Troijalainen iski Mac OS X:ään

Juu, lähteitä oli useita (macrumors, maccentral, intego, macnn, symantec) ja kaikki tuohon aikaan toitottivat samaa asiaa.

Troijanhevonen ON uutinen jos sellaista ei ole ennen tavattu Macissä. Hehe, ja kotihakemistohan juuri se tärkein onkin. Minulle on ihan sama jos systeemi tuhoutuu kunhan ne kotihakemiston tiedostot pysyvät koskemattomina ja tallella, tietenkin jos kotihakemisto on täynnä vain pokea niin se on ihan sama...

Juttua ei ole yhtään muutettu siitä kuin se on postattu.

Niin, joista suurin osa perusti uutisointinsa integon julkisuuskikkaan.

Troijan hevosia on tavattu aiemminkin Macissa, jopa varsin samanlaisia kuin tämä. Niin pitkään kuin käyttäjällä on oikeus ajaa ohjelmia on troijan hevonen mahdollinen, sille ei voine juurikaan mitään.

Tätä uutisen mainitsemaa troijan hevosta ei ole havaittu missään muualla kuin uutisryhmäkeskustelussa joten siitä kirjoitetut uutiset ovat varsin paljon melua lähes tyhjästä. Wired ymmärsi muuttaa uutisointiaan realistisempaan suuntaan, Sektorin uutinen on edelleen monilta osiltaan virheellinen, valitettavasti.

Mutta kuitenkin luultavasti käytät tietokonettasi siten että sinulla ja käynnistämilläsi ohjelmilla on automaattisesti kirjoitusoikeus kotihakemistoosi ja siellä sijaitseviin tietoihin, mutta taas käyttöjärjestelmän tiedostot on suojattu, miksiköhän näin?

Sinähän voit vaikka alkaa kirjoittamaan uutisia niin menee seuraavalla kerralla oikein.

Tarkoitin siis Mac OS X:ää.

Troijalaisen mahdollinen payload on käsitelty sanalla _kykenee_, jolloin se vain kertoo että se on mahdollista teoriassa. Symantecin kommentti kertoo miten asian laita on. Vaikka haittaohjelma ei ole levinnytkään ja siinä on yllämainittu payload vain teoriassa niin se on silti vakava asia. Troijanhevonen perustuu myöskin ainakin minun mielestäni käyttöjärjestelmän haavoittuvuuden hyödyntämiseen. Apple mokasi pahasti Mac OS X:ssä tiedostotyypitysten kanssa ja se alkaa ottaa veroansa. Kyseisellä konseptilla on varmasti tulossa jatkoa; huomattavin seurauksin. Ja jos uutinen on nykyisellään väärin, niin sitten 95% sen uutisoijista on uutisoinut sen väärin. Itsellä RSS-readeri käy 60 IT-uutissivuston feediä läpi ja kaikilla on ollut lähes sama uutisointi, paitsi wiredillä ja macsanomilla.

Jep, tosin tuosta tekstistä saa helposti sen käsityksen että toinen kappale liittyy olennaisesti ensimmäiseen, mutta näinhän ei ole.

Niin, se ei ole levinnyt koska se ei oikein pysty leviämään...

Yllämainittu payload on jokaisella käyttäjän ajamalla ohjelmalla, joka kerta kun käyttäjä ajaa ohjelman altistuu hän sille vaaralle että ohjelma tekee jotakin muuta kuin mitä pitäisi.

Totta, tässä on ohjelma saatu näyttämään varsin paljon mp3-tiedostolta, mutta ei siitäkään ihan tällaista kohua pitäisi syntyä, varsinkaan kun tämä ei ole niin kauhean uusi juttu. Toisaalta tietenkin kohukin voi olla ihan hyvä asia...

En ole aivan samaa mieltä, varsinkaan tuosta jatkosta. Varmasti jos joku keksii miten sen troijalaisen saa leviämään niin tuosta voi ongelmia.

Miten tiedostojen tyypitys pitäisi mielestäsi hoitaa?

No siinä tapauksessa "kaikilla" on ollut väärä uutisointi. On aika huono tekosyy uutisoida sensaatiohakuisesti vain koska muutkin tekevät niin.

Jos nyt luetaan tuo sektorin uutisointi tarkasti läpi niin:

Trojalainen ei ole iskenyt, konsepti mahdollisesta troijalaisesta on esitelty.

Mitään leviävää trojalaista ei ole ainakaan vielä olemassa.

Teoriassa joo, tosin kyseisenkaltaista troijalaista ei tunneta.

Ei voi levitä näiden tiedostojen mukana sinällään, vain pakattuna tai koodattuna.

"Omien tuotosteni palauttaminen pääkopan sisältä olisi sen sijaan useamman vuoden urakka."

Tuntuu vähän erikoiselta, että ainoana kunnollisena varmistuksena on säilyttää tuotoksiaan omassa pääkopassa. Eikö kannattaisi varmuuskopioida ne jollekin kertakirjoitteiselle medialle, esim CD:lle tai DVD:lle?

Niin, mutta pointti onkin siinä, että moinen tiedostojen naamiointi ei pitäisi olla mahdollista. Tuo viittaukseni Windowsiin tarkoitti sitä, että Windows-maailmassa moisesta on puhuttu jo pitkään ja tätä mahdollisuutta pidetään "isona pahana". Asian vaarallisuutta ei poista millään tavalla se, että tämänlaista matoa tai virusta ei ole vielä kirjoitettu tai levitetty. Myöskään asiaa ei lievennä se, että varmuuskopioiden palauttaminen on helppoa, vaan moinen mahdollisuus pitää kitkeä kokonaan ulos käyttöjärjestelmästä ja/tai shellistä.

Siis Linuxissa mikä tahansa koodinpätkä voi asentua minne vain ja vieläpä mellastaa jopa rootin oikeuksin vapaasti? Käyttäjän tiedostojen tuhoaminen lienee suhteellisen helppoa jopa Linuxissa, kuten Mac OS X:ssäkin, mutta olen aina kuvitellut Linuxissa käyttäjän olleen tehokkaasti erotettu itse järjestelmästä ja leviämisen olevan jo tästä syystä hankalaa. Ehkä olen ymmärtänyt väärin. Sen olen todennut omin silmin ettei Windowsissa ole mitään todellisia rajoituksia koodin suorittamiselle ja järjestelmätietojen muokaamiselle.

Et sitten ole huolissasi levyrikosta, murtovarkaista tai tulipalon aiheuttamasta vesivahingosta? Eiköhän varmuuskopiot ole syytä ottaa oli virusuhka todellinen tai ei. Varmuuskopiot saa yleensä palautettua ennemmin tai myöhemmin.

Kukaan ei ole sanallakaan maininnut roottia, eikä kukaan ole maininnut mitä tahansa koodinpätkää. Lisäbonuksena sen koodinpätkän ei tarvitse edes asentua, sen tarvitsee ajautua.

Kyllä käyttäjäkin voi ajaa sovellusta, joka esmes kaivaa mailiohjelmasi addressbookista kaikki osoitteet, lähettää itsensä omalla smtp-enginellään eteenpäin ja sen jälkeen tuhoaa kaiken mitä voi. Ei mikään estä käyttäjää sanomasta "rm -rf /", se ei vaan tuhoa kaikkea, vain kaiken mitä sinulla on oikeus tuhota. Se on välistä yllättävänkin paljon.

Yhä käyttäjän täytyy klikata liitettä joka täytyy tavalla tai toisella saada ajettavaan muotoon, ja sähköpostiohjelman täytyy sallia se, ja ohjelman täytyy kyetä löytämään mailiosoitteesi sieltä missä ne nyt sit ovatkin, ja ja ja. Esmes omaan LDAP-serveriini virus ei ihan nopeasti pääse käsiksi, mutta harva jaksaa moisia rakennella, ja osa noista tallentaa tiedot ihan tekstitiedostoihin.

Mutta, tämä on kaikki jo vähän asian sivuun. Olennaisempaa on ehkä, että periaatteessa näin voisi tapahtua. Ainakaan minä en uskalla olla niin ylimielinen, etten luottaisi jonkun keksivän keinoa, jos tämä oikeasti tahtoisi. root-oikeuksien puuttuminen ei pysäytä mitään, se estää vain koko järjestelmän tuhon, ja etenkin sen täysimittaisen käyttämisen moneen muuhun asiaan. TÄMÄ taas puolestaan vie mielenkiinnon suurelta osalta yrittäjiä. Tarkoitus on nimenomaan valjastaa toisten koneet omiin käyttötarkoituksiinsa, ei niinkään tuhota ihmisten elämäntyötä. Poikkeuksiakin tietysti on.

Kyllä siinäkin saa rajoitettua varsin paljon. Moni ei näin tee, mutta onko se taas käyttöjärjestelmän vika? Osittain kyllä, koska olen useasti törmännyt ohjelmiin, jotka käytännössä vaativat käyttäjän olevan ylläpitäjän oikeuksilla, ja ko. ohjelmilla ei pitäisi olla mitään tarvetta moiseen. Toisaalta, ovatko myöskään huonosti tehdyt ohjelmat käyttöjärjestelmän vika?

Aivan totta. Kuinka moni kuitenkaan tekee näin? Minulla ei ole varaa olla ottamatta backuppeja, mutta suurimmalla osalla ihmisistä tuntuu olevan.

Kyllä vain on. Alunperin vastasit viestiin, jossa oli kyse juuri tästä Windowsin ja Linuxin/Mac OS X:n välisestä isosta erosta. Minä sitten vastasin vastaukseesi. Kelaapa ketjua taaksepäin, pysytään aiheessa paremmin. Siis voiko Linuxissa tuikitavallisen käyttäjän oikeuksin tuhota koko järjestelmän tai virus/muu ohjelma saada rootin oikeudet käyttöönsä ilman käyttäjän avustavia toimenpiteitä? Tähän asti olen ollut sitä mieltä ettei voi, mutta ehkä olen väärässä kaikinpuolin ja lähdenkin tästä poistelemaan Linuxeja koneista.

Ei estäkään. Näin olen ymmärtänyt ja tästä olemme yhtä mieltä.

Melko huolettomasti sinne registryyn esimerkiksi pääsee käsiksi ohjelma kuin ohjelma. Käyttöjärjestelmän vika on se, että se on asennuksen jälkeen kaikki ovet auki. Vaatii käyttäjältä aktiivisia toimenpiteitä tehdä koneesta turvallinen. Tämän pitäisi olla toisinpäin. Huonosti tehdyille ohjelmille ei tietysti käyttöjärjestelmä voi mitään, oli se käyttöjärjestelmä sitten mikä hyvänsä. Admin-oikeuksia vaativia ohjelmia voi Windowsissakin korjailla puukottamalla itse registryä, mutta tämä on kovasti työlästä ja jää siksi useimmiten tekemättä.

Näinpä tämä valitettavasti menee. Yleensä kerrasta kuitenkin oppii.

Ei tarvitse olla fiksu. Riittää kun on ummikko. Mac OS X:ssä rootin viritteleminen käyttöön vaatii enemmän tietämystä kuin keskivertokäyttäjällä on taitoja ja mielenkiintoa. Asennuksen jälkeen root ei ole aktivoituna. Helpointa tehdä koneelle mitä vain on käynnistää se CD:ltä tai DVD:ltä, mutta näille ei virus kovin helposti tartu ellei sitten boottaavaa asennus-CD:n kloonia luoda saastuneella koneella. Tuolloin tosin tarkistussumman virheen pitäisi ilmoittaa kopioinnin epäonnistuneen. Sähköpostin lähettäminen vielä voi jopa onnistuakin, liitteenä lähettävän ajettavan tiedoston saaminen vastaanottajalle ehjänä vaatii jo rutosti mielikuvitusta johtuen Macin käyttämästä ajettavien tiedostojen mallista.

Alkuperäinen Loveletter vaati käyttäjältä vain sen yksinkertaisen klik-klik -sormiliikkeen ja vauhdilla levisi...

Lähes kaikki emailmadot vaativat sen liitetiedoston avaamisen.

Ja ajamisen. Mikäli Macissa on mahdollista tehdä ohjelma joka poistaa tai muuttelee tiedostoja ja lähettelee sähköposteja, niin sitten viruksen tekeminen on mahdollista. Toistaiseksi on vain demottu sitä, kuinka tämän ohjelman voi huonosti naamioida mp3- tai kuvatiedostoksi - siksi huonosti, että se näyttää erilaiselta kuin muut mp3- tai kuvatiedostot, eikä edes sen ajaminen suoraan sähköpostiohjelmasta ole mahdollista.

Niin. en nyt haluaisi viilata pilkkua liika, mutta.. tuon "troijalaisen" pienenä heikkoutena on se, että kun se valitaan niin finderin preview (ja apple mail) kertoo että se on tyyppiä ohjelma.. maccikäyttäjä yleensä koekuuntelee mp3 faileja preview:n kautta.

Missä tässä pilkkua viilataan? Suuri osa ihmisistä ei tiedä, kuinka mäkki toimii ja kuinka eri asiat tehdään. Jos ei kukaan niistä mitään kerro, tietämys ei ihan nopeasti lisäännykään.

Muut mäkkikäyttäjät voivat korjata, mikäli kaikki ei toimikaan näin. Minua kiinnostaa lähinnä tietää, kuinka helposti tällaisen hämäyksen voi tavallinen käyttäjä huomata, sekä tietysti tieto siitä, miten se tapahtuu.

Entä, jos kyse olisi muka ZIP-tiedostosta, joka olisikin oikeasti sovellus? Käyttäjä kuvittelisi paketin avaamisen olevan vielä aivan turvallista, kun käytännössä hän jo käynnistäisikin ohjelman saman tien. Vai olenko aivan pihalla? Uutisessa mainitaan tuon leviävän vain mp3/jpeg/gif/qt-tiedostojen mukana, mutta selitykset kuulostavat enemmänkin siltä, että samaa "vikaa" voisi hyödyntää ihan minkä tahansa tiedostopäätteen kanssa.. vai?

Yhä korostan, että on huomattavasti kiinnostavampaa puhua itse ongelmasta, kuin yhdestä pikaisesti tehdystä proof of conceptista, jota ei ole tarkoitettukaan tekemään mitään ikävää, vaan vain antamaan selkeä kuva siitä, kuinka kyseinen virhe toimii.

Onko apple mail yleisimmin käytetty sähköpostiohjelma? Miten muut mäkin sähköpostiohjelmat reagoivat tällaiseen?

Sovellus, oli se sitten mikä hyvänsä, menee rikki, jos sen lähettää zippaamatta. Sovellus on siis lähetettävä zipattuna, vaikka se olisikin valezippi - siinä ei siis liene pointtia. Kuvat ja mp3-tiedostot taas voi esikatsella suoraan Mail-ohjelmassa, joten sellaisiksi naamioidut sovellukset näyttäisivät poikkeukselliselta, vaikka ne toimisivatkin.

Kokeilin naamioida ohjelman mp3-tiedostoksi, zipata ja lähettää itselleni sähköpostilla. Mail purkaa automaattisesti zip-tiedoston niin, että saapuneessa postissa näkyy mp3-tiedosto, mutta ilman esikuunteluhanikoita. Yritin avata tiedoston klikkaamalla. Tuloksena oli varoitus: "Liite 'xxxx.mp3' on ohjelma. Koska ohjelmat voivat sisältää viruksia tai vahingoittaa tietokonettasi, varmista ennen liitteen avaamista tai tallentamista, että se on lähetetty luotettavasta lähteestä." Sovellus on siis tallennettava työpöydälle ennen sen ajamista, muuten Mail varoittaa siitä - työpöydälle tallentaessani sovelluksen ikoni muuttui tosin jostain syystä alkuperäisen ohjelman ikoniksi!

Sen sijaan HQX-pakattu ja meilattu sovellus toimii: se on vain tallennettava ensin työpöydälle ja kaksoiklikattava sieltä. Jos naamioitua sovellusta tarkastelee työpöydällä, ei voi tietää sen olevan sovellus. Jos sitä sen sijaan katsoo Finderin ikkunassa lista- tai kolumninäkymässä, kertoo Finder sen olevan ohjelma. Tosin jos joku ystäväni lähettäisi minulle HQX- eli Mac-pakatun mp3-failin, niin kylläpä ihmettelisin.

Luulenpa, että ensi yön nukun rauhallisesti.

Totta näin on, useimmat vain kaksoisklikkaavat tiedostoa ja se siitä. Toisaalta iTunesiin biisien lisääminen ja poistaminen on niin helppoa, että moni siirtää musat suoraan sinne. Onnistuu myös sähköpostista. Jos taasen sähköpostissa (tarkoittaen Apple Mail-ohjelmaa) tuplaklikkaa esimerkiksi tuota mainittua esimerkkitiedosta, varoittaa Mail poikkeuksellisesta tilanteesta ja kyseessä olevan mahdollisesti viruksen. Tämä ominaisuus on ollut Mailissa jo pitkään, jo edellisessä versiossa. Ylipäätään tämän haloon myötä tietoisuuskin on levinnyt.

Jos joku sen sitten tallentaa erikseen tallennuskomennolla ja suorittaa, niin millä se joku lähettää sen "viruksen"? Jos se joku on sen jo suorittanut omassa koneessaan, sehän on jo kauhuskenaarion mukaan pistänyt kaiken sileäksi, mukaanlukien itsensä?

Entä miten tämä eroaa siitä, että jossakin on tarjolla ohjelma joka tekee ihan jotain muuta kuin lupaa? Vaikka "lottolas.exe" elikäs lottorivien laskuri, joka todellisuudessa arpookin mitä tiedostoja koneelta poistetaan ja mitä ei? Pitäisikö tuollaiseen suhtautua Windowsin-tietoturva-aukkona?

Tietysti omat tiedostot ovat tärkeämpiä. Kuten jo aiemmin todettu, niiden tuhoaminen huijaamalla käyttäjää on aina ollut mahdollista. Tässä ei ole yhtään mitään uutta. 90-luvun alkupuolella oli oikein myynnissä CD-levyjä, joilla oli kaikenlaisia "jokes and pranks" ohjelmia. Itselläni on vieläkin tallessa on yksi DOS:lle ja Win386:lle tarkoitettu CD. Osa on pelkästää hupaisia ja osa on oikeasti vaarallisia vaikkakin harmittoman näköisiä. Kyseinen CD on ostettu aivan tavallisesta suomalaisesta ATK-liikkeestä. Oleellista tässä on ettei tämä tapetilla oleva "troijalainen" kykene leviämään, kuten eivät nuo hupiohjelmatkaan. Siksi ilmaisu vain "käyttäjän omia tiedostoja" on paikallaan, naapurin tiedostoja se ei voisi poistaa eikä edes samalle koneelle luodun toisen käyttäjän tiedostoja.

Niinpä. Viittaan edelliseen kappaleeseen ja lisään että varmuuden vuoksi käyttäjän ei tarvitse yleensä tehdä yhtään mitään muuta kuin laittaa kone päälle ja verkkoon. Ei tarvitse edes hämääntyä. Siis Windows-puolella, ehkä joskus myös Mac OS X:ssä/Linuxissa ja Unixissa, muttei vielä.

Se on hyvä. Toisaalta, moni haluaa varmaan vähän kontrolloida omaan kirjastoonsa kerääntyviä kappaleita, ja katsoo ensin onko se vaivan arvoinen, ja lisää vasta, jos haluaa kuulla sitä enää toista kertaa.

Erittäin hyvä asia. Näin saisi olla kaikissa ohjelmissa. =)

Eihän tuo mikään kauhuskenario ole. Kauhuskenario olisi, että tuo "mp3" käynnistyessään hakisi ensin netistä jonkun pienen ja söpön mp3:n sopivalta siteltä, laittaisi sen soimaan, sillä välin käynnistäisi oman taustaprosessin joka hakisi saatavista lähteistä kaikki sähköpostiosoitteesi, lähettäisi itsensä omalla pienellä smtp-enginellään kaikille tutuillesi, ja vasta SEN jälkeen rupeaisi tuhoamaan tiedostojasi. Vielä parempi, miksei vaan vääntele bittejä solmuun jo olemassaolevista dokumenteistasi? Dokumenttisi olisivat siellä ihan kuin aina eikä mitään puuttuisi, mutta niiden sisältö olisi aivan sotkua. Sama kuville ja musiikki/elokuvatiedostoille, ja voisi olla itku lähellä. Kun systeemi tämän jälkeen vielä tuhoaa itsensä, homma on siinä. Kauanko kestää, ennenkuin joku tajuaa syyllisen olleen se mp3-tiedosto, joka tekikin vähän muutakin kuin sen pelkän mp3:n soiton?

En tiedä, onko moinen edes mahdollista, ja missä vaiheessa eri systeemit hyökkäisivät väliin. Jos player aukeaa tuplaklikkaamalla mp3:sta, se ei tietenkään aukeaisi jos kyseessä ei oikeasti olisikaan mp3, mutta aukeaisiko se, jos tämä mp3:ksi naamioitunut ohjelma yrittäisi launchata esmes URLin joka pointtaa palvelimella olevaan mp3:een?

Eniwei, en minä tässä virusta ole rakentamassa, kunhan vaan pikaisesti yritin miettiä jonkun ikävän lopputuloksen. Käytettävissä käsittääkseni kuitenkin olisi mp3:n koon verran tilaa, eli esmes 3MB. Nykyiset virukset ovat kovasti pienempiä ja pystyvät tekemään jo melkein kaiken mainitun =)

Ero on ehkä siinä, että mp3:ja on totuttu pitämään turvallisina. exe-tiedostoja kukin ajaa muutenkin jo omalla vastuullaan. Moni käyttäjä kokee mp3:n varsin turvalliseksi vaihtoehdoksi - en minäkään mieti, jos saan sähköpostissa mp3:n, minä kuuntelen sen. Toki katson, että viesti näyttää aidolta ja tulee joltain sopivalta tutulta, mutta paljon sen pidemmälle en pysähdy miettimään.

Miksi ei kykenisi? Mainittu konseptia esittelevä ohjelma ei tietääkseni leviä, mutta tarkoittaako tämä, ettei joku muu voisi hyödyntää samaa toiminnallisuutta ja saada ohjelmansa leviämään sähköpostitse muillekin? mp3:n avaa suhteellisen moni sen suurempia miettimättä, ja niin kauan kuin kyseinen tiedosto salaisi tekemisensä, se saattaisi ehtiä leviämään jonkin aikaa.

Jos otetaan sama vaihtoehto järkevästi asennetun Windows-koneen kohdalla, tilanne ei kovasti eroaisi. Järkevästi asennetun koneen käyttäjällä kun ei ole admin-oikeuksia, eikä näinollen pääsyä tämän tiedostoihin. Linux/Unix/yms. pätee samat asiat. Ei nyt takerruta järkevästi tehtyjen asennuksien prosentuaaliseen määrään asennusten kokonaismäärästä =)

Mikään tämän threadin viesteistäni ei ole pienimmässäkään määrin hyökkäys MacOS X:ää vastaan. Huolestuneena kuitenkin katson koko homman vähättelyä monen mäkkikäyttäjän taholta: ongelma on ihan todellinen, ellei siihen löydy jotain korjausta. Jos tuolla tekniikalla tehtäisiin oikea virus, se tulisi leviämään pitkälle. Se tekisi tuhoa, tällä kertaa nimenomaan sinne missä se eniten sattuu, kun kaikki muu on jo suojattu. Sama kävisi muidenkin käyttisten kanssa, jos saadaan naamioitua tiedosto harmittoman näköiseksi. exe-päätteisiä ei taida enää naapurin mummokaan pitää harmittomana.

Windowsin ja Macin OS X:n suurin ero on siinä että Windowsiin voi niitä EXE-päätteisiä tiedostoja päätyä ihan ilman käyttäjän toimiakin kunhan kone vain on verkossa. Lisäksi ne voidaan vielä ajaa ilman käyttäjän toimenpiteitä, kiitokset kuuluvat täysin Microsoftille ja tiukasti järjestelmään integroiduille sähköposti-ohjelmalle ja selaimelle. Mac OS X:n paras suoja on jo sen käyttämä ajettavien ohjelmien formaatti, joka ei pakkaamatta selviä netin läpi ehjänä. Viruksen leviäminen nyt esitetyllä tekniikalla vaatisi siis jopa oikeastaan tarkoituksellisia toimenpiteitä. Esitetyn mallin mukaan Applen oletusselaimen pahin ongelma on ns. "Safe Files" määrittely. Siihen kuuluvat mukaan MP3-tiedostot. Safe Files -listalla olevat tiedostot voidaan avata automaattisesti jos käyttäjä niin haluaa. Toistaiseksi Apple on asettanut tämän bitin päälle tehdasasennuksessa. Jatkossa tilanne ehkä muuttuu tai Safe Files -listalta poistuvat MP3-tiedostot. Ohjelmatiedosto, skriptit jne. ovat kiellettyjen listalla. Itseasiassa lista toimii käänteisesti, mikä ei ole erikseen sallittua on kiellettyä. Kyse ei siis todellakaan ole isosta korjauksesta eikä myöskään isosta ongelmasta kuten mm. F-Securen sivuilla todetaan.

Huolestuminen on aina paikallaan. Kummaa kyllä lähes kaikilla tuntemillani Mac-käyttäjillä on jokin virustorjuntaohjelma käytössä. Pääasiassa siksi, että Windows-viruksia pukkaa myös Maciiin postin liitetiedostoina ja teoriassa niitä voisi vahingossa itse lähettää eteenpäin. On paljon mukavampaa olla tekemättä tuota vaikkapa Windowsia-käyttävälle kaverille.

Oikeat mp3-tiedostot ovatkin turvallisia, sellaisiksi naamioidut sovellukset sen sijaan Mail tunnistaa sovelluksiksi ja varoittaa niistä. Niidenkin kuitenkin on oltava zipattuja.

Kuuntelen sen ensin.

Kyllä, mutta kannattaa ottaa huomioon että ainakin wiredin mukaan kyseinen virus ei leviä sähköpostin mukana ja jos minulle lähetettäisiin mp3-tiedostoja .sit tai .zip paketeissa ihmettelisin asiaa ja en varmasti tuplaklikkaisi mitään katsomatta tarkemmin mikä se tiedosto oikein on.

http://www.wired.com/news/mac/0,2125,63000,00.html...

Ei nyt takerruta tähän kilttiin ja rauhalliseen proof-of-conceptiin vaan mietitään tilannetta ihan Oikean viruksen kannalta.

Jos kyseessä olisi ilkeä ohjelma, joka leviäisi mp3-tiedoston näköisenä tiedostona, jonka kuvake ja tiedostopääte antaisivat olettaa kyseessä olevan mp3, ja joka aktivoiduttuaan lähettäisi itsensä kaikille tutuillesi, ja sen tehtyään vaikka pyyhkisi kaikki jäljet itsestään (ja samalla puolet kiintolevysi sisällöstä, esmes kaikki muut mp3-tiedostosi?), mitä kävisi?

Virus tietysti paljastuisi suht pian muissa kuin Mac-systeemeissä, virus kun ei voisi mitenkään varmistaa, että se lähetetään vain uusille mac-käyttäjille.

Kysymys kuuluukin: miten tavallinen käyttäjä voisi tajuta, ettei kyseessä ole mp3 vaan sovellus? Kuten jo aiemmin mainitsin, en tiedä suuresti Macin sielunelämästä, enkä siitä mikä on mahdollista ja mikä ei. Mielelläni tietäisin. Miksi järjestelmä yleensä sallii tiedoston esittävän jotain muuta kuin mitä on? Miksi tiedostopäätteitä käytetään, jos niillä ei kuitenkaan oikeasti ole väliä?

No millainen olisi sitten se "oikea virus"? On hyvin vaikea olettaa mitään sen toiminnasta kun siitä ei vielä tiedä mitään.

Tämä proof-of-concept todistaa että kyseinen tapa ei ole hyvin toimiva tapa tehdä viruksia mäkille, ainakaan jos haluaisi että virus leviäisi tehokkaasti.

Finder näyttää tiedoston tyypiksi "Application", sitä ei voi "esikuunnella". Lisäksi sen ikoni voi olla väärä, riippuen käyttäjän asetuksista. Jos asetuksia ei ole muutettu niin sitten ikoni on ihan normaalin näköinen.

No, järjestelmä sallii ohjelmien valitsevan itselleen millaisen ikonin tahansa. Tässä tapauksessa on valittu ikoni on samanlainen kuin järjestelmän oletus-ikoni mp3-tiedostoille.

Siksi koska niillä on nykyisin väliä (joissakin tapauksissa). Aiemmin tiedostojen nimillä ei ollut mitään väliä ja täten vanhemmalla ns. Carbon rajapinnalla tehdyt ohjelmat, jotka voivat toimia myös vanhemmissa käyttöjärjestelmissä kuin OS X, saavat olla nimeltään mitä tahansa, myös OS X:ssa. (valitan sekavaa selitystä)

Ja kyllä, tiedostojen tyypin päätteleminen tiedoston nimestä on syvältä ja poikittain, on hyvin valitettavaa että Apple on kokenut parhaaksi vaihtoehdoksi siirtyä siihen, ainakin toistaiseksi.

MIelikuvitus ei ole vieläkään kortilla. Olet nähnyt ja kuullut useista eri viruksista, ja tiedät että tällä tavalla voidaan huijata joku ihminen ajamaan sovellus vahingossa. Et kuitenkaan pysty vahingossakaan kuvittelemaan, mitä tämä voisi tehdä? Ehkä se hakisi sähköpostiosoitteesi, ja käyttäisi sähköpostiohjelmaasi (applescript?) lähettääkseen itsensä kaikille? Ehkä se tuhoaisi kaikki tiedostosi? Ehkä vain mp3:t. Ehkä se sotkisi kaikki tiedostosi?
`
Löytyykö MacOSX:stä jotain sisäistä palomuuriviritystä, joka on suoraan päällä? Jos ei, miksei tämä voisi käynnistää pientä ja söpöä clienttiä joka soittaisi kotiin ja odottaisi jonkun komentavan itseään tekemään.. mitä nyt sitten tekisikään. Onhan näitä irkin kautta juttelevia viruksia tullut itsellänikin vastaan.

Juu, yleensä viruksen tekeminen mäkille on varma tapa estää sen leviäminen tehokkaasti, kun suurin osa koneista maailmassa ei ole mäkkejä. Se vaan näyttää luovan valheellista turvallisuudentunnetta ko. koneen omistajille.

Esikuuntelulla käsitän sinun tarkoittavan jotain muuta, kuin tiedoston tuplaklikkaamista, jolloin sen PITÄISI aueta mp3-soittimessa, mutta jolloin tapahtuukin jotain muuta. Sanooko sähköpostiohjelma tässä vaiheessa, että kyseessä-on-sovellus-oletko-ihan-varma, vai käynnistää suosiolla sen mitä käyttäjä kuvittelee halunneensa?

Suht harva taitaa jaksaa ikoneita vaihdella. Siihen on turha luottaa.

Enemmänkin tarkoitin sitä, että käyttöjärjestelmä sallii tiedostolla olevan validin, tiettyyn tarkoitukseen tarkoitetun päätteen, ja käsittelee sitä silti jonain muuna. Suoraan sanoen hölmöä. Ehkä tarpeellista taaksepäin yhteensopivuutta tarvitseville tms., mutta hölmöä siitä huolimatta.

Ei välttämättä syvältä. Sitä täytyy vain noudattaa orjallisesti. Jos tiedoston pääte on jotain, se käsitellään kyseisenä tiedostona, eikä yritetä arvailla tai korjata mitään. Ikinä. Windows Media Playerkin ilmoittaa välistä tiedoston päätteen olevan väärä jollekin videoformaatille, ja kysyy halutaanko tämä silti suorittaa. Sitä ei pitäisi.

Tiedostopäätteiden pois jättäminen on aika hassua, jos käyttäjällä ei ole muuten mitään tapaa varmasti tietää, mistä on kyse. Etenkin suoritettavien ohjelmien erottaminen muista tiedostoista on olennaisen tärkeää. Muiden tiedostojen taas ei tulisi kyetä suorittamaan yhtään mitään ilman, että käyttäjä näin erikseen käskee. ETENKÄÄN tekemään mitään, mikä ei ko. tiedoston alkuperäiseen käyttötarkoitukseen kuulu. Pätee kaikkialla, oli käyttöjärjestelmä mikä tahansa.

Kyllä, olen nähnyt ja kuullut viruksista, olen nähnyt tämän proof-of-concetptin, jolla ohjelmasta saadaan varsin paljon MP3:a muistuttava ja olen nähnyt että se proof-of-concept EI VOI LEVITÄ muuten kuin pakattuna tai muuten koodattuna.

Eli minun on nyt hyvin vaikea nähdä miten tämä "paha paha virus" ja tämä proof-of-concept ja siitä noussut kohu liittyvät toisiinsa.

Tämä on aika pitkälle sama kuin että joku suosittu ohjelma, peli, p2p -ohjelma, jne. sisältäisi koodia joka etsisi sähköpostiosoitteita ja lähettäisi niihin jotakin, esimerkiksi itsensä (pakattuna, automaattinen käynnistys vastaanottajajärjestelmässä ei nykytietämyksellä ole mahdollista). Tällaisen trojalaisen voi tehdä ihan mihin tahansa käyttöjärjestelmään.

Kyllä kyllä, mutta miten se minulle tulisi, miten se käynnistyisi ja miten se leviäisi?

Tämä proof-of-concept EI VOI LEVITÄ sähköpostin välityksellä paitsi pakattuna.

Ei löydy.

Tottakai voisi, kuten mikä tahansa muu ohjelma.

Se että se on mäkille ei ollut se pointti. Se että virus käyttää naamioitumiseen tiedostoa jossa on kaksi haaraa on se pointti. Niitä kun ei voi helposti levittää. Jos kyseisen tiedoston siis yrittää siirtää vaikka sähköpostitse jää se toinen haara (jossa on ohjelmakoodi joka käynnistää viruksen, osa koodista oli käsittääkseni ID3-tageissa) lähettämättä -> virus ei käynnisty toisessa koneessa.

Ehkä, ehkä ei.

Esikuuntelulla tarkoitan sitä että kun Finderiä (sitä tiedostonhallintaohjelmaa) käyttää kolumninäkymässä näyttää se viimeisessä kolumnissa valitun tiedoston tai hakemiston tiedot ja mahdollisesti esikatselun. Jos valittu tiedosto on mp3-kappale tai vaikka video, siinä viimeisessä kolumnissa voi esikatsella sen painamalla play nappia, käynnistämättä yhtään mitään ohjelmaa.

Tämän viruksen tapauksessa (siis jos kyseisen viruksen on purkanut .sit -paketista) kyseisessä kolumnissa ei ole esikatselumahdollisuutta vaan siinä lukee "Application".

Jos kyseisen viruksen on tallentanut Mail -ohjelmasta (tai ottanut netistä) on tallentunut vain se data-haara ja se on ihan mp3-muotoinen. Ainakin muistaakseni, testasin tätä eilen, mutta olin jo mennyt poistamaan testit.

Ei sano, koska sähköpostiohjelmaan tulee vain se mp3-osuus, se käynnistyvä osuus jää pois jo lähetysvaiheessa (ellei tiedostoa pakata, tai koodata muuten)

Mistään tuntemastani (Macin tai linuxin) sähköpostiohjelmasta ei voi ajaa ohjelmia suoraan. Apple Mailin tapauksessa MP3-tiedostot ja vastaavat voi lähettää haluamalleen ohjelmalle, ja silloin ne tiedostot eivät käynnisty, eivät vaikka niissä olisi edes teoriassa se ajettava osuus jäljellä

Niin, minä olin vaihtanut oletussoitto-ohjelman joten ikoni vaihtui siinä automaagisesti. Suurin osa ehkä soittaa mp3:t oletusarvoisesti iTunesilla, minä Quicktimella.

Siksi koska päätteet eivät ole olleet käytössä pitkään on niiden käyttötapa OS X:ssa vielä hieman vaihteleva, itse luonnollisesti toivoisin että ne eivät olisi käytössä enää pitkään, mutta sen saa sitten nähdä.

Tiedoston nimen osan käyttäminen tiedostotyypin tunnistamiseen on hölmöä, miksi tallennetun dokumentin kuva.jpg pitäisi tehdä eri asia kuin kuva.jpeg tai kuva.gif tai vaikka kuva.pif, jos sen sisältämä data on sama?

Kyllä se on, käyttäjän ei pitäisi joutua arpomaan tiedostopäätteiden kanssa eikä tiedoston nimen pitäisi määrätä miten tiedosto avataan. Käyttöjärjestelmän (tai no, oikeammin käyttöliittymän) pitäisi pystyä tunnistamaan tiedosto muulla tavalla. Hyvä esimerkki tästä on vaikkapa KDE.

Olen samaa mieltä käyttäjän pitäisi pystyä erottamaan dokumentti ja suoritettava ohjelma paremmin.

No, muutkin dokumentit suorittavat kaikenlaista joko suoraan tai välillisesti. Monissa tiedostomuodoissa voi olla upotettuna makroja ja video-tiedostot voivat monissa tapauksissa ohjata muita ohjelmia, kuten selainta.

No, mikä on vaikka makroilla toteutetun word tai excel -dokumentin alkuperäinen käyttötarkoitus? Ja miten käyttäjä voi tietää kaikkien tuhansien kolmikirjaimisien päätteiden merkityksen. Väittäisin että ei voi, eikä pitäisikään.

Tai siis löytyy. Palomuuri on päällä suoraan paketista, mikään portti ei ole oletuksena auki.

Voi tietysti miettiä, mitä troijalainen yleensä voisi tehdä macissa. Sekä Osoitekirjaa että Mailia voi ohjata applescriptillä, joten ohjelma voisi ehkä levittää itseään niiden avulla. Toisaalta esim. palomuuriin virus ei kai voisi tehdä reikää.

Joka tapauksessa troijalaiseen ei tarvitse käyttää Integon kuvaamaa kikkaa. Käyttäjä tosin huomaisi, ettei kyseessä ole mp3, mutta todennäköisesti liian myöhään.

Hauska puoli MP3Conceptissa on, etteivät windows-käyttäjät välttämättä huomaisi mitään. Eivät tosin voisi virusta levittääkään. Hitaasti virus kuitenkin etenisi, koska mac-käyttäjiä on harvassa.

Mail osaa tuplaklikatessa varoittaa, jos liitteenä on ohjelma. Samoin Finder kertoo tiedoston todellisen tyypin. Jos nämä voisi kiertää, ongelma olisi vakavampi.

Tiedostopäätteitähän ei macissä alunperin käytetty. Tämä siksi, ettei käyttäjän tarvitsisi osata nimetä tiedostoja sen mukaan, millä ne luetaan. Homma toimi siististi niin kauan, kun käytössä oli pelkkiä macceja, ja jokainen tiedostotyyppi liittyi vain yhteen ohjelmaan.

OS X -puolella tilanne on osittain muuttunut: Finder tottelee päätteitä, mutta yhteensopivuuden vuoksi myös vanhoja type/creator -koodeja.

Jos tuosta viruksen väsäisi, siitä saisi ehkä mahdollisesti sitten suht helposti sellaisen että se jopa soittaisi musaakin. Pistäisi mukaan vaan MP3n, ja jonkun executablen joka avaa sen mp3n soittimeen. Executable ajaisi viruskoodin ja purkaisi itsensä ulos muka-mp3sta, ja jättäisi jäljelle alkuperäisen ämppärin. Paha ei olisi varmaan tehdä sellainenkaan että se etsisi samasta dirristä muut mp3t ja tarttuisi niihin tehden niistä samantyyppisen paketin (joka taas soisi ja ajaisi viruskoodin soittoyrityksen yhteydessä.)

Ei ihan helppoa. Jotta se virus itsessään pysyisi ehjänä sen pitäisi selvitä hengissä läpi netin. Useimmat palvelimet (sähköposti ja web-palvelimet) eivät tue macbinary-muotoa ja näin ollen ajettava tiedosto korruptoituu. Tietysti voihan joku tehdä viruksen, jossa on itsessään tarvittava pakkausalgoritmi mukana sekä vieläpä SMTP-palvelin. SMTP-palvelimen asennus vaatii kuitenkin vähintään ylläpitäjän tunnukset ja salasanat. Tämäkin on mahdollista kiertää rakentamalla vaikkapa aliohjelman, joka odottelee kunnes käyttäjä jossakin vaiheessa syöttää tunnukset ja salasanan ja käyttää sitten niitä asennuksessa. Tämän jälkeen se voisi asentaa oman palvelimensa ja lähettää itsensä pakattuna eteenpäin. Seuraava ongelma on miten se saadaan purkautumaan automaattisesti vastaanottajan päässä...ei ihan helppoa, mutta teoriassa kyllä mahdollista käyttäjän avustuksella. Suurin ero Windowsin ja Unixien (ml. Mac OS X) välillä on ohjelmien ja koodin vapaa suorittaminen Windowsissa ja pääsy käytännössä minne vain. Muissa nykyaikaisissa järjestelmissä tämä on huomattavasti rajoitetumpaa.

Sinänsä mielenkiintoista on, että Mac OS 9:ssä, 8:ssa ja 7:ssa tämän nyt esitellyn imitointitekniikan käyttö oli myös mahdollista. Osittainhan esimerkki käyttääkin yhteensopivuutta vanhoihin järjestelmiin hyväkseen, se ei ole natiivi Mac OS X Cocoa-ohjelma vaan Carbon-koodia. Aiemmissa järjestelmissä tällä tekniikalla olisi voinut tehdä mitä vain, ne kun eivät paljon rootin tai ylläpitäjän oikeuksia kyselleet vaan koodi oli vapaasti suoritettavissa.

Ikonin kuin ikonin on voinut aina vaihtaa. Resursseja on voinut myös muokata vapaasti iät ja ajat. Kaikki ajettava koodi ei suinkaan ole näkynyt ohjelmina käyttäjillä. Tässä koko jupakassa ei itseasiassa ole yhtään mitään uutta.