30. lokakuuta 2007

Mac OS X Leopardin palomuuri vuotaa kuin seula!

Hyvin huolestuttava artikkeli koskien Applen uutta OS X Leopard käyttöjärjestelmää, joka on juuri tullut myyntiin.

Ilmeisesti palomuuri ei oletuksena edes ole päällä, eli kone on auki tunkeutujille ja mahdollisille tietoturva-aukoillekin! Jos olet päivittänyt OS X Tigeristä ja laittanut siinä palomuurin päälle aikoinaan, päivitys Leopardiin kytkee palomuurin pois päältä ilman mitään ilmoitusta.

Mutta ongelma on paljon pahempi: Vaikka palomuurin hoksaisi ja osaisi laittaa päälle estämään kaikki sisäänpäin tulevat yhteydet, siltikään se ei estä yhteydenottoja tiettyihin palveluihin ja portteihin joita Leopardissa on päällä. Ei, vaikka palomuuri muuta väittääkin!

Jos tämä uutinen pitää todellakin paikkaansa (en ole vielä ehtinyt itse sitä varmistamaan), se kyllä tekee ison kolauksen Macin tietoturvalle. Minun silmissäni ainakin. Näin perustavanlaatuista mokaa ei saisi missään tapauksessa sattua ikinä. Puhumattakaan, että se sattuu Macille, jolla on varsin hyvä tietoturvahistoria ja ennakointi!

Yksikin tietoturva-aukko Leopardissa voi siis vaarantaa etäältä - netin, lähiverkon tai langattoman verkon kautta - koko käyttöjärjestelmän ilman, että käyttäjän tarvitsee tehdä mitään tai ilman että hän edes huomaa mitään! Madot voivat levitä kulovalkean tavoin Leopardista Leopardiin pitkin nettiä. Uhka, joka jo Windows maailmassa vuosikausia sitten torpattiin tehokkaasti Windows XP:n palomuurilla ja vielä entisestään torpattiin XP:n Service Pack 2 päivityksen yhteydessä.

Ainoa helppo keino suojautua tältä ongelmalta on käyttää ulkoista palomuuria tai NAT-kykenevää reititintä/modeemia ja estää sisään tulevat yhteydet kaikista "ei-luotettavista" osoitteista. Tämä on tietysti muutenkin aina järkevää ihan vain "varmistukseksi", mutta tässä tapauksessa ensiarvoisen tärkeää suojautumiseksi.

Toinen vaihtoehto suojautumiseen on kikkailla Mac:ssä olevan BSD:n ipfw:n kanssa ottamalla se käyttöön ja säätämällä kohdalleen, eli estämään kaikki ei-toivotut yhteydenotot kaikista verkoista. Tämä vaatii tietysti hieman teknistä osaamista, jota kaikilla Mac käyttäjillä ei välttämättä ole.

Kolmas vaihtoehto on yksinkertaisesti fyysisesti irroittautua netistä (langattoman verkon suhteen pitää kytkeä koko adapteri pois päältä) ja odottaa, että Apple julkaisisi päivityksen korjaaman ongelman ja sitten hakea se päivitys pikapikaa.

On totta, että kyseessä on toistaiseksi vain "uhka", koska konkreettista hyväksikäyttömetodia tai matoa ei ole julkaistu. Mikäli palomuurin osaa laittaa päälle niin se tarjoaa jo kohtuullisen suojan, sen jälkeen on vain syytä toivoa, että päivitys tulee pikapikaa ja että siihen mennessä mitään pahaa ei ehdi tapahtua.

Kirjoitin aikaisemmin blogissani Mac:stä ja sen käyttöönotosta ja tietoturvasta.


Päivitys 1.11.2007 kello 23:18
lmeisesti, mikäli koko muuri asetetaan erikseen "täysin stealth tilaan" ja "UDP-suodatus" otetaan päälle, ongelma on rajoittuneempi, mutta ei siltikään varsinaisesti katoa mihinkään. Kyseessä on selvä tietoturvakömmähdys ja ongelma, jota aikaisemmassa OS X käyttöjärjestelmäversiossa ei ole ollut. Toivottavasti Apple paikkaa tämän aukon pikapikaa. Oletuksena palomuurin tulisi ehdottomasti olla päällä ja siten, että mihinkään ulkopuolisiin yhteydenottoihin ei vastata mitään. Juuri näin esimerkiksi Windows XP SP2 palomuuri tekeekin.

1 kommentti:

Anonyymi kirjoitti...

Kannattaa varmaan odottaa ensimmäisiä päivityksiä. Kyllä tuollaiset ongelmat luultavasti korjataan melko pian.