Ik moet zeggen dat zo en zo de informatie die sophos levert omtrent ongewenste software minimaal of zelf te min is ....

Zoals Peter V aangeeft zou een MD5 of een SHA hash een toevoeging zijn waar je iets aan hebt. Als technischi vindt ik het leuk om het stuk van sophos te lezen maar voor de normale gebruiker zit er geen toegevoegde waarde in of aan.

Kan een Macgebruiker dan zomaar applicaties aanklikken en automatisch installeren?
Ik dacht dat zo'n Mac met BSD Unix werkte, daar is dan toch wel een of andere vorm van beveiliging?
Of zit de gebruiker de hele dag ingelogd als "root"?

Mac OS X & Terminal!

Kijk hier eens naar :
https://www.security.nl/posting/375890/Security+%3A+Praktisch+nut+versus+Veiligheid+en+Privacy+%3F

Aanvullende toelichting onderweg.
Eventueel praktische sandboxing tips (al dan niet met support van reageerders) daarna.

Ach,een weldenkend mens stinkt niet in deze rotzooi,en gaat niet op dit soort mails in.
Je weet toch zo wie zo dat er op de manier dat het wordt aangeboden,het zaakje stinkt?.
Dus kom je zoiets tegen op deze manier,gelijk weggooien die mail(niet het zipbestand openen,en meteen vernietigen die mail).

Meer hoeven Sophosgebruikers niet te weten toch?

De rest kun je vinden met behulp van Google...

Zoek OSX/LaoShu-A en je vindt
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/OSX~LaoShu-A/detailed-analysis.aspx waarin hashes te vinden zijn, nog niet bekend bij virustotal.

Hetzelfde met Mal/VBCheMan-C levert
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Mal~VBCheMan-C/detailed-analysis.aspx waarin een hash die gegoogled het volgende resultaat heeft:

https://www.virustotal.com/nl/file/bd20c52b69ba85842c8555254423995a5e37fc15bf208c275e7c86ccf063bbb9/analysis/

Nee hoor, de gebruiker heeft hier ook een paar veiligheidsregels genegeerd.
- Link klikken zonder te controleren. Het is altijd verdacht als de onderliggende link ergens anders heen wijst dan de zichtbare tekst
- Bij het openen van een pdf-je krijg je geen waarschuwing, dus als hier de waarschuwing komt, dat je voor het eerst een van het internet gedownload programma opstart, moet je ook nattigheid voelen.

Verder kan de gebruiker niets in root installeren, maar je kunt op de mac ook programma's in je user area installeren. Zo'n programma heeft dan beperkte rechten en kan alleen door deze user gebruikt worden. En aangezien deze malware alleen bestanden uit de user area wegstuurt zal dat binnen zijn rechten vallen.

Om een gedownload programma voor de eerste keer te kunnen runnen zijn er drie instellingen mogelijk
A) Alleen uit de appstore
B) Appstore en gesigneerde programmas
C) Elk programma.

B is de default, maar blijkbaar is het de malwaremaker gelukt een signatuur te verwerven. Wil je veiliger werken, dan kun je beter de instelling op 'alleen appstore' zetten. Ook dan nog kun je elk 'net gedownload' programma starten, maar je moet dan eerst de account naam en wachtwoord van een administrator opgeven.

Was dat maar waar!

Nee dus, ik durf te stellen dat verreweg de meeste huis tuin en keuken Mac users werken onder één account, al dan niet gedeeld met de rest van het gezin, al dan niet met auto-inlog of zonder password (hij staat alleen maar thuis hoor).

Waar werken ze dan onder?
Juist ja,
het admin account met alle vereiste admin rechten; geen limitatie, geen password (?), niet lezen van meldingen (?).

Als je een Mac aanschaft wordt je wel gevraagd een account aan te maken, maar zover ik weet (geen beschikking over Mavericks) wordt de gebruiker niet gevraagd, na eerste activatie van het basis admin (!) account, om veiligheidsredenen een standaard gebruikersaccount aan te maken.

Zo'n ontzettend simpele maatregel als Apple dat eens zou invoeren.

Gevaarlijke nieuwe weg ingeslagen door malware met mijns inziens 'groeipotentieel'.
mvg 14:32

Zeg heb jij eigenlijk wel een Mac of doe je alsof? Als een programma zichzelf wilt uitvoeren met root rechten dan vraagt OSX elke keer uitdrukkelijk naar het wachtwoord van een admin. Dus ook al is het account waarmee je zelf bent ingelogd een admin account dan nog moet je je wachtwoord invoeren. Heb je geen wachtwoord ingesteld dan nog wordt er om een wachtwoord gevraagd (welk dan gewoon blank is). Mavericks staat niet eens toe dat er geen wachtwoord is ingesteld. Zie het maar als de UAC van Windows met het grote verschil dat het je niet voor iedere poep of scheet gevraagd wordt en dat je niet simpelweg op Doorgaan kun klikken. Hierdoor weet eedere fatsoenlijke OSX gebruiker dan ook dat bij het verschijnen van het wachtwoordveld er iets serieus aan de hand is en je even moet nadenken of je wel je wachtwoord wilt geven. Voor een pdfje zal iedereen met gezond verstand dat weigeren, de mensen die het wel domweg doen die zouden handelingsonbekwaam verklaard moeten worden door de rechter.

;-)


Dit lees ik maar even als : "weet je dat wel zeker?"


Nee,
ik heb het nog even uitgeprobeerd met (bewust) OS X versies 10.7 & 6 onder een admin account met security settings niet vol dicht (dat sluit aan bij de praktijk). Lion settings accepteren installeren van alle soorten apps, genoeg mensen die dit zo hebben ingesteld.

Wat heb ik uitgeprobeerd?
Het installeren van een programma in de programmafolder, geen probleem, geen wachtwoordvraag. Nee dus, er wordt niet om een wachtwoord gevraagd als het bijvoorbeeld gaat om deze OS X versies.
Retorisch : Gaan we ze samen alle opties onder alle OS X en doornemen?

Een programma dat is geïnstalleerd onder een admin account heeft daarmee ook als eigenaar admin en de bijbehorende rechten.
Ook het opstarten van het programma (wat ik dan maar beschouw als 'uitvoeren') vraagt niet om een admin wachtwoord.

Wat eventueel nog openstaat is de vraag in welke gevallen Terminal application, geopend onder een admin account, vraagt om een extra wachtwoord controle.
Ik denk niet dat het dan gaat om het installeren van een programma.
Praat me maar bij, geef liever het antwoord onder :
https://www.security.nl/posting/375890/Security+%3A+Praktisch+nut+versus+Veiligheid+en+Privacy+%3F

! Het verwijderen van een geïnstalleerd programma in de programma-map vraagt wel om een wachtwoord.

Hoe het specifiek met Mavericks zit weet ik niet, Mavericks heeft wel een groeiend marktaandeel, niet het grootste van alle OS x-en, dus lang niet alle Mac gebruikers hebben Mavericks.
(Extra) kwetsbare groepen zijn juist die gebruikers die (nog) niet het nieuwste OS X hebben of gewoonweg niet kunnen upgraden.


Nee dus,
leert mijn check.


Nee dus,
leert mijn check.


Dat zou kunnen, nogmaals ; lang niet iedereen heeft Mavericks.


Dat zou kunnen en het is inderdaad fijn dat OS X je minder lastig valt met meldingen. Het geeft echter geen enkele garantie dat de gebruiker de melding dan wel leest of de melding begrijpt.


Fatsoen heeft hier niets mee te maken. Het probleem met pop up meldingen is, ook onder OS X, dat je een melding kunt krijgen die los staat van het proces waar jij op dat moment je focus (aandacht) op hebt.

Dat is voor alle os-en een probleem, want de gebruiker heeft even geen zin of tijd voor een pop up omdat zij met iets anders bezig is. Reden waarom ook onder OS X gebruikers gebruikers zijn te vinden die al jaren niet hebben geüpdatet doordat zij bijvoorbeeld een melding van beschikbare updates wegklikken en er daarna niets meer mee doen.

Het alternatief voor wegklikken is "Ja" klikken, welke van de twee het meest voorkomt durf ik niet te zeggen. In beide gevallen ben je kwetsbaar.
Al valt er wat voor 'Nee' klikken te zeggen, je hebt dan wel je updates niet maar trapt in ieder geval niet in social engineering malware. De meeste (?) malware voor OS X maakt gebruik van social engineering en probeert je zelf malware te laten installeren door er toestemming voor te geven.
Dat is alleen het geval als er ook toestemming wordt gevraagd.

OS X biedt zeker een combinatie voorkeurs instellingen die daar tegen helpen en waarschuwen.
OS X staat niet standaard maximaal veilig geconfigureerd, de meeste (?) Mac gebruikers nemen de voorkeursinstellingen en alle voorkeuren van het OS X voorkeurenpaneel niet door. Laat staan de voorkeuren van alle gebruikte andere programma's.
Daarin zal een Mac gebruiker ook niet heel veel verschillen met bijvoorbeeld Windows gebruikers.


Gezond verstand gebruiken is iets anders dan verstand van zaken hebben.
Met het gebruik van gezond verstand heb je niet automatisch kennis van zaken.
Als je kennis van zaken hebt en je je gezonde verstand niet gebruikt ben je inderdaad minder handig bezig maar vergissen is menselijk en kan iedereen overkomen. Het hoeft soms maar één klik te zijn!

Computergebruikers hebben zich door de industrie een model laten opdringen dat eigenlijk te absurd is voor woorden. Namelijk apparaten & bediening die feitelijk nogal niet gebruikers vriendelijk zijn en geen rekening willen of kunnen houden met het kennisniveau van de gebruiker.
Het willens en wetens gebruikers dwingen zich al dan niet vergaand in software en techniek te verdiepen heeft niet gewerkt en heeft feitelijk bij velen een enorme weerzin opgeroepen of angstig gemaakt.

Als er al gesproken kan worden van onbekwaamheid, denk ik dat veel programmeurs en interface bouwers flink te rade mogen gaan bij zichzelf.
Met niet luisteren naar je doelgroep (de afzetmarkt) en denken het beter te weten neem je een aanmerkelijk risico.
Het voor de rechter slepen van je eigen doelgroep omdat ze je software niet begrijpen of omdat je feitelijk een verkeerde (negatieve) Pavlov reactie veroorzaakt door gecreëerde weerzin is natuurlijk een absurde gedachte.

Apple is er veel aan gelegen haar producten zo gebruiksvriendelijk als mogelijk te maken. Daar zitten ook mitsen en maren bij en sluit misbruik door anderen niet uit.
Social engineering is een intrigerend iets en is, als je het goed kan, zeer effectief. Bij misbruik bijvoorbeeld.
Niet iedereen wordt illusionist of goochelaar, geld verdienen met wisseltrucs kan ook, of op digitaal gebied, vroeg of laat trap ook jij er een keer met open ogen in.

Ten overvloede

Met ontkennen van dreigingen los je problemen niet op.
Dreigingen zijn er meestal niet ineens, daar gaan vaak testfases en een groeiperiode aan vooraf.
Het Flashback virus was al iets van 5 a 7 maanden actief, werd zelfs ook al besproken als dreiging, voordat het haar hoogtepunt bereikte met een meer uitgewerkte vorm (6e 7e variant?).

Deze malware poging voor de Mac is wellicht nog wat onhandig, zie het als een testfase van een nieuw proof of concept. De Flashback malware zat ook nog eens heel listig in elkaar, niemand verbiedt dit proof of concept te combineren met eveneens listige code.
Op het moment dat verstopte command line code helemaal los kan gaan op je Mac (met gebruik van de Terminal application) nadat je een file hebt binnengekregen (of slechts 1 keer hebt aangeklikt) wordt het menens, goed menens (wederom).
Als je signalen op het gebied van malware ontwikkeling negeert omdat je dat beter uitkomt of niet interesseert vind ik dat verwijtbaarder gedrag dan iets niet snappen of je eens een moment vergissen door ergens op te klikken.

Van standaard gebruikers verwacht ik niet dat ze dit soort signalen bij de bron proberen op te lossen. Voor security geïnteresseerden /onderzoekers, developers, producenten met kennis van zaken ligt dat wat anders.

Ik durf zelfs te veronderstellen dat dit een malware variant is dat soortgelijke potenties heeft als de Flashback malware.
Wat gaan we doen? 6 maandjes wachten?

Jij en ik zijn misschien wat slimmer dan de rest en blijven misschien wel buiten schot, dat is mooi maar dat doet er niet toe.
Het gaat om het grootste bereik en daarmee om de gebruikers die er wel vatbaar voor zijn.


Dus, wat wordt het?
Ieder voor ze eige, de rest achter de tralies?
Je inzetten voor anderen met gebruik van de (juiste) kennis die je hebt?

Mvg 14:32


Met op vriendelijke wijze een ander corrigeren lijkt me niets mis, graag zelfs.
Of met een vriendelijke vraag natuurlijk ; "weet je dat wel zeker" ?