Depuis vendredi soir la communauté Mac sur internet frémis sous le doux
nom de "Opener".
Opener est un script shell qui est en fait un dérivé d'outils de hacker
pour unix (RootKit) qui profite de droits accordés pour voler les mots
de passes, numéro de licence, etc... et installer un backdoor sur votre
machine.
A ce jour, il ne semble y avoir qu'une seule personne infectée.
On trouve beaucoup de détails sur cette histoire sur le site Macintoush
(1) en Anglais.
Les sites d'actus Mac francophone relaye l'information avec parfois
quelques approximations (on y parle de virus ou de cheval de troie, ce
qui n'est pas exact). (2) et (3).
Le script pour s'installer nécessite un accès physique a la machine, un
utilisateur doit donc le lancer manuellement sur la machine et donner le
mot de passe administrateur.
L'origine de ce script semble provenir d'un site de Hacker Mac (5)
L'éditeur d'anti-virus Sophos a semble-t-il été le premier a réagir (1),
suivi de près par Symantec
Après le "faux trojan" de intego, le "malware" qui se faisait passé pour
la démo de Office 2004 (téléchargeable) en p2p; les problèmes de
sécurité se multiplient cette année sur notre plateforme.
Il s'agit là de trojan (chevaux de troie) qui mystifie l'utilisateur
pour s'installer et faire les méchancetés; pas de virus donc.
Cela prouve, AMHA, l'attention que la plateforme Mac occasionne auprès
de tous (ça attire des hackers) et aussi que la sécurité est bien assuré
(pour l'instant) car ce n'est que par le biais de "tromperie" que ces
logiciels malveillant (malware) s'installent, pas par des failles de
sécurités.
Il convient de rester éveiller de surveiller l'avenir de ce "Opener" qui
pourrait se retrouver transformer en vrai "trojan" (ou pire) dans les
mains d'un malveillant.
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
- effectuer les mises à jour de sécurité Apple
- garder à jour le système
- se méfier des logiciels externes téléchargés
- se méfier des installeurs qui demandent un mot de passe
- contrôler l'activité du Firewall (activé)
Un article (anglais) sur le sujet chez macDevCenter (3)
Je ne trouve pas ce dossier dans /Library ou ~/Library Ou se cache t 'il ? ---OsX 3.5 dernière security updade effectuée
Il n'existe pas par défaut.
Patrick J'ai pourtant mis dans Préférences/Comptes/moi/Démarrage plusieurs
applications Ce n'est pas la même chose? JA
NulModem
Non ce n'est pas la même chose. Un exécutable ou un script dans /Library/StartupItems est exécuté en ROOT au moment du démarrage, indépendement de la fenêtre de Login. Ce que je ne trouve entre autre pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root alors qu'à l'origine on en avait pas les droits !
C'est une faille importante dans la sécurité de MacOS X et le troyen d'Opener en profite pour s'installer par ce biais lors de sa réplication.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne vous sera pas demandé de mot de passe admin.
Ensuite, heureusement la création d'un StartupItems est un peu complexe et n'est pas à la portée de tout le monde...
Ce qu'il faut vérifier c'est que les permissions du dossier /Library/StartupItems (s'il existe, merci à Patrick) interdise la création de dossier sans que vous ne soyez mis au courant. -- +++ATE1
J'ai pourtant mis dans Préférences/Comptes/moi/Démarrage plusieurs applications Ce n'est pas la même chose? JA
Non ce n'est pas la même chose. Un exécutable ou un script dans
/Library/StartupItems est exécuté en ROOT au moment du démarrage,
indépendement de la fenêtre de Login. Ce que je ne trouve entre autre
pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root
alors qu'à l'origine on en avait pas les droits !
C'est une faille importante dans la sécurité de MacOS X et le troyen
d'Opener en profite pour s'installer par ce biais lors de sa
réplication.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne
vous sera pas demandé de mot de passe admin.
Ensuite, heureusement la création d'un StartupItems est un peu complexe
et n'est pas à la portée de tout le monde...
Ce qu'il faut vérifier c'est que les permissions du dossier
/Library/StartupItems (s'il existe, merci à Patrick) interdise la
création de dossier sans que vous ne soyez mis au courant.
--
+++ATE1
J'ai pourtant mis dans Préférences/Comptes/moi/Démarrage plusieurs
applications Ce n'est pas la même chose?
JA
Non ce n'est pas la même chose. Un exécutable ou un script dans /Library/StartupItems est exécuté en ROOT au moment du démarrage, indépendement de la fenêtre de Login. Ce que je ne trouve entre autre pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root alors qu'à l'origine on en avait pas les droits !
C'est une faille importante dans la sécurité de MacOS X et le troyen d'Opener en profite pour s'installer par ce biais lors de sa réplication.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne vous sera pas demandé de mot de passe admin.
Ensuite, heureusement la création d'un StartupItems est un peu complexe et n'est pas à la portée de tout le monde...
Ce qu'il faut vérifier c'est que les permissions du dossier /Library/StartupItems (s'il existe, merci à Patrick) interdise la création de dossier sans que vous ne soyez mis au courant. -- +++ATE1
J'ai pourtant mis dans Préférences/Comptes/moi/Démarrage plusieurs applications Ce n'est pas la même chose? JA
Patrick Stadelmann
In article <1gmji21.1hz5nekub5728N%, (NulModem) wrote:
Ce que je ne trouve entre autre pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root alors qu'à l'origine on en avait pas les droits !
C'est pour qu'un administrateur puisse installer un StartupItem dans /Library.
C'est une faille importante dans la sécurité de MacOS X et le troyen d'Opener en profite pour s'installer par ce biais lors de sa réplication.
Opener s'exécute comme root sur une machine infectée, donc il pourra se répliquer où il veut quelques soient les permissions.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne vous sera pas demandé de mot de passe admin.
Il faut un mot de passe admin pour créer /Library/StartupItems/ et le Finder va mettre par défaut :
drwxr-xr-x 3 admin admin
Il faudra donc être admin pour créer un dossier dans ce dossier.
Patrick -- Patrick Stadelmann
In article <1gmji21.1hz5nekub5728N%NulModem@hayes.com>,
NulModem@hayes.com (NulModem) wrote:
Ce que je ne trouve entre autre
pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root
alors qu'à l'origine on en avait pas les droits !
C'est pour qu'un administrateur puisse installer un StartupItem dans
/Library.
C'est une faille importante dans la sécurité de MacOS X et le troyen
d'Opener en profite pour s'installer par ce biais lors de sa
réplication.
Opener s'exécute comme root sur une machine infectée, donc il pourra se
répliquer où il veut quelques soient les permissions.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne
vous sera pas demandé de mot de passe admin.
Il faut un mot de passe admin pour créer /Library/StartupItems/ et le
Finder va mettre par défaut :
drwxr-xr-x 3 admin admin
Il faudra donc être admin pour créer un dossier dans ce dossier.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1gmji21.1hz5nekub5728N%, (NulModem) wrote:
Ce que je ne trouve entre autre pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root alors qu'à l'origine on en avait pas les droits !
C'est pour qu'un administrateur puisse installer un StartupItem dans /Library.
C'est une faille importante dans la sécurité de MacOS X et le troyen d'Opener en profite pour s'installer par ce biais lors de sa réplication.
Opener s'exécute comme root sur une machine infectée, donc il pourra se répliquer où il veut quelques soient les permissions.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne vous sera pas demandé de mot de passe admin.
Il faut un mot de passe admin pour créer /Library/StartupItems/ et le Finder va mettre par défaut :
drwxr-xr-x 3 admin admin
Il faudra donc être admin pour créer un dossier dans ce dossier.
Patrick -- Patrick Stadelmann
laurent.pertois
NulModem wrote:
Non ce n'est pas la même chose. Un exécutable ou un script dans /Library/StartupItems est exécuté en ROOT au moment du démarrage, indépendement de la fenêtre de Login. Ce que je ne trouve entre autre pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root alors qu'à l'origine on en avait pas les droits !
Si, /Library est réservé aux membres du groupe admin qui ont aussi la possibilité d'effectuer un sudo ou ont des droits étendus via le fichier /etc/authorization. Un utilisateur normal, ce que Mac OS X crée par défaut sauf le premier ou bien un utilisateur qu'on autoriserait à administrer Mac OS X, ne peut pas écrire dans /Library. Cependant, si un /Library/Startup Item est créé avec des droits en lecture/écriture/exécution pour n'importe qui, il faut blâmer le développeur qui est venu s'y incruster.
C'est une faille importante dans la sécurité de MacOS X et le troyen d'Opener en profite pour s'installer par ce biais lors de sa réplication.
Oui et non. Le soucis principal c'est que tout le monde reste admin sur son OS X et ne se fait pas un utilisateur normal pour son usage quotidien.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne vous sera pas demandé de mot de passe admin.
Si et seulement si tu es un utilisateur admin, crée un utilisateur normal et essaie la même manip, une fenêtre de demande d'authentification en tant qu'admin apparaîtra. Sinon, il faut réparer tes autorisations, ton /Library est vérolé.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
NulModem <NulModem@hayes.com> wrote:
Non ce n'est pas la même chose. Un exécutable ou un script dans
/Library/StartupItems est exécuté en ROOT au moment du démarrage,
indépendement de la fenêtre de Login. Ce que je ne trouve entre autre
pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root
alors qu'à l'origine on en avait pas les droits !
Si, /Library est réservé aux membres du groupe admin qui ont aussi la
possibilité d'effectuer un sudo ou ont des droits étendus via le fichier
/etc/authorization. Un utilisateur normal, ce que Mac OS X crée par
défaut sauf le premier ou bien un utilisateur qu'on autoriserait à
administrer Mac OS X, ne peut pas écrire dans /Library. Cependant, si un
/Library/Startup Item est créé avec des droits en
lecture/écriture/exécution pour n'importe qui, il faut blâmer le
développeur qui est venu s'y incruster.
C'est une faille importante dans la sécurité de MacOS X et le troyen
d'Opener en profite pour s'installer par ce biais lors de sa
réplication.
Oui et non. Le soucis principal c'est que tout le monde reste admin sur
son OS X et ne se fait pas un utilisateur normal pour son usage
quotidien.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne
vous sera pas demandé de mot de passe admin.
Si et seulement si tu es un utilisateur admin, crée un utilisateur
normal et essaie la même manip, une fenêtre de demande
d'authentification en tant qu'admin apparaîtra. Sinon, il faut réparer
tes autorisations, ton /Library est vérolé.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Non ce n'est pas la même chose. Un exécutable ou un script dans /Library/StartupItems est exécuté en ROOT au moment du démarrage, indépendement de la fenêtre de Login. Ce que je ne trouve entre autre pas normal avec MacOS X, c'est que l'on puisse exécuter un truc en root alors qu'à l'origine on en avait pas les droits !
Si, /Library est réservé aux membres du groupe admin qui ont aussi la possibilité d'effectuer un sudo ou ont des droits étendus via le fichier /etc/authorization. Un utilisateur normal, ce que Mac OS X crée par défaut sauf le premier ou bien un utilisateur qu'on autoriserait à administrer Mac OS X, ne peut pas écrire dans /Library. Cependant, si un /Library/Startup Item est créé avec des droits en lecture/écriture/exécution pour n'importe qui, il faut blâmer le développeur qui est venu s'y incruster.
C'est une faille importante dans la sécurité de MacOS X et le troyen d'Opener en profite pour s'installer par ce biais lors de sa réplication.
Oui et non. Le soucis principal c'est que tout le monde reste admin sur son OS X et ne se fait pas un utilisateur normal pour son usage quotidien.
Faites le test : créer un dossier XXX dans /Library/StartupItems, il ne vous sera pas demandé de mot de passe admin.
Si et seulement si tu es un utilisateur admin, crée un utilisateur normal et essaie la même manip, une fenêtre de demande d'authentification en tant qu'admin apparaîtra. Sinon, il faut réparer tes autorisations, ton /Library est vérolé.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
