Quadrant Epsilon » security

Neuste OSX-Gefahr: Krowi

Andreas Holzapfel — Tue, 27 Jan 2009 07:17:00 +0000

Nach den “iWorkServices” (Anleitung zum Entfernen) hat Methusela nun eine neue Gefahr für OSX ausgemacht, Krowi. Allerdings handelt es sich hier genau genommen nur um ein neu verpacktes und anders benanntes “iWorkServices” – scheinbar das Werk eines simplen Skriptkiddies.

(Abbildung: Methusela)

(Abbildung: 9to5mac)

Wie das kürzlich bekannt gewordene “OSX.Trojan.iServices.B” veröffentlicht es sich über eine Torrent-Version eines Adobe CS4-Cracks. Bei beiden wird ein “DivX”-Binary nach /usr/bin/divx kopiert, was zur Benutzerauthentifizierung aufruft und zu einem Remote-Computer verbindet. Was von dort aus geschieht, weiß im Moment detailiert wahrscheinlich nur Gott.
(Quellen: Methusela, 9to5mac)

iWork Auslieferung und Grieche

Andreas Holzapfel — Mon, 26 Jan 2009 07:24:00 +0000

Während die ersten Kunden ihre Auslieferungsbestätigung für iWork ’09 erhalten haben, herrscht scheinbar über den Hintergrund des Trojanischen Pferdes im Torrent-iWork etwas mehr Aufklärung, als nur das Wissen über sein Entfernen vom infizierten System.

(Abbildung: MacEssentials)

“Ein infizierter OS X-Rechner kann vom Bot-Master aus der Ferne kontrolliert werden. Er kann für einen massiven Distributed Denial of Service-Angriff benutzt werden, weitere Programme nachladen, Spam versenden, Schadsoftware verteilen oder Benutzerdaten sammeln”, wie Methusela schreibt.

Ein Betroffener hat bereits berichtet, dass sein Mac für eine DDOS-Attacke benutzt worden wäre. Der Grieche kann nach wie vor mit dem automatisierten Tool vom System entfernt werden.

(Quelle: MacEssentials, notahat, securemac, Methusela)

OSX: Angriff ohne Spuren

Andreas Holzapfel — Sun, 25 Jan 2009 16:22:00 +0000

Der Italiener Vincenzo Iozzo hat eine Möglichkeit gefunden, Schadcode aus einem kompromittierten Programm heraus auf einem Mac auszuführen, ohne dass die Festplatte dabei verändert wird. Dies macht die Entdeckung eines solchen eingebetteten Codes für Virenscanner nahezu unmöglich. In seinem konkreten Fall geht er allerdings nicht den Weg über auszuführenden Code, sondern über eine eingebettete Binärdatei, wie heise berichtet.

Pikanterweise lässt sich der Angriff auch aufs iPhone übertragen, da dort nur eine modifizierte Version von OSX läuft, so Iozzo. “Iozzo will seine Entdeckung im Februar auf der Black-Hat-Sicherheitskonferenz vorstellen. Anschließend will er ein für Mac OS X 10.5 geschriebenes Beispielprogramm in C veröffentlichen.”

(Quelle: heise)

Schwere Sicherheitslücke in Safari

Andreas Holzapfel — Mon, 12 Jan 2009 17:47:00 +0000

Im Apple-Browser Safari ist erneut eine schwere Sicherheitslücke bekannt geworden. So fand dies Brian Mastenbrook heraus, der bislang bereits einige Lücken in OSX entdeckte (Mitwirkung u. a. an 2008-001, 2008-002, 2008-003, 2008-004). Safari ermöglicht es somit einem Angreifer Daten auf der Festplatte eines vorbeibrowsenden Nutzers auszulesen – ohne sonstige Benutzerinteraktion. Apple wurde bereits von Brian informiert. Laut Brian umfasst dies auch beispielsweise Emails, Passwörter oder Cookies.

Eingebrochen wird über den Newsreader, genaueres spezifiert Brian nicht auf seiner Seite. Dies ist aller Wahrscheinlichkeit darauf zurückzuführen, dass Apple bislang keinen Fix zur Verfügung gestellt hat. Betroffen sind sowohl Windows- als selbstverständlich auch OSX-Nutzer, genauer jeder, der den Standard-Feedreader nicht geändert hat.

(Abbildung: fscklog)

“Dies lässt sich in den Safari-Einstellungen im Reiter RSS einsehen sowie ändern. Safari-Windows-Nutzer sollten auf den Browser vorerst gänzlich verzichten.” [fscklog]

(Quellen: fscklog, Brian Mastenbrook , Apple-Support)

iPhone OS 2.2 erschienen

Andreas Holzapfel — Fri, 21 Nov 2008 08:17:00 +0000

Heute ist das iPhone OS 2.2 für das iPhone und den iPod Touch erschienen. Neben vielen neuen Features wird den Leser allerdings erschrecken, welche Sicherheitslücke es heute erst stopft – denn bislang stand die jedem noch so einfach gestricktem Angreifer offen.

Das Fraunhofer Institut für Sichere Informationstechnologie (SIT) hat bereits vor einem Monat davor gewarnt – und dies sei nicht die erste Sicherheitslücke dieser Art gewesen. Zugegeben nicht die seriöseste Quelle, jedoch erläutert ein Reporter der ComputerBild in einem Vorgriff zur erscheinenden Ausgabe, von wem und vor allem wie einfach die Sicherheitslücke auszunutzen ist.

(Quelle: ComputerBild)

An neuen Features kam im iPhone OS 2.2 (laut Apple) hinzu:

GoogleMaps mit Straßenansicht und Routen für Fußgänger
Verbesserung des Intervallabrufs bei MobileMail
Verbesserte Stabilität und Leistung von MobileSafari
Download von Podcasts über MobileiTunes
Probleme bei Verbindungsaufbau und -aufrechterhaltung vermindert
Tonqualität von VisualVoicemail verbessert
Rechtschreibkorrektur abschaltbar und in der Korrektur selbst verbessert
Verbindungsproblem mit WPA2-WLANs beseitigt
Home-Button führt aus jedem Home-Screen auf den ersten zurück
Im Notfallmodus sind nicht mehr beliebige Rufnummern wählbar und keine eingehenden SMS mehr lesbar
Etliche (sonstige) Sicherheitslücken gestopft

Der Download selbst ist 246,6 MB groß und über iTunes (8.0.2 nicht notwendig) erhältlich.

(Quelle: SIT, ComputerBild, fscklog, Apple)

Safari 3.2 mit Anti-Phishing

Andreas Holzapfel — Fri, 14 Nov 2008 07:30:00 +0000

In der Nacht hat Apple Safari 3.2 über das Softwareupdate zur Verfügung gestellt. Wichtigste Neuerung ist der Anti-Phishing-Schutz.

(Abbildung: MacEssentials)

“[Safari 3.2] enthält Schutzfunktionen gegen Phishing-Websites mit betrügerischen Inhalten und verbessert die Identifizierung von Online-Unternehmen. Dieses Update enthält außerdem die aktuellen Security-Updates“, so der Apple Support. Über die tatsächliche Wirksamkeit des Phishing-Schutzes selbst ist indes bislang nichts bekannt.

(Quelle: AppleSupport)

RIP WPA?

Andreas Holzapfel — Thu, 06 Nov 2008 14:56:00 +0000

Der deutsche Sicherheitsexperte Erik Tews hält auf der kommenden PacSec 2008, einer internationalen Sicherheitskonferenz, einen Vortrag mit dem Titel “Gone in 900 seconds, some crypto issues with WPA”, wie heise berichtet. Darin möchte er dem Publikum erläutern, das sich dieses Jahr in Tokyo trifft, wie man in 15 Minten WPA knacken könne. Laut US-Medienberichten sei für den Angriff, der sogar das Einschleusen von Paketen erlaube, das Knacken des TKIP-Schlüssels nicht einmal notwendig. Weiteres will Tews demnächst in einer wissenschaftliche Zeitschrift bekannt geben. WPA2 hingegen soll nicht angreifbar sein, da dies AES als Verschlüsselungsstandard verwendet.

Sollte Tews in seinem Vortrag halten, was er verspricht, wäre dies wohl das Ende für WPA. Bedenkt man, wie lange der Umstieg von WEP auf WPA gedauert hat, bedeutet dies wohl neben einer großen Umstellung für Firmen und noch stärker für Privatkunden eine große Menge an knackbaren WLANs überall auf der Welt. Denn neben den theoretischen Hintergründen entwickelt Tews zusammen mit Martin Beck das bekannte Tool aircrack-ng, in das heimlich bereits Teile des Codes eingeflossen seien.

(Quelle: heise)

Mac-Sicherheit – my Mac is my domain

Andreas Holzapfel — Mon, 13 Oct 2008 13:45:00 +0000

Über die letzten Tage hinweg gerieten fast alle Themen quasi unter die “The Spotlight turns to Notebooks“-Räder, und kaum etwas anderes sorgte für Gesprächsstoff.
Um sich nun diesem Hype nicht (voll und ganz) hinzugeben, werde ich nun einen kurzen Überblick über eine Thematik geben, die das Gros der Apple-User völlig kalt lässt… bist jetzt – Sicherheit auf dem Mac.

Über die letzten Wochen hinweg habe ich mich auf die Suche nach qualifizierten Schreibern und deren Arbeit dazu gemacht. Nicht nur, dass einen die Vergangenheit des Windows-Lagers dazu triebe, auf Grund der steigenden Popularität und dem breiteren Einsatzfeld, mitunter durch betriebssystemunabhängige Anwendungen, werden sicherheitstechnische Fragestellungen auf dem Mac bereits in den nächsten Jahren kein Schattendasein mehr fristen (dürfen).

Um zuerst auf das (für Auch-Nicht-Mac-User) geläufigste und gleichzeitig lästigste Thema zu Sprechen zu kommen, möchte ich den Virenscanner ansprechen – welcher (leider) stetig an Populatität gewinnen (müssen) wird. Abgesehen vom erwähnenswerten grafischen Frontent zu ClamAV bin ich nicht nur hierzu auf einen qualitativ äußerst hochwertigen Artikel gestoßen. Neben Tests der Produkte ‘ClamXAV’ (siehe oben), ‘Norton AntiVirus 11′ und ‘VirusBarrier X5′ wird ein genereller (englischsprachiger) Überblick über die Thematik und auch die eigentliche Bedrohung an sich geliefert. [Virenscanner]

Die nächste “Stufe” ist von Apple in Mac OS X bereits integriert: Firewalls. Doch nur selten wissen (auch interessierte) Mac-User, was dort tatsächlich seinen Dienst verrichtet – bzw. potentiell verrichten könnte. Mac OS X beinhaltet sogar gleich zwei Firewalls. Neben der aus Betriebssystemen wie Windows bekannten Socket-Firewall, welche sich um die Kommunikation zwischen Programmen kümmert sowie diese überwacht, findet sich im Apple-Betriebssystem auch eine Port-Firewall, deren Konfiguration allerdings über die mitgelieferten Tools sich als etwas schwierig gestaltet. Mein zweites Artikel-Fundstück nimmt sich diesem Umstand und der Thematik an sich auf anschauliche Art und Weise an. [Firewalls]

Zuletzt bin ich zum Thema Privacy auf einen letzten Artikel gestoßen, dessen Lesung zweifelsfrei auch wärmstens zu Empfehlen ist. Hierbei ist eventuell auch das Erscheinen einer neuen Version des Mac-Tools “User Manager” zu erwähnen. [Privacy]