Ist ein Mac wirklich so sicher?

[Trickedy]

Guten Tag,
ich habe eben beim rumsurfen einen Beitrag gefunden in einem anderem Forum in dem behauptet wurde das Mac's gar nicht so sicher sind wie alle glauben, Was Viren und Hacken usw angeht.
Naja und da ich hin und wieder gern einmal Onlinebanking betreibe wollte ich mich mal erkundigen ob da was dran ist oder nicht.
danke schon mal

 

[ArrowDebreu]

zum x-millionsten... *boring* benutz doch die suchfunktion, da findest du tausende seiten. kurz: ja.

edit: wenigstens hat sich ein sinnvoller Verlauf der Diskussion entwicklet...

 

[Bier]

DAUALARM!!!

SUFU!!!

 

[joey23]

Und wieder ist das Apfeltalk-Niveau ein kleines Stück gesunken. Wohlgemerkt: Nicht (nur) durch den Eingangspost.

Ja, der Mac ist sicher.

 

[Bier]

Wus, hier gibts Niveau?

 

[MacMark]

Guten Tag,
ich habe eben beim rumsurfen einen Beitrag gefunden in einem anderem Forum in dem behauptet wurde das Mac's gar nicht so sicher sind wie alle glauben, Was Viren und Hacken usw angeht.
Naja und da ich hin und wieder gern einmal Onlinebanking betreibe wollte ich mich mal erkundigen ob da was dran ist oder nicht.
danke schon mal

OS X nutzt alles, was an Sicherheitskonzepten denkbar ist und es wird stetig weiter verbessert: Beispielsweise würde ein Virus, der ein Apple-Programm (iTunes, Finder, Mail, …) befällt, seit 10.5 Leopard auffallen, weil die Signatur ungültig würde.

Speziell auf Heise.de gab es in letzter Zeit Artikel über OS X, die auf purem Unwissen beruhten - und auf Schlagzeilen-Geilheit.

Ich habe eine kleine Abhandlung über Sicherheit und OS X hier:
http://macmark.de/osx_security.php

 

[Gastone]

@MacMark

Hut ab vor Deiner Web-Seite. Das ist eine wirklich gelungene Zusammenstellung.

 

[tfc]

OS X nutzt alles, was an Sicherheitskonzepten denkbar ist[...]

Fast. Also zum Beispiel abgesehen davon, dass man mit der mitgelieferten Firewall nicht alles sperren kann.
Der User kann seine Leitung nur noch bis auf "notwendige Dienste" abriegeln.

Dabei bleiben Ports von Services offen, die immer noch mit Rootrechten laufen. Das halte ich sicherheitstechnisch für sehr fragwürdig.

Vor dem letzten Update hieß es im Konfigurationsdialog der Firewall noch, dass man das Netzwerk komplett dicht machen kann. Nach dem Update wurde der Wortlaut dann korrigiert, so dass er die gerade beschriebene Realität weitergibt.

 

[MacMark]

Hi tfc,

die Button-Beschriftung in der Application-Firewall-Einstellung war allein fehlerhaft. Die Dokumentation und die Hilfe zur Application-Firewall beschrieben es schon immer so, wie es war.

In der restriktivsten Einstellung der Application-Firewall ist es drei Diensten möglich, kontaktet zu werden: DHCP, Bonjour und IPsec. Die ersten beiden arbeiten im lokalen Netz und sind in der Regel nicht von weiter außerhalb erreichbar. Beide dienen der Netzwerkkonfiguration. IPsec ermöglicht sichere Kommunikation über das Internet-Protokoll.

Neben der Application-Firewall läuft auch noch die ipfw, welche auf Paketebene filtert. Wer möchte, kann dort ein deny-all einbringen, was den Rechner praktisch komplett vom Netz nimmt. Allerdings wäre es einfacher, das Netzwerk an sich zu deaktivieren, wenn man alles dicht haben will.

Generell ist der Einsatz solcher "personal firewalls" nicht besonders sinnvoll: Wenn man Netzwerkdienste einschaltet, dann sollen sie auch erreichbar sein. Wenn man das nicht möchte, dann läßt man sie einfach aus oder nimmt den Rechner komplett vom Netz.
Die Netzwerkdienste sind genau für Netzwerkkommunikation gedacht. Es ist ihr Sinn. Die einzig sinnvolle Maßnahme besteht darin, diese sicher zu programmieren. OS X bedient sich da bewährter Technik, die auch in den sichersten anderen Unices seit Jahren zum Einsatz kommt. Wenn es da einen Grund für Bedenken gäbe, dann hätten ihn OpenBSD und die anderen auch.

Der Einsatz von "personal firewalls" ist durch Windows in Mode gekommen. Windows hat einen Architekturfehler, der den Einsatz solcher Firewalls nötig macht: Remote Procedure Calls werden dort auch gerne von Nicht-Netzwerk-(User & System-)Programmen verwendet. Somit sind auch Dinge per Netz erreichbar, die dafür nicht gedacht waren. Da man aber nicht einfach alle Programme runterfahren möchte und auch das System laufen und funktionieren soll bei Windows, bleibt einem nur, diese im Netz unerwünschten Dinge zu sperren. Konsequentes Ausschalten, sofern überhaupt möglich, würde Windows und seine Programme weitgehend lahmlegen.
Daher kommt die Panik bei Windows, möglichst alles dicht zu machen. Bei Unix hingegen laufen nur explizit fürs Netz gedachte Dinge auch im Netz und davon nur wenige per default. Diese sind im Gegensatz zu Nicht-Netzprogrammen in der Regel auch im Hinblick auf Netzwerksicherheit programmiert. Daher stehen bei Unix / OS X nicht irgendwelche lokalen Dinge im Netz, sondern nur ausdrücklich dafür vorgesehene notwendige Dinge, die auch dafür sicher ausgelegt sind.

Ein schönes Beispiel für den Windows-Design-Fehler liefert der Einsatz der netzwerkbasierten SQL-Server-Engine in über 100 Desktop-Anwendungen, die gar kein Netzwerk benötigen. Dadurch bieten völlig unerwartet ganz normale Programme diverse Netzwerkdienste an, die im Internet erreichbar sind.
Der berühmte und sehr erfolgreiche Slammer-Wurm nutzte einen Fehler in dieser Engine und konnte so gut wie jeden Windows-PC infizieren, weil nicht nur SQL-Server betroffen waren, sondern auch lokale NIcht-Netzprogramme sich ihm internetweit anboten.

Microsofts Entwicklungswerkzeuge fördern diesen monolithischen Entwicklungsansatz. Da man jedoch solche verkorksten Programme einsetzen will auf Windows, muß man ihnen die überflüssige Netzwerkfunktion künstlich durch eine "personal firewall" wieder nehmen. Diese Situation und dieser Grund existiert unter Unix / OS X nicht.

Ich könnte ein Buch darüber schreiben, aber Ihr ahnt sicher auch nach diesen Absätzen, wie sich die Welten unterscheiden.

 

[tfc]

Ich benutze kein Windows - unter anderem aus dem Grund, dass ich die von Dir genannten Fakten schon kenne.

Dass man weiterhin ipfw benutzen kann, ist mir bewusst. Aber das ist nicht beim Durchschnitts-Apple-User der Fall. Und genau der ist ordentlich gefickt, falls sich über Nacht ein Wurm ausbreitet, der beispielsweise eine Sicherheitslücke in Bonjour ausnutzt. Egal, wie schnell Apple Lücken in seinem Betriebssystem flickt - ein amoklaufender Prozess mit Root-Privilegien ist nunmal ein dickes Problem.

Der Standardnutzer, der noch nie etwas von "ipfw" oder so gehört hat und sich mit der Standardfirewall sicher fühlt, ist es nicht. Und da liegt der Designfehler.

UNICES sind zwar befreit von dieser RPC-Pest wie sie unter Windows allgegenwärtig ist, allerdings macht sie das alleine nicht sicher. Ein Programmierfehler, der ein paar Wochen lang von der Herstellerfirma übersehen wird, aber nicht von einem Geek, der nur auf sowas wartet und schnell einen Exploit schreibt, kann schon verheerend sein.

 

[MacMark]

… falls sich über Nacht ein Wurm ausbreitet, der beispielsweise eine Sicherheitslücke in Bonjour ausnutzt. …

Bonjour funktioniert nur im LAN. Ein Internet-Wurm ist damit unmöglich.

Post scriptum: Mit Fäkalsprache (und expliziten Ausdrücken) wäre ich vorsichtig. Ich wurde hier schon für einen harmloseren Ausdruck rausgeworfen.

 

[tfc]

Bonjour funktioniert nur im LAN. Ein Internet-Wurm ist damit unmöglich.

Post scriptum: Mit Fäkalsprache (und expliziten Ausdrücken) wäre ich vorsichtig. Ich wurde hier schon für einen harmloseren Ausdruck rausgeworfen.

Okay, da hast Du wohl Recht mit der Fäkalsprache. Ich achte mal mehr drauf.

Aber ich wäre noch viel vorsichtiger mit dem Begriff "unmöglich" in Verbindung mit IT-Sicherheit. Da haben schon sehr viele Leute ganz schön peinlich dagestanden.

 

[Bier]

Mit Verlaub:

a) der Threadersteller hat keine Ahnung... ihr helft ihm also nicht
b) Die Aussage: Bonjour funktioniere nur im LAN (ja), ein "Internet-Wurm" (<- gibts nicht) "ist damit" (<-womit) "umöglich" ist einfach nur Quatsch.
Wer glaubt so einen Mist?

c)

Ich könnte ein Buch darüber schreiben, aber Ihr ahnt sicher auch nach diesen Absätzen, wie sich die Welten unterscheiden.

Mach Dich bitte nicht lächerlich... wobei Peter Huth verdient ja auch nicht schlecht.

d)

Dabei bleiben Ports von Services offen, die immer noch mit Rootrechten laufen. Das halte ich sicherheitstechnisch für sehr fragwürdig.

fullack. In Entwicklerkreisen bei Apple hat das im Vorfeld schon für Unmut gesorgt. Die FW da hat ne Macke.
Sicherheit ist Prozess, kein Moment.

e) ipfw... dürfte der Threadersteller weder kennen, noch jemals kennen lernen, wie es aussieht. Natürlich das Sinnvollste, da es am frühsten greift. Obwohl mir pf lieber wäre. Grundlegend dient dieses Instrument der Netzwerktrennung, nicht der Abschrimung schlecht implementierter Services.
Traffic aller Art kommt trotzdem erst einmal an, kann jedoch durch diese Filterregeln verworfen werden. Das bedeutet nicht, dass durch den Einsatz sicherheitsspezifisch Vorteile zu Tage treten im Punkt "Service-Sicherheit". Es bedeutet nur, dass umgangssprachlich gesprochen mehr Wege geschlossen sind, Services zu aktivieren, oder auf diese zuzugreifen.

f) Ich wusste dass es wieder so eine Diskussion hier gibt. Die geht mal wieder am Ziel vorbei... Diese MS - Unix Vergleichskrankheit von MacMark geht mir auf die Nerven. Das ist weder produktiv - d. h. doch im Sinne von Flamerei und Werbequatsch, durch den man evtl. Kleingeister beeindruckt - noch ist es konstruktiv, weil das fachliche Gequatsche einerseits mit Fehlern sachlicher Natur durchsetzt ist, andererseits absolut die Zeit nicht wert ist, wenn man sich in phiolosophierendes Gebrabbel entflüchtet. In Sachen MS Sicherheit die Fakten auf den Tisch zu legen ist nicht ganz so trivial, wie der "Gelegenheitsnnutzer" im (software-ergonomischen Sinne) das karikiert.

Nichts für ungut, aber was hier in diesem Thread herausgefunden werden sollte lässt sich mit sehr wenigen Worten zusammenfassen:


MacOS 10.5 ist Unix und darf daher nur im unixoiden Sicherheitskontrast bewertet werden. Daher muss die Antwort lauten, dass plattformspezifisch die Unterschiede zum Vergleichen untauglich sind.

p.s.: jetzt fang nicht mit der Zitiererei: ich weiß es aber besser Forenkämpferei an... das hier ist nur meine Meinung. Dieter Bohlen verkauft schließlich auch Bücher. Warum also nicht auch MacMark.

 

[MacMark]

b) Die Aussage: Bonjour funktioniere nur im LAN (ja), ein "Internet-Wurm" (<- gibts nicht) "ist damit" (<-womit) "umöglich" ist einfach nur Quatsch.

Denk nochmal darüber nach und finde heraus, worin Dein logischer Denkfehler liegt.

 

[tfc]

Also ich unterschreibe Biers Aussage b.).

 

[MacMark]

Also ich unterschreibe Biers Aussage b.).

Dann könnt Ihr ja zu zweit darüber nachdenken, was da ganz offensichtlich in sich falsch ist.

 

[Bier]

Vorsicht: wir haben es hier mit einem besonders Schlauen zu tun!

 

[MacMark]

Habt Ihr inzwischen nachgedacht? Ist Euch aufgefallen, daß der mDNSResponder standardmäßig nur Anfragen aus dem lokalen Netzwerk annimmt (link-local addressing)? Und daß ein Internet-Wurm Bonjour daher per default nicht erreichen, geschweige denn angreifen könnte?

 

[Bier]

Du hast verstanden, worum es geht:

[ ] ja
[x] nein

 

[MacMark]

Was hast Du denn nicht verstanden?