|
Een trojan voor Mac OS X is zo gemaakt |
Mac OS X zaterdag, 29 oktober 2005 09:36 |
 Mac gebruikers wentelen zich altijd in de heerlijkheid dat Mac OS X tot op heden nog g?©?©n virussen kent. Veiligheidslekken zijn er wel, maar niemand heeft ooit nog echt een ernstige infectie van het systeem meegemaakt.
Hoewel het maken van een echt virus --dat zichzelf dus kan vermenigvuldigen-- voor Mac OS X misschien niet zo makkelijk is, is het maken van een Trojan een koud kunstje. De zwakste schakel van een veilig systeem is namelijk de gebruiker zelf.
Ik denk dat ik afgelopen week de halve Mac wereld had kunnen infecteren met een pracht van een Trojan, en ik zal uitleggen hoe.Ingredi?´nten
Een gemiddelde Trojan bestaat meestal uit twee delen:
- Een leuk programma dat iedereen wil hebben of op zijn minst eventjes proberen.
- Een geniepig programma waarmee schade wordt aangebracht, bijvoorbeeld het wissen van de hele harde schijf.
Nummer 1 was afgelopen week zeer eenvoudig te realiseren. Apple voorzag de nieuwe iMac G5 namelijk van Front Row en Photo Booth; stukjes software die op geen enkele andere Mac verkrijgbaar waren.
Zowel Photo Booth als Front Row waren in mum van tijd gekraakt en op het internet te vinden, en iedereen wilde het hebben. Een wereldwijd download-festijn begon, en de software was zelfs te vinden op websites die normaal gesproken actief modereren op aanwezigheid van warez.
Nummer 2 is eenvoudig te maken met XCode. Een programma dat simpelweg het admin-wachtwoord (dat de gebruiker ons gaat geven tijdens de installatie) uit de voorkeuren haalt en daarmee iets stouts doet. Bijvoorbeeld mails versturen, verbindingen maken met servers, maar ook iets simpels als de harde schijf helemaal wissen.
Zodra het programma wordt opgestart zal het op zoek gaan naar het opgegeven admin wachtwoord, en zal de hele harde schijf gewist worden.
Een dergelijk programma is met 10 regels Objective-C te maken door elke gemiddelde C programmeur.
De methode
Laten we ons richten op Photo Booth, maar ook Front Row zou het erg goed doen. Dit downloaden we van het internet. Met PackageMaker maken we een installer voor Mac OS X. Bij aanvang van de installer vragen we het admin wachtwoord aan de gebruiker. Dit is voor Photo Booth helemaal niet nodig maar iedereen die bij een installer om zijn admin wachtwoord gevraagd wordt zal dit zonder nadenken intikken.
Nadat we het wachtwoord hebben slaan we dit ergens op, desnoods ergens in de voorkeuren (preference files); niemand zal het door hebben. We installeren vervolgens keurig Photo Booth ALSMEDE ons geheime programmaatje dat zichzelf in het systeem plaatst.
We zorgen ervoor dat het programmaatje g?©?©n dock icoon heeft en pas op 1 april 2006 om 13:13 actief wordt. Dit is te realiseren via bijvoorbeeld de StartUpItems. Wie dat te slap vind maakt een entry aan in de crontab of gebruikt launchd.
Er gebeurt dus na de installatie helemaal niets en niemand heeft iets door... behalve als het 1 april 2006 13:13 wordt. Op dat moment wordt de gehele harde schijf gewist.
Als onze installer klaar is en getest is, maken we er een mooie .ZIP van met de illustere naam "Apple Photo Booth (works!) [k].zip" en een maximale hoeveelheid downloads is gegarandeerd.
We zetten het op LimeWire, Acquisition en Mac Torrents Kick Ass en gaan afwachten.
Het Trojaanse paard
De gebruiker downloadt onze installer en na de installatie heeft hij keurig Photo Booth tussen zijn Programma's staan en kan elke dag heerlijk aan de slag. Nietsvermoedend is er ook een geheim bommetje ge?Ønstalleerd. Ook is keurig het wachtwoord opgegeven dat we later nodig hebben voor destructieve doeleinden.
De installer is maar een paar MB groot, dus de gebruiker mailt het ook nog even naar vrienden en collega's. Dit is nou precies de reden waarom de "bom" pas op 1 april 2006 afgaat. De wereld moet voldoende tijd hebben om het programma te verspreiden en te installeren. Wanneer de harde schijf direct na het installeren gewist zou worden, zou men meteen doorhebben dat er sprake was van een Trojan en anderen kunnen waarschuwen.
Gezien de populariteit van Photo Booth schat ik in dat honderdduizenden, zo niet een miljoen Macs op de wereld een mogelijk doelwit zijn.
De bom
Op 1 april 2006 is iedereen al lang uitgekeken op Photo Booth en heeft het van de harde schijf gepleurd. Ons geheime programma draait echter nog steeds, tenzij iemand het toevallig al eerder in zijn opstart-items of in de crontab ziet staan. Een klein percentage van de slachtoffers zal het programma dan alsnog onschadelijk kunnen maken.
Een ander klein deeltje van de slachtoffers heeft inmiddels een nieuw admin wachtwoord, dus die hebben ook mazzel.
Als het dan dus 1 april 2006 is, en honderdduizenden Mac OS X harde schijven worden gewist, dan is de kans klein dat men het geheime programma ontdekt; het wordt zelf immers ook gewist.
Wie zo slim is om net op tijd zijn systeemklok op een andere datum te zetten, zal het programma misschien wel ontdekken, maar niet associ?´ren met de Photo Booth installer die ooit eens in oktober gebruikt is.
Conclusie
Het resultaat: iedereen die een installer kan maken en een simpel XCode programma kan er voor zorgen dat van honderdduizenden Macs de schijfinhoud vernietigd wordt. Dit is mogelijk dankzij de immense populariteit van iets als Photo Booth en de simpele zwakte dat iedereen zijn admin wachtwoord intoetst zodra er iets ge?Ønstalleerd moet worden.
Op dezelfde wijze zijn andere vervelende dingen op de Mac te installeren, zoals SpyWare en AdWare. We zijn misschien nu niet interessant voor de terreur van de makers van dergelijke software, maar Apple en haar marktaandeel zitten al maanden lang enorm in de lift.
Wijze les
Wie illegale software downloadt van ontbetrouwbare bronnen, moet drie keer nadenken alvorens het admin wachtwoord wordt opgegeven. Een Trojan is --ook voor Mac OS X-- zo gemaakt.Dit artikel is meer dan een jaar oud en daarom gearchiveerd.
- Reacties op dit artikel worden niet meer getoond. |
