Nowości

Apple pozwala niektórym ruchom sieciowym Big Sur ominąć zapory

Dość kreskówkowy diagram ilustruje problemy z zaporą.

Patrick Wardle

Zapory nie są przeznaczone tylko dla sieci korporacyjnych. Duża liczba osób dbających o bezpieczeństwo lub prywatność używa ich również do filtrowania lub przekierowywania ruchu przychodzącego i wychodzącego z ich komputerów. Firma Apple niedawno dokonała poważnej zmiany w systemie macOS, która udaremnia te wysiłki.

Począwszy od Big Sur wydanego w zeszłym tygodniu, około 50 aplikacji i procesów specyficznych dla Apple nie jest już kierowanych przez zapory ogniowe, takie jak Little Snitch i Lulu. Nieudokumentowane zwolnienie wyszło na jaw dopiero po tym, jak Patrick Wardle, badacz bezpieczeństwa z firmy Jamf, dewelopera korporacyjnego Mac i iOS, ujawnił tę zmianę w weekend.

„100% ślepy”

Aby zademonstrować zagrożenia związane z tym posunięciem, Wardle – były haker NSA – zademonstrował, jak twórcy szkodliwego oprogramowania mogą wykorzystać tę zmianę, aby ostatecznie obejść sprawdzony środek bezpieczeństwa. Ustawił Lulu tak, aby blokował cały ruch wychodzący na komputerze Mac z systemem Big Sur, a następnie uruchomił mały skrypt programistyczny, który współpracował z jedną z aplikacji zwolnionych przez Apple. Skrypt w Pythonie nie miał problemu z dotarciem do serwera poleceń i kontroli, który skonfigurował, aby symulować serwer powszechnie używany przez złośliwe oprogramowanie do odbierania poleceń i eksfiltracji poufnych danych.

„Uprzejmie poprosił (zmusił?) Jeden z zaufanych elementów Apple do generowania ruchu sieciowego do serwera kontrolowanego przez atakującego i mógłby (ab) wykorzystać to do eksfiltracji plików”, powiedział mi Wardle, odnosząc się do skryptu. „Zasadniczo:„ Hej, panie Apple Item, czy może Pan wysłać ten plik na zdalny serwer Patryka? ” I uprzejmie by się zgodził. A ponieważ ruch pochodził z zaufanego elementu, nigdy nie byłby kierowany przez zaporę… co oznacza, że ​​zapora jest w 100% ślepa ”.

Wardle tweetował część raportu o błędzie, który przesłał do Apple podczas fazy beta Big Sur. W szczególności ostrzega, że ​​„podstawowe narzędzia bezpieczeństwa, takie jak zapory ogniowe, są nieskuteczne” w związku ze zmianą.

Apple nie wyjaśniło jeszcze przyczyny tej zmiany. Nieprawidłowe konfiguracje zapory są często przyczyną nieprawidłowego działania oprogramowania. Jedną z możliwości jest to, że firma Apple wdrożyła ruch mający na celu zmniejszenie liczby otrzymywanych żądań wsparcia i poprawę działania Maca dla osób niewykształconych w konfigurowaniu skutecznych reguł zapory. Nie jest niczym niezwykłym, że zapory sieciowe wyłączają własny ruch. Apple może kierować się tym samym uzasadnieniem.

Jednak niemożność zmiany ustawień narusza podstawową zasadę, że ludzie powinni mieć możliwość selektywnego ograniczania ruchu płynącego z ich własnych komputerów. W przypadku zainfekowania komputera Mac zmiana ta daje również hakerom sposób na ominięcie tego, co dla wielu jest skutecznym zabezpieczeniem przed takimi atakami.

„Problem, który widzę, polega na tym, że otwiera to drzwi do zrobienia dokładnie tego, co pokazał Patrick … autorzy szkodliwego oprogramowania mogą wykorzystać to do przemycenia danych przez zaporę ogniową” – powiedział Thomas Reed, dyrektor ds. Oferty komputerów Mac i urządzeń mobilnych w firmie zabezpieczającej Malwarebytes. „Poza tym zawsze istnieje możliwość, że ktoś może mieć uzasadnioną potrzebę zablokowania ruchu Apple z jakiegoś powodu, ale to odbiera tę możliwość bez używania jakiegoś rodzaju sprzętowego filtru sieciowego poza komputerem Mac.”

Osoby, które chcą wiedzieć, które aplikacje i procesy są wyłączone, mogą otworzyć terminal macOS i wejść sudo defaults read /System/Library/Frameworks/NetworkExtension.framework/Resources/Info.plist ContentFilterExclusionList.

NKE

Zmiana pojawiła się, gdy Apple wycofał rozszerzenia jądra macOS, których twórcy oprogramowania używali do bezpośredniej interakcji aplikacji z systemem operacyjnym. Wycofanie obejmowało NKE – skrót od sieciowych rozszerzeń jądra – używane przez zapory innych firm do monitorowania ruchu przychodzącego i wychodzącego.

Zamiast NKE firma Apple wprowadziła nową strukturę trybu użytkownika o nazwie Network Extension Framework. Aby działać na Big Sur, wszystkie zapory sieciowe innych firm, które korzystały z NKE, musiały zostać przepisane, aby korzystały z nowego frameworka.

Przedstawiciele Apple nie odpowiedzieli na przesłane e-mailem pytania dotyczące tej zmiany. Ten post zostanie zaktualizowany, jeśli odpowiedzą później. W międzyczasie ludzie, którzy chcą zmienić to nowe zwolnienie, będą, jak zauważył Reed powyżej, polegać na filtrze sieciowym, który działa spoza ich komputera Mac.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook