Ik bankier onveilig omdat ik geen anti-spyware en anti-virus gebruik.

Ze zijn daar voor het gemak maar even vergeten te vragen in hun stappenplan met WAT voor een OS je werkt.
Misschien voortaan even drie keer nadenken voordat je zo'n site maakt?

Ik zou me van dat soort tests maar niet teveel aantrekken... hooguit
even hard lachen en dan weer vrolijk verder lezen, hehe. Dit soort
sites is totaal niet van invloed op wat jij al dan niet goed zou doen
op je Mac... tenzij je via Bootcamp op Windows zit, want dan kun je
wel virussen krijgen natuurlijk

Klopt alles ? Klaar ! U kunt dan over enkele dagen veel veiliger telebankieren.

De site heeft natuurlijk wel zin.
Ik geloof in Tros-online van vorige week of de week ervoor vertelde iemand van Xs4All dat er in NL 140 000 PC rotzooi verspreiden elke dag (...en dat Vista dus veiliger was: het thema was de 'boycot' van de Consumentenbond...)
Maar ook wij dienen ons te onthouden van een aantal zaken.
hier staan een aantal zaken die voor ons ook gelden. Er staan ook Safari-tips in. In Tiger kreeg ik nooit mededelingen over een 'certificaat' : die heb ik nu wel al twee keer gehad in Leopard. Een vernieuwing bij Leopard?.
En verder: domheid, onwetendheid, klakkeloosheid, naïviteit aan de ene kant en crimineel vernuft, geldgier en snel en makkelijk rijk willen worden aan de andere kant blijven universele menselijke trekjes.

Beter laat (tot inzicht komen) dan altijd onwetend blijven.....  

tantepoes om 6:32, 6-11-2007
Hebben jullie de website 3x kloppen van de gezamelijke banken al bezocht?

Ik bankier onveilig omdat ik geen anti-spyware en anti-virus gebruik.

Ze zijn daar voor het gemak maar even vergeten te vragen in hun stappenplan met WAT voor een OS je werkt.
Misschien voortaan even drie keer nadenken voordat je zo'n site maakt?

Ehm, niet zo hoog van de toren blazen.

http://www.heise-security.co.uk/articles/98120

En wat te denken van OpenSource implementaties die in MacOS X worden gebruikt welke voor een groot deel outdated zijn? Van veel lekken is al inmiddels publiekelijk bekend hoe deze te (mis/ge)bruiken zijn zijn.

Om nog maar te zwijgen van Safari die altijd (in de achtergrond) de volgende programma's opstart: Adresboek, iChat, Script Editor, Woordenboek, Help Viewer, iCal, Keynote, Mail, Quicktime Player, Sherlock, Terminal, BOMArchiveHelper (ZIP/UNZIP), Preview en DiskImageMounter. Fouten in genoemde onderdelen kunnen vanuit Safari worden 'benut'.

Wat te denken van:

<SCRIPT LANGUAGE="JavaScript"><!--
 var re = new RegExp("[[**]] [[**]] [[**]] [[**]]... [[**]]");
</script>

Hoe denk je dat de iPhone is gehacked? iPhone draait met MacOS X en Safari... Hoe denk je dat Leopard is gehacked en draait op een gewone Intel Core 2 Hewlett-Packard PC? Hoe denk je dat de Apple-TV gehacked is? Omdat MacOS X zo ongekend veilig is?

Of wat te denken van een Heap-overflow:

<SCRIPT LANGUAGE="JavaScript"><!--
 var re = new RegExp("(?P<a>)(?P>a){3}(?P)(?P>b){3}");
</script>

En je kunt leuke dingen in MacOS X doen, gewoon... dankzij Safari en verouderde halfbakken implementaties van OpenSource toepassingen. Zo up-to-date is MacOS X behalve dan de GUI nou ook weer niet.

En dan niet vergeten dat dankzij de MacOS X Registry (ja, ja... die hebben we) je een systeem netjes kunt ontwrichten of zelfs kunt overnemen. De naam van de boosdoener? NetInfoDatabase.

Ik vindt het echt prachtig om te zien hoe naïef de Apple-gemeenschap is. Als ik een heel slecht moraal zou hebben, dan zou ik bijna zelf een virus schrijven dat je keychain-database doorstuurt of je Mac medogenloos 'molt' door de Kernel een paar bitjes te 'corrumperen'.

Apple is het meest C00lE platform ter wereld. Maar de gebruikers, man-o-man... Wist je dat je middels een hack de DNS kunt omleiden van MacOS X? Een DNS omleiden betekend eenvoudig een gebruiker naar fake-sites kunnen leiden zonder dat deze het doorheeft. In geen der versies van MacOS X kan een gebruiker de instelling 'resetten'. Tot en met Tiger krijg je in MacOS X niet eens te zien dat je wordt misleidt. Dat lijkt me toch een reeel gevaar?

Het enige dat de Apple gemeenschap redt is volgens mij de goedheid der Unix-specialisten, -Geeks en -Hackers. Op een of andere manier hebben deze, ook diverse Linux-goeroes vaak enige symphatie voor Apple. Maar echt waterdicht, Apple MacOS X ?  

Maar goed, let maar op. Het begin is DNS-spoofing en wat onschuldige scriptjes. Ik durf er een MacBook voor te verwedden dat het niet lang gaat duren eer we een wat serieuzere bedreiging zullen zien.

Dus die waarschuwing van de banken, is niet geheel op gebakken lucht gebasseerd. Vanaf MacOS X Leopard moet ik eigenlijk op zoek naar een goedwerkende Firewall. Want vanaf 10.5 werkt ie gewoon niet goed meer en is zo lek als een mandje. Safari is inmiddels zo groot en bulky dat je gewoon net als bij IE niet goed weet wat er eigenlijk zoal niet mis kan gaan.

Wat me opvalt zijn de vele crashes bij Java Script-sites in Safari 3. Maar goed, mischien zit ik gewoon te diep in de materie en zie ik spoken die de gewone gebruiker niet ziet.

Er is een lichtpuntje: Apple heeft de AES-encryptie opgeschroefd van 128bit naar 256bit. Ze begrepen waarschijnlijk zelf ook wel dat 128bit een beetje 'outdated' begon te geraken.

Groet,

Doc  

Exploits zijn niet exploits, een exploit (zoals die oude bugs waar jij naar verwijst) zijn in bijn 99% van de gevallen niet eens remote uitvoerbaar, alleen als je rechtstreeks op de console zit. Als je console toegang hebt op een systeem dan is alles te hacken.

Het voordeel bij OSX is dat het gewoon heel veel moeite kost

mag ik jou bankpas ff lenen dan kan ik die laptop zelf halen  

011010100110010100100000010100000110110111101100100011001010010000001101000011001010110001000100000011010010110101100

macossie om 13:00, 6-11-2007
@Doctor Apple

mag ik jou bankpas ff lenen dan kan ik die laptop zelf halen  

0110101001100101001010010000001101000011001010110001000100000011010010110101100

Kijk: daar wordt ik gelukkig van... Mede-mekkers die denken  

Dat mag, ik heb 12 bankpasjes... Nu nog het juiste pasummer. Mischien moet ik maar es een wedstrijd uitschrijven... Zal es intern overleggen. Zie wat leuke mogelijkheden. Zoals: hack the MacBook. Degene die hem kraakt die mag hem hebben   ...

Anyways: erg scherp MacOSSIE  

Groet,

Doc  

KJ om 12:48, 6-11-2007
@Doctor Apple:
Sorry maar toch even ingrijpen hier, lopen verkondigen dat de NetInfo database gelijk is aan een Registry zoals we die kennen uit de Windows wereld is klinklare onzin. Een beetje een geval van de klok horen luiden maar niet weten waar de klepel hangt. De enige overeenkomst tussen die 2 is dat er systeminfo in wordt opgeslagen maar daar houd dan ook zo'n beetje iedere vergelijking op. Als ik bijvoorbeeld Logic Pro installeer schrijft hij zijn applicatie info netjes weg in plist file en blijft verre van de netinfo DB.

Exploits zijn niet exploits, een exploit (zoals die oude bugs waar jij naar verwijst) zijn in bijn 99% van de gevallen niet eens remote uitvoerbaar, alleen als je rechtstreeks op de console zit. Als je console toegang hebt op een systeem dan is alles te hacken.

Het voordeel bij OSX is dat het gewoon heel veel moeite kost

Wat betreft de 'NetInfo Database'. Oorspronkelijk is dat inderdaad de bedoeling geweest. Toch is het erg verleidelijk om andere zaken in de NetInfo database weg te schrijven of op plekken in het FS die eigenlijk helemaal niet bedoeld zijn voor toepassingen. En laten we wel wezen. Er komen met de dag meer hacks uit voor MacOS X. Hacks om de GUI aan te passen, 'verborgen' features te activeren en om software te beveiligen.

Kijk maar trouwens eens voor de grap waar menig toepassing zijn data opslaat. Echt niet dat alle toepassingen ~/Library/Prefrences nog gebruiken. Soms in de .Application-folder zelf, maar intussen ben ik er toch zeker een paar tegengekomen die op de meest vreemde locaties zaken opslaan.

Hoe dan ook, ik heb - zeker met de slecht functionerende FireWall in 10.5 - een wat minder veilig gevoel bij MacOS X Leopard. Het is iig geen Leopard Tank. En dat had ik toch gehoopt. Overigens vraag ik me af hoe eenvoudig het leven van Mac-gebruikers lastig gemaakt kan worden.

Wat ik nogal eng vind is dat Safari veilige bestanden automatisch opent bij het downloaden. Natuurlijk vraagt de finder je ook nog een keer of je het zeker bent dat je het vers gedownloade bestand wilt openen. Maar ja.

Ik heb enige weken geleden voor de lol eens gewerkt met door Safari als veilig gewaande bestanden waarin (met opzet) de code dusdanig was gemodificeerd dat deze als zijnde een terminal-commando werd uitgevoerd. Tot mijn stomme verbazing foutloos.

Nu is dit slechts een alpha-stadium test en ik ben zeker niet van voornemens om op een forum precies te gaan uitleggen hoe het werkt. Script-kiddies lezen ook Fora   . Verplaatsen van relatief onschuldige bestanden (.plists) en het 'compileren' van scripts ging zonder root-rechten.

Probeer maar eens een chmod 555 vanaf de terminal op te geven: geen wachtwoord komt eraan te pas... Ook niet als deze 'op de achtergrond' vanuit Safari wordt opgestart. En dat is dus het gevaar. Je hoeft het niet eens door te hebben dat een script je Mac enigszins openstelt voor 'bezoekers'.

Het vervelende bij MacOS X is dat er verschillende plekken zijn ontstaan waar toepassingen hun data opslaan. En daar gaat de vergelijking met Windows inmiddels wel op. Zo erg zelfs, dat het intussen welliswaar drag-and-drop is voor wat betreft de installatie. Maar probeer eens een toepassingen VOLLEDIG, met elk denkbaar .plist-bestand of andere data gerelateerd aan te toepassing te verwijderen. Zal je nog vies tegenvallen.

Doctor Apple om 14:44, 6-11-2007

Wat betreft de 'NetInfo Database'. Oorspronkelijk is dat inderdaad de bedoeling geweest. Toch is het erg verleidelijk om andere zaken in de NetInfo database weg te schrijven of op plekken in het FS die eigenlijk helemaal niet bedoeld zijn voor toepassingen. En laten we wel wezen. Er komen met de dag meer hacks uit voor MacOS X. Hacks om de GUI aan te passen, 'verborgen' features te activeren en om software te beveiligen.

euh nee... vertel mij dan eens waarom een applicatie wat wegschrijft in de netinfo db? Tenzij dit natuurlijk door het OS wordt voorgeschreven. In Netinfo staat alleen maar system info. Dat applicaties op plekken schrijven waar ze niets te zoeken hebben is absoluut geen bug of exploit, als jij dit toestaat dan mag dat rustig. Ik ken geen enkel OS waar dit niet kan, zolang je maar de juiste rechten hebt.

Kijk maar trouwens eens voor de grap waar menig toepassing zijn data opslaat. Echt niet dat alle toepassingen ~/Library/Prefrences nog gebruiken. Soms in de .Application-folder zelf, maar intussen ben ik er toch zeker een paar tegengekomen die op de meest vreemde locaties zaken opslaan.

Wederom, wat heeft dit met de security van OSX te maken, een tegen lompe applicaties kun je haast niet beveiligen, zeker niet als degene die ze installeerd ook nog veel rechten heeft. Altijd bij een installer kijken met appletje-i wat hij waar wegschrijft, dat is het mooie aan de installer op OSX.

Hoe dan ook, ik heb - zeker met de slecht functionerende FireWall in 10.5 - een wat minder veilig gevoel bij MacOS X Leopard. Het is iig geen Leopard Tank. En dat had ik toch gehoopt. Overigens vraag ik me af hoe eenvoudig het leven van Mac-gebruikers lastig gemaakt kan worden.

Ik heb enige weken geleden voor de lol eens gewerkt met door Safari als veilig gewaande bestanden waarin (met opzet) de code dusdanig was gemodificeerd dat deze als zijnde een terminal-commando werd uitgevoerd. Tot mijn stomme verbazing foutloos.

sorry maar ik volg je even niet, je zegt dat je een bug is OSX het gevonden waardoor je onbewust shell commando's kunt afvuren? Lijkt me enigzins onmogelijk omdat Safari op OSX is gesandboxed, maar wederom, als je als gebruiker een gedownload script opstart ja dan kan alles. Dat valt niet echt te beveiligen toch?

Nu is dit slechts een alpha-stadium test en ik ben zeker niet van voornemens om op een forum precies te gaan uitleggen hoe het werkt. Script-kiddies lezen ook Fora   . Verplaatsen van relatief onschuldige bestanden (.plists) en het 'compileren' van scripts ging zonder root-rechten.

ik ben geen programmeur maar een script hoef je niet te compileren en als je toch iets met gcc wilt compileren ja dat kan zonder root rechten, ik zie daar niet echt een security lek in? Wat is trouwens je punt met het verplaatsen .plist bestanden? Ik begrijp daar niet echt wat je bedoelt?

Probeer maar eens een chmod 555 vanaf de terminal op te geven: geen wachtwoord komt eraan te pas... Ook niet als deze 'op de achtergrond' vanuit Safari wordt opgestart. En dat is dus het gevaar. Je hoeft het niet eens door te hebben dat een script je Mac enigszins openstelt voor 'bezoekers'.

nee maar chmod 555 is ook niet echt gevaarlijk, je maakt een bestand executable voor iedereen en ja als de owner bent van dat bestand mag dat. Lijkt me prima in orde en bovendien als je in de terminal rommelt zonder te weten wat je doet dan is dat vragen om problemen.

Het vervelende bij MacOS X is dat er verschillende plekken zijn ontstaan waar toepassingen hun data opslaan. En daar gaat de vergelijking met Windows inmiddels wel op. Zo erg zelfs, dat het intussen welliswaar drag-and-drop is voor wat betreft de installatie. Maar probeer eens een toepassingen VOLLEDIG, met elk denkbaar .plist-bestand of andere data gerelateerd aan te toepassing te verwijderen. Zal je nog vies tegenvallen.

Ik zie niet in waarom je alles wilt verwijderen, we hebben het over bestanden die achter blijven die totaal onschadelijk zijn en slechts een paar kb groot zijn. Maar als je toch graag iets wilt of moet verwijderen start dan gewoon weer de installer op en druk op appletje-i om exact te zijn wat hij installeerd.

Punt is dat zodra je met een admin code inlogt alles al kunt wijzigen, dus alle bagger kunt installeren die je maar wilt. Als je echt secure wilt werker log dan niet in met een admin code, installeer zelden programma's, wees bewust waar je je wachtwoord voor invoerd en installeer alleen van vertrouwde leveranciers software.

Tegen onwetende en/of domme gebruikers is niet te beveiligen en dat kun Apple (of iedere leverancier) ook niet aanrekenen.

KJ om 17:59, 6-11-2007

Citaat

Ik heb enige weken geleden voor de lol eens gewerkt met door Safari als veilig gewaande bestanden waarin (met opzet) de code dusdanig was gemodificeerd dat deze als zijnde een terminal-commando werd uitgevoerd. Tot mijn stomme verbazing foutloos.

sorry maar ik volg je even niet, je zegt dat je een bug is OSX het gevonden waardoor je onbewust shell commando's kunt afvuren? Lijkt me enigzins onmogelijk omdat Safari op OSX is gesandboxed, maar wederom, als je als gebruiker een gedownload script opstart ja dan kan alles. Dat valt niet echt te beveiligen toch?

Goed, laten we eens aannemen dat een hack niet uit een 'handeling', maar uit meerdere opeenvolgende handelingen bestaat. Stel nu dat:

Gebruiker X download een bestand Z001.sh, bestand Z001.command is een gecorrumpeer video-bestand dat dusdanig is gemodificeerd dat het welliswaar lijkt op een MOV-bestand, maar dat het feitelijk een 'louge' stukje code (gecompileerd of Shell-script) bevat.

Gebruiker X bezoekt diverse sites, waaronder een die hem zegt dat hij een nieuwe video codec moet downloaden om de video te bekijken of dat hij flash/shockwave moet updaten. De gebruiker klikt feitelijk voor akkoord voor het uitvoeren van een klein script. Het enige dat dit script doet is een bestand met naam Z001.sh voorzien van rechten om deze uit te mogen voeren (executable maken). Of erger: er wordt een stukje software, gratis muziek of video aangeboden in 'Internet Savvy' DMG-formaat. Safari vraagt of je het bestand wilt downloaden, maar verder... Als het een internet-savvy DMG-bestand is, is het mogelijk dat Safari het DMG-bestand automatisch zal proberen te mounten. Et Voila: dat is precies het meest zwakke momentum. De verdere werking zal ik hier niet beschrijven. MAar het is me gelukt om middels het mechanisme louge code ten uitvoering te brengen.

Het is een tweetrapsrakket. Maar zeer doeltreffend. En ja, de gebruiker is daarbij funest. Maar door de gebruiker te misleiden is het dus een gevaarlijk mechanisme. Outlook gebruikers op Windows hebben niet een keer een virus de wereld in geholpen door als een klik-geit overal maar op te klikken en elk bestand te openen.

Gebruikers blijven gebruikers. Maar MacOS X is daardoor niet wezenlijk veiliger dan Windows Vista. Want met het huidige beveiligingsmodel van Windows Vista is het ook niet zo gemakkelijk om het OS te hacken. Er is veel meer interactie van gebruikers nodig. En op dat niveau zit MacOS X.

ik ben geen programmeur maar een script hoef je niet te compileren en als je toch iets met gcc wilt compileren ja dat kan zonder root rechten, ik zie daar niet echt een security lek in? Wat is trouwens je punt met het verplaatsen .plist bestanden? Ik begrijp daar niet echt wat je bedoelt?

Maar een script zul je wel executable moeten maken. Als het eenmaal de bit 555 of iets dergelijks heeft, dan kun je alles...

nee maar chmod 555 is ook niet echt gevaarlijk, je maakt een bestand executable voor iedereen en ja als de owner bent van dat bestand mag dat. Lijkt me prima in orde en bovendien als je in de terminal rommelt zonder te weten wat je doet dan is dat vragen om problemen.

Het probleem is dat je niet perse in de terminal hoeft te rommelen, dat is dus ook mogelijk vanuit verschillende API's maar erger nog: ook vanuit Safari. Voorwaarde is wel dat een bestand executable is. Wellicht is er een andere weg, maar die heb ik (nog) niet werkende gekregen.

Tegen onwetende en/of domme gebruikers is niet te beveiligen en dat kun Apple (of iedere leverancier) ook niet aanrekenen.

Eens, maar een afweging veiligheid/gebruiksgemak mag wat mij betreft soms in het voordeel van veiligheid worden doorgetrokken. Blunders zoals die met de Firewall daargelaten. Safari hoeft wat mij betreft niet de gehele poppenkast aan API's aan te roepen en in verbinding te staan met. Het zijn potentiële gevaren en op sommige gebieden is het gewoon al een open deur.

Op dit gebied blaast Apple erg hoog van de toren, maar zo beduidend beter dan Microsoft Windows Vista is de beveiliging nu ook weer niet.

Je snapt mijn punt niet helemaal. Ik erger mij er aan dat bij dit soort akties er van de grootste gemene deler wordt uitgegaan.

(Bewerkt door tantepoes om 22:14, 7-11-2007)

KJ om 17:59, 6-11-2007
Tegen onwetende en/of domme gebruikers is niet te beveiligen en dat kun Apple (of iedere leverancier) ook niet aanrekenen.

En dat is precies waar de campagne "3x kloppen" nou over gaat, bewustwording bij de gebruikers.

En laten wij als osx gebruikers wel kritisch blijven om zo de reputatie te behouden, want ik ben het wel met Doc eens dat wat niet is nog wel kan komen, wellicht niet op OS niveau maar juist applicaties brengen gaten met zich mee. Denk bijvoorbeeld aan Skype, dit had net zo goed op OSX gewerkt.

tantepoes om 6:26, 7-11-2007
@ Doctor Apple:

Ehm, niet zo hoog van de toren blazen.

Je snapt mijn punt niet helemaal. Ik erger mij er bij dit soort van de grootste gemende deler wordt uitgegaan.

Dan mijn oprecht excuus Tantepoes...

Doc  

De 'oude' firewall van Tiger (ipfw) bestaat nog wel degelijk in Leopard maar er is voor zover 'k weet (en kan het zelf niet checken ... want geen Leopard) geen GUI interface meer voor het ding. Er zijn natuurlijk wel hulpjes voor de ipfw firewall zoals WaterRoof e.d.[/news]

(Bewerkt door TLM om 18:14, 7-11-2007)

TLM om 18:14, 7-11-2007
De 'oude' firewall van Tiger (ipfw) bestaat nog wel degelijk in Leopard maar er is voor zover 'k weet (en kan het zelf niet checken ... want geen Leopard) geen GUI interface meer voor het ding.

Klopt inderdaad, ik heb 'm tenminste niet kunnen vinden...[/news]