Feature Sicherheitsforscher übt Kritik an Malware-Schutz unter OS X

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.134
Sicherheitsforscher Patrick Wardle, der zuletzt über die nicht ausreichend gestopfte Rootpipe-Sicherheitslücke in OS X 10.10.3 informiert hat, übt Kritik an den Sicherheitsmechanismen von OS X, die sich ihm zufolge zu leicht überlisten lassen, berichtet Heise. Malware-Autoren hätten es leicht, die integrierten Schutzwälle zu umgehen und Schadprogramme auf Mac-Rechnern einzuschleusen. Systemdienste wie Gatekeeper, XProtect und die Sandbox von OS X bieten nach Einschätzung von Wardle nicht ausreichend Schutz. Alleine im letzten Jahr [UPDATE] in den letzten Jahren seien 50 neue Malware-Familien für OS X aufgetaucht – Tendenz steigend.[prbreak][/prbreak]

Wardle kritisiert etwa an Gatekeeper, dass nur geprüft wird, ob eine Anwendung aus einer vertrauenswürdigen Quelle stammt. Ob das Programm selbst bösartig modifiziert wurde und während der Installation fremden Code ins System schleust, kann Gatekeeper hingegen nicht verhindern. Bereits im Jahr 2013 ist Malware aufgetaucht, die trotz der Sicherheitsbarriere auf Mac-Rechnern landete – diese wurde damals mit einer offiziellen Apple-Developer-ID signiert.

Aber auch XProtect, der Malware-Schutz in OS X, soll keine ausreichende Sicherheit bieten. Wardle bemängelt, dass bereits ein einfaches Umbenennen einer Malware genüge, damit XProtect den Schädling nicht mehr erkennen kann – da der Hashwert nicht mehr mit der Datenbank übereinstimmt. Bereits in der Vergangenheit wurde bemängelt, dass Apple bei der Aufnahme von Malware in die XProtect-Datenbank außerdem zu langsam oder manchmal gar nicht reagiere. An der Sandbox kritisiert Wardle, dass es im System zu viele Schwachstellen gebe, um aus ihr auszubrechen.

Für die meisten von Wardle beschriebenen Attacken wären Root-Rechte am System notwendig. Nicht zuletzt die Rootpipe-Sicherheitslücke zeigt jedoch, dass es auch hier Schwachstellen gibt, um Benutzeraccounts mit den nötigen Systemrechten auszustatten. Antiviren-Software für OS X würde jedoch ebenfalls keinen ausreichenden Schutz bieten. Eine von Wardle selbst zu Testzwecken entwickelte Malware wurde von keiner der gängigen Antiviren-Lösungen ausfindig gemacht.

Zum Schutz des eigenen Systems empfiehlt Wardle zwei kostenlose Tools, die er selbst entwickelt hat. Knock Knock erfasst alle automatisch gestarteten Dateien und schickt deren Hashwerte zur Überprüfung an den Online-Virendienst VirusTotal. Block Block meldet hingegen, wenn sich ein Prozess an einer der einschlägigen, von Malware verwendeten Stellen im System einnisten möchte. Aber auch solche Dienste ließen sich mit Root-Rechten aushebeln.

imac-virus.png
Vielen Dank an @echo.park für den Hinweis!
Via Heise
 

Mac 2.2

Schweizer Orangenapfel
Registriert
10.06.10
Beiträge
4.015
Paranoia würde ich das nicht nennen, sondern eher gesundes Misstrauen ;) Die ganze Kritik liest sich eher so: "OS X ist sicherheitstechnisch ein Disaster, also installiert gefälligst meine eigens entwickelten Programme!"
So lange die Programme nicht irgendwie extern geprüft worden sind, würde ich von denen die Finger lassen.
 
  • Like
Reaktionen: manoloneun

Bio Exorzist

Gascoynes Scharlachroter
Registriert
29.08.09
Beiträge
1.539
Das hat irgendwie etwas von Scareware^^

Erst den Leuten Angst machen und ihnen anschließend irgendwelche ominösen Tools unterjubeln :D
 

Grayson1988

Macoun
Registriert
21.02.15
Beiträge
116
Ja sieht mir auch so nach Scareware aus.
Ein Mac ist sicherer als ein Windows PC, wenn man jetzt allerdings jemanden ala Beavis und Butthead davor setzt, bringt aber das beste System nichts.

Ich halte von solchen Panikmachern nichts. Besonders wenn sie ihre eigenen Produkte, ob free oder nicht free, damit bewerben.

Ich stell mal in den Raum das die meisten Viren und Spywares von Antivirus Tool und anderen in der Richtung, Herstellern, selbst programmiert und im Umlauf gebracht werden. Oder als Schein Gefahr, die nicht existiert.

Macht die Pharmaindustrie genauso. Warum sollte es hier anders sein.
 

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.208
Das Ende von OS X kam bereits mit der ersten Version, als alle Antivirenhersteller regelmässig, damals noch mit großen zeitlichen Zwischentiefs, vor der Unsicherheit und der Ahnungslosigkeit der Nutzer warnten und vor dem großen Gau, als dann 2004 glaube ich, die erste Malware für OS Xauftauchte und sahen sie das Ende gekommen, als mehr Windows Switcher kamen, wurden die Schreie nach der Unsicherheit lauter und jedes Bauernfängerunternehmen stürzte sich auf Tools, die der Sicherheit dienten, fanden bei den Switcher ja auch fruchtbaren Boden vor, waren ja bereits unter Windows von denen verblödet worden(manchmal auch zu Recht), als Flashback seinen kurzen Auftritt hatte, war das Ende wieder nah, und so wird es weitergehen.
Ich halte es da wie immer, gelassen, beobachtend und ab und an amüsiert.
Perfekt ist kein System, aber solange die Sicherheitsprogramme von Drittherstellern so mangelhaft sind, wie sie es sind, gibt es für mich keine Alternative, als meinen Rechner zu nutzen und Systempflege und Systemsicherheit dem System und Brain 2.0 zu überlassen.
 

ullistein

Sonnenwirtsapfel
Registriert
28.12.10
Beiträge
2.412
Warum gibt es eigentlich so gut wie keine Schadsoftware für OSX?

Auch wenn die Verbreitung wesentlich geringer ist, als Windows müsste doch der "Spaß" Schaden anzurichten für die Entwickler ausreichend hoch sein.
 
  • Like
Reaktionen: Papa_Baer

martinv2

Doppelter Prinzenapfel
Registriert
14.04.12
Beiträge
437
Ich halte die Reaktionen hier für überzogen.

Re: Wer ist dieser Patrick Wardle überhaupt?
Wenn man den Namen googlet, findet man schnell heraus, dass er die Forschungsabteilung der Unternehmensberaterfirma Synack leitet und schon seit Jahren im Bereich Cybersicherheit und Kryptographie arbeitet (z.B. hier). Er hat auf der diesjährigen RSA Conference einen Vortrag über die Schwachstellen von OS X gehalten (der wohl auch Auslöser für diese Meldung und andere, z.B. bei Heise war).

Re: Der will doch nur Angst schüren und seine eigene Software verkaufen.
Bei der Google-Suche findet man auch schnell heraus, dass Knock Knock ein Github-Projekt ist, das alle automatisch geladenen Programme anzeigt. Geschrieben ist es übrigens in Python - es kann sich jeder anschauen, was es tut.
Okay, es gibt eine überarbeitete graphische Version, die wohl kompiliert ist, aber ich werde sie mir auf jeden Fall auch mal anschauen.
 

Bio Exorzist

Gascoynes Scharlachroter
Registriert
29.08.09
Beiträge
1.539
Warum gibt es eigentlich so gut wie keine Schadsoftware für OSX?

Auch wenn die Verbreitung wesentlich geringer ist, als Windows müsste doch der "Spaß" Schaden anzurichten für die Entwickler ausreichend hoch sein.

In OS X sind mehr Hürden eingebaut, womit es Schadsoftwareautoren ungleich schwieriger gemacht wird. Um überhaupt auf das System zu kommen, muss Schadsoftware in der Regel erstmal richtig installiert werden, mit Kennwort etc.

Zudem werden Mac's scheinbar eher aktualisiert als Windows-Rechner ;)
 
  • Like
Reaktionen: ullistein

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
Wardle kritisiert etwa an Gatekeeper, dass nur geprüft wird, ob eine Anwendung aus einer vertrauenswürdigen Quelle stammt. Ob das Programm selbst bösartig modifiziert wurde ... kann Gatekeeper hingegen nicht verhindern.
Sieh mal an.
Dieser Neunmalklug Wardle verlangt also, dass Gatekeeper über eine künstliche Intelligenz in der Grössenordnung von "Mr. Data" aus der StarTrek-Reihe verfügen müsste.
Denn genau solch völlig utopische Geistesleistungen wären zwingend erforderlich, um solche inhaltlichen Prüfungen auszuführen.

Was sind das für Zeiten, wo jeder nach Aufmerksamkeit heischende Dumpflaberer ernst genommen wird, nur weil er bei der eher planlosen Suche nach einer Stecknadel im Heuhaufen rein zufällig mal was glänzendes gefunden hat...
 

Ozelot

deaktivierter Benutzer
Registriert
02.09.09
Beiträge
5.744
Wird Apple diesbezüglich das neue Windows?

Tim wird nachlässig.
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
Wird Apple diesbezüglich das neue Windows?
Dort ist man bereits angelangt.
Bei einer Stippvisite in den chaotischen Datenmüllhaufen, dem ein Yosemite den Löwenanteil von CPU-Resourcen zuwendet, fühlt man sich schon fast wie im Dschungel einer Registry zur Zeit von Windows 95.
Die Ära der kühlen, geradlinigen Planung ist vorbei, heute wird gefrickelt dass die Augen bluten und chaotisch alles an Gehirnfürzen zu einem "System" zusammengenagelt, was irgendwelche Nachhilfsprogrammierer nicht schnell genug wieder vom Server löschen konnten.
Traurig, aber wahr - unter diesen Rahmenbedingungen hat dieses System keine positiv zu erwartende Zukunft mehr. So schlimm wie es mittlerweile schon ist, könnte das ganze auch längst aus dem Hause Microsoft sein.

Hätte ich das letzte Jahrzehnt -seit dem ursprünglichen MacOS- im Koma gelegen und verpasst, sähe ich das heutige OS X zum allerersten mal vor mir...
...ich würde es Bill Gates zuschreiben. Voll im Ernst.
 

doc_holleday

Roter Herbstkalvill
Registriert
14.01.12
Beiträge
13.264
@Rastafari :
Welches OS X würdest du denn empfehlen bzgl. Sicherheit?

Ist man denn tatsächlich mit den aktuelleren OS Xen sicherer unterwegs als mit den Vorläufern? Z.B. wenn man aktuell 10.9. mit 10.10. (inkl. der halbgeschlossenen Root-Geschichte hier) vergleicht?
 

u0679

Moderator
AT Moderation
Registriert
09.11.12
Beiträge
7.332
OS X Versionen kleiner 10.8 können jedenfalls nicht mehr als sicher angesehen werden, da dort jeder Support seitens Apple fehlt, was das schließen aktueller, bekannter Sicherheitslücken angeht.

Edit; es bleibt ja nur, immer mit den aktuellen Versionen mitzuziehen bei Apple und MS. Oder ein Richtung Linux gehen, aber auch da würde ich ältere, nicht mehr unterstützte Versionen nicht mehr einsetzen.
 

Rastafari

deaktivierter Benutzer
Registriert
10.03.05
Beiträge
18.150
Welches OS X würdest du denn empfehlen bzgl. Sicherheit?
Wenn das wirklich das einzige Kriterium wäre: Ganz klar OpenBSD.
(und zwar stable, keine beta/prerelease)

Ist man denn tatsächlich mit den aktuelleren OS Xen sicherer unterwegs als mit den Vorläufern?
Sicherheit lässt sich nicht wirklich relativ messen. Das ist wie Schwangerschaft: hopp oder topp.
*ALLE* Systeme im Consumer-Bereich sind wie umgekehrter Emmentaler.
(Die Löcher sind der Käse, und der Käse die Löcher.)

Ich wills mal so versuchen zu beschreiben:
Ich persönlich (nur meiner einer, soweit ich weiss) verfüge über die Kenntnis von 5 (bei SnowLeo 6) bis dato ungefixten Schwachstellen, mit denen man *jedes* OS X seit Leopard in Windeseile "aufmachen" könnte.
Und es sind 5 mal exakt die gleichen, nur minimalste Anpassungen wären nötig um auch die kommende Version am Popo zu packen.
(Ich habe keinerlei Hoffnung mehr, dass das jemals noch behoben werden wird. Ein inzwischen dreimaliges "...it works as expected..." als ablehnende Antwort war mir frustrierend genug, jetzt melde ich sowas schon lange gar nicht mehr.)
Noch Töne?
 

u0679

Moderator
AT Moderation
Registriert
09.11.12
Beiträge
7.332
@Rastafari, vielleicht wirst Du erst "ernst genommen bei den Oberen", wenn Du auch ein Sicherheitsforscher bist, wie o.g. genannter Herr Wardle
 

doc_holleday

Roter Herbstkalvill
Registriert
14.01.12
Beiträge
13.264

Nicht wirklich. Trotzdem danke für deine.

Zugegebenermaßen musste ich jetzt erstmal einen schnellen Blick nach Wikipedia werfen, um überhaupt zu wissen, was mit OpenBSD gemeint sein könnte. Aber das, was man dort liest klingt in Sachen Qualität und damit Sicherheit wirklich gut.

Für mich als Script/Code/Programmier-Niete klingt es aber nicht realistisch das einzusetzen. Ich hab' ja schon Schwierigkeiten die laienhafte Erklärung bei Wikipedia zu verstehen.

Das klingt aber auch so, als ob es fast schon egal wäre, ob man Snow Leo, Mavericks oder eben Yosemite im Einsatz hat.