Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 114 reacties

De officiŽle versie van de bittorrent-client Transmission voor OS X-apparaten bevatte ransomware. De ransomware KeRanger zat in versie 2.90. Het is onbekend hoe het kon gebeuren dat Transmission via de eigen site een besmette versie heeft verspreid.

De site van Transmission geeft momenteel een waarschuwing weer om meteen een update te downloaden voor wie versie 2.90 van de client op zijn OS X-apparaat heeft gezet. Versie 2.92 verwijdert de ransomware met de naam KeRanger. Het is onbekend hoeveel mensen slachtoffer zijn geworden van de malware, die bestanden op het apparaat versleutelt en voor een bitcoin, momenteel ongeveer 368 euro, weer beschikbaar maakt voor gebruikers.

Beveiligingsbedrijf Palo Alto Networks heeft de malware gevonden. KeRanger kwam door Apples beveiliging Gatekeeper heen, omdat het gebruikmaakte van een geldig ontwikkelaarscertificaat. De aanvallers hebben de versie op de site vervangen door een eigen variant met daarin KeRanger. Dat wijst op een hack van de site, maar die heeft de ontwikkelaar van Transmission nog niet bevestigd.

Apple heeft het certificaat van de besmette versie van Transmission ingetrokken, waardoor gebruikers van OS X de variant met KeRanger niet meer kunnen openen. Omdat de besmette versie afgelopen vrijdag is gecompileerd en online is gezet en Palo Alto Networks op dezelfde dag Apple heeft ingelicht, zal het aantal slachtoffers beperkt zijn. Daarnaast trof het alleen gebruikers die het dmg-bestand van de site hebben gehaald, niet de mensen die Transmission van een update hebben voorzien vanuit het programma zelf. Bovendien is KeRanger volgens Palo Alto nog in ontwikkeling. Er zit nog niet gebruikte code in de malware, om bijvoorbeeld Time Machine-backups te versleutelen.

Het is niet de eerste ontdekte ransomware voor OS X. Kaspersky ontdekte enkele jaren geleden Filecoder, maar ook die was op moment van ontdekking nog niet af en verwees voor de command and control-server nog naar een lokale computer.

Transmission screenshot (620 pix)

Moderatie-faq Wijzig weergave

Reacties (114)

Hoe komt zulke ransomware in software? Zo op het eerste gezicht lijkt me dit opzettelijk of resultaat van een securitybreach.
Ik heb zaterdag de update gedaan... vandaag maar snel verwijderen. Hopelijk heb ik geen last. Ik las dat de ransomware pas op/na 3 dagen actief gaat...

En de .app van Transmission verwijderen is voldoende? Ook als de app al eens is gestart? Of zit er dieper in het systeem nog iets?
In versie 2.92 is een methode toegevoegd die de malware automatisch verwijdert als die eventueel al geinstalleerd blijkt te zijn.

https://trac.transmissionbt.com/changeset/14712
In versie 2.92 is een methode toegevoegd die de malware automatisch verwijdert als die eventueel al geinstalleerd blijkt te zijn.

https://trac.transmissionbt.com/changeset/14712
Ja maar met respect, als een firma een dergelijke enorme fout maakt heb ik moeite om de door hun gemaakte fix geheel te vertrouwen. Ik zou altijd handmatig nog controleren.
Dat hun website gehacked wordt lijkt me onfortuinlijk, maar niet perse hun schuld of iets waarmee je kan vaststellen dat het hun schuld is of slechte programmeurs zijn. ;)
Ik ben het met je eens dat dit niet aangeeft dat het slechte programmeurs zijn. Het geeft wel aan dat ze hun operationele security niet op orde blijken te hebben gehad, en dat je dus wel kan zeggen dat ze tekort geschoten zijn. Zeker als je torrentsoftware maakt is een machtige industrie je vijand, en moet je dus je operationele security goed op orde hebben (die industrie lijkt hier verder niet echt iets mee te maken te hebben). De 'schuld' is het natuurlijk van degene(n) die de malwareversie heeft gemaakt en heeft geupload.
1) De software is niet van een firma, het wordt gemaakt door vrijwilligers.
2) Ze zijn naar alle waarschijnlijkheid zelf gehackt.
Nee de app verwijderen is niet altijd voldoende.

Op deze pagina staan wat extra zaken die gecontroleerd dienen te worden:

http://researchcenter.pal...torrent-client-installer/

(onder: How to Protect Yourself )
Hoe komt zulke ransomware in software? Zo op het eerste gezicht lijkt me dit opzettelijk of resultaat van een securitybreach.
Je weet niet wie de source had... Het zou dus zomaar kunnen dat een developer van Transmission al een vervelende malware op zijn/haar machine had staan ten tijde van het uitbrengen van 2.90 want dezelfde dag is er nog een update gepost van de software voor alle Mac-users met de opmerking "Immediately update to 2.91 or delete your copy of 2.0. Some copies of 2.90 were infected by malware. "

Aangezien de overige zaken van deze torrentclient allemaal nog werken, zoals het forum en de algemene site, vermoed ik niet dat de malware "geinjecteerd" is op de site maar daadwerkelijk door een developer onbedoeld is meegestuurd.
Aangezien het alleen in de download op de web site zat en niet in de automatische update in het programma zelf (daarom zal het aantal slachtoffers gelukkig beperkt zijn) en bovendien de versie met de malware niet met een Transmission certificate is ondertekend maar met het certificate van iemand anders (dat is het certificaat dat Apple nu heeft geblokkeerd) is het erg onwaarschijnlijk dat een Transmission developer zelf die code er onbewust in heeft gestopt.

Het lijkt me een breach van de website waar iemand de download heeft kunnen vervangen.

[Reactie gewijzigd door Maurits van Baerle op 7 maart 2016 09:34]

'Hopelijk' is een beetje kort door de bocht. Heb je ook gecheckt dat het process 'kernel_service' niet draaide, en het bestand `~/Library/kernel_service` niet bestaat? En ook in de ~/Library de .kernel_time en .kernel_complete bestanden? (zullen wel onzichtbare bestanden zijn, dus check met de Terminal ( `ls -la ~/Library/.kernel*` ). Dat staat allemaal beschreven in het artikel van palo alto networks, waarnaar gelinkt wordt in dit nieuws item.

[Reactie gewijzigd door a153957 op 7 maart 2016 08:38]

Ja alleen kunnen er ook andere service lopen onder de kernal_service. Bij mij ook en die is niet te stoppen loopt onder root. En ik heb de aangegeven infectie bestanden niet op m'n Mac staan had wel transmission 2.90 erop staan maar geŁpdatet via het programma dus niet via download van hun site.
Kernel_service is geen OSX process! kernel_task wel.
Dat laatste weet je maar nooit, maar die code kan vrij lastig uitvoeren, omdat het certificaat is ingetrokken.

Ook de xprotect lijst zal zijn bijgewerkt, kortom de OSX beveiliging werkt redelijk. Denk wel dat er een paar verbeteringen hierdoor gaan komen.

Bij Transmission moeten ze ook goed kijken, daar zat de grootste kwetsbaarheid.
Ik zou er niet vanuit gaan.

Om uit te vinden of je slachtoffer bent kun je in activity manager zoeken naar kernel_service. Deze is aanwezig als je slachtoffer bent.

Oplossing is dan je mac terug zetten van een back up.

Voor meer informatie(ook om het te verwijderen):
http://researchcenter.pal...torrent-client-installer/

[Reactie gewijzigd door valvy op 7 maart 2016 08:44]

toch een prachtig systeem osx

dat ze direct hun eigen applicatie via apple kunnen laten blokkeren om zo meer schade te voorkomen
in windows heb ik nog nooit een popup gezien van windows defender of dergelijke als een applicatie
is besmet met malware

bij apple trekken ze gewoon het certificaat in bij aangifte van malware
wat veel efficienter is dan scannen van bestanden die ze toch kunnen maskeren met exe-packers
Microsoft doet het niet omdat iedereen steigert bij de gedachte dat Microsoft volledige controle zou kunnen hebben over welke applicaties je wel/niet kan runnen.

Bij osx is dat dan plot een "prachtig systeem" natuurlijk :z
Nee ondertussen spitten ze wel heel je systeem door onder het mom van "telemetrie".
Onzin... het systeem geeft geen informatie over welke bestanden op je schijf staan.
Dat heb je bij osx ook als je de instelling veranderd.
Als Microsoft het op dezelfde manier implementeert als Apple dan is er niets aan de hand, je zet het met 3 kliks uit. Optie staat standaard aan voor minder ervaren gebruiken.
Ze hebben niet hun eigen certificaat in laten trekken, maar het certificaat waarmee de besmette versie mee was gesigned. Overigens kun je op OSX ook prima ongesignde .app bestanden installeren.
Jep enige wat je daarvoor moet doen is rechtsklikken en expliciet kiezen voor openen. Genoeg apps die geen certificaat hebben. En hoe meer er een certificaat krijgen, hoe meer kans dat ook dit geen garantie is.
Het al dan niet hebben van een certificaat gaat minder om garanties en meer om de mogelijkheid om apps te verifiŽren en apps met malware (zoals deze) te blokkeren. Door die codesignature kon je verifiŽren of je Transmission client wel of niet origineel was. En voor waar dat niet zo was kon Apple 'm blokkeren zonder ook de originele (niet getrojanede) app onklaar te maken want die was met een ander certificaat ondertekend.
Je moet er wel voor kiezen natuurlijk. Ik heb dat uitstaan en dat maakt toch dat ik even nadenk of ik wel even wil rechts klikken. Tot nu toe heeft me dat toch weerhouden van een paar programma's te installeren omdat ze nogal shady leken.
Zo werkt Gatekeeper niet. Het is geen systeem wat alle apps aan Apple doorgeeft en waar Apple dan toestemming voor geeft.

Het werkt eigenlijk eerder andersom met lokale blacklists op developerniveau. https://support.apple.com/en-gb/HT202491

Apple heeft het certificaat van de malwaredeveloper ingetrokken zodat op alle machines waar Gatekeeper niet uitgezet is (default is aan) deze malware nu geblokkeerd is.

[Reactie gewijzigd door Maurits van Baerle op 7 maart 2016 09:58]

ik heb wel wat meer vertrouwen in wat apple met deze informatie doet dan microsoft

tevens vecht apple actief tegen de NSA en FBI ivm gegevens op aparaten die iOS draaien
dat ze bijvoorbeeld geen toestel willen ontgrendelen puur omwille voor de privacy van de gebruikers te beschermen

en ik denk op zich wil dat al veel zeggen, voor hetzelfde geld geven ze de masterkey vrij en kan de NSA spyware installeren op elk iOS aparaat

verder is apple er niks mee om te weten welke software iedereen draait.
Waarom vertrouw je Apple meer dan Microsoft? Onderbuikgevoel?

Apple vecht niet in zijn eentje tegen de NSA.

Het geval met het moeten 'ontgrendelen' van een iPhone is niet meteen een reden om dan meteen alles maar te vertrouwen wat Apple doet. Zelfs als Apple beweert niets te doen met deze specifieke telefoon blijft het speculeren of ze het stiekem toch niet doen.
Waarom vertrouw je Apple meer dan Microsoft? Onderbuikgevoel?
Microsoft heeft al mensen van SkyDrive (of hoe ze dat nu ook noemen) geschopt omdat ze doodnormale porno erop hadden staan, of doodnormale kinderfoto's van eigen kroost in bad en op 't strand en dergelijke.

Dat betekent per definitie dat ze actief door je files heen gaan om te checken wat 't is. Dat is bepaald niet vertrouwenswaardig.

Over Apple heb ik een dergelijke aantijging nog niet gehoord en die doen ook aan user storage met iCloud Drive.
Windows 10 heeft ook een system dat ongeveer hetzelfde doet.

https://technet.microsoft...ry/dn986865(v=vs.85).aspx
Bij Windows heb je soortgelijk UAC niveau waardoor je ook niet zomaar alles kan installeren. Verschil is alleen dat je bij windows alleen op OK hoeft te drukken en je bij je Mac toch even netjes je wachtwoord moet invoeren ;)
Lijkt me een lucratieve business en eigenlijk verbazend dat het niet eerder gebeurd is. Redelijk apple gebruikers kiezen een Mac omdat ze niet zoveel verstand (willen) hebben van computers. Dat maakt ze een ideaal doelwit voor Ransomware...
En juist hierom verwachten de gebruikers dat Apple die zorgen op zich neemt.. Wat tot nu toe (behoorlijk) goed gelukt was.. Ik hoop dat Apple nu de boel gaat aanscherpen.. :/
Nou ik denk dat het een combinatie van factoren is. De installed base is natuurlijk veel kleiner dan windows PC's, dus schrijven ze (de boeven) er geen software voor. En op Mac OSX lijkt Apple de boel ietwat meer gesandboxed te hebben en updaten hun gebruikers veel sneller dan op windows. Maar de vraag is of ze zich hier echt tegen kunnen verzetten. Apple is nu niet bepaalde de snelste met op dit soort dingen reageren.
Wat mij betreft op zich wel een goede zaak. Maar wat ze hopelijk dan wel niet gaan doen is het hele systeem gaan dichttimmeren voor de mensen die er dan wel verstand van hebben of hun system zelfstandig willen beheren.

Ik wist niet dat Apple certificaten voor apps kan intrekken, maar gezien dat dit wel kan (en ook gebeurd is), denk ik dat de schade nog wel beperkt zal blijven. De ransomware wordt ook pas na 3 dagen actief, dus tijd genoeg om Transmission te verwijderen, dat proces te stoppen en toch maar een back-up nemen voor de veiligheid ;)
Dat heeft Apple dan ook gedaan:
Apple heeft het certificaat van de besmette versie van Transmission ingetrokken, waardoor gebruikers van OS X de variant met KeRanger niet meer kunnen openen.
Gatekeeper staat standaard aan maar kan ook gewoon uitgezet worden. Het is puur ter bescherming van een groep gebruikers die niet op fora zit en niet altijd doorkrijgt.
Als tim met het verkeerde been uit bed stapt kan hij een update pushen die je harddisk wiped.

Als je hier bang voor bent kan je beter linux pakken en de sourcecode doorlezen voordat je van skratch compileert.
Dat kan Apple ook niet doen omdat zij niet in je account kunnen komen + welke gek maakt geen back-ups...
Onzin... je kan via de rechter muis knop bestand x nog steeds starten.
Denk je nu echt dat Apple geen fail safe heeft tegen bvb een CEO die plots gek wordt? Of dacht je dat als de baas van Google er geen zin meer in heeft je plots niet meer bij je email kan of bij Microsoft er een automatische downgrade naar Vista zou gebeuren als die CEO een grapje wil uithalen met de klanten?
Dat slaat daadwerkelijk nergens op. Er zijn ook genoeg mensen die niets van een computer snappen en een Windows computer kopen. Waarschijnlijk zijn dat nog veel meer slachtoffers.

Overigens zijn dit soort gevallen waar zelfs ik als "IT professional" nog in trap. Want Transmission is een programma die altijd schoon was zonder reclame en voorheen nog nooit ellende heeft veroorzaakt. Dus niemand had kunnen vermoeden dat dit programma geÔnfecteerd was.

Wel denk ik dat dit soort van besmettingen vaker gaan gebeuren als ontwikkelaars niet goed opletten.
Ik snap niet precies wat je bedoeld. Ik zeg alleen dat er onder de Mac gebruikers redelijk wat mensen zijn die weinig tot geen verstand hebben van computers. En dat is prima hť! Sterker nog die mensen doen dat bewust want apple schemt je van veel dingen af. Dus die mensen zullen waarschijnlijk meer geneigd zijn om ergens op te klikken, ook omdat ze nog helemaal niet gewend zijn aan dit soort zaken.

Ook is er het beeld dat mensen met een Mac meer geld te makken hebben. Daar spelen bijvoorbeeld ticket websites op in; mensen die met safari surfen krijgen soms een andere prijs aangeboden.

Als je dat doortrekt dan is het waarschijnlijk een lucratieve business om een mac te gaan besmetten met ransomware.

Betekend dat dat er onder Windows gebruikers niet dat soort mensen zijn? Nee, en dat is ook de reden waarom het op Windows echt wemelt van die zooi. Ik verbaasde me er alleen over dat er nog geen voor de Mac waren.

[Reactie gewijzigd door Spam op 7 maart 2016 13:12]

Daar vergis je je toch in hoor. Wat ik merk is dat er veel mensen zijn die totaal niet met een computer kunnen werken zolang ze op windows zitten en dankzij OSX wel beginnen te begrijpen hoe een computer werkt. Ik denk dat er minder mensen met een Mac werken die er totaal niets van snappen of willen snappen.

Mensen die een Mac kopen doen meestal een zware investering en zijn dus meestal goed geÔnformeerd en ambitieus in het gebruik van hun nieuwe computer. Als je het niet snapt of niet wil snappen zijn die prijzen van Mac's gewoon te gek en koop je dus gewoon een Windows laptop van §300.

De beveiliging van een Mac zit gewoon beter in elkaar daarom dat ransomware er niet aanslaat. Of dacht je nu echt dat je de enige was die al bedacht heeft dat Mac gebruikers kapitaal krachtiger zijn? Apple gebruikers zijn een een heel belangrijke target voor criminelen. Kijk gewoon naar het aantal phishing mails dat er destijds werden verstuurd om je iCloud account te kunnen hacken. Ook daar heeft Apple duidelijk grote stappen voorwaarts gemaakt want ook dat zie je nog maar zelden vandaag.

Het is gewoon zeer moeilijk om ransomware voor Apple gebruikers te maken want veel zal deze actie ook niet opgebracht hebben.
Jouw redenering kan ook zo werken; mensen die een Mac kopen die betalen behoorlijk veel voor bepaalde hardware km gewoon geen gezeik te hebben. Met andere woorden ze willen niet teveel van de techniek weten en het moet "gewoon werken". Dit trekt overigens ook door naar de iPhone.

Ik hoor bijvoorbeeld erg veel van ITers dat ze een Mac aanraden aan minder computer savvy mensen zodat ze niet de helpdesk hoeven te spelen. en dat ze langer "in leven" blijven. Dit ervaar ik zelf ook zo.

Daarnaast is er ook een groep mensen die wel degelijk weten wat ze doen, met name developers die de Unix backbone fijn vinden. De tools werken goed.

Maar volgens mij is dit niet de grote massa. De grote massa betaald volgens mij erg veel voor een stuk technologie en zit er eigenlijk alleen maar op te surfen. En ja zo'n Apple logo op je laptop is ook een status symbool hť.. die mensen beschouw ik niet als tech savvy en ook wel als mogelijke prooi voor ransomware. Ik heb aan de lijve ondervonden hoe mensen in Amerika de Apple winkel totaal on geÔnformeerd binnen lopen met hun credit card en zeggen "doe mij er maar eentje". Wellicht is het Nederlandse publiek anders maar ook daar zie ik dit gedrag....Als je de poen ervoor hebt.

Is de reden van nog geen ransomware omdat ze beveiliging zo goed is? Dat kan ik niet beoordelen. De App store apps zijn goed gesandboxed maar die loopt langzaam leeg heb ik begrepen.

Wellicht is de afwezigheid van zulke software gewoon er niet door focus en installed base. Naar mate de markt groeit deste gevaarlijker het wordt. Elke beveiliging is te breken.
Lijkt me een lucratieve business en eigenlijk verbazend dat het niet eerder gebeurd is. Redelijk apple gebruikers kiezen een Mac omdat ze niet zoveel verstand (willen) hebben van computers. Dat maakt ze een ideaal doelwit voor Ransomware...
There, I fixed it.

Edit: Overigens durf ik ook nog wel het statement te maken dat een OSX gebruiker eerder bewust voor OSX zal hebben gekozen dan een Windows gebruiker.

[Reactie gewijzigd door NightFox89 op 7 maart 2016 13:37]

Oh ja zeker; m
[...]

There, I fixed it.

Edit: Overigens durf ik ook nog wel het statement te maken dat een OSX gebruiker eerder bewust voor OSX zal hebben gekozen dan een Windows gebruiker.
Oh dat ben ik met je eens hoor; ik ken genoeg mensen die een Mac kiezen omdat ze het gezeik van Windows zat waren. Ga ik dan eens navragen wat echt het probleem is dan blijkt het vaak dat ze niet goed wisten hoe ze zo'n machine moeten onderhouden. De robuustheid voor dommigheid is bij Windows gewoon minder. Dus ben je veiliger met een Mac.

Ben je daardoor een persoon die ineens meer afweet van computers? Nee je geeft die verantwoordelijk uit handen en betaald er een Gods vermogen voor. Als ik zie wat Apple durft te vragen voor z'n hardware dan sta ik soms met open mond te kijken.

En begrijp me niet verkeerd hť. Ik vind OSX erg mooi en vloeiend. Sterker nog mijn huis is doordrenkt van Apple spullen en mijn vrouw heeft een Macbook. Maar om nu de gemiddelde (vooral Amerikaanse) Apple gebruiker te bestempelen als mensen die veel van techniek weten, en vooral als je weet wat het -echt- kost...nee

Oh voor de mensen die hier zitten te lezen; ik heb het niet over jullie hť. Tweakers is een ander soort volk en heeft met een andere reden voor een Mac gekozen. Ik heb het over het gros van mensen die vooral dat Apple logo logootje erg geil vinden.

[Reactie gewijzigd door Spam op 8 maart 2016 11:22]

Ik heb een Mac omdat ik wťl verstand heb van computers :z
Er draait juist erg veel op. Ideaal, een volwassen desktop OS waar ik geen cygwin, putty en andere ellende op moet installeren om m'n werk te kunnen doen.
Dat het duur is ben ik helemaal met je eens.
okeeee.... anders word ik even gemind?

Sorry hoor, maar apples zijn duurder dan pc's en er is minder software voor dan voor pc's.

Apple fanboys zijn triest...
Definieer MINDER software ?

Voor zover ik weet, is vrijwel alles wel beschikbaar voor een mac, het enige wat je misschien kan winnen, is dat het een andere naam heeft :|
Zelf gebruik ik vrolijk windows/linux, maar de collega's die ik ken met Apple's doen nagenoeg hetzelfde als ik ermee, alleen op een andere manier.

Er wordt gedownload, filmpjes gekeken, foto's bewerkt en opgeslagen, en er gaan brieven en mails uit.
Hell, zelfs databases en spreadsheets worden probleemloos in elkaar gezet.

Geef eens een voorbeeld wat er NIET op een mac beschikbaar is dan ?
Waar is de tijd van de Apple reclame dat je op een mac geen last hebt virussen en zo :)

Toont nog maar eens aan, hoe populairder het OS hoe meer kans op virussen en malware.
Daarom hebben ze nu SIP, dat zet een write lock op... alles |:(
Alles? Enkel op systeembestanden die je enkel alleen kan unlocken in herstelmodus, waardoor je dit niet met ‘phishing’ kan unlocken.
Vind het juist een goede zaak.
Inderdaad, bewijst weer maar eens dat geen enkel OS onkwetsbaar is :)
Hoe is dit een kwetsbaarheid in het os? De gebruiker download het zelf en installeerd het zelf, het product is gesigned met een geldig certificaat.

Het is niet via de appstore geinstalleerd dus apple heeft ook helemaal geen checks kunnen uitvoeren.
Dat is toch ook het punt van het statement waar op je reageerde? Ieder mainstream OS is kwetsbaar juist omdat de gebruiker een deel is van de vergelijking. Wat niet betekend dat het onmogelijk is om een veilig systeem te maken, maar goed, zo iets als wat ChromeOS doet waar je niet naar bestanden mag schrijven behalve als je ze expliciet hebt geopend via de systeem interface is simpelweg geen optie voor normale OS'en. Alhoewel zelfs dat een OS niet onkwetsbaar maakt.
Inderdaad is de gebruiker hier de kwetsbare factor want op zich is OSX "waterdicht" maar dan moet je hem wel in de "walled garden" mode laten staan. Dat betekend wel dat je enkel apps uit de app store kan downloaden en dat is voor desktop of notebook niet echt werkbaar.
OSX is volkomen niet waterdicht. Apps kunnen nog steeds gewoon bestanden aanpassen die niet van hun zijn, ze kunnen vage dingen over het scherm tekenen, etc. etc. En ja, dat Apple apps uit de store controleert is leuk en wel, maar dat maakt het OS net zo waterdicht als Windows en Android. Het enige platform wat enigszins in de buurt komt van 'waterdicht' zijn is het web (voor het web op een read only OS zoals ChromeOS). Maar het web is dan weer relatief gelimiteerd, al komen we stukje bij beetje in de buurt.
Weet jij Łberhaupt wel waar over je praat? Dat is helemaal niet mogelijk wanneer je gatekeeper op de veiligste stand hebt staan. Dan installer je enkel wat er in de Mac App store staat. Android? Windows? Komaan dat kun je toch geen veilige OSen noemen?

Heb je het artikel wel goed gelezen? Op Android en Windows zou dit zelfs geen nieuws meer zijn. Dit is gewoon heel belangrijk nieuws omdat het bij Mac bijna nooit voorkomt en dan kom jij zeggen dat Windows en Android waterdichter zouden zijn? |:(
Android staat standaard ook alleen apps uit de Play Store toe en Windows kan dat ook maar staat het niet default (alhoewel de default wel is om extreem moeilijk te doen over niet ondertekende executables). En als je een app uit de Mac App store installeert dan kan hij prima je foto collectie zomaar even verwijderen mocht hij dat willen. Niks wat hem daarbij in de weg zit technisch gezien. Net zoals op Windows en Android is het OS zelf wel beveiligd (je kunt niet zomaar systeem bestanden aanpassen), maar je veel waardevollere unieke prive bestanden zijn openlijk toegankelijk. Het enige desktop OS waar dat niet van toepassing is is ChromeOS (waar een applicatie pas toegang krijgt tot een bestand nadat de gebruiker dat bestand (of de map) expliciet heeft geopend in de applicatie). En dan heb je natuurlijk nog het web waar je uberhaupt geen gedeelde bestanden hebt en dus nog een stap veiliger is (en minder fijn in gebruik).

En trouwens, nooit gezegd dat Android en Windows waterdichter zijn, puur alleen dat Apple in hetzelfde rijtje thuishoort. Een stap daarboven heb je Chrome OS en dan weer een stap daarboven heb je het web. (Als we het dus hebben over technische security, het web brengt natuurlijk wle weer tal van andere issues met zich mee).
Nouuu, waterdicht is niet waar. Vooral gatekeeper heeft behoorlijk last van problemen waarmee het om de tuin geleid kan worden. En vergeet niet dat er heel lange tijd firmware exploits mogelijk maakten, die ondetecteerbaar waren maar wel alles konden uitlezen/overnemen.
SIP aan de andere kant is wel een leuke toevoeging op beveiliging gebied.

OS X zit qua beveiliging behoorlijk goed in elkaar, en het platform an sich heeft net als Linux veel minder aandacht qua virussen, maar het is verre van waterdicht.
Maar gatekeeper kan niet om de tuin worden geleid als voor de maximum beveiliging kiest. Het nadeel daar aan is dat je enkel uit de app store kan installeren en dus heeft niemand dat aanstaan. Maar op zich is het wel aanwezig en ik denk zelfs de standaard instelling voor beveiliging.
Dat is waar, Apple zelf kon ik dit geval niet veel doen. Het beveiligingsmechanisme vind ik over het algemeen een stuk beter in OS X dan in Windows.

Ik had het niet specifiek over OS X, maar over software en besturingssystemen in het algemeen. Er heerste lang de mythe dat OS X en Linux "onkwetsbaar" waren, terwijl al meerdere keren incidenten waren m.b.t. tot malware.

Geen enkel besturingssysteem is 100% veilig. Misschien kwam mijn reactie verkeerd over.

Voor alle duidelijkheid: ik gebruik zelf Linux als mijn primary OS (en Windows voor gaming), dus het is niet zo dat ik afbreuk probeer te maken op een specifiek product. :)
Wat een simpele conservatieve beredenering.
Het mag dan een simpele conservatieve beredenering zijn, maar het snijdt nog steeds hout.
Virusmakers/hackers/noem-maar-op zullen altijd de grootste doelgroep op de korrel nemen.
En gewoon om het simpele gegeven dat de kans op succes dan het grootst is.
Toch zullen ze relatief meer kans maken bij Apple gebruikers omdat die zich veilig wanen dankzij bescherming van Apple en OSX. Dergelijke gebruikers zijn minder oplettend, net zoals mensen in een zeer goed tegen ongelukken beveiligde auto dat zijn.
De eerste malware was op een mac, we praten over 1982.
De eerste virusscanner was op een mac, 1987.

Populariteit heeft er mee te maken, moeilijkheidsgraad een goede tweede.
Unix/Linux zit fundamenteel anders in elkaar dan windows.
Unix/Linux zit fundamenteel anders in elkaar dan windows.
Unix is enkel een API specificatie + een aantal verplichte tools, waaraan moet worden voldoen voor de certificatie, het zegt helemaal niks over de architectuur onderliggende OS, en al helemaal niks over de veiligheid. Totaal verschillende OSsen als QNX, OS X Linux, Solaris en Windows kunnen allemaal Unix zijn of worden.

Linux heeft helemaal niks met OS X te maken.

[Reactie gewijzigd door Dreamvoid op 7 maart 2016 10:27]

Dat zegt hij toch ook niet? Hij zegt enkel dat zowel Unix als Linux (en ja dat daar tig varianten op zijn onder elkaar is ff irrelevant) fundamenteel anders in elkaar steken dan Windows; en daar heeft ie gewoon gelijk in.
Fundamenteel zit tussen OS X en Windows minder verschil dan tussen OS X en Linux, het zijn echt totaal andere OSsen. Het al dan niet Unix-zijn, zegt totaal niks over hoe een OS fundamenteel in elkaar zit.
Ja dat zal best, maar dat neemt nog steeds niet weg dat de opmerking over dat Windows, Unix en Linux alle drie andere systemen zijn die fundamenteel anders in elkaar zitten, gewoon correct opgemerkt is. :P

Ik snap het probleem dat je hebt met de reactie van z1rconium niet zo; jullie zeggen eigenlijk precies hetzelfde maar met andere argumenten. :)
Heb je een voorbeeld van Apple die hier reclame mee maakt? Is nooit gebeurd.
jawel, i'm a pc, i'm a mac-campange, impliciet, langer geleden...
maakt niet uit

Tablets en smartphones zijn toch het volgende doelwit
Toch maar scary hoor. Hopelijk blijven devs en apple in de toekomst ook zo snel reageren, mag er niet aan denken om al mijn data kwijt te zijn. Dit is nog erger dan virussen en adware.

[Reactie gewijzigd door Henry_01 op 7 maart 2016 09:38]

Ik mag toch hopen dat je niet alle data op je mac hebt staan en niet met regelmaat een back-up maakt -met bv. Timemachine- op een externe schijf.
Ik mag toch hopen dat je niet alle data op je mac hebt staan en niet met regelmaat een back-up maakt -met bv. Timemachine- op een externe schijf.
Totdat je te laat door hebt dat je backups ook besmet of vernaggeld zijn.
Dergelijk malware beperkt zich niet enkel tot de lokale schijf maar pakt ook externe en netwerkschijven mee.
Meest verontrustende is dat het via Apple zelf ging.

En daarbij komt ook nog eens bij dat het hier gaat om een -nix omgeving. Osx is redelijk open vergeleken met Ios,
alleen bij Android kun je relatief snel root-toegang krijgen.

Daar bestaat ook al ransom-ware voor en het lijkt alsof het aantal stijgt voor -nix.
Het aantal programmeurs voor die omgeving stijgt en of daarmee ook de toename van malware ed. De claim in het verleden dat -nix veilig is, kan wel eens heel hard terugkomen.

En het OS is overigens zelden het probleem;
If you make something idiot proof, someone will just make a better idiot.
Ik zat er net toevallig een video over te kijken:

https://www.youtube.com/watch?v=Qd_c-ZFcUSs

Volgens hem zouden de anti-virussen op de mac het nu wel moeten kunnen detecteren, de payload zit schijnbaar in een General.rtf bestand welke eigenlijk een executable is.
Zag dit gisteravond idd op Mac sites verschijnen. Even een samenvatting van het stukje op Palo Alto Networks: alleen mensen die de dmg van versie 2.90 direct vanaf de website hebben gedownload tussen vrijdag 4 maart 20:00 uur en zaterdag 5 maart 4:00 uur (GMT+1) kunnen mogelijk geÔnfecteerd zijn. Downloads via third party websites of apps zijn mogelijk ook at risk. Echter, updates via de ingebouwde updater zijn blijkbaar NIET geÔnfecteerd geweest.

Als je in die periode Transmission gedownload hebt, dan moet je het volgende checken:
  • Using either Terminal or Finder, check whether /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. If any of these exist, the Transmission application is infected and we suggest deleting this version of Transmission.
  • Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users/<username>/Library/kernel_service” (Figure 12). If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.
  • After these steps, we also recommend users check whether the files “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory. If so, you should delete them.
Verder heeft Apple de definities van de in Mac OS X ingebouwde XProtect geŁpdatet om te zorgen dat kernel_service actief geblokkeerd wordt en, zoals in het artikel staat, hebben de ontwikkelaars van Transmission versie 2.92 uitgebracht die de malware actief verwijdert.

[Reactie gewijzigd door MediQ op 7 maart 2016 10:26]

Paar dagen geleden Avast! geinstalleerd. Of het ťcht nodig is weet ik niet. Maar het geeft in elk geval een veiliger gevoel. OSX malware neemt wel toe, komt gewoon vooral doordat meer en meer mensen op OSX overstappen. Daarnaast liggen er meer uitdagingen voor internetcriminelen om (treffende) OSX malware te ontwikkelen. Zelfde verhaal gaat op voor Linux, linux zal ook steeds een aantrekkelijker doelwit worden voor cybercriminelen.
Zelfs de NOS plaatste instructies om te checken of je Mac geÔnfecteerd is. Had ik al helemaal van Tweakers verwacht dat ze het erbij zetten in hun nieuwsbericht. Of Łberhaupt maar een letter hierover. Zeer matige journalistiek weer bij Tweakers.
We suggest users take the following steps to identify and remove KeRanger holds their files for ransom:
Using either Terminal or Finder, check whether /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. If any of these exist, the Transmission application is infected and we suggest deleting this version of Transmission.
Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users/<username>/Library/kernel_service” (Figure 12). If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.
After these steps, we also recommend users check whether the files “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory. If so, you should delete them.

[Reactie gewijzigd door MenN op 7 maart 2016 08:43]

Zelfs de NOS plaatste instructies om te checken of je Mac geÔnfecteerd is. Had ik al helemaal van Tweakers verwacht dat ze het erbij zetten in hun nieuwsbericht. Of Łberhaupt maar een letter hierover. Zeer matige journalistiek weer bij Tweakers.
Rustiiiig

Hoewel ik geloof in de taak van de journalistiek om bij dit soort zaken instructies te plaatsen, vond ik het in dit geval niet nodig. De fix is simpel: updaten. Dat moet je sowieso doen, of je nu geÔnfecteerd bent of niet. Heb je KeRanger, dan verwijdert 2.92 de malware zelf. Heb je het niet, dan is updaten sowieso een goed plan.

Bovendien staat in het artikel al de manier om te bekijken of je de besmette versie hebt.
Apple heeft het certificaat van de besmette versie van Transmission ingetrokken, waardoor gebruikers van OS X de variant met KeRanger niet meer kunnen openen.
Ik zou het waarderen als je de volgende keer minder zware woorden gebruikt dan 'zeer matige journalistiek weer'. Het klinkt onnodig cynisch en zuur. Laten we op Tweakers to the point en vriendelijk blijven :)

[Reactie gewijzigd door arnoudwokke op 7 maart 2016 09:02]

Geen idee waarom de journalistieke capaciteiten wel/niet verdedigd moeten worden? Iedereen waaronder de NOS als T.net loopt dik een week achter bij de release notes waarin op 28 februari 2016 al wordt geconstateerd dat er malware in de software zit.

Laten we elkaar niet voor de gek houden; honderden, zo niet duizenden Tweakers gebruiken deze software en zullen in de tussentijd allang door (semi-)private trackers zijn geattendeerd hierop maar hebben het niet gemeld via de http://tweakers.net/submit/

Dat er nu versie 2.92 uit is, wil niet zeggen dat "we" tijdig een artikel eraan hebben gewijd; in 2.92 heeft de auteur van de software ervoor gekozen om aanvullende maatregelen te nemen naar aanleiding van de issues van 28 februari, zoals het zelfstandig verwijderen van de malware dmvm KeRanger in 2.92.

[Reactie gewijzigd door MAX3400 op 7 maart 2016 09:17]

Geen idee waarom de journalistieke capaciteiten wel/niet verdedigd moeten worden? Iedereen waaronder de NOS als T.net loopt dik een week achter bij de release notes waarin op 28 februari 2016 al wordt geconstateerd dat er malware in de software zit.
Onmogelijk, de malware zat erin op 4 maart, Palo Alto en Transmission zelf publiceerden hier gisteren over :)
Als dat waar is, waarom staat er dan in het artikel van Palo Alto het volgende:
When we identified the issue, the infected DMG files were still available for downloading from the Transmission site (https://download.transmissionbt.com/files/Transmission-2.90.dmg)
Dit wijst toch zekeer naar versie 2.90 die in de release-notes van Transmission toch echt op 28 februari gepubliceerd en gerectificeerd is.

Dat er sindsdien versie 2.91 en 2.92 zijn gepubliceerd, doet hier weing tot niets aan af?
Dit wijst toch zekeer naar versie 2.90 die in de release-notes van Transmission toch echt op 28 februari gepubliceerd en gerectificeerd is.

Dat er sindsdien versie 2.91 en 2.92 zijn gepubliceerd, doet hier weing tot niets aan af?
Er heeft een week lang een prima versie van 2.90 online gestaan, totdat aanvallers die op 4 maart vervingen voor een besmette versie.
Nope ik had het gisteren al aan de redactie gemeld.

Ik meld vanaf nu nooit meer iets aan de redactie hier. Niet eens een dankje ofzo.

[Reactie gewijzigd door TehEnforce op 7 maart 2016 22:27]

Heb je KeRanger, dan verwijdert 2.92 de malware zelf. Heb je het niet, dan is updaten sowieso een goed plan.
Update is lang niet altijd een goed plan, wat bewezen werd door de 2.90 "update"
Met de update is nooit iets misgeweest :)
Geen idee hoe je erbij komt dat ik boos of cynisch ben. Wat mij gewoon opvalt is dat er veel nieuwsberichten langs komen in de laatste maanden waar de reacties het bericht kompleet moeten maken. Kan natuurlijk komen door verschil in inzicht, maar voor mij voelt het aan als incomplete verslaggeving. Zeker met zaken als ransomware had ik gewoon gehoopt dat Tweakers een meer compleet bericht zou publiceren.
Wat mij gewoon opvalt is dat er veel nieuwsberichten langs komende laatste maanden waar de reacties het bericht kompleet moeten maken. Kan natuurlijk komen door verschil in inzicht, maar voor mij voelt het aan als incomplete verslaggeving. Zeker met zaken als ransomware had ik gewoon gehoopt dat Tweakers een meer compleet bericht zou publiceren.
Een valide punt. Een 'meer compleet bericht' vereist echter veel meer tijd. Oprechte vraag: zou jij het een goed idee vinden om de helft van het aantal nieuwsberichten op een dag te halveren, zodat we per bericht dubbel zoveel tijd eraan besteden?

Toch ben ik het niet met je eens over de reacties. Ik vind het heerlijk dat reacties het bericht compleet maken. Dankzij de over het algemeen goede moderatie staan die reacties duidelijk gemarkeerd en bovenaan. Ik vermoed dat het een van de redenen is dat zoveel mensen hun nieuws graag lezen op Tweakers; je leest niet alleen de info van de redactie, maar ook een bloemlezing van de samengebalde kennis van veel meer mensen.

Wij als redactie leren daar ook van. Mensen vullen aan, geven nieuwe info en inzichten en corrigeren fouten in de reacties. Reacties op berichten hoort bij Tweakers als knoflooksaus bij shoarma :)
Dit precies inderdaad. Wel zou ik persoonlijk iets vaker artikelen updaten met informatie vanuit de reacties, maar dat is een detail. Juist bij Tweakers vind ik 'betere journalistiek' niet echt nodig, terwijl bij bijna alle andere algemene nieuwssites ik wel degelijk liever de helft of maar een kwart van de artikelen zou zien, maar dan een stuk beter uitgewerkt. Hoe dan ook, goed werk meestal!
"Ik vermoed dat het een van de redenen is dat zoveel mensen hun nieuws graag lezen op Tweakers; je leest niet alleen de info van de redactie, maar ook een bloemlezing van de samengebalde kennis van veel meer mensen."

+1
Een valide punt. Een 'meer compleet bericht' vereist echter veel meer tijd. Oprechte vraag: zou jij het een goed idee vinden om de helft van het aantal nieuwsberichten op een dag te halveren, zodat we per bericht dubbel zoveel tijd eraan besteden?
Ja, zeker!

De wat meer journalistieke artikelen van Tweakers zijn altijd zeer de moeite waard, goed onderzoek, goede nieuwe inzichten etc. De nieuws artikelen die van andere sites geplukt zijn en die ik vaak al gelezen heb in de originele versie (taal) voegen meestal niet toe (als ik ze al lees is dat om de reacties).
Graag meer verdieping, Tweakers is van zichzelf toch al een traag medium, omdat het geredacteerd is.
Veel nieuws op Tweakers is ofwel oud, de dag ervoor al gelezen op hackernews/reddit. Aangezien dat vaak direct van de bron komt, en verdieping geregeld in de comments is te vinden.

Vaak kom ik op de tweakers frontpage, en zie ik eigenlijk geen interessante artikelen meer, omdat het ofwel over onderwerpen gaat waar ik niet in geinteresseerd ben, ofwel al gelezen heb.

Wanneer ik toch een artikel open, vind ik vaak weinig extra informatie of andere invalshoeken. Dus komt het erop neer dat ik amper meer op tweakers kom.
> Een valide punt. Een 'meer compleet bericht' vereist echter veel meer tijd. Oprechte vraag: zou jij het een goed idee vinden om de helft van het aantal nieuwsberichten op een dag te halveren, zodat we per bericht dubbel zoveel tijd eraan besteden?

Absoluut. Ik lees Tweakers, omdat ik verwacht dat het dieper ingaat op technisch nieuws dan bijvoorbeeld de NOS. Ik hoef hier niet perse alles te lezen, maar zou het zeer interessant vinden om meer achtergrond te vinden hier.

Zeker nu de NOS een aantal goede tech journalisten in dienst heeft is het belangrijk voor Tweakers om de verdiepende meerwaarde te laten zien wat mij betreft.
Dit is dus echt jouw mening, eentje die ik bijvoorbeeld niet deel.

Ik word daarentegen echt een beetje treurig van iedere keer weer die berichten onder de nieuws items over wat er nu weer niet goed aan de berichtgeving is. Lees het bericht, en als je meer wilt weten, ga je toch lekker zelf op zoek naar aanvullende informatie?

N.B. De uitdrukking "zeer matige journalistiek" is bijzonder subjectief, het verbaast mij niets dat dit wordt geÔnterpreteerd als cynisch (en zuur).
Ik zou het waarderen als je de volgende keer minder zware woorden gebruikt dan 'zeer matige journalistiek weer'. Het klinkt onnodig cynisch en zuur. Laten we op Tweakers to the point en vriendelijk blijven :)
'zeer matige journalistiek' is toch to the point? Bovendien klinkt het niet cynisch of zuur. Het is slechts een oordeel van een lezer die normale bewoordingen gebruikt.
Dat jij het als redactielid onnodig vindt is wel begrijpelijk. Kritiek wordt niet op prijs gesteld.
Nee hoor, 'to the point' zou de constatering zijn dat hij graag had gezien dat er in het artikel aanwijzingen zouden zitten om te detecteren of je deze ransomware hebt en hoe je er vanaf komt.

Dat is een prima standpunt en als hij vervolgens dat zelf aanvult met wat hij online heeft gevonden over hoe dat moet is het zelfs een heel waardevolle reactie, waar denk ik veel mensen veel aan gehad zouden hebben.

Wat hij nu heeft gedaan, is zijn reactie vol stoppen met negatieve bewoordingen. Hij begint al met 'zelfs de NOS' (alsof je dat niet van de NOS zou verwachten. Dat getuigt van weinig respect, daar zitten prima techjournalisten).
Dat jij het als redactielid onnodig vindt is wel begrijpelijk. Kritiek wordt niet op prijs gesteld.
Het 'onnodig' in 'onnodig cynisch en zuur' is uiteraard een bijwoord bij de andere woorden, zoals 'zeer' een bijwoord is bij 'zeer matig'. Ik vind zijn reactie totaal niet onnodig. Sterker nog; dankzij die reactie denken we nu na over een manier om in de toekomst in dit soort gevallen op een logische plek en met goede vormgeving weer te geven hoe je kunt checken of je getroffen bent en wat je dan kunt doen.

In de 7,5 jaar dat ik werk voor Tweakers heb ik geleerd om weliswaar te benoemen als feedback op een negatieve toon wordt gebracht, maar desondanks doen we er veel mee: vaak gaat het om waardevolle tips van mensen die het beste met Tweakers voor hebben en veel mensen menen het helemaal niet zo negatief als dat het overkomt.

Desondanks is het beter om dit soort dingen to the point en opbouwend te houden. Het zorgt voor een betere sfeer in de reacties en nodigt anderen ook meer uit om te komen met waardevolle aanvullingen - en daar wordt uiteindelijk Tweakers als site en als community beter van.

[Reactie gewijzigd door arnoudwokke op 7 maart 2016 14:29]

Amai jullie hebben het druk. Wat kan er nu zo moeilijk zijn aan het vertalen van artikels uit het engels?

Ik apprecieer jullie werk, ma ge moet ook kunnen toegeven als een tweaker jullie wijst op nalatigheid.

Zulk research is juist wat meerwaarde bied aan het simpelweg vertalen van artikels.
Omdat tweakers meestal geen tech-idiots zijn en zelf prima weten hoe ze zulke dingen kunnen verhelpen. HOWEVER, als je het hebt over de recentelijke verandering in klandizie op tweakers, ofwel het type mensen wat de afgelopen jaren hierop komt, heb je wel gelijk. Tweakers.net is net wat meer mainstream geworden en (helaas) trekt dat minder serieuze, in tech geÔnteresseerde mensen aan.

Wat betreft de ransomware, Ik gebruik alleen transmission op Mint, en het werkt gewoon naar behoren. Wel vraag ik me af hoe de ransomware erbij is gekomen. Wellicht dat ik straks de GoT even check want die heeft ook al een topic.

Ik had het alleen niet verwacht, transmission leek echt zo'n programma die nooit last van problemen had.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True