Aanvaller kon jarenlang root-rechten krijgen op OS X

Je hebt dus geen wachtwoord nodig om root te worden met deze exploit, moet je je voorstellen dat dat in een bedrijf misbruikt wordt. Alle gebruikers kunnen root worden op hun mac.

De zwakste schakel is en blijft de gebruiker. Hoevaak ik niet bij mensen een zip-programma, mediaplayer, popcorn, youtube.. etc. zie staan dat niet zuivere koffie is.

Ja, flashback was echt een duidelijk voorbeeld daarvan hè. Gebruikers. Oh wacht? Nee, dat was een drive-by-download/exploit van Java. Maar kom op, laten we de gebruikers maar de schuld geven...

Elk OS is kwetsbaar, echter je moet altijd redelijk goed opletten wat je doet..

Ik werk op een mac, ik heb geen windows systemen meer prive. Zakelijk doe ik nog steeds Server Beheer op het Windows Platform..

De meeste virussen die rond dwalen zijn nog steeds EXE bestanden.. En laten die nou niet kunnen draaien op een NIX systeem. Dus ja op gros van de virussen zijn we beschermd.. Als ik al kijk naar ziggo_Factuur.pdf.exe virusjes.. Dan denk ik idd dat een mac gebruiker daar geen last van heeft.. Ze kunnen immers de bestanden niet openen

De virussen die nu ronddwalen op het net voor MAC's zijn toch echt kleine programma's zoals MACDEFENDER die de gebruiker aangeeft dat hij deze app moet installeren om je systeem veilig te houden.. Je moet dus bewust op een MAC een programma downloaden installeren met je ROOT password en het programma uitvoeren..

Wil je veilig blijven met je mac installeer je alleen programma's vanuit de App Store.. En niet via websites..

Dat is inderdaad zeer zorgwekkend. Ondanks de meerdere beveiligingsproblemen die de laatste jaren in OS X zijn aagetoond en ondanks dat er in het recente verleden zelfs virussen zijn geweest die daar effectief misbruik van maakte waarna Apple enorm traag was met een antwoord blijven vele Mac gebruikers zweren bij het feit dat OS X veilig is en dat zij zich daarom niet veel hoeven aan te trekken van extra beveiliging zoals een virusscanner of betere firewall.

Maar praktisch gezien hebben zij inderdaad geen last van al dat gezever. En Mac OS X heeft XProtect en pf (default staan er wel geen rules in). Een 3rd party antivirus/firewall programma gaat echt niet zoveel toevoegen. Dat geldt trouwens ook voor Windows.

Ik denk dat je eerder hoort dat " OSX veel minder last heeft van virussen", dat maakt nogal een heel verschil en in dat opzicht is het nog steeds wel een goed argument

De exploit gaat specifiek over het escaleren van user level priviledges naar root priviledges (zie paragraaf 1 op https://truesecdev.wordpr...privileges-in-apple-os-x/ ). Daarvoor moet een applicatie reeds user level priviledges hebben, welke het in OSX (naar mijn weten!) pas krijgt nadat de gebruiker hiervoor zijn toestemming geeft.
Een virusscanner helpt ook niet bij een zero day vulnerability. Pas als een virus bekend is wordt het toegevoegd aan de definitie en kan de scanner het oppikken. In dit geval heeft Apple de exploit aangepakt waardoor de vulnerability (hopelijk!) verdwenen is. Het probleem is dus bij de oorzaak opgelost.
Een virusscanner is doorgaans niet nodig op OSX omdat (vanwege het extreem kleine aantal virussen op OSX) Apple deze vulnerabilities zo spoedig mogelijk dichttimmert. Het veelbesproken 'veilige' imago is van onschatbare marketingwaarde en daar wordt dus ook in geinvesteerd. Begrijp me niet verkeerd, ik zeg niet dat Microsoft er minder tijd, geld of talent is stopt, maar de markt voor Windows is groter, waardoor de markt voor Windows-exploits ook groter is.

Een virus heeft niet per se een lek nodig om op je pc te komen of toe te slaan. Maar het kan wel helpen natuurlijk.

Of ze beachballen....

Ik doe dit al op deze manier zo lang als ik me kan herinneren dat ik computers gebruik, Windows, OS X, Linux, ruim 20 jaar. Sinds Windows XP SP2 heb ik nog nooit ook maar 1 stuk malware aangetroffen of de gevolgen ervan ondervonden. Argumenten als 'als je geen scanner draait dan vind je natuurlijk niks' gaan wat mij betreft niet op, als je zo begint kun je nooit meer rustig slapen. Remote exploits zijn extreem zeldzaam, Trojans zijn zo ongeveer onmogelijk iets tegen te doen, dus de oplossing is simpel en dat is geen troep installeren waarvan je de bron niet kent, blijkbaar is dat al voldoende. Ik durf wel te beweren dat er al die tijd geen malware op mijn systemen heeft gedraaid. En als ik er naast zit kun je je alsnog afvragen of dat zo erg is: al mijn bestanden zijn er nog, niemand heeft ooit dubieuze mailtjes met attachments van mijn computers gekregen, mijn creditcard is nog niet gehacked, mijn rekening nog niet geplunderd, mijn wachtwoorden nog nooit gestolen, nada. Ondertussen weten noch jij, noch ik, of OS X en Windows niet gewoon ergens een ingebouwde NSA backdoor hebben (niet onwaarschijnlijk), dus daar zit je dan met je virusscannertje, zo kun je altijd paranoide blijven dat je 'gehackt' wordt of wat dan ook...

Dat een virusscanner een klein kansje geeft om een bekende dreiging te detecteren zal best waar zijn, maar in de praktijk blijft het een wassen neus, omdat elke malware schrijver die weet wat hij doet zijn troep op simpel te verkrijgen rootkits e.d. baseert die veel sneller evolueren dan virusscanners, en zo gauw ze binnen zijn de scanner onklaar maken. Het is niet voor niks dat de mensen bij wie ik het vaakst ben geweest om troep te verwijderen over het algemeen netjes een virusscanner hadden draaien.

Het aantal bekende en succesvolle op OS X is zeker niet 0, OS X fans blijven dat graag geloven maar zijn bijvoorbeeld al de gevolgen en trage response vergeten van Apple bij de uitbreek van Flashback enkele jaren terug

Het feit dat er elke keer naar Flashback en dat botnet van een schamele 17.000 macs zegt eigenlijk al voldoende over het dreigingsniveau, er zijn botnets op andere OS-en geweest (ook Linux bijvoorbeeld) die vele malen meer nodes hadden. Dat er 0 threats zijn zeg ik niet, dat OS X onkwetsbaar is ook niet, alleen dat het dreigingsniveau bij verantwoord gebruik simpel weg nihil is.

Het is trouwens niet voor niets dat Apple malwarebescherming heeft ingebouwd in OS X net als MS dat heeft gedaan in Windows

De malware bescherming van Apple is niks meer dan een md5sum check op binaries, die bedoeld is om onverantwoord gebruik (downloaden en zelf uitvoeren van dubieuze code) te stoppen. Het detecteert geen polymorphe payloads en het beschermt niet tegen exploits als in dit artikel, in feite is het niks meer dan een soort simpele barriere om te voorkomen dat zoiets als Flashback zich al te snel verspreid omdat te veel mensen klakkeloos alles uitvoeren.

Apple heeft veel sterkere beveiliginsmaatregelen in OS X ingebouwd zoals gatekeeper en settings om alleen via de app store te kunnen installeren, persoonlijk denk ik dat dit soort maatregelen de enige vorm van beveiliging zijn die onwetende gebruikers tegen zichzelf kunnen beschermen. Het grappige is dat een hoop mensen die hier roepen dat virusscanners belangrijk zijn en Macs onveilig, tegelijkertijd klagen over 'walled garden' en hoe idioot het is dat je 'niet zelf mag beslissen wat je installeert en uitvoert'. Dan vervalt het beveilings argument ineens...

[Reactie gewijzigd door johnbetonschaar op 25 juli 2024 15:38]

De meeste virusscanners zitten in de weg, die draai ik alleen onder windows maar het is eerder een rommelig stukje software dan ik er vertrouwen heb dat het bescherming biedt.

Voor OSX draai ik eens om de zoveel tijd een scan met clam x av, afgelopen 10 jaar nog nooit malware, virus of iets dergelijks gehad.

Firewall zet ik altijd aan ongeacht welk OS.

Unix systemen zijn eenmaal beter voorbereid dat is altijd al zo geweest.
En natuurlijk heb je onwetende gebruikers (ook onder OSX) maar die kan je toch niet beschermen.

[Reactie gewijzigd door BoringDay op 25 juli 2024 15:38]

Waarschijnlijk staat er echter in de firewall van je router dat het verkeer vanuit je Mac veilig en ongehinderd naar buiten mag. Ook niet altijd fijn.

Onder de aanname dat er geen malware op mijn systemen draait (en daar ga ik dus gewoon van uit) is dat geen enkel probleem, het blokkeren van poorten zou sowieso weiinig doen tegen malware die via HTTP(S) of SSH of een van de andere legitieme poorten die hoe dan ook open moeten zijn communiceren. Wederom allemaal schijnveiligheid, je blokkeert er dingen mee die waarschijnlijk toch niet op je computer komen, en de echt geavanceerde malware fietst er vrolijk omheen door mee te liften op functionaliteit van je OS die onmogelijk te blokkeren is...

Daarnaast: hoe vaak worden de rules van die firewall ge-update?

Nooit? Waarom zouden de regels geupdate moeten zijn? Er staat nu in 'blokkeer inkomend alles behalve HTTP, HTTPS en SSH, en valide NAT verbindingen'. Dat laatste is een risico, maar dat dek ik niet af door de firewall in OS X aan te zetten, en er is geen ruleset voor te schrijven die je netwerk niet volkomen onbruikbaar maakt voor dagelijkse toepassingen, of alsnog verkeer door moet laten wat mogelijk een dreiging kan vormen...

Van dat gratis tooltje die je geïnstalleerd had bv om recente films te kijken met een bakje gepofte mais. Zonder een networkfilter weet je niet waarmee ie praat.

Die gratis tooltjes installeer ik dus gewoon niet, en die films met popcorn speel ik af op een Linux machine met alleen software uit officiele repo's.