Mac OS X worm bewijst slechte beveiliging Apple
Een virusschrijver heeft voor Apple fans die nog steeds geloven dat het besturingssysteem onkwetsbaar is een werkende worm geschreven. "Apple maakt leuke computers, maar stop met het negeren van de realiteit," zo laat de anonieme wormmaker op zijn weblog weten.
De worm kan zich verspreiden door een ongepatcht beveiligingslek in mDNSResponder, een onderdeel van Apple's Bonjour netwerkconfiguratie service. In mei dichtte Apple al een lek in de service, maar heeft nog een hoop gaten over het hoofd gezien. "Feit blijft dat Apple verschrikkelijk werk heeft afgeleverd met het patchen van deze package."
Veel details over de exploit of de worm wilde de malware auteur niet geven, behalve dat het een werkende, geautomatiseerde worm met payload is. "Het moeilijkste gedeelte is het vinden van de bug. Eenmaal gevonden, is het erg eenvoudig te misbruiken." En niet alleen de wormschrijver, ook onderzoeker Dave Aitel vindt OS X verschrikkelijk onveilig.
Reacties (23)
18-07-2007, 11:02 door
SirDice
Ehmmm... Door het "betere" ontwerp kon dit toch niet?
Als het kunnen vinden van een lek en het maken van een worm
maatgevend is voor slechte beveiliging van een OS, ken ik
een ander OS wat dan vele malen slechter scoort qua beveiliging.
Als er een lek wordt gevonden in OS-X is het "een slecht
beveiligd OS". Als er in lek wordt gevonden in Windows (ook
vervelend) hoort dat schijnbaar bij dat OS. Er wordt
duidelijk met 2 maten gemeten.
OS-X zit qua beveiliging (*nix gebaseerd) duidelijk beter in
elkaar.
Software wordt door mensen gemaakt, mensen maken fouten, dus
software bevat fouten.
Gebruik nu ruim 3 jaar OS-X en ik wil nooit meer terug naar
Windows. Mijn servers draaien al jaren *nix (FreeBSD en
OpenBSD).
Burgh
maatgevend is voor slechte beveiliging van een OS, ken ik
een ander OS wat dan vele malen slechter scoort qua beveiliging.
Als er een lek wordt gevonden in OS-X is het "een slecht
beveiligd OS". Als er in lek wordt gevonden in Windows (ook
vervelend) hoort dat schijnbaar bij dat OS. Er wordt
duidelijk met 2 maten gemeten.
OS-X zit qua beveiliging (*nix gebaseerd) duidelijk beter in
elkaar.
Software wordt door mensen gemaakt, mensen maken fouten, dus
software bevat fouten.
Gebruik nu ruim 3 jaar OS-X en ik wil nooit meer terug naar
Windows. Mijn servers draaien al jaren *nix (FreeBSD en
OpenBSD).
Burgh
Je kan uit de links en de bugtraq entry niet eens opmaken op
de exploit effectief bestaat.
de exploit effectief bestaat.
18-07-2007, 11:44 door
SirDice
Door deej
Je kan uit de links en de bugtraq entry niet eens opmaken op de exploit effectief bestaat.
http://www.securityfocus.com/bid/24924Je kan uit de links en de bugtraq entry niet eens opmaken op de exploit effectief bestaat.
Ga er maar vanuit dat als er een BID is er dus ook een bug is.
Als er een lek wordt gevonden in OS-X is het "een slecht beveiligd OS".
Ik heb nooit beweerd dat OS-X een slecht beveiligd OS is. Ik begrijp alleen dat struisvogel gedrag niet van de meeste OS-X gebruikers. De meeste wanen zich onkwetsbaar. Dit geeft toch duidelijk aan dat dat dus een illusie is.OS-X zit qua beveiliging (*nix gebaseerd) duidelijk beter in elkaar.
En welke ui draait mDNSresponder op root? Ja hoor, het zit beter in elkaar. Doh! Als er een Windows service op SYSTEM draait dan word je daarop afgerekend. Wat is het verschil met dit dan?Overigens ben ik zelf al jaren FreeBSD gebruiker maar ik heb niet de illusie dat ik daardoor onkwetsbaar ben. Ook FreeBSD heeft z'n problemen. Het gaat erom dat je dat onderkent zodat je er op kan anticiperen.
Ik ben na jarenlang windows admin te zijn geweest, na 2 dagen een mac
gebruikt te hebben meteen volledig overgestapt. systeem zit security wijs
heel goed in elkaar, maar het bonjour protocol heb ik altijd al een slecht idee
gevonden en heb ik daarom altijd disabled... gebruik het toch nergens voor.
maar goed ze hebben dus een remotely exploitable bug gevonden in Mac
os X .. goed werk... ik heb nooit gedacht dat het onmogelijk was, en altijd al
verwacht dat het in bonjour zou zitten. ik ben benieuwd hoeveel jaar het
duurt voordat er nog een gevonden word.
enneuh ... hoeveel critical bugs hebben we disndag moeten patchen op
windows ?.. en hoeveel de maand daarvoor ? en daarvoor ?
gebruikt te hebben meteen volledig overgestapt. systeem zit security wijs
heel goed in elkaar, maar het bonjour protocol heb ik altijd al een slecht idee
gevonden en heb ik daarom altijd disabled... gebruik het toch nergens voor.
maar goed ze hebben dus een remotely exploitable bug gevonden in Mac
os X .. goed werk... ik heb nooit gedacht dat het onmogelijk was, en altijd al
verwacht dat het in bonjour zou zitten. ik ben benieuwd hoeveel jaar het
duurt voordat er nog een gevonden word.
enneuh ... hoeveel critical bugs hebben we disndag moeten patchen op
windows ?.. en hoeveel de maand daarvoor ? en daarvoor ?
18-07-2007, 12:05 door
SirDice
Ok.. Deze is remote exploitable. Prachtig.. Maar niet echt noodzakelijk voor een goede worm. Ik haal het keer op keer weer aan maar er is geen enkele reden en geen enkel "beter" ontwerp wat wormen als MyDoom en Bagle tegenhoud. Het is alleen een kwestie van tijd en aantallen.
Het is toch wel zielig dat WIndows-mensen altijd naar
anderen moeten wijzen dat die ook kwetsbaar zijn. Echt heel
zielig.
Het is duidelijk dat er met twee maten gemeten wordt, we
verwachten inmiddels dat Microsoft een OS vol gaten
aflevert. 300.000 stuks malware voor Windows bewijst dat.
Als Mac-gebruiker ben ik blij dat er mensen zijn die OS X
aan een onderzoek onderwerpen, al zouden ze op een minder
spectaculaire (lees: aandachtvragerige, drammerige) wijze de
publiciteit mogen zoeken. Ik geloof ook niet dat ik
onkwetsbaar ben, hoogstens dat ik minder kwetsbaar ben.
anderen moeten wijzen dat die ook kwetsbaar zijn. Echt heel
zielig.
Het is duidelijk dat er met twee maten gemeten wordt, we
verwachten inmiddels dat Microsoft een OS vol gaten
aflevert. 300.000 stuks malware voor Windows bewijst dat.
Als Mac-gebruiker ben ik blij dat er mensen zijn die OS X
aan een onderzoek onderwerpen, al zouden ze op een minder
spectaculaire (lees: aandachtvragerige, drammerige) wijze de
publiciteit mogen zoeken. Ik geloof ook niet dat ik
onkwetsbaar ben, hoogstens dat ik minder kwetsbaar ben.
18-07-2007, 13:25 door
SirDice
Door Anoniem
Het is toch wel zielig dat WIndows-mensen altijd naar anderen moeten wijzen dat die ook kwetsbaar zijn. Echt heel zielig.
En wat is het verschil met een Windows bug waarbij er zo nodig geroepen moet worden dat je maar beter Linux en/of OS-X kan installeren?Het is toch wel zielig dat WIndows-mensen altijd naar anderen moeten wijzen dat die ook kwetsbaar zijn. Echt heel zielig.
Ik geloof ook niet dat ik onkwetsbaar ben, hoogstens dat ik minder kwetsbaar ben.
Kun jij mij dan eens uitleggen waarom jij minder kwetsbaar zou zijn voor een OS-X versie van Bagle?NB Ik ben geen voorstander van Windows en ook niet van Linux of OS-X. Ik begrijp alleen die "wij zijn beter" mentaliteit niet. Zeker niet als dat om de verkeerde redenen gebeurd. Bovendien wacht ik al jaren op iemand die mij nu eens uit kan leggen waar "zij" beter zijn.
De kwetsbaarheid in OS X is een buffer overflow (Boundary Condition
Error, zie BID hierboven). Nu kan een OS nog zo goed doordacht zijn,
kwetsbaarheden op het niveau van de broncode van het OS, wat buffer
overflows zijn, kunnen de hele beveiliging onderuit halen. Wat hier
uiteraard nog wel meespeelt is het privilege waaronder de betreffende
daemon/service draait.
Error, zie BID hierboven). Nu kan een OS nog zo goed doordacht zijn,
kwetsbaarheden op het niveau van de broncode van het OS, wat buffer
overflows zijn, kunnen de hele beveiliging onderuit halen. Wat hier
uiteraard nog wel meespeelt is het privilege waaronder de betreffende
daemon/service draait.
18-07-2007, 14:04 door
SirDice
Mee eens maar hoe beschermt OS-X zich tegen een OS-X versie van Bagle?
NB Wellicht ben je niet zo bekend met Bagle. Bagle maakt geen gebruik van kwetsbaarheden in het OS en/of de mailclient. En toch heeft'ie maanden lang in de top 10 gestaan. Zelfs nu nog staat NetSky in de top 10. Deze maakt, net als Bagle, geen misbruik van kwetsbaarheden.
Overigens zou een zelfde bug, dankzij DEP, in Windows stukken minder makkelijk te exploiten zijn dan op OS-X.
NB Wellicht ben je niet zo bekend met Bagle. Bagle maakt geen gebruik van kwetsbaarheden in het OS en/of de mailclient. En toch heeft'ie maanden lang in de top 10 gestaan. Zelfs nu nog staat NetSky in de top 10. Deze maakt, net als Bagle, geen misbruik van kwetsbaarheden.
Overigens zou een zelfde bug, dankzij DEP, in Windows stukken minder makkelijk te exploiten zijn dan op OS-X.
De "maker" van de worm heeft nog geen proof-of-concept code neergezet, of
überhaupt meer info gegeven.
Ik kan morgen ook bloggen dat ik 8 worms voor OSX in mijn thuisnetwerk
heb draaien en dat Mac OS X dus zeer vulnerable is en dat ik binnenkort
misschien met meer info kom.... :?
Het is dus niet te controleren en dus vooralsnog FUD en een poging om hits
te krijgen op zijn blog.
überhaupt meer info gegeven.
Ik kan morgen ook bloggen dat ik 8 worms voor OSX in mijn thuisnetwerk
heb draaien en dat Mac OS X dus zeer vulnerable is en dat ik binnenkort
misschien met meer info kom.... :?
Het is dus niet te controleren en dus vooralsnog FUD en een poging om hits
te krijgen op zijn blog.
Zie bij http://www.securityfocus.com/bid/24924/exploit
"A proof-of-concept exploit has been created by the discoverer, but it will not
be released in public. "
Een exploit ontwikkelen voor een buffer overflow is bepaald geen "rocket
science".
"A proof-of-concept exploit has been created by the discoverer, but it will not
be released in public. "
Een exploit ontwikkelen voor een buffer overflow is bepaald geen "rocket
science".
18-07-2007, 15:42 door
SirDice
Door Anoniem
De "maker" van de worm heeft nog geen proof-of-concept code
neergezet, of überhaupt meer info gegeven.
Fijn he, "responsible disclosure".De "maker" van de worm heeft nog geen proof-of-concept code
neergezet, of überhaupt meer info gegeven.
Vind niet dat ik me als een struisvogel gedraag. Ik kijk kritisch om me heen
en werk met een OS wat _mij_ goed ligt. Ook waan ik mij niet onkwetsbaar.
QuickTime heeft ook zo z'n aandeel in kritieke fouten (gehad).
Afgaande op de hoeveelheid virussen/spyware voor het Windows platform
(300.000?) en die voor OS-X (??) geeft OS-X mij toch een veiliger gevoel.
Burgh
en werk met een OS wat _mij_ goed ligt. Ook waan ik mij niet onkwetsbaar.
QuickTime heeft ook zo z'n aandeel in kritieke fouten (gehad).
Afgaande op de hoeveelheid virussen/spyware voor het Windows platform
(300.000?) en die voor OS-X (??) geeft OS-X mij toch een veiliger gevoel.
Burgh
Dat veilige gevoel - waar ik absoluut een beeld bij heb - heeft denk ik meer
te maken met het feit dat de meeste computers Windows draaien als OS.
Dat maakt Windows voor malwareontwikkelaars interessanter. Wat met
die mDNSResponder kwetsbaarheid is aangetoond, is dat buffer
overflows ook in OS X voorkomen, net zoals in heel veel andere software.
Laten sommige mensen daarom maar eens wat voorzichtiger zijn met
roepen dat OS X veiliger is dan Windows.
te maken met het feit dat de meeste computers Windows draaien als OS.
Dat maakt Windows voor malwareontwikkelaars interessanter. Wat met
die mDNSResponder kwetsbaarheid is aangetoond, is dat buffer
overflows ook in OS X voorkomen, net zoals in heel veel andere software.
Laten sommige mensen daarom maar eens wat voorzichtiger zijn met
roepen dat OS X veiliger is dan Windows.
Door Anoniem
Als het kunnen vinden van een lek en het maken van een worm
maatgevend is voor slechte beveiliging van een OS, ken ik
een ander OS wat dan vele malen slechter scoort qua beveiliging.
Als er een lek wordt gevonden in OS-X is het "een slecht
beveiligd OS". Als er in lek wordt gevonden in Windows (ook
vervelend) hoort dat schijnbaar bij dat OS. Er wordt
duidelijk met 2 maten gemeten.
Burgh
Als het kunnen vinden van een lek en het maken van een worm
maatgevend is voor slechte beveiliging van een OS, ken ik
een ander OS wat dan vele malen slechter scoort qua beveiliging.
Als er een lek wordt gevonden in OS-X is het "een slecht
beveiligd OS". Als er in lek wordt gevonden in Windows (ook
vervelend) hoort dat schijnbaar bij dat OS. Er wordt
duidelijk met 2 maten gemeten.
Burgh
Gezwam. Apple is geen haar beter, dat zou nou toch wel duidelijk
moeten zijn. Als Apple net zo populair was als Windows, zou je pas
echt aanvallen op Apple krijgen en zou je zien dat Apple zich ten
onrechte op de borst klopt.
Het is wel erg goedkoop om te zeggen: ja maar die ander is erger
hoor! Apple maakt gewoon zijn grote snavel niet waar. Dat is alles.
19-07-2007, 00:04 door
SirDice
Het gaat eigenlijk niet om hoeveelheden maar om kansen en percentages. Het percentage OS-X gebruikers stijgt en daarmee ook de kans dat je iets oploopt. Als de verhoudingen juist zijn gaat het een keer los. Ook op Mac, ook op Linux, ook op weet ik wat ze nog verzinnen.
Begrijp me niet verkeerd, ik vind OS-X niet slecht en Windows ook niet. Ze hebben allemaal hun plussen en minnen. Je moet daar alleen mee leren omgaan ;)
Begrijp me niet verkeerd, ik vind OS-X niet slecht en Windows ook niet. Ze hebben allemaal hun plussen en minnen. Je moet daar alleen mee leren omgaan ;)
Op Securityfocus: "A proof-of-concept exploit has been
created by the discoverer, but will not be released to the
public."
Totdat er een werkende PoC wordt gepubliceerd, geloof ik er
niks van. De hype machine doet weer eens goed zijn best.
created by the discoverer, but will not be released to the
public."
Totdat er een werkende PoC wordt gepubliceerd, geloof ik er
niks van. De hype machine doet weer eens goed zijn best.
Door Anoniem
Gezwam. Apple is geen haar beter, dat zou nou toch wel
duidelijk
moeten zijn. Als Apple net zo populair was als Windows, zou
je pas
echt aanvallen op Apple krijgen en zou je zien dat Apple
zich ten
onrechte op de borst klopt.
Dat is een achterhaald kulargument. Gezwam. Apple is geen haar beter, dat zou nou toch wel
duidelijk
moeten zijn. Als Apple net zo populair was als Windows, zou
je pas
echt aanvallen op Apple krijgen en zou je zien dat Apple
zich ten
onrechte op de borst klopt.
Er is geen correlatie aan te tonen tussen het aantal lekken
in een product en de populariteit van dat product. En daar
is door velen naar gezocht.
De enige correlatie die wel aantoonbaar is is het percentage
domme gebruikers dat een product gebruikt en de problemen
die vervolgens met dat product ontstaan. Maar dat is een
ontwikkeling die veel breder is dan alleen software.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
