211service.com
Geheimzinnigere Mac-aanvallen
Fans van Apple-computers scheppen vaak op over superieure beveiliging. Maar aangezien Macs de afgelopen jaren aan populariteit hebben gewonnen, heeft dit veel meer aandacht van hackers getrokken. Tijdens een presentatie die vandaag zal plaatsvinden in de Black Hat DC computerbeveiligingsconferentie in Washington, DC, zal een beveiligingsexpert een techniek onthullen om het Mac-besturingssysteem – OS X – aan te vallen zonder een spoor achter te laten.
Soortgelijke technieken zijn al meerdere jaren gericht op zowel Windows- als Linux-machines. Ze stellen een aanvaller in staat haar sporen uit te wissen, waardoor essentieel bewijs wordt geëlimineerd dat een onderzoeker normaal gesproken zou kunnen gebruiken om te bewijzen dat een machine is gecompromitteerd; ze kunnen de onderzoeker ook in staat stellen details van het incident samen te stellen. Om de techniek naar de Mac te brengen, was echter een aanzienlijk geavanceerdere aanpak nodig.
De techniek die op Black Hat DC wordt uiteengezet, stelt een aanvaller in staat om vrijwel alle sporen van een aanval op OS X te verwijderen, nadat hij het systeem heeft gecompromitteerd met een andere exploit.
Vincenzo Iozzo , een student aan de Politecnico di Milano, in Italië, legt uit dat de techniek een aanvaller in staat stelt in te breken in een machine zonder een spoor achter te laten in het permanente geheugen, wat betekent dat het bewijs van de aanval zal verdwijnen zodra de computer van het slachtoffer wordt ingeschakeld uit. Een dergelijke techniek zou bijvoorbeeld kunnen worden gebruikt in combinatie met een andere softwarefout om heimelijk een legitieme versie van Apples Safari-webbrowser te vervangen door een kwaadaardige versie die de toetsaanslagen van de gebruiker registreert en naar de aanvaller stuurt.
Wanneer een gebruiker een toepassing uitvoert, wordt de code normaal gesproken in verschillende delen van het computergeheugen uitgevoerd. In OS X wordt een bestandsindeling met de naam Mach-O gebruikt om aan te geven waar in het geheugen van de computer de processen van de toepassing moeten worden uitgevoerd. Iozzo bestudeerde het Mach-O bestandsformaat om vooraf te voorspellen waar deze processen te vinden zijn. De techniek identificeert een actief proces (zoals dat voor Safari) en injecteert kwaadaardige code in de ruimte in het geheugen waar het wordt uitgevoerd. Wanneer het systeem leest vanaf de verwachte locatie, voert het de code van de aanvaller uit in plaats van het legitieme programma. Omdat de techniek geen sporen nalaat, zegt Iozzo dat deze alleen kan worden gedetecteerd met software die op inbraak in een netwerk let.
Voorspellen waar de kwaadaardige code moet worden geïnjecteerd, wordt bemoeilijkt door een beveiligingsfunctie in OS X die de variabelen opslaat die nodig zijn om de aanval onvindbaar te houden op willekeurige locaties in het geheugen. Iozzo ontdekte echter een manier om te anticiperen waar de variabelen zouden worden opgeslagen op basis van stukjes informatie die ongewijzigd blijven.
Dino Dai-oproep , een onafhankelijke beveiligingsonderzoeker die gespecialiseerd is in Macs, zegt dat het werk van Iozzo erg interessant is, vooral gezien de moeilijkheden die hij moest overwinnen om de onopvallende techniek op OS X te laten werken.
Dai Zovi zegt dat er op dit moment maar weinig Mac-aanvallen zijn die zo geavanceerd zijn dat deze bescherming nodig hebben. Maar hij voegt eraan toe dat de techniek in de toekomst een effectieve manier zou kunnen zijn om voorbij geavanceerde antivirussoftware te komen.
Aanvallers hebben zich tot nu toe niet veel op de Mac gericht, omdat het kleinere publiek kleinere potentiële winsten betekent. Maar Dai Zovi merkt op dat dit begint te veranderen, en hij zegt dat het onderzoeken van de kwetsbaarheden van het systeem verdedigers de tijd zou moeten geven om zich voor te bereiden op toekomstige malware.
Iozzo zegt dat het even kan duren voordat Apple op zijn techniek reageert, omdat het gebruikmaakt van fundamentele elementen van de structuur van het besturingssysteem die niet kunnen worden gewijzigd met een eenvoudige softwarepatch. Hij zegt dat er mogelijk een grotere upgrade nodig is, zoals de introductie van de nieuwe versie van OS X, genaamd Sneeuwluipaard , die naar verwachting in 2010 wordt verzonden.
In de tussentijd zegt Iozzo dat gebruikers zichzelf kunnen beschermen door hun systemen up-to-date te houden met eventuele beveiligingspatches die voor OS X zijn uitgebracht. Aangezien de techniek afhankelijk is van andere fouten die een aanvaller kan misbruiken, moeten gebruikers zich zoveel mogelijk concentreren op het verminderen van die andere bedreigingen. mogelijk, zegt hij.
De techniek kan echter binnenkort een bedreiging vormen voor een ander soort apparaat. Iozzo zegt dat hij momenteel samenwerkt met een andere beveiligingsonderzoeker om zijn techniek uit te breiden naar de iPhone.