Kraj jednog djetinjstva - ARDAgent exploit i trojan za Mac OS X

Luka Sučić

Objavljeno 20.06.2008. Objavio/la: Luka Sučić
U sekciji Novosti |

Mac OS X virus
Pomalo depresivan naslov i nije baš idealan početak dana. I zaista jednom sretnom djetinjstvu je kraj, kao što su jednom davno u malim sredinama ljudi polako počeli zaključavati uvijek otključana vrata svojih domova izgleda da je došlo vrijeme da odbacimo onu poznatu “Mac Zealotry” aroganciju i prihvatimo činjenicu da ipak nismo “toliko” sigurni koliko mislimo. Iako je situacija daleko od “Red Allert” stanja, indikator je nekih novih “vjetrova” koji pušu u našem (Mac OS X) smjeru. Naime nakon nedavno otkrivenog propusta u ARDAgent-u tj aplikaciji koja je zadužena za Apple Remote Desktop zahtjeve kao što su Screen Sharing, administracijski zahtjevi i slično. Svi koji su se i makar jedno susreli sa Screen Sharing ili Remote Administration na Mac OS X-u znat će o čemu govorimo. U principu radi se o jednostavnom konceptu, ARDAagent omogućava korisnicima da pomoću raznih alata kao administrator kontroliraju drugo “udaljeno” računalo. Uglavnom otkriven je sigurnosni propust koji omogućava potencijalnom napadaču da pomoću “do Shell skripte” izvrši pokretanje dodatne maliciozne skripte, a s obzirom da ARDAgent ima “setuid root” privilegije ta ista skripta dobiva iste privilegije koje mu to omogućavaju.

U prinicpu radi se o propustu kojeg je moguće iskorisiti samo u nekoliko situacija i uspjeh im ovisi o samim korisnicima tih računala jer je za sve ove radnje potrebno nekoliko puta unositi administratorsku lozinku. Što bi reklo pripazite kakve skripte skidate i pokrećete sa interneta i kome dajete “remote” pristup svom računalu.

Nije prošlo puno vremena od kad je ovaj propust otkriven i “netko” se sjetio iskorisiti ovaj pristup za izradu Trojana koji je ustvari kompilacija AppleScript-i pod nazivom ASthtv05 odnosno odnosno Installer AStht_v06 veličine 60Kb odnosno 3.1 MB. U prinicpu korisnik mora skinuti na svoje računalo spomenute skripte, pokrenuti ih i ručno im dodjeliti administratorske ovlasti. S obzirom na arhitekturu Mac OS X-a ovaj trojan nema destruktivnih ni samoreplicirajućih svojstava nego jednostavno daje pristup “napadaču”.
Postoje specifični zahtjevi koji moraju biti ispunjeni da bi ovaj exploit radio, a više o njemu kao i načinima zaštite možete pogledati ovdje.

I sada mi nekako Mac OS X Snow Leopard i priča o optimizaciji i poboljšavanju sigurnosti sistema izgleda puno primamljivije. Iako ne koristim Remote Administration na Macu baš često , svejedno nije baš lijep osjećaj potencijalne “izloženosti” napadima. Osjećaj zbog kojeg sam u krajnjem slučaju i odlučio raskrstiti sa Windows operativnim sustavima jednom za svagda. Iako je situacija daleko od alarmantne ponoviti ću još jednom, pripazite šta skidate odnosno odakle skidate AppleScript-e kao i kome dajete pristup svom računalu, jer ne postoji niti jedna efektivna zaštita protiv ljudske usudio bi se reći “gluposti”.


Tagovi: ,

 

Komentari:

12 komentara na “Kraj jednog djetinjstva - ARDAgent exploit i trojan za Mac OS X”

  1. Krešo u 11:29, 20.06.2008.

    “U prinicpu korisnik mora skinuti na svoje računalo spomenute skripte, pokrenuti ih i ručno im dodjeliti administratorske ovlasti”

    Nije mi jasan problem - od korisnika se očekuje barem minimum pažnje prilikom instalacije nečega na svoj komp. Ako instalira potpuno nepoznate programe, i još im da administratorske ovlasti, onda je zaslužio da mu neko zezne komp. Nema to veze sa MacOSX-om, ima samo veze sa korisnicima koni ne misle svojom glavom.

  2. d1a u 11:56, 20.06.2008.

    Ma nije problem Mac OSX nego zelja “hackera” da pocmu pisati ikakve maliciozne programe za ovu platrofmu. to govori da mac postaje sve pozeljniji za napade bilo kakve vrste (zbog sve veceg market sharea). Da se nekim cudom situacija preko noci okrene, da mac dobije win market share, proporcionalno tome bi dobio i svu paznju idijota koji pisu viruse, trojane i ostalu bagru. To je ono sto mene brine, market share i sve sto dolazi sa time, nije mac bogom dan, jednostavno je bio nezanimljiv do sada. Mada mislim da ce veci problem biti sa iPhone OS-om u buducnosti nego sa samim MacOS-om.

  3. bassland u 12:16, 20.06.2008.

    Da, zbog komercijalnog uspjeha i tržišne pozicije, i ja sam misšljenja da će Iphone OS ipak biti primamljivija meta napada….Al dobar si Luka, “kraj jednog djetinjstva” pa ona iskežena jabuka, skoro sam umro od smijeha, hahahahaa…

  4. Luka Sučić u 12:16, 20.06.2008.
    Luka Sučić

    Donekle se slažem sa tobom Dado, al opet iskreno se nadam da će Snow Leopard biti “impenetrable fortress” kako su ga počeli nazivati. Al opet kad pogledaš tržišni udio se povećao za samo par posto (cca 2-3) u zadnjih godinu dvije pa opet ništa od ozbiljnijih prijetnji u obliku samoreplicirajućih destruktivnih virusa. Ovakve stvari koliko god alarmante sa sobom ne nose pretjerano opasne situacije. Uglavnom koliko sam skužio exploit radi samo u slučaju da je remote administration upaljen a onaj tko ga drži upaljenim je sigurno malo više od običnog “usera” i vrlo dobro zna kako se zaštititi. Upravo na “obične” usere pisci takvih gamadi i računaju. A što se tiče iPhone-a on je sigurno zanimljiva meta, ali opet zbog spcifičnosti samog sistema mislim da nemaju puno šanse za nekom većom zarazom i opasnošću.

  5. Luka Sučić u 12:17, 20.06.2008.
    Luka Sučić

    @bass . ma pukne me nekad inspiracija ;D

  6. bassland u 12:41, 20.06.2008.

    Svaka čast, i tako sam žalostan jer mi se Feral ugasio, pa si me ovim naslovom pomalo podsjtio na njih..anyway, thnx for the goood laugh! :-)

  7. Tiberius u 15:13, 20.06.2008.

    Strasna slika! Svaka cast!

  8. Zeba u 16:47, 20.06.2008.

    Da… Feral… schmrtz! Ali slika!!! 5+

  9. aramic u 00:36, 21.06.2008.

    ne postoji niti jedna efektivna zaštita protiv ljudske usudio bi se reći “gluposti”.

    A kao što je Einstein lijepo rekao: nisam baš siguran da je svemir beskonačan, ali ljudska glupost svakako je :-)

  10. dembow u 02:57, 23.06.2008.

    virus kojeg sam trebas instalirat za mene nije virus. to je kao da te netko navede na samoubojstvo i kaze da te on ubio.

  11. igo u 09:11, 23.06.2008.

    sto je jabuka slatka… uberes je i prineses ustima da je okusis, a kad pokaze zube i hoce da te ujede… haha :D

  12. ficho u 11:41, 24.06.2008.

    Slazem se s dembowom. Ovo se nikako ne moze nazvat trojancem. Nikako.

Ostavi komentar




Pretplati se na odgovore bez komentiranja članka:

Tagcloud:



RSS

Newsletter

Vidi top 100