Smygande Mac-attacker

Fans av Apple-datorer skryter ofta om överlägsen säkerhet. Men eftersom Mac-datorer har blivit populära under de senaste åren har detta väckt mycket mer uppmärksamhet från hackare. Vid en presentation planerad att äga rum idag kl Black Hat DC datorsäkerhetskonferens i Washington, DC, kommer en säkerhetsexpert att avslöja en teknik för att attackera Mac-operativsystemet – OS X – utan att lämna ett spår.





Liknande tekniker har varit inriktade på både Windows- och Linux-maskiner i flera år. De tillåter en angripare att täcka hennes spår, vilket eliminerar viktiga bevis som en utredare normalt kan använda för att bevisa att en maskin har äventyrats; de kan också tillåta utredaren att sammanställa detaljer om händelsen. Att föra tekniken till Mac krävde dock ett betydligt mer sofistikerat tillvägagångssätt.

Tekniken som kommer att beskrivas på Black Hat DC tillåter en angripare att ta bort praktiskt taget alla spår av en attack mot OS X, efter att ha äventyrat systemet med en annan exploatering.

Vincenzo Iozzo , en student vid Politecnico di Milano, i Italien, förklarar att tekniken gör att en angripare kan bryta sig in i en maskin utan att lämna spår i dess permanenta minne, vilket innebär att bevis på attacken kommer att försvinna så snart offrets dator vänds av. En sådan teknik kan till exempel användas i kombination med ett annat mjukvarufel för att i hemlighet ersätta en legitim version av Apples webbläsare Safari med en skadlig version som loggar användarens tangenttryckningar och skickar dem till angriparen.



Normalt, när en användare kör ett program, körs koden i olika delar av datorns minne. I OS X används ett filformat som heter Mach-O för att ange var i datorns minne programmets processer ska köras. Iozzo studerade Mach-O-filformatet för att i förväg kunna förutsäga var dessa processer kunde hittas. Tekniken identifierar en aktiv process (som den för Safari) och injicerar skadlig kod i utrymmet i minnet där den körs. När systemet läser från den förväntade platsen, kör det angriparens kod istället för det legitima programmet. Eftersom tekniken inte lämnar några spår, säger Iozzo att den endast kan upptäckas med hjälp av programvara som tittar efter intrång i ett nätverk.

Att förutsäga var den skadliga koden ska injiceras försvåras av en säkerhetsfunktion i OS X som lagrar de variabler som behövs för att hålla attacken ospårbar på slumpmässiga platser i minnet. Iozzo upptäckte dock ett sätt att förutse var variablerna skulle lagras baserat på information som förblir oförändrad.

Dino Dai Call , en oberoende säkerhetsforskare som är specialiserad på Mac-datorer, säger att Iozzos arbete är mycket intressant, särskilt med tanke på de svårigheter han behövde övervinna för att få den smygande tekniken att fungera på OS X.



Dai Zovi säger att det för närvarande är få Mac-attacker som är sofistikerade nog att behöva skydd av detta slag. Men han tillägger att tekniken kan visa sig vara ett effektivt sätt att ta sig förbi avancerad antivirusprogramvara i framtiden.

Angripare har hittills inte fokuserat mycket på Mac eftersom dess mindre publik betyder mindre potentiella vinster. Men Dai Zovi noterar att detta börjar förändras, och han säger att forskning om systemets sårbarheter nu borde ge försvarare tid att förbereda sig för framtida skadlig programvara.

Iozzo säger att det kan ta tid för Apple att svara på hans teknik eftersom den utnyttjar grundläggande delar av operativsystemets struktur som inte kan ändras med en enkel programvarukorrigering. Han säger att det kan krävas en större uppgradering, som till exempel introduktionen av den nya versionen av OS X, kallad Snöleopard , som är planerad att levereras 2010.



Under tiden säger Iozzo att användare kan skydda sig själva genom att hålla sina system uppdaterade med alla säkerhetskorrigeringar som släppts för OS X. Eftersom tekniken förlitar sig på andra brister som en angripare kan utnyttja, bör användare fokusera på att minska dessa andra hot lika mycket som möjligt, säger han.

Tekniken kan dock snart utgöra ett hot mot en annan typ av enhet. Iozzo säger att han för närvarande arbetar med en annan säkerhetsforskare för att utöka sin teknik till iPhone.

Dölj