Principal Programari El forat de seguretat de l'ARDAgent: el que necessites saber
Programari

El forat de seguretat de l'ARDAgent: el que necessites saber

Notícies tauletes S 26 de juny de 2008 02:55 PDT

Si heu estat llegint les notícies de Mac durant l'última setmana més o menys, ha estat força ple d'informació sobre exploits i programari maliciós que afecten OS X. Primer hi va haver Intego. alerta de seguretat pel que fa al que el fabricant de programari de seguretat anomena escalada de privilegis arrel d'ARDAgent. Per resumir l'exposició de seguretat que va informar Intego (aquest exploit en particular es va publicar un dia abans a aquesta història de Slashdot ), és força dolent. Qualsevol persona que utilitzi OS X 10.4 o 10.5 té un programa a la seva màquina anomenat ARDAgent; el trobareu al vostre nivell superior Sistema -> Biblioteca -> CoreServices -> Carpeta de gestió remota. ARDAgent és una aplicació d'ajuda sense rostre (sense icona de moll, sense finestres) per a Apple Remote Desktop. Utilitzat en un entorn de laboratori, ARDAgent és molt útil per a les persones que utilitzen Apple Remote Desktop per gestionar un gran nombre de Mac; pot executar programes en nom de l'administrador remot, per exemple.

Tanmateix, per fer el que fa, ARDAgent s'executa com a procés arrel, com qualsevol altra funció del sistema de baix nivell, com ara la impressió. En si mateix, això no és dolent. Tanmateix, ARDAgent també es pot utilitzar per llançar scripts d'intèrpret d'ordres mitjançant una mica de codi AppleScript compatible amb Terminal. Aquí és on entra el perill, perquè qualsevol script d'intèrpret d'ordres que iniciï l'ARDAgent també s'executarà com a root, sense necessitat que l'usuari introdueixi la seva contrasenya administrativa. Aquesta és una situació potencialment molt perillosa, ja que significa que un atacant podria utilitzar ARDAgent per executar el seu codi malvat sense que el sistema demani mai a l'usuari una contrasenya. (Si teniu curiositat sobre què podria fer Apple amb aquests problemes de seguretat en el futur, l'investigador de seguretat Dino Dai Zovi ha escrit sobre algunes coses que es poden fer a la propera actualització important d'OS X.)

Durant anys, ens han ensenyat que si un programa no demana les nostres contrasenyes administratives, el dany que podria fer era limitat, encara dolent, ja que podria esborrar fàcilment la carpeta sencera del vostre usuari, però algú no ho podria fer, per Per exemple, feu-vos càrrec de la vostra màquina sense el vostre coneixement. Tanmateix, fins que Apple pegat aquest forat en particular, això ja no és cert. Ara qualsevol programa pot executar codi que tingui la capacitat de fer el que vulgui al vostre sistema, i ho pot fer sense el vostre permís. Com que aquest codi s'executa com a root, pot instal·lar coses en llocs que no podeu veure fàcilment i dissimular el fet que aquestes coses s'estan executant, fent-les molt difícils de trobar i eliminar.



Com canviar el número de telèfon al compte d'iCloud

Des que es va revelar la notícia d'aquest forat de seguretat, n'hi ha hagut múltiples informes de programes que s'aprofiten per fer coses dolentes. Alguns d'aquests programes en són exemples cavall de Troia programari maliciós: programes que semblen ser una cosa, però que en realitat només cobreixen el propòsit real (normalment maliciós) del codi. En un exemple, el codi malvat instal·la un registrador de tecles (un programa que enregistra totes les tecles pulsades), configura un servidor d'accés remot preparat per acceptar connexions entrants (perquè els pirates informàtics es puguin connectar a la vostra màquina i controlar-la) i fins i tot us ofereix màquina un nom de domini perquè els pirates informàtics el puguin trobar més fàcilment a la xarxa. Òbviament, això és molt dolent, i amb els pirates informàtics que tenen la capacitat d'executar qualsevol programa com a root sense l'aprovació de l'usuari, només la seva imaginació limita el que poden fer.

El que pots fer

Així que aquesta és la mala notícia. No obstant això, hi ha alguns esclats de bones notícies a la foscor. En primer lloc, és relativament fàcil protegir-se d'aquest forat de seguretat. Els principals venedors de productes de seguretat han actualitzat (o actualitzaran aviat) el seu codi per corregir aquest forat en particular (i qualsevol programari maliciós conegut que se n'aprofiti), de manera que si feu servir aquest producte, assegureu-vos d'actualitzar les definicions de virus.

Si no feu servir un programa antivirus, hi ha un mètode relativament senzill per tapar temporalment aquest forat pel vostre compte. (Però si us plau, tingueu una còpia de seguretat actual abans de continuar). Navegueu a /System -> Library -> CoreServices -> RemoteManagement i feu clic amb Control i feu clic a ARDAgent. Al menú contextual que apareix, seleccioneu Comprimir ARDAgent (a la 10.5; a la 10.4, crec que dirà Crea arxiu d'ARDAgent). Això crearà un fitxer zip d'ARDAgent al vostre escriptori (ja que no teniu drets per modificar la carpeta original).

A continuació, arrossegueu ARDAgent a la paperera, proporcioneu la vostra contrasenya d'administrador quan se us demani i buideu la paperera. Finalment, arrossegueu la versió comprimida d'ARDAgent a la carpeta RemoteManagement i torneu a proporcionar la vostra contrasenya quan se us demani. (Aquest darrer bit és opcional; podeu guardar el fitxer allà on vulgueu, però em resulta més fàcil emmagatzemar-lo on sé que pertany.)

Quan Apple publica una actualització de seguretat per aplicar pedaços a aquest forat, amplieu l'arxiu zip abans d'executar l'Actualització de programari, de manera que l'Actualització de programari trobi l'aplicació completa per aplicar. Tingueu en compte que aquesta solució impedirà que ningú utilitzi Apple Remote Desktop per controlar el vostre Mac. Si us trobeu en un entorn en què algú necessita accedir a l'escriptori remot d'Apple, per exemple, en una empresa o en una escola, haureu de parlar amb els vostres administradors sobre la solució preferida per a aquest problema.

com augmentar la mida del text a Mac

Es requereix la interacció de l'usuari

L'altra bona notícia és que per aprofitar l'explotació ARDAgent, encara cal una mica d'interacció de l'usuari: heu d'instal·lar i executar un programa dissenyat per aprofitar el forat. La vostra màquina no es pot comprometre simplement navegant a llocs web (com va passar a la meva màquina virtual Windows fa més d'un any). El vostre Mac no es pot comprometre només amb la lectura del correu electrònic. Tampoc es pot comprometre baixant (des del correu electrònic o de la web) un programa, fins i tot un programa maliciós dissenyat per aprofitar el forat. Perquè la vostra màquina es vegi compromesa, ho heu de fer correr un programa maliciós.

És a dir, aquest forat de seguretat no és una cosa que pugui ser atacada per un virus que s'estengui automàticament d'una màquina a una altra, ja sigui per correu electrònic o per la xarxa local. Com a usuari, heu d'executar un programa maliciós perquè la vostra màquina es vegi compromesa. Llavors, com et proteges? En no executar mai programes de fonts no fiables, el mateix consell que és vàlid des del primer dia de la informàtica encara és vàlid ara.

Fins i tot sense aquest forat de seguretat en particular, sempre correu un gran risc quan executeu programari de fonts no fiables. Per descomptat, (suposant que un programa no està utilitzant aquest nou exploit) si un programa no demana la vostra contrasenya, el dany que pot fer és limitat... però realment voleu que s'esborrés tot el que hi ha a la carpeta d'inici del vostre usuari? Això és una cosa que qualsevol programa podria fer fàcilment, sense demanar mai la vostra contrasenya ni explotar un forat de seguretat.

Evitant el problema

Aleshores, com eviteu fonts no fiables? En primer lloc, allunyeu-vos dels programes que es distribueixen mitjançant xarxes peer-to-peer. No hi ha manera de saber què obtindreu i, almenys, alguns dels programes maliciosos que explota aquest nou forat de seguretat han estat donant voltes a les xarxes peer-to-peer. Baixeu programes només des de llocs coneguts i de confiança, com ara MacUpdate i VersionTracker . Tot i que, fins i tot quan s'utilitza aquests llocs de confiança, sovint val la pena esperar per baixar-los fins que pugueu llegir els comentaris d'altres usuaris; hi ha molta gent que sembla disposada a jugar al conillet d'índies, de manera que no hi ha cap motiu per fer-ho. paper també. Si esteu baixant alguna cosa per a la qual hi ha un comentari mínim, utilitzeu un motor de cerca web i cerqueu el nom del programa per tenir una idea del que Internet en general pensa del programa. Finalment, la millor manera de protegir-vos és assegurar-vos que sempre teniu una còpia de seguretat actual, i preferiblement, més d'una. D'aquesta manera, si alguna cosa surt malament, no perdràs cap dada, només temps.

En resum, el forat de seguretat d'ARDAgent és dolent, però la bona notícia és que, per veure's compromès, encara cal actuar per part teva. Si comprimiu i elimineu ARDAgent i només descarregueu programari de fonts de confiança, les probabilitats són molt baixes que us vegi afectat per aquest forat de seguretat. Espero que Apple tingui algun tipus de pegat amb relativa rapidesa, però fins i tot després que aquest estigui pegat, sempre hauríeu de practicar la descàrrega segura per minimitzar la vostra exposició a altres forats de seguretat encara no coneguts.