;(
http://www.spiegel.de/netzwelt/web/0,1518,515545,00.html
wohin damit? ;(

http://www.spiegel.de/netzwelt/web/0,1518,515545,00.html
wohin damit? ;(
Nur gut, daß der Artikel irgendwie gar nicht auf den Unterschied in der Userverwaltung zwischen XP und OS X eingeht. sudo install_trojan.sh oder wie? ;(

Panikmache, auch wenn die Kritik an Apple wohl berechtigt ist.

Anyway, ich hab die FW aktiv, kein Skype, kein WoW und sitze sowieso immer hinter irgendeiner Form von Router. :shrug: :)

Panikmache, auch wenn die Kritik an Apple wohl berechtigt ist.

[...] und sitze sowieso immer hinter irgendeiner Form von Router. :shrug: :)

eben.. ich hab auch in windows noch NIE eine softwarefirewall benutzt. die XP Firewall war auch meist deaktiviert. ist nie etwas passiert. direkt am netz haengen ist meiner meinung nach der groesste schwachsinn den man machen kann...

freut natuerlich die apple-gegner, aber ich selbst war so realistisch, und wusste das die 10.5.0 sicher noch einige bugs hat. und dafuer lauefts doch ganz gut finde ich ;). wer vor sowas panik hat soll halt auf 10.5.1 warten, denke das kommt auch schon bald

edit: nachdem ich den artikel auf heise durchgelesen habe, bin ich der meinung das die firewall von leopard ein fortschritt ist. die freischlatung über digitale signaturen ist wirklich clever, und dürfte die bedienung der firewall vor allem für unerfahrene sehr vereinfachen. das skype z.B. nicht mehr funktioniert bestärkt mich in dem verdacht, das skype stinkt. warum prüft skype seine eigene cheksum vor dem start??

Apple hat ein kurzes Dokument zur Firewall veröffentlicht:

http://docs.info.apple.com/article.html?artnum=306938

Die Firewall macht also genau das, was sie machen soll. Heise (und Spiegel) haben wohl einfach einen Portfilter erwartet …

Edith sagt: Wobei ich nicht sicher bin, ob das „UID 0 kommt standardmäßig immer durch“ sinnvoll ist. Viele Prozesse von Drittherstellern laufen als root, z. B. MissingSync oder ein Prozeß der HP-Druckertreiber. Die lauschen zwar üblicherweise nicht an Ports, aber wer weiß, was in ein paar Monaten für neue „Features“ in diese Software fließen wird, in Sachen Internet-Unterstützung …*und wenn dann eines dieser Dritthersteller-Programme einen Exploit zuläßt, kann Apple auch nicht mehr viel daran ändern …

das skype z.B. nicht mehr funktioniert bestärkt mich in dem verdacht, das skype stinkt. warum prüft skype seine eigene cheksum vor dem start??
Bei WoW ist es verständlich (Cheater aussperren), aber bei Skype ists wirklich interessant. Dass Skype nicht koscher ist, ist eigentlich bekannt - aber vielleicht ist das auch einfach nur deshalb, dass man es nicht leicht mit Trojanern oder so "aufbessern" kann.

Dass Skype nicht koscher ist, ist eigentlich bekannt - aber vielleicht ist das auch einfach nur deshalb, dass man es nicht leicht mit Trojanern oder so "aufbessern" kann.

warum sollts den sonst seine checksum prüfen :)?

tut mir leid, ich kann mir grade nicht vorstellen warum ein programm seine integrität überprüft wenn nicht als schutz vor manipulation... lasse mich aber gerne eines besseren belehren!

Die Firewall macht also genau das, was sie machen soll. Heise (und Spiegel) haben wohl einfach einen Portfilter erwartet …


Nein, sie haben erwartet, daß der Firewall standardmäßig an ist, was wohl zu erwarten wäre. Und daß der Firewall keine Programme verändert, was wohl ebenfalls zu erwarten wäre.

Nein, sie haben erwartet, daß der Firewall standardmäßig an ist, was wohl zu erwarten wäre. Und daß der Firewall keine Programme verändert, was wohl ebenfalls zu erwarten wäre.

Nein, sie haben insgesamt ihr unwissen über OS X verdeutlicht (Spiegel zeigte schön das sie selbst strunzdumm abschreiben) ;) Und die FireWall verändert keine Programme, sondern signiert sie nur.

Und die FireWall verändert keine Programme, sondern signiert sie nur.

Und wo landet die Signatur?

Gruß,
TC?

Und wo landet die Signatur?

Gruß,
TC?

die firewall aendert afaik nur die cheksum.. damit bleibt das programm immer signiert, egal wo man es hinschiebt..

ich hab die firewall mal testweise eingeschaltet. freigegeben hab ich bisher nur transmission, skype funzt auch ohne das man es in der firewall freigibt. bisher ging nichts kaputt ^^

Und wo landet die Signatur?

Sicher klebt die Signatur an der Binary dran. Aber das Programm wird dadurch trotzdem nicht geändert. Es ändert sich weder die Funktion noch irgendetwas anderes Programmmäßiges. Es hängt halt nur eine Signatur hinten dran, damit die FW erkennt "Aha, richtige Version"

Beides leider nicht wirklich richtig, Jungs.
Erst Specs lesen (http://developer.apple.com/documentation/Security/Conceptual/CodeSigningGuide/Introduction/chapter_1_section_1.html#//apple_ref/doc/uid/TP40005929-CH1-DontLinkElementID_13), dann diskutieren.

Gruß,
TC

Typische Katastrophe...

Wie kommt man auf den bekloppten Gedanken eine Signatur an die Datei anzuhängen und nicht an einem anderen Ort unterzubringen?

Bisher zeigen nur WoW und Skype Probleme, aber das ist ja nicht alles... Patches werden diese Signaturanhängsel sehr oft auch nicht mögen...

Beides leider nicht wirklich richtig, Jungs.
Erst Specs lesen (http://developer.apple.com/documentation/Security/Conceptual/CodeSigningGuide/Introduction/chapter_1_section_1.html#//apple_ref/doc/uid/TP40005929-CH1-DontLinkElementID_13), dann diskutieren.

Und was hat die Code-Signierung (Programmier-Feature in 10.5) mit der Firewall-Signierung zu tun?

Sicher klebt die Signatur an der Binary dran. Aber das Programm wird dadurch trotzdem nicht geändert. Es ändert sich weder die Funktion noch irgendetwas anderes Programmmäßiges. Es hängt halt nur eine Signatur hinten dran, damit die FW erkennt "Aha, richtige Version"
Und das reicht schon um die Prüffunktion der Anwendungen aus dem Tritt zu bringen. Denn das Binary wird definitiv geändert. Mag sein, daß es die exakte Funktionalität hat wie davor aber es gibt eine Änderung.

Also durchaus eine Frechheit was Apple da so macht. Signaturen gehören einfach separat in eine Datenbank und nicht ins Programm selber.

a la dll-hell in windows?

warum sollts den sonst seine checksum prüfen :)?

tut mir leid, ich kann mir grade nicht vorstellen warum ein programm seine integrität überprüft wenn nicht als schutz vor manipulation... lasse mich aber gerne eines besseren belehren!


vorallem wird das gemacht zumindest im fall skype um manipulationen zu verhindern die programminteren abläufe freigeben könnten.... die schützen ihren quellcode mit allen mitteln ... skype überprüft z.B. auch ob disasambler laufen

Denn das Binary wird definitiv geändert. Mag sein, daß es die exakte Funktionalität hat wie davor aber es gibt eine Änderung.

Ja, das Binary wird geändert, aber nicht das Programm und dessen Ablauf...

Wo is das Problem ? Es ist jeder herzlich dazu eingeladen, mal meinen Mac zu hacken, ich hab auch die Firewall aus, also bedient euch ;D

Ja, das Binary wird geändert, aber nicht das Programm und dessen Ablauf...
Das macht nichts. Machst du einen Checksum-Check dann wird dieser nach der Änderung fehlschlagen. Und deshalb startet WoW und Skype nicht da diese keine Änderungen erlauben.

Das macht nichts. Machst du einen Checksum-Check dann wird dieser nach der Änderung fehlschlagen. Und deshalb startet WoW und Skype nicht da diese keine Änderungen erlauben.

Jup, das haben wir ja weiter oben schon festgestellt...

Ganon

Ich hab nix gegen Software, welche prüft, ob sie noch intakt ist...
Alles, was im Prinzip einen Port zu sich öffnen will, sollte genau dies prüfen ;).

Ich kann mich Exxtreme nur anschliessen - Idee gut und die Ausführung eine Katastrophe... Sowas hätte ich weit eher von Okel Bill erwartet, denn von Onkel Steve ;).

Jup, das haben wir ja weiter oben schon festgestellt...
Ja, und das ist eben Mist. Die Signaturen gehören in eine separate Datenbank und nicht ins File selber.

Ja, und das ist eben Mist. Die Signaturen gehören in eine separate Datenbank und nicht ins File selber.

Zu viele Angriffsstellen...

Zu viele Angriffsstellen...
Welche Angriffsstellen denn wenn man es richtig macht?

Welche Angriffsstellen denn wenn man es richtig macht?

Das ist das Problem "wenn man es richtig macht". Es arbeiten überall nur Menschen.

Jetzt hast du das Programm und unmittelbar daran klebt die Signatur. Nach deiner Methode hättest du das Programm, dann die Verbindung zur Datenbank, dort die Signatur.

Und zur Not kannst du die Personal Firewall immer noch abschalten und ganz normal die ipfw konfigurieren.

Das ist das Problem "wenn man es richtig macht". Es arbeiten überall nur Menschen.

Jetzt hast du das Programm und unmittelbar daran klebt die Signatur. Nach deiner Methode hättest du das Programm, dann die Verbindung zur Datenbank, dort die Signatur.

Und zur Not kannst du die Personal Firewall immer noch abschalten und ganz normal die ipfw konfigurieren.
Du verstehst nicht, was ich meine. Die Signatur in die Datei reinzuhängen ist vom Angriffsszenario her genauso (un)sicher wie eine separate Datenbank. Du hättest aber keinerlei Kompatibilitätsprobleme mit Anwendungen, die sich selbst prüfen.

Warum Apple das so gelöst hat, das wird wohl ein Rätsel bleiben. Eine saubere Lösung ist es aber nicht.

Ganon

Das Filesystem erlaubt(e) Dir im Verzeichnis auch eine Signatur pro File zu hinterlegen...

Mit 10.5.1 hat Apple ein klein wenig reagiert:

Application Firewall
CVE-ID: CVE-2007-4702
Available for: Mac OS X v10.5, Mac OS X Server v10.5
Impact: The "Block all incoming connections" setting for the
firewall is misleading
Description: The "Block all incoming connections" setting for the
Application Firewall allows any process running as user "root" (UID
0) to receive incoming connections, and also allows mDNSResponder to
receive connections. This could result in the unexpected exposure of
network services. This update addresses the issue by more accurately
describing the option as "Allow only essential services", and by
limiting the processes permitted to receive incoming connections
under this setting to a small fixed set of system services: configd
(for DHCP and other network configuration protocols), mDNSResponder
(for Bonjour), and racoon (for IPSec). The "Help" content for the
Application Firewall is also updated to provide further information.
This issue does not affect systems prior to Mac OS X v10.5.

Application Firewall
CVE-ID: CVE-2007-4703
Available for: Mac OS X v10.5, Mac OS X Server v10.5
Impact: Processes running as user "root" (UID 0) cannot be blocked
when the firewall is set to "Set access for specific services and
applications"
Description: The "Set access for specific services and applications"
setting for the Application Firewall allows any process running as
user "root" (UID 0) to receive incoming connections, even if its
executable is specifically added to the list of programs and its
entry in the list is marked as "Block incoming connections". This
could result in the unexpected exposure of network services. This
update corrects the issue so that any executable so marked is
blocked. This issue does not affect systems prior to Mac OS X v10.5.

Application Firewall
CVE-ID: CVE-2007-4704
Available for: Mac OS X v10.5, Mac OS X Server v10.5
Impact: Changes to Application Firewall settings do not affect
processes started by launchd until they are restarted
Description: When the Application Firewall settings are changed, a
running process started by launchd will not be affected until it is
restarted. A user might expect changes to take effect immediately and
so leave their system exposed to network access. This update corrects
the issue so that changes take effect immediately. This issue does
not affect systems prior to Mac OS X v10.5.

Die scheinen wirklich an ihrem Konzept festhalten zu wollen. Wobei mir die fette Anpassung schon deutlich besser schmeckt, als wenn irgendwelche UID 0-Prozesse dürfen, wenn ich schon alles blocken will …