Hankala virustartunta

torstaina 16. helmikuuta 2006

Tietokilpailukysymys: mikä on vaikeampaa Mac OS X:llä kuin Windowsilla? Vastaus: virustartunnan saaminen.

Monet sivustot ovat tänään uutisoineet ensimmäisen Mac OS X-viruksen löytymisestä. Vihulaisen todentaminen virukseksi on kuitenkin hieman hämärän peitossa, sillä useimpien mielestä kyseessä on vain ns. proof-of-concept troijalainen, vaikka mm. F-Secure ehtikin jo leimaamaan ötökän ihkaoikeaksi mahdoksi.

Aktivoiduttuaan ”virus” pystyy kopioimaan itsensä iChatin kautta uusiin koneisiin kun joku kaverilistan kontakteista vaihtaa statustaan. Hommassa on vain yksi juju: ohjelman aktivoimiseksi käyttäjän pitää ensin

  1. ladata ko. tiedosto (nimeltä latestpics.tgz) koneelleen
  2. avata paketti auki tuplaklikkaamalla
  3. käynnistää paketista avautuva (jpeg-tiedostolta näyttävä) ohjelma tuplaklikkaamalla
  4. ..ja jos järjestelmä on asennettu UNIX-perinteiden mukaisesti (eli normaalikäyttäjä ei ole adminkäyttäjä), ohjelman käynnistämiseksi tarvitaan myös admin-käyttäjän salasana.

Eipä ole liian helpoksi tehty tämän tartunnan saamista. Itselläni ei ainakaan vielä tullut kovinkaan suurta hinkua virustutkan asentamiseen. Vaan siltä varalta, että joku keksii käyttää samaa sosiaaliseen hakkerointiin perustuvaa kikkaa vastaavanlaisessa muodossa uudestaan, nyt on korkea aika tehdä koneelle yksi adminkäyttäjä ja alentaa oma tunnus tavalliseksi käyttäjäksi, mikäli näin ei jo ole. Tämä kepponen on hyvä esimerkki siitä, että suojaisankin järjestelmän voi saastuttaa verrattain helposti kun tietoturvareikä on käyttäjä itse.

Mistään en ole muuten löytänyt mainintaa siitä miten ko. tartunnasta pääsee eroon. Onko joku muu?

Päivitys: Symantecin sivuilta löytyy poisto-ohjeet ko. vihulaiselle.


Aiemmin Omenatarhassa

13 kommenttia

Burana kirjoitti 17.2.2006 · linkki +0 pistettä

Eli oletusasetuksilla asennettu OS X on siis kuitenkin haavoittuva?

Uninen kirjoitti 17.2.2006 · linkki +0 pistettä

Ei. Oletuksena Mac OS X:n asennus pyytää käyttäjää tekemää itselleen tavallisen käyttäjätunnuksen. Jos näin on toimittu, mitään pelättävää ei ole.

Ambrosia Softwaren foorumeilla kerrotaan lisää ko. troijalaisesta.

Haavoittuvuus tässä on iChat-ohjelmaan rakennettu ominasuus, joka mahdollistaa tiedostojen lataamisen ohjelmallisesti ilman käyttäjän interaktiota tai suostumusta. Esimerkiksi em. foorumeilla kerrotaan virheellisesti, että kyseessä ei ole haavoittuvuus, mutta koko ongelmaa ei selkeästikään olisi jos iChat toimisi fiksummin. Eli iChatin haavoittuvuus on ihan aito huoli, mutta tämä "virus" on aika säälittävä, imho.

Odotan mielenkiinnolla miten Apple reagoi tähän.

Päivitys: F-Securen infosivu ko. ötökästä sisältää väärää tietoa. Ohjelma ei lataudu käyttäjän tietämättä vaan käyttäjän pitää hyväksyä lataus. Ks. Cult of Macin juttu aiheesta. Tässähän menee itsekin sekaisin :)

PA kirjoitti 17.2.2006 · linkki +0 pistettä

En nyt muista ulkoa aivan varmaksi, mutta missäs vaiheessa tuo Mac OS X -asentaja kehotti luomaan uuden ei-ylläpitokäyttäjän, kun minusta tuntuu, ettei se tekisi näin?

Uninen kirjoitti 17.2.2006 · linkki +0 pistettä

Ainakin Tiikerin asennuksessa, jonka viimeksi tein pari kuukautta sitten, luodaan käyttäjät heti asennuksen yhteydessä. Muistaakseni ihan samalla tapaa toimi myös Pantterin asennus.

Se, että jos käyttäjiä luodessa luo pelkkiä adminkäyttäjiä, on tietysti sitten ihan toinen juttu. En löytänyt Applen tukisivuilta mitään mainintaa siitä miten käyttäjiä Applen ohjeiden mukaan kuuluisi luoda, mutta yleinen ohje (kuten jo aiemmin mainitsin) käyttäjien luomiseen UNIX-ympäristössä on se, että tavallisille käyttäjille annetaan vain tavallisten käyttäjien oikeudet. Siksi myös OS X:llä käyttäjiä luodessa uusi käyttäjä saa vain tavallisen käyttäjän oikeudet, ellei nimenomaan ole ruksittu vaihtoehtoa, että halutaan ylläpito-oikeudet myös.

T kirjoitti 17.2.2006 · linkki +0 pistettä

No en mä ainakaan ole koskaan luonut mitään muuta käyttäjää kuin sen yhden itselleni, jonka Tiikeri pyysi luomaan asennuksen yhteydessä. Näyttäisi olevan ylläpito oikeudet. Eli normaalikäyttäjän kone luultavasti saastuu helpommin kuin väität.

Pitäisi varmaan luoda toinen käyttäjä, mutta onhan se nyt aika vammaista yhden ihmisen koneelle luoda useita käyttäjiä samalla nimellä.

humppake kirjoitti 17.2.2006 · linkki +0 pistettä

Tältäkin tuo muun kuin ylläpitokäyttäjän luomista kehoittava ohjeistus on mennnyt Tiikerinkin asennuksessa ohitse, joten uskomus on, että enemmistö Tiikereistäkin pyörii ylläpitokäyttäjillä.

Muutenkin olen sinisilmäisesti olettanut, että ylläpitäjäkin merkitsisi lähinnä sudo-oikeuksia, eikä se ilman salasanan syöttöä voisi pahaa itse järjestelmälle tehdä. Ilmeisesti näin ei kuitenkaan ole, vaan ylläpitoryhmällä on suoraankin kirjoitusoikeuksia jonnekin pahaan paikkaan?

Kuinkahan tuo siten toimisi oikeaoppisen käyttäjähallinnan kanssa? Kysyisikö se aktivoituessaan ylläiptotunnusta tai voisiko se jäädä aktiivisena taustalle odottelemaan, että jostain toisesta syystäjä käyttäjä ennemmin tai myöhemmin joutuisi syöttämään ylläpitotunnuksen tiedot?

Uninen kirjoitti 17.2.2006 · linkki +0 pistettä

Voisin melkein vannoa lukeneeni jostain OS X:n manuaalista tämän "älä käytä adminkäyttäjää normaalikäytössä", mutta ehkä muistan väärin, koska en vieläkään ole löytänyt tuollaista mainintaa Applen sivuilta. Tosin, Applen kehittäjäsivuilta (?) löytyvässä dokumentissa otsikolla An Introduction to Mac OS X Security sanotaan näin:

The first account created on a Mac OS X system is an administrative account. If possible, this account should not be the account you commonly use; it should be reserved for making changes to the system and installing system-wide applications. After installing Mac OS X, go into the Users item in System Preferences create a new account without administrative access. For your common tasks, log in as that user.

T: Tuo asenteesi, että turvallinen tietokoneen käyttäminen on "vammaista" on juurikin se syy miksi Windows-maailma kärsii virusepidemiasta.

humppake: Admin saa sudolla root-oikeudet, eli jos annat salasanasi adminina oikeutesi hyppäävät kattoon. En osaa sanoa mihin kaikkeen adminilla on oikeudet ilman salasanaa, mutta niitä oikeuksia on ainakin huomattavasti enemmän kuin normaalikäyttäjällä :)

Jos käyttäjätunnukset on luotu ylläolevan Applen suosituksen mukaan, eli siis normaalikäytössä on tavallinen käyttäjä, tämä kyseinen ohjelma vaatii käynnistyessään adminin salasanaa. Ja ei, kun sitä ei anna, se ei todellakaan jää mihinkään vaanimaan. Tämä on ihan tavallinen OS X:n ohjelma, eli todellakin varsin tyhmä "virus" :)

Vielä tuosta sudo-jutusta sen verran, että joidenkin mielestä OS X:n tapa antaa sudo-komennon jälkeen tietty lisäaika kun ko. oikeudet ovat voimassa on huono juttu. Tämä tarkoittaa siis käytännössä sitä, että kun annat esimerkiksi terminaalissa sudo-komennon ja sille salasanan, voit tehdä tietyn ajan kuluessa muitakin sudo-komentoja ilman salasanaa. Periaatteessa olisi mahdollista, että jos tänä aikana käynnistät jonkun vihamielisen ohjelman, se voisi käyttää tätä lisäaikaa hyväkseen ja esimerkiksi tuhota koneesi kaikki tiedostot ilman että se kysyisi salasanaasi. Jos on paranoidi, tämän lisäajan voi poistaa yksinkertaisella toimenpiteellä, mutta kannattaa muistaa, että sen toiminta vaikuttaa myös ihan tavallisten (adminin salasanaa vaativien) ohjelmien toimintaan.

PA kirjoitti 17.2.2006 · linkki +0 pistettä

T: Tuo asenteesi, että turvallinen tietokoneen käyttäminen on ?vammaista? on juurikin se syy miksi Windows-maailma kärsii virusepidemiasta.

En usko, että T tarkoitti, että turvallinen tietokoneenkäyttö on vammaista, vaan vammaista on se, että se on tehty hankalaksi. Minusta olisi kohtuullista olettaa, että tuo toimisi läpinäkyvästi taustalla eikä käyttäjän tarvitsisi erikseen luoda itselleen kahta käyttäjätunnusta. Olisi tyylikkäämpää, jos käyttäjätunnuksensa voisi hetkellisesti tarvittaessa korottaa ylläpitäjäksi hieman sudo-tyyliin.

Näyttää myös siltä, että jos Apple vaikka tekeekin mahdolliseksi ylimääräisten käyttäjätunnusten luomisen asennuksen yhteydessä, se ei kovin selkeästi tuo esiin tämän tarkoituksenmukaisuutta, kun juuri kukaan meistä ei ole moista huomannut.

humppake kirjoitti 17.2.2006 · linkki +0 pistettä

Olen samaa mieltä siitä, että peruskäyttäjältä erillinen admin-tunnus on paljon vaadittu.

Yksi tunnus riittää muistaakseni ainakin Ubuntussa, jossa ei enää luoda erillistä root-tunnusta, vaan asennuksen yhteydessä luotu käyttäjätunnus saa sudo-oikeudet.

Pitänee tutustua tuon "viruksen" käyttämiin tiedostoihin ja korjailla oikeuksia. Esimerkiksi taannoiseen Dashboardin widgettien automaattiasennukseen auttoi kummasti, kun otti itseltä kirjoitusoikeudet pois widget-hakemistosta.

humppake kirjoitti 17.2.2006 · linkki +0 pistettä

Hum... voisinpa vastata itselleni nosta ylläpitäjän oikeuksista:

Komentokehotekomennolla "id" voi todeta, että ylläpitäjä kuuluu ryhmään admin. Admin-ryhmä on myös se määre, jolla käyttäjä saa sudo-oikeudet. Sitten vaikkapa "ls -l" komennolla voi tarkistaa, että "admin"-ryhmällä on varsin laajat suorat kirjoitusoikeudet järjestelmään (esim. /Applications/).

Sellaista tässä voisi oikeastaan kokeilla, että poistaisi itsensä ylläpitäjistä, mutta lisäisi yksittäiskäyttäjänä sudo-oikeudellisiin.

humppake kirjoitti 17.2.2006 · linkki +0 pistettä

Ei oikotietä onneen.

Vaikka sudo-puolen saakin konsolipuolella asetettua käsin yksittäiselle tunnukselle, niin graafisella puolella ylläpitäjäksi tunnistautuminen vaatii admin-ryhmään kuulumisen.

Toki yhdellä komentorivillä sitten saisi joko otettua ryhmien kirjoitusoikeudet pois tiedostoista, tai vaihta admin-ryhmän omistajissa wheel-ryhmään, mutta viimeistään levytyökalun oikeuksien korjaus palauttaa omistukset ja kirjoitusoikeudet admin-ryhmälle. Tylsää.

Jab kirjoitti 20.2.2006 · linkki +0 pistettä

Asiasta kalatalouteen, itse asensin ilmaisen virustutkan ClamXavin koneeseen jo jokin aika sitten. On melko kevyt ohjelma, itse en ole havainnut mitään oleellista käytön hidastumista peruskäytössä.

Niin, yhtään virustahan se ei tietenkään ole löytänyt, joten hiukan hölmöläisen hommalta tämä tuntuu... Mutta eipä tuosta nyt suoranaista haittaakaan ole ollut...

Suurin syy kai virustutkan käyttöön OS X:ssä tällä hetkellä on suojella niitä Windows-käyttäjätuttuja, joille saattaa toimittaa epähuomiossa Windows-viruksen lähettämällä eteenpäin pirat-- siis tarkoitan vaikkapa hauskan kiertosähköpostikirjeen.

Uninen kirjoitti 20.2.2006 · linkki +0 pistettä

Hyvä vinkki, Japi! Jotten vaikuttaisi liian välinpitämättömältä tämän tietoturva-asian suhteen, yritän saada seuraavaan podcastiin jonkun asiasta hieman enemmän tietävän kertomaan omia näkemyksiään ja jakamaan hyviä vinkkejä.

ClamXav ei varmaankaan ole huono sijoitus, ainakaan hintansa puolesta. Ja tosiaan, jos sillä onnistuu seulomaan vaikkapa vain yhden windows-ötökän, ollaan jo plussalla :)



Kommenttien muotoiluohjeet

Unessa.netOmenatarhaArkisto200602

Omenatarha on osa Unessa.net-sivustoa.
Tietoa Unessa.netin Omenatarhasta
Copyleft © 2004-2008 Ville Säävuori

Lyhyesti

Luet Unessa.netin Apple- ja Mac-aiheita käsittelevää Omenatarhablogia.

Metatietoja merkinnästä Hankala virustartunta

Julkaistu 2 vuotta, 9 kuukautta sitten lokeroon tietoturva

13 kommenttia (Kommentoi)

« edellinen | seuraava »