Virenscanner am Mac - a never ending story ;-)

[FritzS]

Einen guten Bericht der Lage fand ich hier:
http://www.heise.de/security/artikel/Macs-im-Visier-1807871.html

........
Auf der anderen Seite müssen sich die Hersteller von Antiviren-Software, die jetzt ganz laut "Hier" schreien und dabei auf ihre in den Regalen verstaubenden Mac-Produkte zeigen, in Erinnerung rufen lassen, dass ihre Produkte gerade gegen gezielte Attacken weitgehend machtlos sind. Für den Schutz gegen gezielte Angriffe im Rahmen von Spionage gibt es kein Patentrezept und erst recht kein einzelnes Produkt, das Sicherheit versprechen kann. Am besten setzt man auf eine gestaffelte Verteidigung auf mehreren Ebenen.
........
ju

Auf die wichtige Passage geändert

 

[SAO30653]

... mal 'ne OT Frage ganz am Rande: Du hast die Erlaubnis eingeholt, mehr als die Hälfte des Artikels hier wiederzugeben? Copyright-Verletzungen in öffentlichen Foren sind ebenfalls eine "never ending story" und können teuer werden.

 

[FritzS]

mea culpa .... der Admin hat schon gekürzt ... ich habe dies auch die meiner Meinung wichtige Passage geändert - hoffentlich passt dies nun?

 

[Bountyhunter]

was nützt ein Virenscanner gegen einen derartigen Angriff - der kommt von aussen und nicht per Virus von innen.

Offene Ports und nichtvorhandene oder veraltete Firewalls sind die Hauptursache für derartige Probleme.

 

[FritzS]

Gegen Schadsoftware die über einen "verseuchten" WEB Server daherkommt, hilft auch keine Firewall, nicht einmal eine AV Appliance im Netz wenn SSL verwendet wird. Diese WEB Site kann einer durchaus renommierten Firma gehören - wie jüngste Beispiele zeigen.

Wenn Unix Artige Betriebssysteme auf Clients auch einmal einen Virenscanner (besser wäre hier der Ausdruck "Schadsoftware-Scanner" - Viren sind ja auch nur ein Teil der Bedrohung) benötigen - müsste dieser an das Unix speziell angepasst sein. Beim Mac wäre es besser er käme auch von Apple selbst.

Jede Software ist angreifbar, wie Berichte auf diesen Seiten zeigen:
http://www.av-test.org/
http://www.virusbtn.com/

Ein klassischer Computer Viren Angriff kommt meist von innen, wenn der User z.B. mal eine Software aus dubioser Quelle installieren will. Eine solche Verseuchung sollte ein Virenscanner auch entdecken, am Besten schon während des Downloads. - nicht sagen das käme am Mac nicht vor, nicht jeder Mensch vor einem PC (egal welches OS) ist ein Computer- und Security-Spezialist, wo sonst kämen dann die vielen Zombies in den Botnetzten her?

 

[MaChris]

Malware muss nicht zwingend an das Betriebssystem angepasst werden. Dafür gibt es plattforübergreifende Technologien, wie Flash, Java, JavaScript etc. Lässt man die Ausführung dieser Technologien zu, rücken auch andere Betriebssysteme in den Focus. Dies erfordert daher auch keinen Angriff von innen oder die Installation einer Anwendung.

 

[FritzS]

@MaChris
genau.
Ein Schadsoftware Scanner (falls er notwendig wird) sollte für die Unixartigen OS speziell geschrieben werden und nicht bloß ein Windows AV Scanner angepasst. Das betrifft auch die Virensignaturen.

 

[MaChris]

Dabei sollten aber nicht einzig die Besonderheiten des Betriebssystems Berücksichtigung finden, sondern auch plattformübergreifende Technologien mitbetrachtet werden.
Die Beispiele jüngerer Vergangenheit in Bezug auf die Exploits bei Flash, Adobe Reader und Java kündigen an, dass der Einsatz eines Malwarescanners auch für Unixoide in naher Zukunft Realität werden.

 

[FritzS]

Das befürchte ich auch .... und wo gibt es schon ein für den Mac vertrauenswürdiges Tool?

Nicht einmal Linux ist vor Angriffen gefeit
http://www.heise.de/newsticker/meldung/Linux-Rootkits-missbrauchen-SSH-Dienst-1810406.html

Linux-Rootkits missbrauchen SSH-Dienst
Security-Spezialisten des Internet Stormcenters berichten über eine sehr spezielle Hintertür, die derzeit auf kompromittierten Linux-Servern vorgefunden wird. Dabei manipulieren die Einbrecher eine Bibliothek des SSH-Dienstes. Betroffen sind anscheinend vor allem RPM-basierte Systeme; wie die Angreifer auf die Server kommen, ist allerdings noch nicht bekannt.

Mehr siehe Link zu Heise


Leider wird das Zitieren immer mehr mit Fußangeln bedacht - besonders bei euch in Deutschland

Schwarz-Gelb hat es eilig mit dem Presse-Leistungsschutzrecht
http://www.heise.de/newsticker/meld...-dem-Presse-Leistungsschutzrecht-1810451.html

 

[hosja]

-Flash ist eine sterbende Technik, die schon immer Probleme mit der Sicherheit hatte und die man einfach nicht installieren muss. Oder nur im Zusammenhang mit Chrome und Click to Flash nutzen sollte.
-Adobe Reader (aus der gleichen Schmiede) benötigt kein Mac Nutzer. Vorschau kann alles was man mit PDF machen kann.
-Java sollte man für den Browser deaktivieren. Das wird sowieso meistens nur im Unternehmenseinsatz und bei Behörden benötigt.

Apples XProtect sorgt dafür das bekannte Schädliche entfernt werden. Mehr leistet eine kommerzielles Programm auch nicht.

 

[FritzS]

Apples XProtect sorgt dafür das bekannte Schädliche entfernt werden. Mehr leistet eine kommerzielles Programm auch nicht.

XProtect sollte in der Richtung ausgebaut werden, dass ungewöhnliche Aktivitäten (die z.B. auf einen Angriff der in einer WEB Seite versteckt ist, oder ein 'seltsamer' Daemon versucht sich zu installieren - z.B. über eine ZeroDay Lücke, usw.) erkannt werden.

Wie sieht es beim Mac mit Signaturen für Systemrelevante Dateien aus?

Ein signieren von Binaries und Überwachung der Signaturen, ist ja auch ein Weg um Angriffe hintanzuhalten, oder zumindest erschweren.

 

[hosja]

Auf dem Mac kann sich dank Gatekeeper nichts installieren. MacMark aus dem hiesigen Forum hat da eine schöne Zusammenfassung über die Sicherheitsmechanismen von OS X. Schau dir das doch mal an.

 

[FritzS]

Ich kenne das bereits. Ob OS X Binaries auch signiert sind, fand ich nicht konkret (oder habe ich das übersehen).
Wenn, dann müssten alle Binaries signiert werden, auch jene von Dritt-Herstellern und auch aus OpenSource Quellen.
Zumindest würde eine Selbst-Signatur während der Installation eine spätere Veränderung bemerkbar machen.

Durch ZeroDay Lücken könnten Binaries auch verändert werden ohne dass dies großartig auffallen müsste.

Gatekeeper hilft sicherlich viel, ist aber kein Allheilmittel - ich habe einige Open Source Software installiert, die (kein zertifizierter Mac Entwickler - z.B. einige Mozilla Software) nicht signiert war. Die Sicherheit von Gatekeeper schränkt die verwendbare Software ein. Umgekehrt sollte ein Mac keine einsame Insel darstellen - ich habe z.B. MacPorts und Crossover installiert.

Apple tät gut daran Gatekeeper mit einigen Funktionen der Kontrolle anzureichern.

Seit der Erstellung dieser Aufstellung http://www.macmark.de/osx_security.php schon einige Zeit vergangen und die Programmierung von Schadsoftware hat mittlerweile enorme Fortschritte gemacht und auf einem Mac laufen nicht nur Apple Programme. Auch über ein gekauftes Softwarepaket, könnte sich im Worstcase Schadsoftware einschleichen. Siehe die letzte Meldung über möglicherweise verseuchte Entwicklerrechner (auch Mac's - und bei Apple und Microsoft aufgetreten). Heutzutage scheint nichts mehr unmöglich.

PS: Den heutigen AV Scannern traue ich auch nicht so ganz über den Weg - wenn vielleicht unter Windows hilfreich, oder gar ein Muss - unter Apple müssten sich Softwareentwickler etwas gänzlich Neues einfallen lassen.
Die größte Schwachstelle sind meiner Meinung derzeit die Browser (inkl. deren Erweiterungen/Add-Ins). Selbst ein Kompromittieren der Userumgebung (auch wenn der keine Admin Rechte hat) kann fatale Folgen haben.

PPS: Ich rede hier von Nutzern die wissen was sie tun und nicht von Leuten die Alles und Jedes Anklicken und jeden Schmarrn (der vielleicht per eMail als Schnäppchen angeboten wird) installieren - denen ist sowieso nicht zu helfen - mit oder ohne 10 Virenscannern!

 

[hosja]

Der Artikel wird gepflegt und erweitert. Unter 6.0.2.8. steht was zu Signaturen.
Antivirensoftware behebt ja nicht die Fehlerursache, das kann nur der Hersteller und bisher hat Apple immer recht schnell reagiert.

Gatekeeper ist eine gute Kompromiss zwischen Freiheit für die Freunde von OpenSource und Drittherstellern und dem Aufmerksam machen des Benutzers, das sein Programm von irgendwo aus dem Internet gekommen ist.
Für Leute die sich nicht auskenne gibt es den MacApp Store wo es nur geprüfte Software gibt und das Risiko sehr klein ist sich was einzufangen.

 

[FritzS]

Bei herunter geladenen Programmen (was ich nur von seriösen Quellen mache und nur bei Programmen die z.B. hier schon oftmals getestet und empfohlen wurden) mache ich manchmal trotzdem einen Scan mit dem ClamXav bevor ich sie installieren - bin ich deswegen zu vorsichtig? Andrerseits, so viel Zeitaufwand ist das nun auch nicht. Beinhaltet ClamXav eigentlich auch die Signaturen von (den wenigen) Mac Schädlingen (muss gestehen, das habe ich bisher noch nicht nachgeprüft)?

 

[Taliesin]

Mal ne kurze Zwischenfrage... Java und Java-Script sind ja zwei verschiedene Dinge. Java ist auf meinem System nicht installiert. Flash nutze ich nur ausnahmsweise in meinem "Ausweichbrowswer" Chrome, ist also auf dem System auch nicht vorhanden.

Sollte man jetzt Java-Script auch noch über Ad-Ons wie "NoScript", bzw. dessen Derivate für Safari bzw. Chrome auch noch "verhindern", bzw. gezielt erlauben? Das würde ja maximal eine Woche dauern, bis man alle Seiten, die man regelmäßig benutzt da "eingestellt" hat, also kein Problem, aber ich möchte auch so wenig wie möglich an manuell rumfrickeln (im Sinne von Ad-Ons, tools usw...)

Beste Grüße!

 

[FritzS]

NoScript Derivate und andere sinnvolle Erweiterungen

Beim Firefox verwende ich NoScript, beim Chrome NotScripts
Für Safari gibt es keine Erweiterung ähnlichen Namens - sind WOT oder Javascript-Blocker nun dem gleich zusetzten? Welches wäre besser geeignet? Welches von Beiden würde AdBlock, ClickToFlash, Ghostery sinnvoll ergänzen (eventuell WOT?) und Doppelgleisigkeit vermeiden.
Javascript-Blocker scheint sich mit AdBlock (beide nutzen EasyList) und Ghostery zu überschneiden.

http://noscript.softonic.de/mac/vergleich/wot-fur-safari-os-x,tab-mix-plus

http://www.macupdate.com/app/mac/42143/javascript-blocker

Das habe ich als "Security Erweiterungen" installiert

Safari: AdBlock, ClickToFlash, Ghostery (AdBlock und Ghostery dürften ähnliches sperren, bzw. überschneiden sich in Punkten)

Firefox: Adblock Plus, NoScript (NoScript scheint auch gegen Flash wirksam zu sein)

Chrome: Adblock Plus, FlashBlock, NotScripts (FlashBlock und NotScripts scheinen sich in Punkten zu überschneiden)

 

[Taliesin]

Also ist die Verwendung solcher JavaScript Blocker sinnvoll und fällt nicht in die Kategorie "unnütze" bis kontraproduktive Tools (Virenscanner, Onyx, CleanMyMac etc)?

 

[Pill]

"Gefährlich" sind solche Tools immer dann, wenn sie tief ins System eingreifen. Bei Safari-Extensions ist das nicht der Fall, ihre Wirkung beschränkt sich auf den Browser und sie können sehr einfach deinstalliert oder deaktiviert werden.

 

[FritzS]

An die hier mitlesenden Mac Security Gurus!
Da bei allen Browsern die Erweiterungen den gesamten Datenstrom vor einer eventuellen SSL Verschlüsselung "sehen", könnten sie unter Umständen auch die Daten beim Telebanking "mitlesen", somit muss man den Programmierern vertrauen können - oder irre ich da?