder eine Installations-CD reichen aus. Und natürlich sind in der Vergangenheit schon Exploits gegen Mac OS X aufgetaucht, die dem Angreifer ein Terminal mit Root-Rechten über das Netzwerk oder Internet zur Verfügung stellen. Für ein aktuelles Mac OS X 10.3.5 mit allen Sicherheitsupdates existieren allerdings nach meinem Wissen keine Exploits.

macnews.de: Gab es zuvor bereits ähnliche Versuche, eine solche Software für Mac OS X zu schreiben?

Zülch: Mir sind keine anderen speziell für Mac OS X geschriebenen Rootkits bekannt. Das ist allerdings kein Grund, nicht wachsam zu sein. Für viele Linux- oder BSD-Rootkits ist der Source Code vorhanden, den man sicherlich auch auf Mac OS X portieren könnte.

macnews.de: Sind tatsächlich Anwendungsfälle bekannt?

Zülch: Ich kenne keine.

macnews.de: Was kann man gegen Rootkits tun?

Zülch: Wichtig sind: Wachsamkeit, sichere Passwörter, keine automatische Anmeldung, OpenFirmware-Passwort, Sicherheitsupdates und so weiter. Es gibt aber auch Rootkit-Scanner, die Checksummen überprüfen und nach verdächtigen Dateien scannen, wie z.B. [ http://www.rootkit.nl/ ]Rootkit Hunter. Diese Programme beschränken sich allerdings auf das Terminal, haben also keine grafische Oberfläche. Einmal Installiert, können Scans auch als automatisierter Cron Job laufen.

macnews.de: Warum wurde das Mac OS X-Rootkit Ihres Wissens nach erstellt?

Zülch: Das Mac OS X-Rootkit ist zumindest in Teilen in einem Forum geschrieben worden - und meiner Ansicht nach aus Interesse an sicherheitstechnischen Themen. Die Diskussion, ob solche Programme veröffentlich werden, um Schaden anzurichten oder um auf Sicherheitsmängel aufmerksam zu machen, ist schon oft geführt worden.

Da eine Sicherheitslücke aber auch besteht und ausgenutzt werden kann, wenn Sie nicht veröffentlicht wird, bin ich generell für die Veröffentlichung solcher Software. Nur dann hat jeder einzelne die Möglichkeit, sich zu informieren und die Gefahren abzuwägen.

macnews.de: Denken Sie, dass in der "Szene" ähnliche Projekte kursieren? Oder bleibt Mac OS X eher weniger betroffen? Von seiner Architektur oder seiner Verbreitung her?

Zülch: Beobachtungen zeigen, dass vielen erst jetzt bewusst wird, das Mac OS X einen Unix-Unterbau hat, was natürlich die Nutzung von Compilern, Debuggern, Perl, und anderem möglich macht. Wie bereits erwähnt ist es durchaus denkbar, dass Linux- oder BSD-Rootkits auf Mac OS X portiert werden können. Allerdings stehen viele Tools zur Abwehr, die die Linux-Gemeinde entwickelt hat, schon jetzt für Mac OS X zur Verfügung. Ich denke da nicht nur an das bereits erwähnte Rootkit Hunter, sondern auch an Tools wie Snort, Nessus, Honeypot und andere Open Source-Projekte.

macnews.de: Sehen Sie eine Zunahme an Malware für Mac OS X?

Zülch: Ich denke, dass das mit dem Marktanteil und der Popularität von Mac OS X verknüpft ist.

macnews.de: Also bleiben Linux und Windows auf längere Zeit stärker bedroht?

Zülch: Da kommen eine Menge Faktoren zusammen. Der größte Schutz im Moment ist der geringe Marktanteil von Apple, der allerdings auch die Gefahr mit sich bringt, dass die Sicherheit vernachlässigt wird. Ich habe schon verfolgt, dass Leute, die Fragen zum Thema Viren in deutschen Macintosh-Foren gestellt haben, als totale Panikmacher abgestempelt wurden.

Wenn sich eine Sicherheitslücke in Mac OS X finden lässt, die zur Verbreitung eines Virus geeignet ist, dann wird dieser Virus die Mac-User ähnlich hart treffen wie die Viren, mit denen Windows-Benutzer zu kämpfen haben.

Ob jetzt Windows, Linux oder Mac OS X das sicherste Betriebssystem ist, kann ich nicht objektiv sagen. Allerdings haben Windows-Benutzer, auch aufgrund ihrer Erfahrungen, das ausgeprägtere Sicherheitsbewusstsein, wie man in Agenturen, die sowohl Macs als auch Windows-Rechner benutzen, sehen kann. Für mich persönlich und beruflich ist allerdings Mac OS X das fortschrittlichste Betriebssystem.

23.10.2004 11:15

=8¬)

---
mfG WolfJack
http://www.webdesignausberlin.de/php/index.php?home
---
X

Aktuell

Web / SEO / Blockchain / Betriebssystem
300

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.

pdf-icon Hier eine kleine Anleitung hinsichtlich Bedeutung der auszufüllenden Formularfelder.

Veranstaltungen
18.06.2024

Online
Dienstag, 18. Juni 2024, 10.00 - 10.30 Uhr

Webinar

In diesen beiden kostenlose Webinaren erfahren Sie, wie Sie mit Hilfe von Enfocus Griffin und dem Impressed Workflow Server Ihren LFP-Workflows optimieren können. 18.06.2024: So optimieren Sie Ihre Prozesse mit Enfocus Griffin 02.07.2024: So sparen Sie Zeit und Geld mit Impressed Workflow Server in der LFP-Edition Griffin: Griffin ist das leistungsstarke Kraftpaket für das automatische Nesting im Großformatdruck. Dank eines ausgeklügelten, KI-basierten Nesting-Algorithmus können Sie mit Griffin Vorlagen schnell und effizient vernutzen – und das klappt auch mit unregelmäßigen Formen perfekt. Das spart Ihnen unzählige Stunden, die Sie bisher mit dem manuellen Nesting und Ausschießen verbracht haben. Einige wichtige Funktionen ≡ Anlage von Beschnittzugaben ≡ Automatische Erzeugung der Schnittkontur ≡ Erstellung von Strichcodes, Textmarkierungen und Registrierungen IWS LFP Edition: Komplizierte, kleinteilige Aufträge; alles sehr speziell; seit Jahren bewährte Prozesse – da können wir nichts standardisieren und automatisieren! Das sagen viele Großformatdrucker – aber stimmt das wirklich, ist dem tatsächlich so? Mit dem IWS LFP Edition automatisieren Sie Ihre Produktion von der Übernahme der Daten aus dem ERP-System bis zur Erzeugung der verschachtelten Druckform und der Übergabe an den RIP. Phoenix Core ist eine hochentwickelte KI-Technologie für die Planung und das Nesting von Druckerzeugnissen. Anders als herkömmliche Ausschießlösungen arbeitet Phoenix nicht auf Basis von Vorlagen, sondern erzeugt entsprechend der Maschinen- und Produktionsanforderungen druckfertige Layouts „on-the-fly“.

kostenlos

Ja

Organisator: Impressed GmbH

https://www.impressed.de/schulung.php?c=sDetail&sid=328

So optimieren Sie Ihren LFP-Workflow
Veranstaltungen
02.07.2024

Online
Dienstag, 02. Juli 2024, 10.00 - 10.30 Uhr

Webinar

In diesen beiden kostenlose Webinaren erfahren Sie, wie Sie mit Hilfe von Enfocus Griffin und dem Impressed Workflow Server Ihren LFP-Workflows optimieren können. 18.06.2024: So optimieren Sie Ihre Prozesse mit Enfocus Griffin 02.07.2024: So sparen Sie Zeit und Geld mit Impressed Workflow Server in der LFP-Edition Griffin: Griffin ist das leistungsstarke Kraftpaket für das automatische Nesting im Großformatdruck. Dank eines ausgeklügelten, KI-basierten Nesting-Algorithmus können Sie mit Griffin Vorlagen schnell und effizient vernutzen – und das klappt auch mit unregelmäßigen Formen perfekt. Das spart Ihnen unzählige Stunden, die Sie bisher mit dem manuellen Nesting und Ausschießen verbracht haben. Einige wichtige Funktionen ≡ Anlage von Beschnittzugaben ≡ Automatische Erzeugung der Schnittkontur ≡ Erstellung von Strichcodes, Textmarkierungen und Registrierungen IWS LFP Edition: Komplizierte, kleinteilige Aufträge; alles sehr speziell; seit Jahren bewährte Prozesse – da können wir nichts standardisieren und automatisieren! Das sagen viele Großformatdrucker – aber stimmt das wirklich, ist dem tatsächlich so? Mit dem IWS LFP Edition automatisieren Sie Ihre Produktion von der Übernahme der Daten aus dem ERP-System bis zur Erzeugung der verschachtelten Druckform und der Übergabe an den RIP. Phoenix Core ist eine hochentwickelte KI-Technologie für die Planung und das Nesting von Druckerzeugnissen. Anders als herkömmliche Ausschießlösungen arbeitet Phoenix nicht auf Basis von Vorlagen, sondern erzeugt entsprechend der Maschinen- und Produktionsanforderungen druckfertige Layouts „on-the-fly“.

kostenlos

Ja

Organisator: Impressed GmbH

Kontaktinformation: E-Mailschulungen AT impressed DOT de

https://www.impressed.de/schulung.php?c=sDetail&sid=328

So optimieren Sie Ihren LFP-Workflow