Gegen Erpressungstrojaner
Little Flocker: Mac-Firewall kläfft bei Dateizugriffen
Vielleicht steigen wir mit einem kurzen Blick auf die bewährten Security-Helfer für den Mac ins Thema „Alles-Mögliche-Firewall“ ein. Mit Little Snitch lässt sich festlegen, welche eurer Mac-Anwendungen eine Internetverbindung aufbauen darf und welche nicht. Der Software-Wachhund schlägt an, sobald eure Apps nach Hause telefonieren wollen und gestattet euch die Kommunikation zu unterbinden.
Little Flocker im einfachen Nachfragemodus
Für eine komplette Funkstille ausgewählter Anwendungen sorgt Radio Silence. Die Mac-Anwendung, die mittlerweile in Version 2.1 aus dem Netz geladen werden kann, bietet einen ähnlichen Netzwerkschutz, verpackt diesen jedoch in einer deutlich einfacher zu bedienenden Oberfläche. Um sicherzustellen, dass keine unberechtigten Anwendungen auf Kamera und Mikrofon eures Rechners zu greifen, bieten sich Oversight und Micro Snitch an.
Little Flocker warnt bei Datei-Manipulationen
Womit wir beim Dateisystem und bei Little Flocker angekommen wären. Die App des Security-Spezialisten Jonathan Zdziarski schützt eure Dateien vor unberechtigten Zugriffen durch installierte Anwendungen und soll so (unter anderem) dafür sorgen, dass ihr eine Ransomware-Infektion frühzeitig erkennen könnt.
Zwar tauchen die sogenannten Erpressungstrojaner, die Festplatten betroffener Rechner verschlüsseln um anschließend Geld für die Datenfreigabe zu fordern, unter macOS eher selten auf, wurden in diesem Jahr aber bereits durch Flash und durch den BitTorrent-Client Transmission ausgeliefert.
Little Flocker erlaubt euch festzulegen, welche Verzeichnisse von welchen Anwendungen bearbeitet und gelesen werden dürfen und setzt auf eine mit Little Snitch vergleichbare Oberfläche, die das Erstellen eigener Regeln ermöglicht.
Die App, die in einem einfachen und einem Experten-Modus betrieben werden kann, lässt sich kostenfrei nutzen. Anwender, die vorhaben Little Flocker kontinuierlich einzusetzen werden jedoch darum gebeten eine Lizenz für $15 zu erwerben. Der Entwickler verzichtet auf Einschränkungen und setzt in Sachen Lizenzkauf auf das Ehren-System.
Little Flocker steht auf der Seite des Entwickler zum Download bereit.
Die Feature-Liste im Überblick:
- Real-time, aggressive protection against unauthorized access to files
- Defend against ransomware, spyware, trojans, back doors, or other malicious programs that might attempt to steal, encrypt, or destroy your personal files
- Monitor applications to ensure they aren’t misbehaving, and are respecting your personal privacy by staying out of files they shouldn’t be in
- Protect your removable media (USB sticks, external hard disks, and so on) from being accessed by applications without your permission
- Prevent unwanted network or nonconventional disk mounts
- Selectively block unwanted AppleScript execution
- Protect your iOS device pairing records from theft, which could otherwise allow an attacker to access content wirelessly on your iOS devices
- A user-friendly interface to manage Little Flocker, edit rules, and receive notifications
- “Learning Mode” that can be used to train Little Flocker for new applications, if you don’t want to click through initial popups
- Restrictive “parental controls” options for non-admin users
- Simple mode for non-technical users
Was ich mich frage: Die letzte oder vorletzte Ransomware verbarg sich in einem Microsoft Office Skript. Damit die Handhabung einfacher ist, wird man vermutlich Microsoft Office den Zugriff auf alle Dateien erlauben. Dann hat aber dieses Microsoft Office Skript somit auch Zugriff auf alle Dateien. Oder wird dieses Skript von Microsoft Office als Programm kompiliert und von Microsoft Office dann gestartet, weshalb Little Flocker doch darauf hinweisen könnte, dass ein Programm von Microsoft Office Dokument seltsame Zugriffe haben will? Dann ist aber auch das Problem, dass der Zugriff evtl. doch nicht so seltsam ist und man für die Einfachheit die Regel anlegt, dass das Skript auf alles zugreifen kann?
Es ist zwar eine interessante Idee, aber ob sie tatsächlich hilfreich ist, weiß ich momentan nicht. Aber ich will nur die Leser darauf aufmerksam machen, die auch möglichst Kontrolle (und damit Sicherheit) haben wollen, nicht unbedingt ohne diesem Werkzeug etwas verpassen, falls es dies nahezu vollständig verwirklicht, was es verspricht. Denn mit solchen Werkzeugen wie auch Little Snitch handelt man sich evtl. mehr Probleme ein, als man sonst hätte. Bisher hat Brain.app bei mir immer seit vielen Jahren funktioniert, aber dies muss ich einschränken, denn ich war von Anfang an ein Geek, hatte viele unterschiedliche Betriebssysteme probiert und genutzt (letztes Hauptsystem Linux) und bin zudem Informatiker, weshalb ich mehr Kenntnisse als dem globalen Durchschnitt habe (wohlgemerkt: in Bereichen spezialisierte Leute wissen in der Regel immer mehr als ich – man sollte nicht fehlerhaft interpretieren, dass ich angeblich überheblich sei – wer mich in der realen Welt kennt, weiß, dass ich diese Leute überhaupt nicht mag und daher selbst nie werden will – als Mehrsprachler drücke ich mich ab und zu missverständlich aus). Daher ist mein Rat nicht vollkommen subjektiv, was manche meinen mögen, die sich in IT sich kaum auskennen. Dies ist erfahrungsgemäß leider typisch, dass die, die nur Halbwissen haben, oft denken, alles sehr gut zu wissen und das ist selten.
Herzlichen Dank für Deinen ausgesprochen detaillierten und fachlich niveauvollen Kommentar!
Wünsche Dir friedvolles Weihnachten.
Zum 1. Absatz
Interessante Fragen, die ich dir als Laie und Nicht-Programmierer der betroffenen Applikation mangels Erkenntnis der Abläufe nicht beantworten kann, dessen ungeachtet jedoch – oder gerade wegen meiner Position – auch gern eine Antwort darauf bekäme. Da hoffe ich, dass uns der Entwickler entsprechende Informationen gibt, falls er hier mit liest.
Zum 2. Absatz
Die ersten zwei fünftel fand ich noch informativ.
Danach stockte mir das Lesen durch die – von mir persönlich zu verdankenden – Einfügungen, Zwischensätzen und drei Gedankenstrichen (allesamt innerhalb der Klammern), die, vom Satzaufbau her gesehen, die Werbung in eigener Sache mit technischer, biographischer und subjektiver Anschaulichkeit mischt, und dadurch die Reputation in die positive Insuffizienz spriesst. Ich hoffe, dass ich jetzt nicht missverständlich bin. Sonst entschuldige ich mich für meine monolinguale Ausdrucksweise.
+1, besonders zum 2.Absatz :)
@complaciente / @mike: Wunderbarer Dialog in diesem doch oft von sprachlicher Redundanz geprägtem Forum. Danke dafür. Ich gehe mich einem Lächeln zu Bett.
@complaciente: Dass Little Snitch mehr Probleme verusacht als Nutzen bringt, liegt in der Natur der Sache. Es ist einfach ein Programm. Wenn ich mich nur rudimentär damit auseinandersetze und vor allem vergesse, welche Einstellungen ich vorgenommen habe, muss ich mich nicht wundern, wenn mal was nicht so läuft, wie ich es will. Nenne mir eine App bei der das nicht so ist.
Zum Thema Linux. Ich würde wer weiss, was dafür geben, meinen Büro-Mac durch einen Linux-PC ersetzen zu können. Eines der Gründe, warum ich dies nicht tue ist, dass Linux keine Möglichkeit bietet, ein LittleSnitch-ähnliches Programm laufen zu lassen, Denn ich möchte schon wissen, wohin meine Computer telefonieren.
Hallo Peter Dachs, vielen Dank. Es hat extrem in den Fingern gejuckt :D
Betreffend Linux kann ich dir kein spezielles Programm sagen.
Als ich mich mit Linux etwas befasste las ich, dass i.d.R die vorhandene FW schon mehr als genügend reichen würde, aber die GUI halt für uns Normaluser nicht reicht. Vielleicht gibts ein Paket, das du nachinstallieren kannst. Installier mal virtuell schau, was die verschiedenen Distributionen anbieten.
Auf meinem Mac läuft TCPBlock anstelle von LS. Es war mal eine Diskussion, dass LS nicht alles abschirmen würde und selber auch eine kleine Tratschtante zum Entwickler sei (darüber will ich jetzt keine neue Diskussion losbrechen). TCPBlock ist gratis, läuft auf EC (Sierra noch nicht getestet) und wird leider nicht mehr weiter entwickelt, aber es sperrt dir anfangs alles. Wirklich alles. Auch intern wird erstmal jedem Dienst und jeder App eins auf die Finger gegeben. Die Einstellungen kannst du auch auf einen anderen Mac übertragen oder sichern.
Zu Beginn ist es nervig und alles und jedes will was. Aber du hast eine sehr gute Kontrolle.
Hallo Mike,
vielen Dank für die Tipps. Bei Linux werde ich weiter rumexperimenieren. Das ist eher so eine Art Langzeitexperiment, das bei mir immer wieder reaktiviert wird, wenn mich Apple nervt. Passiert allerdings in letzter Zeit immer häufiger. ;-)
TCPBlock klingt interessant und bekommt bei mir auch eine Chance.
Zu Mac und Linux Firewall: Mir geht es ja in erster Linie darum, zu wissen, an wen und bei welchen Gelegenheiten Daten gesendet werden. Bei dem Thema Sicherheit vertraue ich bei beiden Systemen darauf, dass die bei legal erworbener Software schon gewährleistet ist. Apple hat in den vergangenen Jahren nur eine Dynamik entwickelt, bei der ich bei der nicht mehr sicher bin, ob die wirklich alles zum Wohle der Nutzer tun. Habe da schlichtweg mein früher vorhandenes Vertrauen verloren.
Danke nochmal
Zumindest könnte man Word nur auf ein Words-Dokumente unterverzeichnis zugreifen lassen, um den Schaden einzudämmen.
Skripte werden in einem (Word eigenen – vermute Visual Basic) Interpreter ausgeführt.
Ich nehme stark an, dass dieser als Thread läuft und nicht als eigener Prozess (Program). Aber auch wenn, dann wäre die Einstellung für alle Skripte die selbe.
10 weitere Security-Helfer finden sich hier: https://objective-see.com/products.html
und das hier: http://www.sveinbjorn.org/slot.....h
kein impressum, keine adresse, website am 6. sept angemeldet, per anonymisierer,: Domains By Proxy, LLC
Domain Name: littleflocker.com
Registry Domain ID: 2057560724_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Update Date: 2016-09-06T09:05:12Z
Creation Date: 2016-09-06T09:05:11Z
Registrar Registration Expiration Date: 2017-09-06T09:05:11Z
Registrar: GoDaddy.com, LLC
und hat vollen zugang zu allen daten, ??? – sieht mir eher wie ein trojanisches pferd aus.
– würde ich nicht installieren.
Der Download wird allerdings direkt von zdziarski.com verteilt, würde mir da keine Sorgen machen.
Naja… da muss ich bbb aber wirklich Recht geben! Ist schon mutig – und entgegen allen sonstigen Ratschlägen…
@ nicolas: super kommentar, harhar
Installiert das Teil bloß nicht, es verhunzt eure Maschine. Deinstallation nur mit suspekter Fehlermeldung und im abgesichertem Modus möglich. Äußerst riskant.
Etwas sehr pauschal – einige Aussagen. Daher würde ich, rein informativ vorschlagen: http://lmgtfy.com/?q=little+fl.....ocker – und mir dann die Mühe machen, den ein oder anderen Bericht dazu zu lesen. Warum? – Projekte sind schnell diskreditiert und der ein oder andere damit auch verunsichert.
@bbb: Hinterfragen halte ich für sehr sinnvoll (+1), spekulieren nicht (-2)
@Jendrik: Das ist Polemik. Die Symptome von Dir lassen sich natürlich zwingend auf alle andere übertragen. Hast Du Dir vielleicht irgendeine ominöse KEXT installiert? Hast Du einen Link zu der suspekten Fehlermeldung? Damit könnte Dir vielleicht jemand helfen, der sich auskennt. Oder schreibst Du vielleicht Ransomware und willst verhindern, dass jemand einen Schutz dagegen installiert? Uuups – I see what you did there!
Lest mal den hier: http://www.macworld.com/articl.....mware.html
Zitat:
„security researcher Jonathan Zdziarski has been working on Little Flocker, a more extensive system behavior monitor and blocker that contains elements I’m surprised Apple doesn’t offer, and maybe yet will. Little Flocker is in beta testing, and Zdziarski has been approved for a kext signing certificate from Apple, required to allow users to install kernel-level software without disabling System Integrity Protection (SIP), which was added in El Capitan.“
Ich weiß nicht, gibt Apple einfach so kext signing certificates heraus? Hat da jemand Ahnung? (Ich nicht). Vielleicht googelt das jemand für mich?
Gruß /C.