Zběsilá jízda na Leopardu 2. – případ firewall a bezpečnost

Dalo by se říci, že případ bezpečnosti Leoparda se stal hvězdnou hodinou pro vcelku neznámý Heise Security, britský magazín věnovaný bezpečnosti. Jeho verdikt The Mac OS X Leopard firewall failed every test obletěl svět a byl citovný všemi možnými médii. Ačkoliv vyšel už 29.10., Apple k němu, jak je zvykem, nezaujal stanovisko a nechal ho bez komentáře. Možná škoda, protože vinou nedostatku publikované dokumentace bylo dopátrání se pravdy náročnější a dodnes někteří opravdu věří tomu, že firewall Leopardu je druhé jméno řešeta.

Zaprvé je třeba říci, že firewall v Leopardu skutečně není automaticky aktivní. Co tím Apple sledoval, lze říci těžko. Na jednu stranu je pravda, že v rámci amerických ISP se firewallování klientů už docela rozmohlo, stejně tak ve firemní síti. Na stranu druhou správně nastavený firewall by neměl dělat velké potíže. Lze jistě argumentovat tím, že není v současné době známý žádný průnik po síti (krumpáč funguje vždy a jistě) do Tigra nebo Leoparda (narozdíl od XP / Vista), kde hrozí buďto průnik nebo zhroucení systému. Ale i přesto asi měl být firewall aktivní. Takže opatrnosti není dost a je vhodné si ho zapnout.

Druhé tvrzení Heise Security, totiž že firewall Leopardu prakticky nefunguje už dnes můžeme s klidným svědomím odmítnout, zjištění odborníků z Heise Security jsou neúplná a překonaná. Ponechme stranou, že odborník je člověk z jiného města, v tomto případě jim unikla podstatná maličkost.

Fakt, že firewall při portscanu hlásí porty jako otevřené ještě neznamená, že nefunguje. Prostě se nějak tváří a důležité je, jak se zachová při skutečném útoku. Zjednodušeně řečeno podstatné je, že žádný zatím není znám a že ani s těmi porty to není tak heise, jak to vypadalo…

Apple totiž v Leopardu firewall dosti podstatně změnil oproti Tigrovi. Ačkoliv je nadále používaný BSD IPFW. Apple totiž přijal za své myšlenku větší provázanosti firewallu a operačního systému. Problémem hardware firewallů je to, že většinou nemají šanci dozvědět se o charakteru přes ně běžících aplikací, než nějakou analýzou a odhadováním. Firewall integrovaný do operačního systému má šanci oproti tomu zjistit, co je to za program, který se snaží ustanovit síťovou konexi a podle toho se nějak zachovat. A to Apple využil.

Aby nebylo tak snadné vydávat virus za jiný program, zavedl Apple v Leopardovi digitální podepisování aplikací. A to je další věc, kterou recenzenti zpravidla přehlížejí jako nepodstatnou, pro bezpečnost systému bude mít ale do budoucna velikou důležitost. Applem dodané aplikace jsou digitálně podepsané. Podpis říká, co je aplikace zač a že je její integrita neporušena. Další části systému se podle toho zařizují. Například Keychain skladující centrálně hesla vás po reinstalaci digitálně podepsané aplikace nebude znovu buzerovat otázkou, zda této aplikaci má hesla zpřístupnit, protože podle podpisu zjistí, že jde o tu samou aplikaci, jen v nové verzi.

Stejně tak firewall podle podpisu zjistí, že aplikace je důvěryhodná (a nenapadená). Proto síťové služby jako Bonjour (utilita Zeroconfig) nebo aktualizace času ze síťového serveru běží i v momentě, kdy firewallu zadáte příkaz blokovat veškerý příchozí provoz. Firewall neblokuje provoz o kterém ví, že je v pořádku. Podle všeho jde tedy spíše o nedostatky v terminologii, než o vadu firewallu, z hlediska bezpečnosti opravdu nemá smysl blokovat služby, které jsou v pořádku. A právě tohle měl Apple vysvětlit místo toho, aby si to lidé horko-těžko zjišťovali sami.

Právě tenhle systém dělá z firewallu v Leopardovi užitečnějšího pomocníka než z jakéhokoliv jiného firewallu. Unixoví maniaci budou zklamáni, ale ti, kdo chtějí firewall mít jako spolehlivého pomocníka, budou spokojenější. Samotného mne příjemně překvapuje, že digitálně podepsané aplikace firewallem hladce projdou.

Otázka do pléna je, zda má dnes na firewallu smysl nastavení „Blokuj veškerý internetový provoz“, což je další stížnost – Leopard firewall nic takové asi nemá. Osobně jsem používal software od Intego, který tohle nastavení má, ale nikdy jsem ho nepoužil. Když chci odpojit počítač od sítě, vypnu WiFi a odpojím kabel. Airwall mi přijde mnohem důvěryhodnější. Ale dost možná jsem něco zásadního přehlédl.

Dlužno dodat, že tento popis firewallu se týká klientského systému. Serverový firewall funguje odlišně a tento popis na něj nemusí platit.

Další materiály a odkazy k firewallu Leoparda třeba zde. Nebo zde.

Pro hraní si s firewallem doporučuji odpůrcům příkazové řádky instalovat si zdarma GUI WaterRoof

První útok trojského koně? Kdeže …

Dalším „skandálem“, který se vezl na vlně popularity Leoparda byl „první trojan pro Mac OS X“. Jeho zjevení mělo nabourat mýtus o bezpečnosti Mac OS X, alespoň podle některých médií.

Zmíněný trojan dostal označení RSPlug.A a je ke stažení na některých pornosajtech, kde se vydává za video kodek potřebný pro přehrávání obsahu. Člověk si ho musí dobrovolně stáhnout, potvrdit výstrahu při instalaci a pak ještě zadat heslo administrátora (což se zadává jen při instalaci systémových služeb, jakou video kodek rozhodně není). Trojan nespoléhá tedy na chybu v systému, ale na nedostatek pozornosti na receptorech mezi klávesnicí a židlí.

Několik závisticů, kteří dosud neznámému autorovi nepřáli slávu být prvním trojanistou na Mac OS X podotýkají, že prvním trojanem ve skutečnosti je albánský trojan, při němž spustíte konzoli a napíšete sudo rm -fr / – také musíte zadat heslo administrátora. A co je na tomhle albánském viru nabízejícím hru sudoku ohavné? Prý ho obsahují všechny Mac OS X distribuce už od výrobce! To je ale skandál…

Ale vážně, trojských koňů spoléhajících na to, že uživatel bezmyšlenkovitě zadá root heslo, těch bude… Za trojského koně bych ovšem raději i nadále označoval spíše program, který se instaluje a škodí sám bez větší interakce uživatele, jak to bylo na starých dobrých Windows, kdy vám do Outlooku přišla příloha a sama se provedla a instalovala…

Poznámka související s firewallem: aplikace, která získá root práva, může projít i firewallem. Holt root heslo není na rozdávání…

Upozornění před prvním spuštěním

Jednoduchou pomůckou pro bezpečnost je upozornění před pvním spuštěním nebo spíše před instalací, které nyní Leopard dává u nepodepsaných aplikací. Při kliku na instalační soubor jste upozorněni kdy a jakým programem jste ho stáhli. Teprve po odkliknutí se pokračuje v otevření a instalaci.

Sandbox

Pro vývojáře a hračičky nebude bez zajímavosti implementace Sandboxu, která vychází z Systrace od Nielse Provose. Sandbox je takové bezpečné pískoviště, kde si můžete hrát s aplikacemi, u kterých nevíte, co jsou zač nebo jim chcete přistřihnout křidýlka. Můžete jim dovolit, co mohou a co nemohou, můžete je omezit, jak se vám to hodí.

Hloupé zatím je, že kromě tří stránek nápovědy v manu není zatím k dispozici žádná dokumentace, ale snad ji Apple co nejdříve uvolní. A aplikace se jmenuje v Mac OS X Seatbelt. Pár dalších detailů zde.

A pro hračičky je 10.5 ve zdrojáku

Ne celý samozřejmě … Zdrojové kódy open-source části systému jsou tradičně u Apple vydávány v rámci projektu Darwin, takže kdo si chce hrát, může stahovat.

Tak a to je zatím všechno, co mne napadlo 🙂

Jak se vám líbil článek?
1 Star2 Stars3 Stars4 Stars5 Stars (hlasováno , průměr: 3,57)
Loading...

17 komentářů

  • Zdravím, co si opravit kódování v RSS Feedu…

  • taky mam problem s kodovanim toho rss feedu. ctu to v google reader. tady na strance je to ale ok.

  • ja taky, ale problem je to v tom feedu… staci si ho otevrit, a ani se neproparsuje… otaznicky, otaznicky, otaznicky…

  • BTW.. heise je německé vydavatelství docela čitelných IT časopisů, proto v anglofoním svetě téměř neznámý. Jejich analýzy bývají věcné a většinou se podle nich dá i orientovat… Anglický web je jenom takový chudý bratříček, proto je spíše neznámý…

  • Pokud už tedy diskutujete o bezpečnosti a vyvracíte nějaká tvrzení, pak by to chtělo argumenty.
    Začátek byl podpásový (odborník je člověk, který přijel z jiného města).
    Pokračování poměrně slabé (srovnávání s xp/vista) obecnými větami, že na konkurenčních os při průniku po síti hrozí průnik či zhroucení systému (alespoň nějaké příklady by byly vítány).
    Pak věty „Fakt, že firewall při portscanu hlásí porty jako otevřené ještě neznamená, že nefunguje. Prostě se nějak tváří a důležité je, jak se zachová při skutečném útoku.“ by snesly pokračování, jak to tedy ve skutečnosti je. Tato argumentace mi poněkud připomíná výtku čtenaře jistého časopisu, který vytýkal redakci, že anglické slovo ‚asdfgh‘ není česky ‚qwerty‘ ale něco, co nenašel ve slovníku.
    Dále, digitální podpisy nejsou všemocné, máme tady nejen software digitálně podepsaný, u kterého si přejeme, aby komunikoval, ale i spoustu softwaru digitálně podepsaného, u kterého si přejeme aby nekomunikoval a i spoustu softwaru digitálně nepodepsaného, u kterého si přejeme aby komunikoval. Dalším příkladem problému může být software nekalý, který využije softwaru kalého ke komunikaci. A konečně, digitální podpisy softwaru jsou u konkurence běžnou součástí života už řadu let, takže nic nového pod sluncem.
    Mohl bych dále pokračovat výčtem dalších nepřesností, chyb či zavádějících informací, ale nechám toho a shrnu vše do jediné věty: Tento článek je textem advokáta obhajujícho to, čemu sám nerozumí.

  • Kolemjdoucí: no, dal jste do dlouhého příspěvku dva poznatky. Ano, digitální podpisy software se používají nějakou dobu. Ale nikoliv běžně ve funkčním nasazení u firewallu.

    Využití kalého a digitálně podepsaného ke komunikaci nekalého ven je jistěže zajímavé téma. To ovšem nikdo z Heise nezkoumal. Dokonce se k tomu ani nedohrabal, aby zjistil, že takovýhle potenciální problém tu je a že by stálo za to ho vyzkoušet.

    Článeček byl sumářem poznatků, ne jejich dokumentací. Stačí projít prolinkované zdroje, najdete toho více a můžete si obraz udělat sám.

    A váš komentář je zase názorem někoho, koho mrzí, že ta chyba není chyba a že pořád ne a ne něco najít …

  • Myslím, že se mýlíte. Osobně nepatřím do žádného tábora bojovníků za Svatý operační systém (sám používám vždy nástroj vhodný pro daný účel), jen mě poněkud dráždí tato podivná obhajoba.
    Pokud bych měl jmenovat některé Vaše další s odpuštěním bláboly, pak medaili získává rozhodně „z hlediska bezpečnosti opravdu nemá smysl blokovat služby, které jsou v pořádku“.
    Pokud byl článek sumářem poznatků, pak abych se snad i bál se dívat na jejich zdroje.

  • No, pánové z heise to zkoumali, načež publikovali „Ein zweiter Blick auf die Firewall in Mac OS X Leopard“, kde předvedli, že i při zapnutém firewallu si jde pokecat s ntpd.

    Jejich závěr je takový, že Microsoft také kdysi distribuoval XP bez FW a nechával puštěné defaultně služby, které sám napsal a které byly „v pořádku“. Když pak přišel po otevřeném portu na návštěvu Sasser, už ty důvěryhodné služby tak důvěryhodné nebyly.

    A prosim prosim, šlo by něco udělat s tim RSS feedem ?

  • Ještě douška k softwaru s digitálními podpisy: cílem mých poznámek bylo pouze tolik, abych ukázal, že rozlišení softwaru dle toho, jestli má či nemá digitální podpis, má z hlediska bezpečnosti pouze marginální až žádný význam. Takže osobně tuto vlastnost firewallu považuji za zbytečnou až škodlivou.

  • no já se stavím tak nějak mezi. Osobně bych nikdy nedůvěřoval softwarovému nastavení „blokovat veškerý provoz“, právě proto, že je softwarové a chtěl-li bych to použít pro zastavení nějakého škodlivého softu, nikde nemám zaručeno, že tento soft už tuto funkci nezměnil.

    právě ale po zkušenostech z windows už bych nikdy podobný typ firewallu nechtěl, když bych měl dát počítač přímo na síť bez NAT, tak bych určitě chtěl mít absolutní kontrolu nad vším.

    V současnosti ale právě proto, že jsem za NAT a že nemám IE (resp. active x), tak jsem všechny antiviry a firewally odinstaloval (plus spoustu dalších potenciálně problematických služeb) a několik let jsem nezaznamenal sebemenší problém.

    To že se firewall ozývá na portech ovšem je bezpečnostní chyba – běžný „hacker“ tak má snadnou možnost zjistit, kde je **nějaký** počítač, zkušenější hacker může poznat podle puštěných portů, co tam běží za typ OS a jaké má puštěné služby a pak se pokoušet o cílený útok na nějakou známou chybu. Ale myslím, že to bude stále jen hypotetická situace, aby měla globální dopad, muselo by jít o automaticky zneužitelné chyby a pro ně je zas třeba výrazně většího rozšíření, než mají kterékoliv apple stroje dnes.

  • No, jetse k tem pustenym portum, i ty se daji „schovat“, v advanced nastaveni je moznost zapnout stealth mode, takze pak se masox uz neozyva vubec.

    Jinak ale souhlasim s jendim,ze mit default FW vypnuty, i pri upgradu z tygra,kde to clovek mel zapnute je podle mne nestastne rozhodnuti Apple. Jinak myslim,ze ten FW dela to co ma a nema nejaky zjevny problem. Ostatne je to porad stejny ipfw z FreeBSD, jde jenom o to nastavovani z GUI a mozna az moc velkou provazanost se systemem, ktera je nova a to muze nektere vetsi paranoiky znervoznovat. Ale nikdo tam zatim tu skutecnou diru neobjevil.

    Coz neznamena ze tam neni 🙂

  • Suczker: ano, to je právě to, jak ty „důvěryhodné“ služby obstojí.

    S RSS nic dělat teď nebudu, nemám na to kdy.

  • Kolemjdoucí: zhroucení systému (alespoň nějaké příklady by byly vítány).

    Ještě v paměti mám XP bez SP2, které po připojení do internetu bez firewallu (a defaultně byl v XP vypnutý) do dejme tomu deseti minut šlo do rebootu kvůli spadlému RPC.

  • Bezejmenný: ano, já také pamatuji různě závažné problémy, které se vyskytovaly ve všech možných verzích windows. Můj komentář se ale týkal konkrétně poznámky ‚Lze jistě argumentovat tím, že není v současné době známý žádný průnik po síti (krumpáč funguje vždy a jistě) do Tigra nebo Leoparda (narozdíl od XP / Vista), kde hrozí buďto průnik nebo zhroucení systému.‘ Takže bych rád slyšel, o co se jedná _v_současné_době_.

  • Kolemjdoucí: možná se budete divit, ale i v současné době znám řadu instalací XP bez SP2. Netuším, zda to „není známý průnik po síti do Tigra a Leoparda“ znamenalo, že neexistuje nebo že na to je záplata. Pokud by to bylo myšleno v prvním smyslu, pak jakékoliv nezáplatované XP potvrzují, že jsou známy průniky/zhroucení po síti. Pokud však platí druhý smysl, srovnávají se opravdu jablka a hrušky.

  • Kolemjdoucí: současnou dobou rozumím dobu vztaženou k provozování OS. Jistě uznáte, že existence BackOrifice nebo Bagle je problém i dnes, dokud si nestihnete systém zalátat při instalaci. Vtip je v tom, že u Mac OS X tyhle kritické problémy nejsou. Alespoň zatím. Není trojan atd, který by ohrozil Tigra ještě než provedete všechny patřičné update. Ano, shodíte prohlížeč zvláštním kódem, ale neproniknete do systému a neuděláte si z něj spam mašinu. Snad už chápete ten rozdíl.

  • noname: rikat NAT bezpecnostni reseni je… s odpustenim zvrhle. NAT neni urcen – a nikdy nebyl – jako nejake bezpecnostni reseni. Proc by ho nepouzivali vsichni? Garantuji Vam, ze NAT nezastavi vubec nic.