Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 110 reacties

Onderzoekers van beveiligingsbedrijf ESET hebben OS X-malware gevonden die gegevens uit de keychain steelt en fungeert als backdoor. Het bedrijf heeft nog niet met zekerheid kunnen vaststellen op welke manier de malware zich verspreidt en hoeveel slachtoffers er zijn.

De malware staat bekend onder de naam 'Keydnap' en komt binnen in de vorm van een zipbestand, vermoedelijk als bijlage van een spam-e-mail, zo schrijft ESET. In dat archief bevinden zich twee bestanden, een txt- en een jpeg-bestand. In werkelijkheid zijn het echter uitvoerbare Mach object-bestanden, die het systeem daarom opent in de terminal.

De malware is in staat dit te doen doordat er een spatie aan het einde van de bestandsextensie is toegevoegd, zo leggen de onderzoekers uit. Daarnaast bevat het ziparchief een zogenaamde resource fork, waarmee het zich voordoet als tekstbestand of afbeelding door de corresponderende OS X-iconen te tonen. Opent de gebruiker een van de bestanden, dan wordt de malware uitgevoerd. Er wordt dan wel een waarschuwing door de Gatekeeper-beveiliging getoond, omdat de software niet ondertekend is.

De gebruiker moet deze waarschuwing negeren om geïnfecteerd te raken. Als dit gebeurt dan downloadt de malware de backdoor en vervangt hij de downloader zelf met een nepbestand. Deze bestanden tonen onder andere screenshots van besturingspanelen van command-and-control-servers van botnets, waardoor ESET aanneemt dat de malware is gericht op leden van de onderwereld of op beveiligingsonderzoekers. De malware communiceert vervolgens met een cnc-server op een tor-adres en stelt een aanvaller bijvoorbeeld in staat om op afstand een bestand van een url te downloaden en uit te voeren.

Ook kan de malware rootrechten verkrijgen via een venster waarin de software de gebruiker vraagt zijn wachtwoord in te vullen. Dit wordt alleen getoond als twee processen kort achter elkaar aangemaakt worden. De code die voor het stelen van wachtwoorden uit de Keychain-wachtwoordmanager verantwoordelijk is, lijkt direct afkomstig te zijn uit een GitHub-project met de naam 'Keychaindump', zo vullen de onderzoekers aan.

Eerder deze week vonden onderzoekers van beveiligingsbedrijf Bitdefender een andere OS X-backdoor met de naam 'Backdoor.MAC.Eleanor'. Deze is aanwezig in software die zich voordoet als een conversieprogramma met de naam EasyDoc Converter. Deze malware is onder andere in staat om beeld op te nemen met ingebouwde webcams op geïnfecteerde systemen.

keydnap malware

Moderatie-faq Wijzig weergave

Reacties (110)

Ik vraag mij af op de eerste variant op macOS Sierra ook nog werkt. Apple heeft Gatekeeper namelijk uitgebreid en niet-gesigneerde bestanden worden dan automatisch van een toevallige, niet-beschrijfbare locatie ge´soleerd uitgevoerd. Het downloaden van een vervangend bestand zou dan niet meer werken, net zo min het verwijzen naar een ander bestand. De functie wordt ‘path randomization’ genoemd, voor de ge´nteresseerden.
Wat ik niet goed begrijp is dat het default "open" programma een shell is. Dit had toch niks moeten zijn of TextEdit ?
edit, beetje onderzoek gedaan:
Wanneer een bestand uitvoerbaar is EN een bestandsnaam heeft dat gevolgd wordt door een spatie, punt of mogelijk misschien nog andere speciale karakters, dan wordt het aanzien als een executable.

[Reactie gewijzigd door goarilla op 8 juli 2016 12:40]

Dit is echt mega interessant. Heb je meer info hierover op een non-dev wijze? Wel benieuwd naar een uitgebreid artikel hierover.

Dit zou namelijk echt een geweldige beveiligingsfeature zijn en ik vraag mij dan ook af waarom dit nooit eerder is verwerkt in welk OS dan ook..
Aapricitey OS schijnt erg veilig te zijn.

Laatste release(kandidaat 2) is ook weer een stukje sneller dan een Mac OS.X

(Althans, op een C64)

De cinnamon versie is ook beschikbaar.
focuses on elegance, code correctness, minimalism and simplicity

Voor meer informatie zoek je uiteraard op 'aApricitey' op deze site.
Clean && Classy
Visual Exploration A.OS
Nerd Review

Windows 10 : 3.014 nieuwsberichten
Linux Mint : 23 nieuwsberichten
OSX : 39 nieuwsberichten
Solaris 11.3 : 1 nieuwsbericht
Commodore 64 : 40 nieuwsberichten

Daily Unique Visitors : 67,843
tweakers.net web-stats
Tweakers.net has an estimated worth of 510,294 USD / 800.1 Bitcoins

Tweakers.net linking stats :
1. msn.com
2. microsoft.com
3. fc2.com
4. stackoverflow.com
5. themeforest.net
Most Important websites for Tweakers.net

[Reactie gewijzigd door phox10 op 8 juli 2016 11:07]

Kortom, je moet wel een paar waarschuwingen negeren voordat je ge´nfecteerd raakt. Normaliter komt Gatekeeper natuurlijk niet om de hoek kijken als je een .jpg bestandje opent.
Meer specifiek: je moet akkoord gaan dat een applicatie zonder geldige handtekening wordt uitgevoerd, wanneer je een tekst- of afbeeldingsbestand opent. Op zich is dit een goede line of defense omdat een aantal eigenaardigheden worden geconstateerd en tegengehouden. Dit is wat anders dan "klik op next voor een willekeurige applicatie".

Voor de gemiddelde gebruiker is dit nog steeds uitdagend helaas - ik kan mij voorstellen dat er genoeg slachtoffers vallen.

Dat passwordmanagers doel van aanval worden is niet anders dan logisch - alle belangrijke gegevens c.q. bronnen die veelgebruikt worden, worden interessant om aan te vallen.

[Reactie gewijzigd door Eagle Creek op 8 juli 2016 10:38]

Als je ziet hoe de doorsnee gebruiker de UAC meldingen van Windows die echt serieus zijn gewoon wegklikt, verwacht ik bij gebruikers geen probleem. Klikgeiten blijven bestaan, ongeacht security en onderliggende systeem.
Het aantal Linux gebruikers die standaard sudo intikken bij elke ook via vage repos verkregen software is groot.
Kortom, de gebruiker blijft het probleem.

[Reactie gewijzigd door SED op 7 juli 2016 14:59]

Er wordt ook nog om een wachtwoord gevraagd. Die je normaal krijgt als je zelf een wachtwoord wilt ophalen uit de keychain, om de keychain te unlocken.
EÚn waarschuwing. En eventueel moet je later je wachtwoord invullen. Welke gemiddelde gebruiker gaat daarop letten? "Waarschuwing bij openen foto? Wat een onzin, ja natuurlijk wil ik doorgaan." <klik>
Niet een waa schuwing maar een melding. Je moet daarna eerst naar een aparte applicatie gaan om hem alsnog uit te voeren.

Dit is dus ongeveer vijf handelingen.

1. Scherm weg klikken.
2. Naar configuratie scherm gaan.
3. Naar security / privacy gaan.
4. Tabblat vior gatekeeper openen.
5. Op execute anyway klikken.
En een wachtwoord invullen omdat een proces systeemwijzigingen wil doorvoeren. (Vergelijkbaar met het invullen voor een wachtwoord voor een 'sudo' actie.)
[quote]
EÚn waarschuwing. En eventueel moet je later je wachtwoord invullen. Welke gemiddelde gebruiker gaat daarop letten?

Nou, ik ken heel wat gemiddelde Mac gebruikers met de Gatekeeper op de default stand die vrijwel alles via de Appstore kopen en die letten ontzettend goed op zo'n ook nog hele duidelijke waarschuwing omdat ze die zelden of nooit te zien krijgen. Die klikken echt niet rustig door.
"Waarschuwing bij openen foto? Wat een onzin, ja natuurlijk wil ik doorgaan." <klik>
Ja, inderdaad onzin. Gatekeeper waarschuwt namelijk dat er een programma ge´nstalleerd wordt van een maker die niet bij Apple bekend is en niet dat er een foto geopend moet worden. En natuurlijk wil ik zo'n programma direct installeren!! Wie kan er in deze tijd nog zonder Easy Doc Converter! Iedere 'gemiddelde Mac gebruiker' zit daar al jaren op te wachten! Hup, installeren!

En de belangrijkste beveiliging is alweer direct in actie gekomen. Volop publiciteit. De maker kan alweer afscheid nemen van zijn malware want zelfs op allerlei niet mac-gerelateerde sites gaat het als een lopend vuurtje rond. Jammer van al zijn investeringen en inspanningen..
Leuke theorie, maar helaas blijven mensen denken dat ze op een mac immuun zijn voor malware. Die mythe word took nog steeds gevoed door ervaren mac gebruikers.
Dat is al lang niet meer zo. Iedereen op elk os moet vreselijk goed op blijven letten.
als je een melding van gatekeeper krijgt met jpeg files.. dan gaat er wel een beetje rinkelen bij de meeste mensen hoor ;)
Nee echt niet hoor. Wij Tweakers prikken er natuurlijk zo doorheen, maar ik denk dat we juist door ons eigen hoge kennis- of ervaringsniveau makkelijk van anderen verwachten dat zij zoiets ook wel zien. Maar de echte kwetsbare gebruiker is natuurlijk die vader of moeder die de computer graag gebruikt om foto's op te bekijken en mee te e-mailen en op het internet hoogstens Google en Marktplaats bezoekt. Die opent dat .jpg'tje, ziet een melding die hij wel vaker ziet en nooit een probleem is en klikt op doorgaan.

Zo was mijn moeder laatst een beetje in paniek toen er op het scherm van haar telefoon stond dat er een virus op haar telefoon was gevonden en dat ze nog 1:30m had om dat te verwijderen, anders raakten er bestanden permanent beschadigd. Bovenaan die pagina stond het beeldmerk van Google en die timer liep af om mijn moeder zo snel mogelijk op "probleem oplossen" te laten tikken. Ik ben blij dat ze mij riep voordat ze iets deed, maar het geeft wel aan hoe hulpeloos mensen zijn bij zulke nepperij.
[...]

Nee echt niet hoor. Wij Tweakers prikken er natuurlijk zo doorheen, maar ik denk dat we juist door ons eigen hoge kennis- of ervaringsniveau makkelijk van anderen verwachten dat zij zoiets ook wel zien. Maar de echte kwetsbare gebruiker is natuurlijk die vader of moeder die de computer graag gebruikt om foto's op te bekijken en mee te e-mailen en op het internet hoogstens Google en Marktplaats bezoekt. Die opent dat .jpg'tje, ziet een melding die hij wel vaker ziet en nooit een probleem is en klikt op doorgaan.
Je werkt zelf niet met OS X neem ik aan? Want wat jij beschrijft kan helemaal niet. Er is geen optie "doorgaan" als Gatekeeper een melding geeft. Je kan niet vanuit deze melding per ongelijk een verkeerde optie kiezen, hiervoor moet je heel doelbewust instellingen wijzigen.

[Reactie gewijzigd door Typecast-L op 7 juli 2016 16:21]

Of, wat ik altijd doe, het programma lokaliseren in de Finder (met command-klik zo gebeurd), en dan met het contextuele menu ("rechts-klik") Open kiezen.

Je krijgt dan een andere melding waar gevraagd wordt of je het echt wilt openen. Gewoon op de knop "Open" klikken, en voortaan wordt er niet meer naar gevraagd.

Deze workaround vraagt inderdaad om problemen.

Zie ook: http://pasteboard.co/8IdryTyyO.png
OF het zijn ICTers.. OF het zijn mensen met teveel geld die apple kopen en dus echtwel een technisch IT mannetje in de familie hebben die ze uitlegt wat WEL en wat NIET te doen..
Het feit dat de meeste mensen een IT-technisch mannetje in de familie of omgeving hebben, wil niet zeggen dat ze daar ook naar luisteren. Ik heb zelf al meerdere malen gezien dat, hoewel je ze 100 keer zegt dat ze op moeten letten met wat ze openen, complete computers onbruikbaar worden door het openen van ge´nfecteerde bijlagen, of het negeren van waarschuwingen van A/V-pakketten.
En ICT-ers zijn net zo vatbaar voor virussen als ieder ander; het enige verschil is dat ze vaker weten hoe ze er weer vanaf kunnen komen, of wat meer stappen kunnen ondernemen om het te voorkomen. Heeft niks met vakgebied te maken, wel met kennis, begrip en gezond verstand. (waarvan de eerste twee voor iedereen te verkrijgen zijn; het gezond verstand heb je al, dus gebruik het)

En het feit dat Applegebruikers meer betalen voor hun systeem zegt ook niet veel. Juist het elitaire en 'Ach, ik gebruik een Apple device, mij kan niks gebeuren' is een hardnekkig verhaal en een enorme dooddoener. Net als 'Ach, ik ben toch geen interessant doelwit'. Jij niet, maar je resources (computer, internetverbinding, bankrekening, inloggegevens etc) wel.
Je gebruikt een computer, dus let op met wat je doet. (geldt ook voor tablets, smartphones en alle andere 'smart' devices)
"Mensen met teveel geld", wat een dikke onzin.
Ok. Toon mij dan maar eens een laptop met dezelfde specificaties als een Macbook Pro Retina (2015) 258GB 8GB voor 900Ą.
http://www.notebookcheck....o-13-and-15.129395.0.html

Nog los van het feit je voor echt zware werkstations helaas niet meer bij Apple terecht kunt.
Ook de macpro loopt fiks achter bij de concurentie. Duidelijk geen lijn meer waar Apple nog veel in gaat investeren. Ze richten zich steeds mee rop consumenten electronica waar ze per stuk hogere winstmarges hebben.
voorbeeld:
http://www.computerworld....ehind-windows-rivals.html
pricewatch: Lenovo ThinkPad T460s 20F90043MH
1900Ą

Dat is 1000Ą teveel.

Los van het feit dat het plastic is. XPS 13 komt in de buurt maar is verre van perfect.
Dell XPS 13 / XPS 15 (Skylake): Ervaringen en discussie

Veel problemen.
Dat moet je wel weten...
Nadeel van een "velig OS" zoals OSX is dat de gebruiker dan wellicht ook een beetje laks wordt en makkelijker in een valletje te lokken is met dit soort grappen.

Ik zie dat met Linux ook, hoeveel mensen maar gewoon sudo commando's aan hun computer voeren die ze van internet trekken zonder een minuutje te nemen om te leren wat het feitelijk doet... ook zo'n fenomeen.
sudo? :') Bwaha, kom op zeg: gewoon inloggen als root en daar alles executen, scheelt toch weer 5 keypresses per commando!
Precies, default op root. Een beetje spanning mag wel he? :P
Bij een beetje deftige Linux distro kan dat out of the box niet!
Standaard heeft root geen wachtwoord in die distro's, maar dat betekent niet dat je geen root gebruiker kan worden. sudo -i, sudo su -, etc.

[Reactie gewijzigd door compufreak88 op 7 juli 2016 13:56]

Bij OS-X dus wel. Gewoon sudo su - en dan heb je roottoegang.

EDIT: Ja, natuurlijk moet je dan wel je wachtwoord invoeren.

[Reactie gewijzigd door Wolfos op 7 juli 2016 14:18]

Is dat zo?
Sorry, mijn mac vraagt toch echt nog om mijn wachtwoord. En zonder mijn wachtwoord ben je nog steeds geen root.

EN dan nog, als iemand IRL dit kan invoeren op mijn Mac, heb ik toch al een ander probleem.
Nee, klopt niet wat je zegt. Net geprobeerd en ik moet toch echt een password invullen.
Klopt hoor, je moet bij OS X specifiek de root user inschakelen bij je user management; anders kom je er niet in.
Misschien maar gemiddelde gebruiker heeft meestal geen Linux. Degene die Linux gebruiken hebben een hogere IT kennis en de kans dat ze dat aanpast hebben is dan niet ondenkbaar.
Dat verhaal gaat met de vele miljoenen iot linuxen die massal misbruiokt worden al niet meer op. 90% van de linuxen zit bij gebruikers die niet eens weten dat ze linux hebben.
Het grootste probleem is imho mensen die gewoon van die curl commando's met su/root uitvoeren zonder de repo te controleren. En dan klagen als ze last krijgen van shit als libkeyutils exploits en rootkits. Gekkenwerk.
Ik krijg zo vaak een (wachtwoord)melding dat ik er echt niet zo goed meer op let.

Hoewel een gatekeeper melding wel opvallent is ja.
Tsja, maar er zijn miljoenen Mac gebruikers die dit niet weten - het OS hoort executable bestanden nooit aan de gebruiker als image bestand te tonen, zeker vanwege een simpele truc als een spatie aan de bestandsnaam toevoegen.

En als je dan toch dubbelklikt, dan hoort hij een image bestand ook altijd in een image viewer te openen, niet in de terminal.

[Reactie gewijzigd door Dreamvoid op 7 juli 2016 13:42]

Daarnaast, met de standaardinstellingen van Gatekeeper zou deze code uberhaupt niet uitgevoerd kunnen worden. Dan moet je aktief je Gatekeeper-instellingen wijzigen of op een manier openen dat Gatekeeper bewust omzeild wordt.

Tenminste, ik neem aan dat als ze al een 'identified developer' certificaat hadden, dat die dan door Apple is ingetrokken.

Je kunt alleen maar de melding wegklikken, niet 'ok ik ben akkoord' klikken, zoals dat wel is met wel-ondertekende software.
Heel erg eng dat Mac OS X dit soort misleiding toestaat door een preview van een JPG te tonen wat eigenlijk een executable is. Zelfs Windows doet dit beter!
Wat Mac OS X doet en wat Windows niet doet is zelf kijken wat het bestand is (door te kijken naar de magic number. De eerste bytes van het bestand) en dan uitvoeren.

Als je op Windows een bestand uitvoert zonder extensie dan geeft Windows aan dat hij niet weet hoe hij het bestand moet openen omdat geen extensie niet voor komt in de file association.

Dus het bestand begint met "FE ED FA CE" en dan ziet Mac OS X dat het om een Mach-O bestand gaat en voert die dan uit.

https://en.wikipedia.org/wiki/List_of_file_signatures

Zo kun je een bestand openen zonder extensie. Een PDF zonder extensie wordt dus gewoon geopend. Dit heeft voordelen, maar gezien dit artikel ook zijn nadelen :)
Maar door een preview te laten zien van een JPG geven ze mensen de indruk dat het een JPEG bestand IS, terwijl het gewoon een executable is. OS X zou dat als executable bestand moeten weergeven.

En moet je niet zoals onder Linux een bestand zelf execute rechten geven?
afhankelijk van de extractie methode zitten permissie erbij. Jij chmod +x toch ook niet je apache exec als hij uit je deb/rpm komt?
Ik denk niet dat dit correct is.
Wanneer een bestand uitvoerbaar is EN een bestandsnaam heeft dat gevolgd wordt door een spatie, punt of mogelijk misschien nog andere speciale karakters, dan wordt het aanzien als een executable.
~ $ echo 'hallo' > lol.jpg\
~ $ chmod +x lol.jpg\
~ $ open .
Als je deze dan aanklikt in finder, krijg je een terminal met:
Last login: Fri Jul 8 19:39:00 on ttys002
~ $ /Users/user/lol.jpg\ ; exit;
/Users/user/lol.jpg : line 1: hallo: command not found
logout
Saving session...
...copying shared history...
...saving history...truncating history files...
...completed.

[Process completed]
Dit krijg je ook als het een echte executable is:
~ $ vim try.c
~ $ make try
cc try.c -o try
~ $ mv try try.jpg\
chmod +x try.jpg\
En als je dat dan weer aanklikt in finder, krijg je een terminal met:
Last login: Fri Jul 8 19:42:36 on ttys002
~ $ /Users/user/try.jpg\ ; exit;
Running ...
logout
Saving session...
...copying shared history...
...saving history...truncating history files...
...completed.
edits: opmaak en spelling

[Reactie gewijzigd door goarilla op 8 juli 2016 19:47]

Ik vind de titel extreem misleidend. Ik ben een Mac gebruiker en schrok me rot toen ik las dat er een backdoor is gevonden.
Onder een backdoor versta ik toch echt een overheids-ingang, bijv. door Apple ge´mplementeerd voor de NSA oid.

Edit: titel is inmiddels gewijzigd.

[Reactie gewijzigd door GWTommy op 7 juli 2016 14:00]

en dan ben je vast een apple user die geen tweakers volgt want ze hebben x maanden geleden al aangegeven dat ze niet aan die grappen meedoen bij apple.. omdat ze anders hun klant vertrouwen kwijt raken.. en dus hun sales..

zodra ze bij apple de overheid binnen laten.. is het 'just another OS' en zijn ze hun edge kwijt.. ;)
dus wees maar niet bang.. het is gewoon weer een vorm van malware die 10 waarschuwingen nodig heeft om te infecteren op een apple OS.. BEN je eenmaal ge´nfecteerd.. dan maakt die malware IDD een backdoor functie beschikbaar voor de hacker.
Tsja.. Voor de gemiddelde computeraar (al helemaal de zelfbenoemde 'digibeten' die precies om die reden een Mac aanschaffen) is 1 waarschuwing niet meer dan een 'weet u het zeker?'. Met andere woorden, velen zullen gewoon op 'doorgaan' klikken.

Dit is net zo goed een kwetsbaarheid als veel andere kwetsbaarheden onder niet-unix OS'en, hoe je het ook bagatelliseert :)
Het is weer een assumptie-feest in dit artikel want als gate-keeper aan staat, dan kun je het niet negeren, het is OK of CANCEL wat exact hetzelfde doet: niets.

Maw: je "weet u het zeker" bestaat niet in OS X, je kunt niet 'doorgaan', precies de reden waarom gate-keeper op het systeem by default aan staat.

Zoals in het gelinkte artikel staat wat hier verkeerd word geinterpreteerd:
The downloader is an unsigned Mach-O executable. Thus, if the file is downloaded from an internet browser and Gatekeeper is activated on the machine – the default in recent versions of OS X and macOS – it will not execute and display a warning to the user.
Je kunt het bestand alsnog wel handmatig accepteren via finder waarbij je je admin account/pass moet meegeven, dan ben je wel heel bewust bezig.
Ja, okÚ. Maar wat ik me dan afvraag:

- Wat zijn 'recent' versions? Vanaf Tiger? Leopard? Yosemite?
- Wat is volgens de schrijver het verschil tussen OS X en MacOS?
Sinds Lion (10.7.5)
OS X word macOS, beginned bij Sierra (10.12)
Bedankt voor de opheldering. Apart dat ze weer terug gaan naar MacOS, net als Microsoft met Windows Mobile -> Windows Phone -> Windows (10) Mobile. Lekker verwarrend :)
Ze hebben de naam OS X al 15 jaar gevoerd, dus wat dat betreft valt dat wel mee, toch?
Nou, het heette Mac OS X toen het uitkwam in 2001, werd OS X in 2012. Sinds 2007 heeft 't echter een 'nazaat' gekregen en inmiddels is de 'familie' verder uitgebreid. Als je vervolgens naar dit rijtje kijkt:

---------iOS
-------tvOS
--watchOS
----------OS X

Dan is macOS een duidelijke en logische herdoping :)
Die bedrijven moet iets doen om geld te verdienen met hun anti dit en dat software. Valt weinig te doen met 1 of 2 mac dingetjes per jaar. Angst verkoopt. Feiten niet.
Dus omdat het bedrijf zegt dat er geen backdoor is, is die er niet? ;)
Microsoft zei dat namelijk ook, dan is Apple hun 'edge' dus aan het delen met MS volgens jouw redenatie...
Beveiliging is iets waar je nooit op aannames moet leunen, als Apple zegt dat ze niet stiekem iets doen, waar ze door hun overheid gewoon gedwongen kunnen worden dat wel te doen, betekent dat niets...
Helemaal mee eens, dit is geen backdoor. Een backdoor zit als het goed is bij levering van de software / hardware al ingebakken?

Dit is op zijn hoogst een trojan.
Precies, dit is EXACT wat een trojan doet. Definitie van Wikipedia:
Een Trojaans paard is in de computerwereld een functie die verborgen zit in een programma dat door de gebruiker wordt ge´nstalleerd. Deze functie kan toegang tot de ge´nfecteerde computer verschaffen aan kwaadwillenden en zo schade toebrengen aan de computergegevens of de privacy van de gebruiker

PS: Als de auteur dan toch al bezig is met de titel, kan hij ook meteen dat typefoutje meenemen ("so" ipv "zo" bij: "spam-e-mail, so schrijft ESET."). En nee, wijs me niet op de feedback knop, ik ga geen thread aanmaken voor zo'n klein dingetje.

[Reactie gewijzigd door ultimate-tester op 7 juli 2016 13:51]

Hoi! Je hebt gelijk, ik wilde backdoor nog in de titel verwerken op de plek waar eerst malware stond, zonder dat mij opviel dat daardoor de betekenis sterk verandert. Heb het aangepast.
Helaas schrok ik me toch echt dood.
Ik vind het jammer van T.net steeds minder aandacht aan de nieuwsartikelen lijkt te besteden. De smashing headlines worden belangrijker dan de nauwkeurigheid. Ik snap dat "Apple" + "backdoor" heel interessant klinkt, maar wordt AUB geen NU.nl met zo snel mogelijk, zo veel mogelijk en zo overdreven mogelijk, zonder enkele vorm van poging tot inzicht krijgen in de zaak Apple-bash-nieuws plaatsen.
Excuses voor de schrik. Het noemen van de term backdoor in de titel kwam voort uit een poging zo volledig mogelijk te willen zijn en niet om het als een buzzword te gebruiken. Overigens is dat nooit de insteek als wij een titel voor een artikel schrijven.
Er bestaan backdoors ( Apple zal net als alle USA bedrijven met NSA mee werken) zoals deze:
https://truesecdev.wordpr...privileges-in-apple-os-x/

Pas na ontdekking worden die gefixed zoals ook in dit voorbeeld. Je kunt er dus gerust van uitgaan dat OSX nog diverse backdoors heeft. Misschien heeft men daarom de naam weer veranderd,, naar MacOs, dan heeft OSX geen backdoors meer ;)
\
Zoiets heet een lek.

Je hebt onbekende zwakheden: leaks of vulnerabilities.
Je hebt malware die zichzelf verspreid zonder tussenkomst van een gebruiker: virussen (peer 2 peer) en wormen (centrale, geinfecteerde server).
Je hebt malware die eerst ge´nstalleerd moet worden: trojans.
Als een virus of trojan je bestanden gaat encrypten en gijzelen voor losgeld: ransomware.
Als het anderen toegang geeft is je pc een bot of zombie geworden.

Een backdoor is een door de fabrikant bewust ingebouwde trojan die de fabrikant (of partners) toegang geeft.

Edit: als je de clickbait titel van je gelinkte post negeert en echt leest zie je dat hij een standaard lek (waar er zoveel van zijn) gebruikt om een backdoor te creeren. Die backdoor was er nog niet. Alsnog een ernstig lek natuurlijk.

[Reactie gewijzigd door OddesE op 7 juli 2016 16:30]

Een backdoor creŰren kan volgens jouw definitie niet. Een backdoor is immers door de fabrikant ingebouwd.

Imho is jouw definitie dus onjuist.
Hij gebruikt vunerabilities om een backdoor API aan te spreken. lees het verhaal eens goed!
Verder ben ik het eens met comecme.. je definitie is nogal wat rammelig ;)
Volkomen mee eens. De titel van het bericht komt niet overeen met de inhoud van het artikel.
Dus een backdoor ge´mplementeerd door Apple voor Apple is dan niet schokkend ?
Als Microsoft dat doet, zal Apple dat ook zeker wel doen. Vanaf je iets wil doen op Apple moet je itunes of icloud gebruiken... Je ga mij toch niet vertellen dat ze nooit scannen voor bepaalde keywords.
Je mist hier wel een belangrijke zaak: wat is een backdoor precies. Afin, wat het is weet ik wel, maar waar het voor gebruikt wordt. Als het gebruikt voor statistieken, etc, prima. Bovendien heb ik grote hoeveelheden bij Apple in iCloud staan, waar ze als ze willen toch zo bij kunnen. Ik heb dit niet voor niets daar staan: het is a) totaal triviale data en b) ik heb een prettiger gevoel bij Apple's businessmodel (geen ads).

Wat is dan een backdoor precies? Apple kan natuurlijk allerlei informatie van mij verzamelen dan die ik niet in de cloud wil hebben, maar call me stupid, ik heb door de mooie marketingcampagne rond de FBI-iPhone-terrorisme zaak toch echt wel wat vertrouwen in Apple opgebouwd rond deze praktijken.

In mijn ogen is een Apple backdoor voor Apple niet echt een backdoor te noemen (uitzonderingen daargelaten). Apple gebruikt zeg maar gewoon de frontdoor (aanname).
Ik dacht dat ja via backdoor toegang kan hebben tot een computer zonder dat de gebruiker dit weet of ziet. Als Apple de frondoor gebruikt mogen ze dat ook wel adverteren als je een ipad air koopt. Anders valt het voor mij onder een backdoor.

Nu het probleem van deze malware is niet verschillend dan een op Windows systemen... Misschien is Apple dan toch niet zo anders :)
Zaken zoals gedeelde playlists, spul in iCloud e.d. wordt ook gewoon 'geadverteerd' door Apple, in de algemene voorwaarden.

Ik snap dat je een hekel hebt aan die praktijken (ik ook), maar het is toch wel heel wat anders dan een backdoor.
Er kloppen wel meer dingen niet:

- Gatekeeper kan je niet negeren, die kan je alleen uitzetten in oude OSX versies en alleen overriden als je control gebruikt om je bestand te openen en daarna nog in een dialoogvenster het ding toestaat

- Rootrechten krijgen zegt tegenwoordig niet zo veel gezien OSX by default rootless draait. Als root kan je dus nog steeds geen systeembestanden wijzigen, en root zijn geeft je geen rechten om een keychain te lezen om dat een keychain gecodeerd is en het wachtwoord van de gebruiker per los item nodig heeft om ze te decoderen. Het is dus key gebaseerd en niet 'als je maar genoeg rechten hebt'.

Om dat het XProtect en de XProtect updater niet kan uitschakelen (want rootless SIP maakt dat niet meer mogelijk by default) is dit in no-time van je systeem verwijderd als het in het wild gebruikt wordt voor malafide doeleinden.

Eigenlijk is dit dus gewoon 'een programma', maar dan met slechte bedoelingen. Het doet niks speciaals zoals exploits gebruiken, lekken in het systeem misbruiken of andere zaken, maar is een uitvoerbaar bestand, dat je zelf moet opstarten, zelf expliciet toestemming moet geven, zelf je wachtwoord moet geven en zelf moet laten draaien (en dus niet moet afsluiten) om het te laten werken. Al met al vrij slappe hardware dus ;-) Gewoon TeamViewer installeren en met default settings laten draaien is een stuk erger :p
Als je in gatekeeper ( install from) "anywhere" aanvinkt is de functionaliteit vrijwijl nihil
zie bijv: http://its.uiowa.edu/support/article/4038
Ja, maar dat kan in macOS dus niet meer, en in oudere versies is het ook niet de standaard.
Ik lees daar bij Apple niets over. Zie: https://support.apple.com/en-us/HT202491
Los daarvan is Sierra nog niet eens verkrijgbaar. Onzinnige reactie dus!

los daarvan kan ook in sierra dit uitgezet worden, heel simpel
However, if you are a true warrior and would like to change the default Gatekeeper behavior in Sierra, there is a quick fix for that.

Simple run this command on terminal:

sudo spctl --master-disable

Note on spctl: spctl is a command line tool to manage signing for Gatekeeper. This file modifies the information stored in /var/db/SystemPolicy.

Now when you open Gatekeeper, you will see “Anywhere” option.
en voila de optie is weer terug.

In sommige oudere versies was anywhere zelfs default.
he default setting for Gatekeeper in OS X Lion v10.7.5 is "Anywhere".

[Reactie gewijzigd door SED op 8 juli 2016 15:51]

Laten we het dan weer in z'n algemeenheid zeggen: zolang de gebruiker geen idiote onveilige dingen doet is het programma niet in staat iets stouts te doen.

Dat gelt dan weer overal en voor elk OS, en daarmee is elke discussie en reactie onzinnig. Dus als je die kant op wil, dan kan dat.

Apple heeft in Sierra inderdaad de optie uit de GUI gehaald, dat is dan ook wat ik schreef, en niet "in 10.11" ofzo. In hele oude versie waarin Gatekeeper sowieso niet goed werkte was het inderdaad op everywhere ingesteld, maar was in elk geval Finder's file quarantaine wel ingeschakeld, wat een beetje op Windows z'n download file blocking lijkt. Doet niets speciaals, behalve een waarschuwing geven voor gedownloade binaries, iets wat je bij een plaatje nooit zou moeten krijgen, wat een gebruiker dus al een hint zou moeten geven dat er iets niet klopt.

Qua beveiliging uitschakelen: ja, dat kan met spctl, maar dat is niet iets wat een doorsnee gebruiker zelf zou verzinnen. Net als dat je met rootless=0 niet gaat booten, of met csrutil SIP gaat uitschakelen vanaf je recovery omgeving zodat je rootless mode uit zet. Natuurlijk kan je alle beveiliging uitschakelen, XProtect is bijvoorbeeld ook maar gewoon software. Dus als je SIP/rootless uit zet kan je het gewoon wissen. Gatekeeper kan je ook gewoon uit zetten, en de Firewall, ach, die mag ook wel weg. Hell, je kan ook telnet zonder user auth aanzetten of meteen met netcat en ngrok een gratis open shell aanbieden en het op reddit/pastebin/imgur/irc aankondigen. Het kan allemaal.

Maar of dat nou nog wat te maken heeft met de verzwaarde nieuwsberichten over 'malware' die eigenlijk uit zichzelf niks kan is de vraag nog maar...

[Reactie gewijzigd door johnkeates op 8 juli 2016 16:30]

Ik weerleg alleen je stellingen en probeer aan te geven dat ook voor macs gevaarlijke malware bestaat. Dat is de enige ´kant die ik op wil¨.
Rare settings doen helaas alle gebruikers. Tools downloaden om UAC te disablen omda tmen zich stoorde aan security medlingen werden vele duizenden keren gedownload. Werken als root onder linux, niets is de gebruiker te gek.
En verder: gevaar ontkennen geeft alleen maar meer ruimte aan malware bouwers.
Het is niet dat er geen gevaar is, maar dat deze malware niet uit zichzelf als als drive-by exploit iets kan doen. Het gevaar van deze software is hetzelfde als iemand een mailtje sturen met 'als je sudo rm -fr / doet win je 99999 euro!!1!1!!oneone". Er zijn altijd wel mensen die het doen, maar uit zichzelf doet het niks.
Misschien moet je deze reeks bijdragen nog eens goed doorlezen. Mogelijk da tje het gevaar dan snapt. Hoe dan ook:
Bagatelliseren van gevaar blijft een domme houding.
Probeer je nou nog steeds een punt te maken dat niet bestaat? Niemand hier bagatelliseert gevaar, en het heeft ook geen zak met het onderwerp van het artikel te maken.

Als je niet snapt hoe je reacties moet lezen of overal een wedstrijd van wil maken moet je misschien wat minder reageren, of voor de spiegel in plaats van hier.
iemand die structureel onzin verkoopt hier over wat er wel en niet kan met gatekeeper verdient het van repliek voorzien te worden.
Ik heb al aangetoond hierboven dat je opmerkingen en inschattingen verkeerd zijn. Leer daarmee omgaan of kies een andere hobby.
( of kies een OS dat je wel begrijpt en niet vanuit verkeerd begrepen techniek loopt te verdedigen)
Dat is misschien jouw perspectief, in de echte wereld en in productieomgevingen ligt het bewijs niet bepaald aan jouw kant.
Ik heb geen flauw idee welke zijweg je van he tonderwerp af nu weer wilt gaan bewandelen.
Linux is het meestgebruikte os op allerlei apparaten, Windows veruit de grootste in productieomgevingen en Apple richt zich steeds meer op individuele consumenten en nie top productieomgevingen. Daarom zijn ze ook met zware workstations en servers gestopt.
Maar los van dit zinloze afleidingspad heb je ook hier weer geen argumenten.
EOF dus maar. Met ifans discussie aangaan is erg vermoeiend en volkomen zinloos. Een Jehova bekeren gaat gemakkelijker.
Veel succes met je monoloog.
Het was natuurlijk te verwachten dat password managers een duidelijk target worden. Zeker i.c.m. opslag in de Cloud (want dan kan ik er altijd bij).
Er wordt dan wel een waarschuwing door de Gatekeeper-beveiliging getoond, omdat de software niet ondertekend is.

Dus deze malware werkt pas als je handmatig het bestand met de rechtermuisknop opened of dat je de standaard instellingen hebt aangepast wat van 10.12 niet meer mogelijk is. Voor verreweg de meeste mensen zal dit bestand niks kunnen doen omdat ze de instellingen niet aanpassen.
Er wordt in deze situatie geen wachtwoord gevraagd overigens. Als je de instellingen niet hebt aangepast krijg je alleen de optie annuleren.

[Reactie gewijzigd door Pendora op 7 juli 2016 13:37]

Als ik een bestand heb met test.pdf en er een spatie achter zet kijkt OS X dus naar de magic number (https://en.wikipedia.org/wiki/List_of_file_signatures) van het bestand en bepaald aan de hand daarvan wat het bestand is?

Net getest: Als je zo bijvoorbeeld een PDF bestand van een spatie voorziet, ziet het OS dus dat het om een PDF bestand zou gaan (25 50 als magic number).

Er gaan bij IT-ers natuurlijk wel lampjes branden als gatekeeper omhoog komt, maar dat zal bij veel gebruikers niet het geval zijn.
Net zoals de Eleanor malware van afgelopen week wordt ook de Keydnap malware opgemerkt door BlockBlock, een open source security tooltje van Objective See. Onmisbaar voor elke Mac-gebruiker imo :)
Twitter - @objective_see

wut?! more new malware! OSX/Keydnap. BlockBlock generically flags!
source

By design BlockBlock doesn't try to determine if something is malware or not; it simply alerts anytime anything tries to persist. So more often than not, the alert is simply due to some legitimate software performing an install. However, it's still wise to examine the item that is persisting.

[Reactie gewijzigd door JanvdVeer op 7 juli 2016 13:50]

Apple Keychain is erg handig want je hebt een mooi overzicht van je wachtwoorden, Wifi netwerken en dergelijke. En met iCloud maakte dat (in theorie) nog handiger door te synchroniseren met diverse apparaten. Maar ik was altijd wel bang voor dit soort acties. Hou dat soort dingen liever lokaal. Zelf ben ik een fan van 1password (dan dan ook weer lokaal synchroniseren).

Ik hoop dat Apple snel met een fix komt want de gemiddelde gebruiker ziet dit natuurlijk niet.
Je lost niks op met ' lokaal houden' want Keychain houd je gegevens ook lokaal en synchroniseert net zoals 1Password je gegevens via een cloud oplossing. Dit kan je aan of uit zetten.
De malware wordt ook lokaal uitgevoerd.

Ongetwijfeld zal er een update voor Xprotect komen welke dit detecteert
Uh iCloud sync uitzetten gaat niet helpen, je wachtwoorden worden lokaal gestolen, niet online. Iemand breekt lokaal in op je pc en kopieert je Keychain.
Gelukkig zit ik al enige tijd op 1Password. Laten we er maar even vanuit gaan dat dat veiliger is voor nu... Apple Keychain begon sowieso al antiek aan te voelen.
Of iets mooi is of niet zegt niets over de kwaliteit. Linux is naar mijn idee inherent stabieler en veiliger dan Windows. Maar Windows ziet er UI technisch veel beter uit.
Dat niet alleen, maar op het moment dat er met 1 wachtwoord in een database ingelogd kan worden waar al je wachtwoorden staan. Dan is het toch ook niet veilig?
Daar heb je natuurlijk two step authentication voor. Als je dat niet aanzet op zo'n mega wachtwoorden database ben je ook wel een klein beetje raar bezig.
1Password biedt geen 2FA.

As for two-factor authentication (2FA), 1Password works through encryption, not through authentication. It can be a subtle distinction outside of cryptography, but it is critical to understanding why 2FA is not something that applies to 1Password. 1Password does not even do one-factor authentication. It does no authentication at all.
Dus als iemand je 1Password wachtwoord kent ben je gewoon de spreekwoordelijke sjaak, of mis er iets?
Nee,

Men gebruikt bij 1password een account key waarbij je master password + token op je device == account key. Schijnbaar is dit veiliger dan 2factor:

https://support.1password.com/understanding-account-key/
Dus ze hebben wel (een vorm van) multifactor authentication.
Het leek me al raar dat je account leunde op enkel een wachtwoord.
Niet echt, lees dat en white paper maar door,

er is geen authenticatie, aka MAG je wel bij de encrypted data komen? Dit vormt onderdeel uit van je encryption key, en dus geen authenticatie.


de white paperss leggen het beter uit dan ik

[Reactie gewijzigd door xelnaha op 7 juli 2016 14:02]

Ja ik was er al achter dat ze beveiliging Řberhaupt anders benaderen. Dat is verder prima, het gaat uiteindelijk om het resultaat en dat is dat je een veilige wachtwoordendatabase hebt.
Was 2 stap authentication helemaal vergeten, als is dit ook wel een mooie manier van authentificatie
Ik durf toch beweren dat de stabiliteit en veiligheid van Windows vandaag op het niveau van Linux zit. Zowat alle problemen zijn terug te brengen naar third-party apps en daar kan je het OS niet voor verantwoordeiljk stellen.
Maar Windows ziet er UI technisch veel beter uit.
Als je de server console vergelijkt met een gui wellicht, met Compiz kan je hele mooie dingen hoor.
Moderne GUI's kunnen prima concurreren met Windows, zeker sinds Windows 8 en 10 grafisch juist veel simpeler zijn geworden ten opzichte van de voorgangers.
Op basis waarvan denk je dat 1Password veiliger is?
Ontzettend actieve support en veel updates. Maar dat blijft uiteraard een vermoeden, want dat kunnen net zo goed louter cosmetische updates zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True