Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Unsecuring MacOS

21-11-2018, 17:26 door Anoniem, 0 reacties
MacOS / Mac OS X is een best veilig systeem.
Heel prettig daarbij is dat malware makers het niet de moeite vinden om malware te schrijven, teveel werk vermoedelijk tot het bereik.
Daarbij komt dat het systeem jaarlijks/ 2 jaarlijks behoorlijke wijzigingen ondergaat wat betekent dat je als malware maker vermoedelijk MacOs er niet even bij kan doen maar het moet bijhouden.

Er is wel een keerzijde.
Juist omdat MacOs die dubbele naam heeft veilig te zijn (relatief solide en weinig malware) is het enorm interessant voor onderzoekers te kijken of ze gaatjes en oneffenheden kunnen vinden in MacOS.
Als dat lukt je je namelijk qua publiciteit een driedubbel kwadratische hoeveelheid aandacht in de pers gegarandeerd.
Gratis aandacht, dubbelveel ook nog, dat wil iedereen!
Een belangrijke motivatie om MacOs onder het vergrootglas te leggen.

Als we nou eens kijken naar het soort aandacht dat MacOs krijgt vanuit aanvallers, dan valt er iets op.
Het lijkt er allang op dat eigenlijk de voornaamste, beste en meest veelgebruikte manier om MacOs aan te vallen is via apps.

Enerzijds doordat social engineering heel goed werkt via app installatie om admin rechten te verkrijgen, anderzijds door het gebruik van apps of code om bepaalde functionaliteit onder MacOS MacOS X werkend te krijgen.
Dat kan assistent software zijn als Homebrew en Wine maar niet zelden betreft het ook kant en klare apps met functionaliteit die dwars door de security lagen van MacOS MacOS X kan breken.
Denk maar aan filesharing programma's, zet maar open die verbinding!
Programma's als Dropbox of Teamviewer zouden zich er ook goed voor kunnen lenen.

Toevallig kom ik er vandaag 1 tegen die ik nog niet kende.
Eentje met een hoog kijk-eens-wat-superhandig-wat-kan-hier-nou-misgaan-gehalte !

"Unclutter Clipboard" *

Unclutter Clipboard extends your Mac’s clipboard with the history of recently copied clips.
It’s like a Time Machine for "copy paste".
Wow! Handig! .. ??

Clipboard History keeps track of everything you copy into
your Mac's clipboard. You can browse the list of recent clips
and recall any of them.

The history of clips is retained even if you relaunch Unclutter
or reboot the system.
What the #### ?!!!

Ik weet niet hoe het met jouw gebruik van je clipboard zit (OS onafhankelijk) maar als we het over security hebben is een belangrijk vergeten itempje juist dat clipboard!
Je wil ergens inloggen, kopieert je password vanuit je keychain of andere veilige plek waar je het had opgeslagen en gaat na de paste vrolijk verder met waar je mee bezig was.
Niet denkende aan het feit dat al die tijd dat password nog onder je paste-geheugen aanwezig is en daar zou kunnen worden weggekaapt.

Een manier om dat te voorkomen is na je copy/paste actie even iets nutteloos te kopiëren zodat dat password niet meer in het geheugen zwerft.
Een andere manier is natuurlijk je browser passwords te laten onthouden of zelfs toegang te geven tot je keychain maar daar ben ik vanuit security standpunt al helemaal geen voorstander van.

Je snapt inmiddels de uitroep en vraagtekens wel bij een zogenaamde app als "Unclutter Clipboard", met het bewaren van alles wat je knipte en plakte ontstaat er een belangrijk gat in je defence als het gaat om veiligheid (passwords) en privacy (het opheffen van scheiding van taken door alle activiteiten te bewaren in een historisch overzicht dat geen einde kent).

Als je je in het geheel niet druk maakt over veiligheid en privacy is een dergelijke app natuurlijk heel handig (zeker weten?).
Maar als ik een malware maker was, of een geïnteresseerde targeted attacker (misbruiker of iemand die hacksoftware ontwikkelt of dat inkoopt) dan zou ik wel weten welk appje ik stiekem op het target systeem zou proberen te krijgen, het is maar 7 mb en je krijgt er (als misbruiker) een hoop voor terug.
Draait het ook lokaal vanuit de downloads map? Helemaal geweldig!
Filesharing app of p2p appje erbij en binnenhalen maar.

Gelukkig gaat dat niet zonder slag of stoot onder MacOs, meewerking van de gebruiker is meestal wel vereist, maar apps' installeren die haaks staan op een elementaire privacy en security wijsheid kan vragen zijn om moeilijkheden.
Bewaar en onthoud geen dingen die je niet nodig hebt als daarvan misbruik kan worden gemaakt door derden.
Start je Mac daarom af en toe opnieuw op zodat ze zichzelf wat kan opfrissen.
Maar installeren dan geen app's die het automatische opfrissen van MacOs doorkruisen!

Wees conservatief (terughoudend) met nieuwe apps of apps die zeggen handig te zijn :

- Bedenk ook wat de nadelen van een app zou kunnen zijn, concreet : wat is het voordeel voor de andere partij ?

- Bedenk test en kijk of de app voldoende veiligheid biedt voor vergissingen.
Unclutter app heb ik niet kunnen proberen omwillen van het moeten emailen om een activatiecode (dat helpt alweer), maar in de bron van de app zie ik facebook, twitter en dropbox voorbij komen wat zou kunnen duiden op integratie van functionaliteit.
Intergratie die om nadere bestudering vraagt bij elke app, per ongeluk iets publiceren wat je liever niet had gewild komt nogal eens voor, als een app je daarbij handig hielp is het misschien het soort handigheid dat je ten alle tijde juist wil vermijden.
Check het en pas er voor op.

- Test de app eerst eens vanaf je desktop in plaats van haar direct naar je applications map te slepen (password vereist)

- Bedenk of het logisch is dat een app je admin password wil als je haar gaat gebruiken (soms een extra pop up vraag)

- Pas helemaal op met packages als pkg of mpkg waarvan je helemaal niet kan overzien wat het allemaal voor code installeert en dus niet weet hoe je die code er weer makkelijk af krijgt (niet!)

- Download die apps vanuit de app store

- Als je ze ergens anders vandaan haalt bedenk dan wel dat je de app zelf zal moeten controleren, hoe?, ga op zoek naar reviews op diverse websites, kijk of er een sha code te vinden is zodat je de download kan controleren.

- Pas op voor extraatjes, want in de extraatjes, een extra schil om de download zit vaak adware verstopt.
Malware voor de mac valt reuze mee, dat kom je zelden tegen, maar adware kan ook heel vervelend zijn en heb je per omgaande te pakken als je de aap van een andere (niet maker/niet itunes appstore) website trekt. **

- ... '?'

Handig, handig, handig : een lievelingswoord van app makers, advertentieverkopers, bepaalde app malafide app recyclers en sommige politici met sleepagenda's, maar een levensgevaarlijk woord voor je privacy en security defense!

Argument Handig mag inmiddels bijna net zo misleidend worden beschouwd als het argument voor het verhogen van de klantbeleving, pas er mee op (ook onder iOS!).

Niet de enige!

Tot slot, deze app, ik heb voor de duidelijkheid niets tegen de ontwikkelaar ervan, ik gebruikte haar als voorbeeld omdat de handigheid er een is met twee verschillende kanten en er een alarmbel ging rinkelen bij het lezen van de specificatie.
Naast deze zijn meer apps waar je op dergelijke wijze vraagtekens kan stellen, Firefox had bijvoorbeeld een twijfelachtige variatie op dit soort delen, het eenvoudig uploaden van te maken screenshots.
Ook een screenshot kan ongewild veel meer informatie bevatten dan je wil delen en ook dan kan handig ineens dramatische gevolgen hebben.
Firefox heeft ook een ESR versie waar dit soort handige rommeltjes niet in zitten : wat er niet in zit kan ook niet worden misbruikt.

Handig of niet handig, dat is de interessante vraag, pas goed op!


* https://unclutterapp.com/panels/clipboard/
** Macupdate gecontroleerd voor de vorm en de zip download (zonder desktopapp zonder sha opgave) heeft zowaar dezelfde sha1 uitkomst als de download van unclutter website (waar ook geen sha opgave te vinden was en je dus niet weet wat je downloadt en installeert).

# Complicerende factor bij app beoordeling : hoe weet je of de gebruikte frameworks in de app wel up to date zijn, Sparkle framework zelf bijvoorbeeld, dat is niet altijd het geval.
Handmatig kijken kan een hele klus zijn afhankelijk van het aantal gebruikte extra frameworks in een app, sommigen vinden het heerlijk om er ruim op te drijven.
De datum van de files kan een indicatie zijn, maar of het een goede is waag ik te betwijfelen.
Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.