19 berichten aan het bekijken - 1 tot 19 (van in totaal 19)
  • Q:

    Bijdrager
    renato

    Probeersel: Simpel MacOS anti-ransomware truukje?

    OK, ik ga het hier toch even vragen. Want nergens op het web kom ik het antwoord tegen:-)

    Met al die ransomware paniek om ons heen denk ik al een hele tijd: waarom hebben wij toch allemaal bakken met documenten, films, muziekfiles en weet ik allemaal niet wat WRITEABLE op onze disks staan? Ik denk dat 99.9999% van mijn files er alleen nog maar staan om gelezen te worden – ik zal ze nooit meer aanpassen. Dit geldt denk ik voor vrijwel alle gebruiker, zakelijk en prive.

    Dus dacht ik: wat nou als je een automatisch script zou hebben dat elke file die je wegschrijft meteen read only maakt? Dan heeft ransomware geen enkele kans want de file kan niet aangepast noch overschreven worden tenzij je uitdrukkelijk toestemming geeft.

    Nou hebben wij Mac OS gebruikers hier een supermooi systeem dat de basis voor deze oplossing al ingebakken heeft: mapacties!

    Koppel een ‘maak read-only’ script aan een mapactie vast (bv. van de Documenten map) en alle bestanden die je aan de map toevoegt worden meteen read-only gemaakt.

    Ik heb een super eenvoudig scriptje in elkaar geflanst, en ik denk dat er veel mooie aanpassingen aan mogelijk zijn, maar de eerste vraag is nu: maak ik een denkfout of zou het best wel eens zou eenvoudig zij om op de Mac elke vorm van ransomware op deze manier en halt toe te roepen?

    Laat me weten!

    Komt het scriptje. Werkt prima:-)

    on adding folder items to this_folder after receiving added_items

    tell application “Finder”
    set fold_name to the name of this_folder
    try
    repeat with i from 1 to number of items in added_items
    set new_item to item i of added_items
    set the item_path to the quoted form of the POSIX path of new_item
    do shell script (“/bin/chmod -R 444 ” & item_path)
    end repeat
    end try
    end tell

    end adding folder items to


    Bijdrager
    Jakko Westerbeke

    Hiermee maak je alle mappen die je aanmaakt, ontoegankelijk. Mode 444 is namelijk „lezen” voor iedereen, zonder schrijf- of uitvoeringsrechten (dat zijn resp. 2 en 1); echter een map moet uitvoerbaar zijn om hem te kunnen openen.

    Mijn advies: doe in plaats daarvan

    /bin/chmod -R ugo-w

    want dat verwijdert de schrijfbevoegdheid voor de eigenaar, groep, en anderen zonder de lees- en uitvoerbaarheidsbits aan te tasten.

    (Als terzijde: ik heb nooit begrepen waarom iedereen altijd die octale waardes gebruikt terwijl dat veel meer nadenken vereist dan de letters voor de gebruikers en mode met + en – om aan te geven wat de bedoeling is.)

    Of een methode als deze ook echt werkt tegen ransomware … ik weet het niet. Ik vermoed dat je naam en wachtwoord van een beheerder in zult moeten geven wanneer de ransomware start, en doe je dat, dan kan het eenvoudig die gebruiken om dit soort beveiliging te omzeilen.


    Bijdrager
    Wyodor

    Als ik het goed begrijp heeft de Ransomware met een slinkse truc admin rechten verkregen.

    Dan kan ie alles doen.

    Probeer het maar door in te loggen als Root of System Administrator.

    Open Terminal.app en tiep

     
    cd /
    rm -R *.*

    Vervolgens in het forum roepen hoe dat kan.


    Bijdrager
    koen

    Het lijkt me nu niet erg slim om bovenstaand commando hier te posten, met de raad om het uit te voeren in de terminal…


    Bijdrager
    renato

    Hoi, Jakko.

    Leuk dat je op mijn experiment in wil gaan:-)

    De folder action werkt op de files IN de betreffende folder – dus bovenstaand applescript werkt dan alleen op de files die in die folder zijn toegevoegd. Zo werken map actions. MacOS geeft een lijstje van added items in de betreffende folder en dan trapt dit script af.

    De ransomware zal met deze truuk echt nogmaals (waarschijnlijk per file, maar dat hangt af van hoe de ransomware is geschreven;-) om het wachtwoord worden gevraagd – als hij start kent hij geen ‘credentials’, tenminste op de Mac is dat zo geregeld. Dat kun je met deze truuk leuk zien: als ik een file wil aanpassen (bijvoorbeeld met de Teksteditor) dan moet ik bij het opslaan mijn wachtwoord opnieuw invoeren.

    Wat deze map action nog niet kan is de rechten op read only zetten van een aangepaste file (dus een file die al bestond). Op de een of andere manier krijg ik van Mac OS geen signaal van een veranderde file, alleen van een nieuwe file in een map;-) Dus eenmaal aangepast blijft hij weer in de ‘verkeerde’ stand staan. Maar goed het gaat even om het principe.

    Groet,
    René


    Bijdrager
    JoelCoster

    Helaas is dat niet hoe het unix werkt. Wanneer je in de Finder losse items probeert te verwijderen zal inderdaad iedere keer om een wachtwoord worden gevraagd, maar zodra bijvoorbeeld een shell script één maal inlogt met een admin of root account, kunnen alle bestanden gewoon aangepast of verwijderd worden. Op deze manier val je alleen jezelf lastig (steeds een wachtwoord intypen als je iets wilt wijzigen), zonder ransomware ook maar het minste beetje te verhinderen.

    De beste manier om ransomware tegen te gaan blijft het altijd installeren van de laatste (beveiligings)updates, en verder: zorg altijd voor goede backups, vooral ook op een schijf die niet constant met je computer verbonden is, zodat eventuele ransomware hier niet bij kan komen.


    Bijdrager
    computer space

    Je zou een utility moeten hebben die processen laat zien die de CPU uitmaxen. Harde schijf encrypten zonder dat de fans aanslaan is lastig. Dus alarmbel die proces wat over de toeren gaat laat zien zou handig zijn. Helemaal als je zelfgebruikte veelvraten kunt whitelisten.


    Moderator
    Night

    Ik denk dat je beter kan kijken naar de combinatie ‘offline backup’, blockblock en een goede virusscanner. AVG (gratis), BitDefender (€59,95/jr), ESET (€29,99/jr) en Kasperski (€36,99/jr) waren allen in staat alle recente versies van ransomeware en virussen, trojans etc. voor zowel Mac als PC te herkennen.

    • Deze reactie is gewijzigd 11 maanden geleden door  Night.
    • Deze reactie is gewijzigd 11 maanden geleden door  Night.
    • Deze reactie is gewijzigd 11 maanden geleden door  Night.

    Bijdrager
    Jakko Westerbeke
    renato op 28 juni 2017

    De folder action werkt op de files IN de betreffende folder – dus bovenstaand applescript werkt dan alleen op de files die in die folder zijn toegevoegd. Zo werken map actions. MacOS geeft een lijstje van added items in de betreffende folder en dan trapt dit script af.

    Ja, en op de mappen die je in die map zet — bijvoorbeeld omdat je een map erin sleept, of omdat je een zipbestand uitpakt waar meerdere bestanden inzitten (dan maakt macOS er een map van), of een zipbestand waar al mappen inzitten. En die zijn dan dus niet meer te openen met het script zoals je dat hebt.

    Daarom dus mijn suggestie:) Een andere manier is om je script eerst te laten kijken of het om een bestand of een map gaat, en alleen in dat eerste geval de rechten te veranderen. Alleen zul je dan met de hand de inhoud van de map op moeten vragen en elk bestand apart bekijken — en vergeet dat ook niet recursief te doen, anders ga je maar één niveau diep. Ook moet je, als je deze manier wilt implementeren, de optie -R van je chmod weglaten anders heeft het weinig zin.

    renato op 28 juni 2017

    De ransomware zal met deze truuk echt nogmaals (waarschijnlijk per file, maar dat hangt af van hoe de ransomware is geschreven;-) om het wachtwoord worden gevraagd – als hij start kent hij geen ‘credentials’, tenminste op de Mac is dat zo geregeld. Dat kun je met deze truuk leuk zien: als ik een file wil aanpassen (bijvoorbeeld met de Teksteditor) dan moet ik bij het opslaan mijn wachtwoord opnieuw invoeren.

    Dat wachtwoord is nodig per opdracht die het programma uit wil voeren. Als dat een hele berg bestanden wil versleutelen, is één keer dat wachtwoord invoeren genoeg. Ik weet niet precies hoe het achter de schermen werkt, en heb geen zin om het uit te zoeken, maar ik vermoed dat jet het überhaupt maar één keer in hoeft te typen ongeacht hoeveel het programma precies wil doen zolang het draait.

    renato op 28 juni 2017

    Wat deze map action nog niet kan is de rechten op read only zetten van een aangepaste file (dus een file die al bestond). Op de een of andere manier krijg ik van Mac OS geen signaal van een veranderde file, alleen van een nieuwe file in een map;-)

    Ja, omdat dit een mapactie is:) Die worden alleen uitgevoerd wanneer er nieuwe bestanden in de map komen te staan. Je zou het script aan kunnen passen dat het de mapinhoud opvraagt en dan van álle bestanden de rechten aanpast, niet alleen van de nieuwe.

    Maar ik blijf vermoeden dat deze methode niet gaat werken tegen echte malware.


    Bijdrager
    hen3

    Wellicht enigszins off-topic, maar als je bankiert bij de ING en je hebt er wat rentepunten voor over, dan kan je ESET voor een leuke prijs aanschaffen. Voor slechts €14,95 + 750 rentepunten.

    Klik hier voor de deal op de ING Rentepuntenwinkel


    Moderator
    Night

    Ik heb e.e.a. even nagezocht op het www en de conclusie is dat het hoogstwaarschijnlijk is dat je suggesties geen effect zullen hebben. Agressieve ransomware zal gebruik maken van root-rechten en daarmee alle schrijfrestricties negeren. Zelfs FileVault encrypted bestanden zijn niet veilig aangezien de ransomware ook daartoe dan toegangsrechten heeft. De initiële toegang wordt gegeven door tijdens de installatie van een programma of anderszins gevraagd wordt om het administrator wachtwoord en dit zal door de gebruiker zelf ingegeven worden. Van daaruit kan root toegang verkregen worden. In eerste instantie zal daarna niets gemerkt worden, want vaak activeert Ransomware zichzelf pas na enige tijd. Verder heeft mac OS een waslijst aan vulnerabilities waarbij bij sommigen niet eens een administrator toegang noodzakelijk zou zijn om tóch root access te verkrijgen.


    Bijdrager
    whaha

    Oké, maar als je niet naar het geld kijkt, welke virusscanner zou je dan het beste kunnen draaien op macOS? Dat je het niet nodig hebt, lijkt me inmiddels wel achterhaald…


    Bijdrager
    koen

    Waarom is het achterhaald?


    Bijdrager
    Joid

    Whaha @ virusscanner op macOS!


    Bijdrager
    whaha

    Oh, ik dacht dat het inmiddels al wel de consensus was. Tenslotte kun je ook Windows virussen doorsturen met een Mac (ook al heb je daar zelf geen last van).
    Sommige virusscanners / beveiligingsprogramma’s werken ook tegen ransomware, nietwaar?

    • Deze reactie is gewijzigd 10 maanden, 4 weken geleden door  whaha. Reden: spelfouten

    Moderator
    Night

    De tijd dat je inderdaad kon zeggen Whaha @ virusscanner op mac OS ligt inderdaad alweer een tijdje achter ons. Alleen hopeloos optimistische Mac fanaten durven dat – helaas inmiddels onterecht – nog te zeggen.

    Malware, trojans en ransomeware liggen ook voor mac OS gebruikers (weliswaar gelukkig in mindere mate dan voor onze Windows collega’s) op de loer en enige mate van extra veiligheid is dus geen sinecure meer. Ook, zoals @whaha al zegt, in bestandsuitwisseling tussen Mac en Windows gebruikers.

    • Deze reactie is gewijzigd 10 maanden, 4 weken geleden door  Night.

    Bijdrager
    whaha

    Welke van de drie betaalde komt qua beveiliging het beste uit de tests?


    Bijdrager
    HJ

    Alle typen ransomware of malware worden in dezelfde soort locaties
    van OS X systeem software geïnstalleerd.

    OS X is een UNIX OS, het gevaar is dat met bovengenoemd script bepaalde
    systeem software mappen op read only worden gezet en het systeem
    heeft schrijf toegang nodig in deze mappen om goed te kunnen werken.

    Er is software die moet voorkomen dat ransom en/of malware
    wordt geïnstalleerd op een mac.

    Deze software monitort net als little snitch een aantal vaste
    ‘systeem software’ locaties waar ransom en/of malware altijd geïnstalleerd
    worden.

    Het programma heet blockblock en is van objective-see.

    https://objective-see.com/products/blockblock.html

    Als extra beveiliging kun je ook Ransomwhere installeren.

    https://objective-see.com/products/ransomwhere.html

    Allebei gratis.


    Bijdrager
    whaha

    Ik vind zijn initiatieven zo goed dat ik Patron van ‘m geworden ben op Patreon. Ik gebruik beide programma’s.
    Anyhow, ik ga BitDefender eens onderzoeken.

19 berichten aan het bekijken - 1 tot 19 (van in totaal 19)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.