Malware-Check für den Mac: Entwickler zeigt Schwachstellen und Gegenmittel
Der Sicherheitsexperte Patrick Wardle hat jüngst dokumentiert (PDF-Link), dass das Mac-Betriebssystem längst nicht mehr so sicher ist wie es mal war. Mit zunehmender Verbreitung wird OS X mehr und mehr interessant für Malware-Autoren und bietet laut Wardle auch jede Menge potenzielle Angriffspunkte. Auf einer Konferenz hat er vor wenigen Tagen demonstriert, wie sich Apples Sicherheitsmechanismen wie Gatekeeper und XProtect oder das Sandboxing von Apps umgehen lassen.
Wer sich nun in Sicherheit wiegt, weil er eine Software zum Schutz von Malware auf seinem Mac installiert hat, wird enttäuscht. Wardle hat alle bekannten Security-Tools für OS X ausgehebelt und warnt eindringlich davor, sich auf den Lorbeeren vergangener Tage auszuruhen. Man müsse die Schwachstellen wie auch die bekannte Malware analysieren, um entsprechende Schutzmechanismen zu erarbeiten.
Der Entwickler geht hier auch mit gutem Beispiel voran und hat drei verschiedene Tools veröffentlicht, die Mac-Besitzern nicht nur dabei helfen sollen, sich vor Attacken zu schützen, sondern auch kritische Dateien auf eurem Mac erkennen:
Anti-Malware-Tools für den Mac
- KnockKnock listet persistent installierte Programme auf und prüft diese mithilfe der offenen Datenbank VirusTotal auf eine mögliche Gefährdung hin ab.
- Dylib Hijack Scanner sucht nach Anwendungen, die eine Lücke bei Apples dynamischen Programmbibliotheken ausnutzen.
- BlockBlock warnt den Anwender, sobald ein Programm persistent installiert wird.
Alle drei Anwendungen kommen mit einer grafischen Benutzeroberfläche und sind dementsprechend einfach zu verwenden. Auf den zugehörigen Webseiten gibt ihr Entwickler ausführliche Tipps zur Nutzung und Auswertung der Ergebnisse.
… Persistent… Da muss ich nachschlagen
Mir fällt da nichts besseres ein, ist ein Spezialbegriff für Programme, die sich fest in den Speicher setzen bzw. sich automatisch wieder starten.
… sobald sich ein Programm fest im Arbeitsspeicher installiert (verbeisst?) ?
Aber, ja, ich hätte auch persistent geschrieben, ist halt das Fachwort dafür.
Sorry, aber eine Frage Chris.
Ich habe soviele Anregungen und Ideen an ifun gesendet, keine aber auch wirklich keine wurde je kommentiert. Aber die Antwort auf ein Feedback – wohlgemerkt keine Frage – wurde in noch nicht mal einer Minute kommentiert. Danke! Ich weiss woran ich bin. Du solltest aber auch wissen, dass diese Seite eben durch uns auf den Beinen steht.
Ich sehe deine Frage jetzt nicht, vermute aber du willst wissen warum du bisher keine Antwort bekommen hast? Wir schreiben ja immer wieder mal, dass alle Zuschriften gelesen werden aber wir nur einen kleinen Teil beantworten können. Mehr lässt die Zeit leider nicht zu.
Verharrende Programme… Wieder etwas gelernt. Danke ✌️
Was ist, wenn man sich mit genau den drei Tools gleich noch den versteckten Trojaner mit auf den Mac holt, den der Entwickler, den ich nicht persönlich kenne, noch ein „dunkles“ Hobby hat?
Kann mir jemand von euch garantieren, dass die Software ausnahmslos schützt?
den = weil
Das Problem wirst du aber immer haben
Komisch, der selbe Gedanke durchleuchtete mich beim Lesen des Artikels auch ….
Ich bin ohnehin der Meinung, dass die Virenprogrammierung und Antivirenprogrammierung nicht selten von ein und dem selben Unternehmen erledigt werden. Ist so ein selbstlaufendes Business. Viren programmieren – Angst schüren – und noch am selben Tag als erster den Antivirus haben… Ein Schelm der Böses dabei denkt. :-)
den = weil
Brauchte noch nie ein antiviren Programm unter OSX, wenn man mit etwas gesundem Menschenverstand nicht alles runterlät. Jedoch kommt mir gerade eine andere Frage in den Sinn, kann man beim mac einfach 3 antiviren Programme laufen lassen? Oder suchen die wie beschrieben nur diese eine Schwachstelle und kommen den anderen nicht in die Quere? Kann mich da noch zu gut an Windoof Zeiten errinern als sich sehr gerne zwei antiviren Programme zerschossen haben.
Ich denke, wenn die alle unterschiedliche Aufgaben haben, ist das kein Problem.
man muss auch dieses nicht herunterladen.
Also langsam reichts. Seit die das OS geöffnet haben, geht’s hier zu wie bei den Dosen und Windows PCs. Mehr und mehr solche Themen über Viren usw, die es früher so gut wie nicht gab war für mich das eigentliche Kaufargument für einen Apple-Laptop und nicht das Styling oder das Zeigen-wollen, dass man einen ganz eigenen Stil pflegt.Ich habe die Befürchtung dass das schöne MAC-Gefühl zu erleben einfach ein gutes und sicheres System zu haben und den ganzen perversen Hacker Wurm und Trojaner Paranoikern zu entkommen, endgültig futsch ist. Mittlerweile wird das zu einem Deja-vu mit Problemen der Bill Gates Produkte. Kein Wunder, der ist ja auch bei Apple eingestiegen und hat wohl seine Kanalarbeiter hier positioniert und das genannte Problem sind die ersten Ergebnisse daraus. Schließlich haben dem die immer steigenden Absatzzahlen bei Apple bestimmt ganz schön gestunken
Vorsicht – schmeiß das Kind nicht mit dem Bade aus…
Mac OS X ist nach wie vor genau so sicher wie in der Vergangenheit. Daran hat sich nichts geändert. Alles, was Schaden anrichten kann, muss vom User mit Admin-Passwort abfrage installiert werden oder benötigt physikalischen Zugang zum Rechner. Unbemerktes Installieren geht aktuell nicht.
Schau Dir an, was die im Artikel genannte Software überprüft und überwacht. Das sind alles Mechanismen, die von den vielen kleinen guten Helferleins genutzt werden, die wir zu recht sorgenfrei installieren können. Diese Schnittstellen sind sinnvoll und gut.
Schaden kann nur entstehen, wenn von einer unbekannten/unseriösen Quelle Software installiert wird, z.B.
– eine Internet-Seite möchte einen Medienplayer installieren (Mac OS X kann von Hause aus alle gängigen Medienformate abspielen)
– beim Öffnen einer vorgeblichen PDF- oder Bild-Datei soll automatisch ein Plug-In installiert werden (kann unter Mac OS X nicht vorkommen. Alle gängigen Formate können dargestellt werden. Ist es trotzdem ein unbekanntes Format, gibt es eine Fehlermeldung aber keine automatische Installation)
Mac OS X erkennt diese Installationsversuche und fragt den Benutzer explizit, ob installiert werden soll. Wer also an unerwarteter Stelle nach einer SW-Installation oder einem Admin-Passwort gefragt wird, sollte sich sicher sein, dass das so richtig ist. Wenn es nur leise Zweifel gibt, sagt der gesunde Menschenverstand, dass man den Vorgang abbrechen und sich erkundigen sollte, ob das so richtig ist. Wer sich an diese Regel hält, ist unter Mac OS X genau so sicher wie all die Jahre zuvor.
Guter Kommentar!
Aber dafür gibt es doch Apple. Die denken für mich. Da brauch ich doch keinen gesunden Menschenverstand. Mit gesundem Menschenverstand bin ich bisher auch unter Windows Virenfrei geblieben und könnte auch Androiden nutzen. Bei Android kenne ich auch niemanden mit einem Virus.
@Ouzo
Arbeitest Du ohne Antivirus Software unter Windows ? Hast Du den Viren-Schutz von Windows deaktiviert ? Sicherlich nicht. Und wie kannst Du Dir ohne Antivirus-Software sicher sein, dass Du Dir noch keinen Virus unter Windows eingesammelt hast ?
Unter Windows gibt es genügend Möglichkeiten, Schad-Software zu bekommen OHNE das der Benutzer aktiv werden muss.
Es reicht oft, einfach für eine längere Zeit im Internet aktiv zu sein. Es reicht, einfach eine infizierte Word Datei auf zu machen. Sehr viele Infektionen passieren, ohne dass der Benutzer aktiv etwas installiert oder ein Passwort eingegeben werden muss.
Der Unterschied ist bisher, dass der Benutzer unter Mac OS X zwingend selber aktiv der Installation von Schad-Software zustimmen muss. Schad-Software hat auf dem Mac nur eine Chance, den Benutzer auszutricksen und ihm glaubhaft eine reguläre SW-Installation vorzugaukeln.
@DC: Ich verwende unter Windows Antivirensoftware. Diese hat bei mir auch schon einen Fund gemeldet, bei einem Anhang, der bei einer Mail dabei war. Mein gesunder Menschenverstand sagt mir aber, dass ich keine Datei öffne, die mir der stellvertretende Abteilungsleiter einer Inkassofirma schickt.
apple baut in letzter Zeit viel Mist, aber der Artikel ist einfach nur ein wenig reißerisch aufgebläht. Durch die höhere Verbreitung wird OSX nur immer besser durchleuchtet (sowohl von denen die Schäden wollen, als auch von den „Experten“ die OSX dann zerreden wollen.) genau wie unter Windows: zusätzlichen Useraccount mit eingeschränkten Rechten erstellen und verwenden solange keine Adminrechte zwingend erforderlich sind. Damit sind schonmal fast alle problematischen Sachen erledigt. + etwas nachdenken wie DC und Ouzo auch schreiben und schon ist OSX noch bei nahezu 100% Sicherheit (bislang bzw. zurzeit sind wirkliche Schwachstellen noch unentdeckt)
Habe KnockKnock gerade ausprobiert:
Positiv:
– keine Admin-Abfrage
– überprüft alle gängigen Plätze für Erweiterungen
– gute Übersicht über die installierten Erweiterungen
– VirusTotal Abfrage kann ausgeschaltet werden
Negativ:
– Schriften in der Benutzeroberfläche. Der Text ist manchmal zu lang, Teile vom Text laufen aus dem Fenster heraus und können nicht gelesen werden.
– Schlüsselbund-Abfrage (warum ist das notwendig ?) Software funktioniert auch ohne Zugriff auf das Schlüsselbund, also auf keinen Fall hier den Zugriff erlauben !
– Safari-Erweiterungen werden bei mir nicht erkannt
– Erläuterungen zu den Erweiterungen sind sehr unbefriedigend und eigentlich keine Hilfe. Informationen zu vom Namen her unbekannten Plugins müssen durch manuelles Suchen im Internet selbst beschafft werden.
Die VirusTotal Abfrage ist zweischneidig:
– Sie macht die eigene Installation gegenüber dritten transparent
– Abfrage-Ergebnis für normale Anwender unverständlich
– so gut wie keine Hintergrund-Infos zu den einzelnen Erweiterungen, man ist nach wie vor auf eigene Recherchen angewiesen
+ Hashcode Gegencheck mit gängigen Antivirus-Apps. Erkennen von Datei-Modifikationen möglich
Fazit für mich:
– Nur für jemanden, der sich auskennt.
– Nur einsetzen, wenn man den Verdacht hat, dass auf dem Rechner eine Schad-Software unterwegs ist.
… und das nächste Magazin, das auf die „Werbung“ reingefallen ist und sie kostenlos weiterverbreitet.
Die veröffentlichten „Sicherheitslücken“ dienen nur zur Werbung für dessen Programme. Die Sicherheitslücken selber sind imho keine, denn es wird nur gesagt, dass wer Systemadministrator-Rechte hat, hat eben volle Rechte über das System und kann – natürlich – alles machen was er will. Das ist doch logisch, oder etwa nicht? Es wäre eher schlimm, wenn der Systemadministrator eben nicht die volle Kontrolle hätte …
Also ich kann MacScan empfehlen, ein klasse Tool was auch nach Rootkits sucht. Kostet allerdings Geld. http://macscan.securemac.com/
von wo ladet ihr alle runter? :) Rootkits… sowas kann nur bei Leuten passieren, die für jeden scheiss ihre eigene Software brauchen. Weil plötzlich der Hauseigene PDF-Reader doch nicht reicht und irgendeiner von ZDnet sein muss… ich weiss gar nicht mehr welche Technikseite das macht, aber da kannst du gar nicht mehr direkt die Datei runterladen die du brauchst, nein, der lädt erst mal irgendeinen Hauseigenen Downloader runter… . Sicherheit hin oder her. Entweder ich sauge das, was ich will oder Pech. Einen zwischenhändler brauche ich und will ich nicht.
Man muss halt mit offenen Augen durch das Web stöbern. Nur weil da 3 Download-Buttons sind, heisst es nicht, dass alle 3 für die selbe Datei sind. Aber das kennt ihr bestimmt auch von irgendwelchen unseriösen Downloadseiten…