ifun.de — Apple News seit 2001. 38 326 Artikel

Gegen forensische Angriffe

Türsteher für macOS: swiftGuard überwacht USB-Ports

Artikel auf Mastodon teilen.
9 Kommentare 9

Das Open-Source-Projekt swiftGuard bezeichnet sich selbst als Anti-Forensik-Anwendung für macOS, die das eigene System durch die kontinuierliche Überwachung der vorhandenen USB-Anschlüsse zusätzlich schützen soll.

Anti-Forensik-Anwendung für macOS

Dabei konzentriert sich der kostenlos erhältliche Download für die Mac-Menüleiste darauf, den Rechner herunterzufahren oder das System in den Ruhezustand zu überführen, sobald ein nicht autorisiertes USB-Gerät angeschlossen oder ein bereits eingestecktes USB-Gerät getrennt wird.

Die Anwendung ist dabei nach Belieben konfigurierbar und bietet unter anderem die Möglichkeit, eine Liste zugelassener Geräte zu erstellen, die jederzeit per USB mit dem eigenen Rechner kommunizieren dürfen. Zudem haben Anwender die Möglichkeit, festzulegen, wie lange nach dem Anschluss eines unbekannten USB-Gerätes mit dem Shutdown gewartet werden soll.

SwiftGuard Screenshots

Die Idee hinter dem Tool: Sollte der eigene Mac in die Hände von Strafverfolgern oder zwielichtigen Personen geraten, die sich externer Werkzeuge bedienen, um flüchtige Informationen aus dem Arbeitsspeicher oder den restlichen Systemen über Umwege auszulesen, würde die automatische Systemabschaltung den Einsatz entsprechender Tools aktiv verhindern.

Anwender besonders schützenswerter Berufsgruppen (etwa Journalisten, Anwälte und Ärzte), könnten ihren Rechnern so eine zusätzliche Barriere gegen Fremdzugriffe mit auf den Weg geben.

Swift Guard wird zum kostenlosen Download angeboten, lebt in der Mac-Menüleiste und richtet sich an Anwender, die besonderen Wert auf Systemsicherheit legen. Die Applikation steht auf dem Code-Portal GitHub zum Download bereit. Hier hat der Frankfurter Entwickler Lennart Haack auch die Roadmap mit den bereits geplanten Funktionserweiterungen veröffentlicht. So sei demnächst auch eine Bluetooth-Erkennung geplant; zudem sind automatische Updates und die notarielle Beurkundung der Anwendung durch Apple in Arbeit.

16. Okt 2023 um 14:02 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    9 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Gibt es nicht immer noch die USB-Schwachstelle, bei der der USB-Controller infiziert wird? Dann nutzt so ein Tool auch recht wenig.

    • Hallo, der Entwickler hier
      Ich selber habe Tests mit meinem Macbook Pro durchgeführt und kann dir sagen, dass swiftGuard schnell genug das System herunterfährt (wenn du eine Verzögerung von 0 sekunden eingestellt hast) und eine Infektion nicht vollständig/erfolgreich ist.
      Ich beziehe mich auf die Schwachstelle im T2 Chip mittels USB-C Angriff, die nicht von Apple Softwareseitig behebbar ist. Ebenso ist ein Angriff mit BadUSB nicht schnell genug und swiftGuard schützt auch da.
      Ich hab jeden Angriffsvektor 5mal getestet und kein einziges Mal konnte die Infektion gelingen, da swiftGuard den nativen macOS Systemprofiler zur USB Überwachung nutzt und dieser im Millisekundenbereich reagiert :)

  • Danke für den Tipp, wünsche euch eine schöne Woche. o/

  • Mir erschließt sich der Sinn jetzt nicht ganz: Das Tool ist doch nur aktiv, wenn der Mac wach und entsperrt ist, oder? Dann kann doch ein Bösewicht ohnehin alles von meinem Rechner auslesen. Oder geht es darum, dass man im Büro kurz „um die Ecke“ muss, vergisst, seinen Rechner zu sperren, und dann steckt der Bösewicht einen USB-Stick an, um Daten von meinem Rechner zu ziehen? Dann würde es ja eher Sinn ergeben, den Rechner manuell oder automatisch sofort zu sperren.

    Aber alle anderen Szenarien (Zitat Artikel „Sollte der eigene Mac in die Hände von Strafverfolgern oder zwielichtigen Personen geraten, die sich externer Werkzeuge bedienen, um flüchtige Informationen aus dem Arbeitsspeicher oder den restlichen Systemen über Umwege auszulesen“) führen doch nicht dazu, dass diese App überhaupt läuft, oder? Solange ich mich nicht anmelden kann am Passwort-geschützten System (und der verschlüsselten Festplatte), wie soll dann dieses Tool starten, um einen Shutdown zu initiieren?

    • Ich denke, das Tool zielt darauf ab, dass dein MacBook entsperrt ist und jemand einfach ein USB Stick ansteckt, um einen Angriff zu starten. Weil ansonsten hast du natürlich recht. Aber auch wenn die Festplatte mit FileVault verschlüsselt ist und der Mac in Ruhezustand ist beziehungsweise kein Nutzer angemeldet ist, sind auch die USB Ports nicht unbedingt deaktiviert. Hier würde dann das Tool aktiv werden.

      • Stimmt, Christian, wenn es entsperrt ist (wie gesagt, da würde ich dann an der Ursache anpacken). Aber in Deinem zweiten Beispiel: Nein, wenn kein User angemeldet ist, läuft auch ein Tool nicht, das in der Menüleiste lebt. Das setzt ja eben einen angemeldeten Benutzer und einen laufenden Rechner voraus.

    • Hallo der Entwickler hier
      swiftGuard funktioniert natürlich nur, wenn der Mac angeschaltet und ein User eingeloggt ist. Dabei ist es egal ob der Mac entsperrt oder im Ruhezustand/Bildschirm heruntergeklappt ist: swiftGuard ist aktiv und kann den Mac herunterfahren.

      Für mich sind bisher zwei Use-Cases erkennar:

      1. Der Mac ist entsperrt oder nur zugeklappt, der Nutzer geht kurz weg und ein ‚böser‘ Akteur möchte schnell mithilfe eines USB Sticks mit Malware/Keylogger/… drauf, sich Zugriff auf das System verschaffen. Hier würde das Tool helfen und das verhindern (vorsusgesetzt FireVault ist angeschaltet). Nur ein komplett heruntergefahrenes System ist wirklich sicher gegen solche Attacken (USB Ports).
      2. Der Mac ist angeschaltet und entsperrt, der Nutzer hat z.B. einen USB Stick angesteckt. Nun kommt der ‚böse‘ Akteur oder die Polizei bei einer Hausdurchsuchung und nimmt dem Nutzer den Mac weg, wobei der USB Stick entfernt wird und swiftGuard das System herunterfährt -> System sicher. Häufig nutzt die Polizei auch sogenannte USB Mouse Jiggler, die das System davon abhalten sollen bei Beschlagnahmung in den Ruhezustand zu wechseln (Verschlüssung verhindert dann das Auslesen der Daten). Dies würde swiftGuard auch erkennen bzw. verhindern.
  • Ihr setzt also Ermittler der Polizei mit zwielichtigen Gestalten gleich.
    Und weigert euch dann auch noch meinen Kommentar zu veröffentlichen.

    Ganz schwach.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38326 Artikel in den vergangenen 8272 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven