1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Ist ein Mac wirklich so sicher?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von Trickedy, 06.12.07.

  1. Trickedy

    Trickedy Alkmene

    Dabei seit:
    01.11.05
    Beiträge:
    34
    Guten Tag,
    ich habe eben beim rumsurfen einen Beitrag gefunden in einem anderem Forum in dem behauptet wurde das Mac's gar nicht so sicher sind wie alle glauben, Was Viren und Hacken usw angeht.
    Naja und da ich hin und wieder gern einmal Onlinebanking betreibe wollte ich mich mal erkundigen ob da was dran ist oder nicht.
    danke schon mal
     
  2. ArrowDebreu

    ArrowDebreu Klarapfel

    Dabei seit:
    24.01.07
    Beiträge:
    281
    zum x-millionsten... *boring* benutz doch die suchfunktion, da findest du tausende seiten. kurz: ja.

    edit: wenigstens hat sich ein sinnvoller Verlauf der Diskussion entwicklet...
     
    #2 ArrowDebreu, 06.12.07
    Zuletzt bearbeitet: 06.12.07
  3. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    DAUALARM!!!

    SUFU!!!

    [​IMG]
     
  4. joey23

    joey23 Mecklenburger Königsapfel

    Dabei seit:
    26.11.06
    Beiträge:
    9.736
    Und wieder ist das Apfeltalk-Niveau ein kleines Stück gesunken. Wohlgemerkt: Nicht (nur) durch den Eingangspost.

    Ja, der Mac ist sicher.
     
    #4 joey23, 06.12.07
    Zuletzt bearbeitet: 06.12.07
    floeschen gefällt das.
  5. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Wus, hier gibts Niveau?
     
  6. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    OS X nutzt alles, was an Sicherheitskonzepten denkbar ist und es wird stetig weiter verbessert: Beispielsweise würde ein Virus, der ein Apple-Programm (iTunes, Finder, Mail, …) befällt, seit 10.5 Leopard auffallen, weil die Signatur ungültig würde.

    Speziell auf Heise.de gab es in letzter Zeit Artikel über OS X, die auf purem Unwissen beruhten - und auf Schlagzeilen-Geilheit.

    Ich habe eine kleine Abhandlung über Sicherheit und OS X hier:
    http://macmark.de/osx_security.php
     
    #6 MacMark, 06.12.07
    Zuletzt bearbeitet: 06.12.07
  7. Gastone

    Gastone Bismarckapfel

    Dabei seit:
    16.08.06
    Beiträge:
    145
    @MacMark

    Hut ab vor Deiner Web-Seite. Das ist eine wirklich gelungene Zusammenstellung.
     
  8. tfc

    tfc Ontario

    Dabei seit:
    21.07.07
    Beiträge:
    348
    Fast. Also zum Beispiel abgesehen davon, dass man mit der mitgelieferten Firewall nicht alles sperren kann.
    Der User kann seine Leitung nur noch bis auf "notwendige Dienste" abriegeln.

    Dabei bleiben Ports von Services offen, die immer noch mit Rootrechten laufen. Das halte ich sicherheitstechnisch für sehr fragwürdig.

    Vor dem letzten Update hieß es im Konfigurationsdialog der Firewall noch, dass man das Netzwerk komplett dicht machen kann. Nach dem Update wurde der Wortlaut dann korrigiert, so dass er die gerade beschriebene Realität weitergibt.
     
  9. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Hi tfc,

    die Button-Beschriftung in der Application-Firewall-Einstellung war allein fehlerhaft. Die Dokumentation und die Hilfe zur Application-Firewall beschrieben es schon immer so, wie es war.

    In der restriktivsten Einstellung der Application-Firewall ist es drei Diensten möglich, kontaktet zu werden: DHCP, Bonjour und IPsec. Die ersten beiden arbeiten im lokalen Netz und sind in der Regel nicht von weiter außerhalb erreichbar. Beide dienen der Netzwerkkonfiguration. IPsec ermöglicht sichere Kommunikation über das Internet-Protokoll.

    Neben der Application-Firewall läuft auch noch die ipfw, welche auf Paketebene filtert. Wer möchte, kann dort ein deny-all einbringen, was den Rechner praktisch komplett vom Netz nimmt. Allerdings wäre es einfacher, das Netzwerk an sich zu deaktivieren, wenn man alles dicht haben will.

    Generell ist der Einsatz solcher "personal firewalls" nicht besonders sinnvoll: Wenn man Netzwerkdienste einschaltet, dann sollen sie auch erreichbar sein. Wenn man das nicht möchte, dann läßt man sie einfach aus oder nimmt den Rechner komplett vom Netz.
    Die Netzwerkdienste sind genau für Netzwerkkommunikation gedacht. Es ist ihr Sinn. Die einzig sinnvolle Maßnahme besteht darin, diese sicher zu programmieren. OS X bedient sich da bewährter Technik, die auch in den sichersten anderen Unices seit Jahren zum Einsatz kommt. Wenn es da einen Grund für Bedenken gäbe, dann hätten ihn OpenBSD und die anderen auch.

    Der Einsatz von "personal firewalls" ist durch Windows in Mode gekommen. Windows hat einen Architekturfehler, der den Einsatz solcher Firewalls nötig macht: Remote Procedure Calls werden dort auch gerne von Nicht-Netzwerk-(User & System-)Programmen verwendet. Somit sind auch Dinge per Netz erreichbar, die dafür nicht gedacht waren. Da man aber nicht einfach alle Programme runterfahren möchte und auch das System laufen und funktionieren soll bei Windows, bleibt einem nur, diese im Netz unerwünschten Dinge zu sperren. Konsequentes Ausschalten, sofern überhaupt möglich, würde Windows und seine Programme weitgehend lahmlegen.
    Daher kommt die Panik bei Windows, möglichst alles dicht zu machen. Bei Unix hingegen laufen nur explizit fürs Netz gedachte Dinge auch im Netz und davon nur wenige per default. Diese sind im Gegensatz zu Nicht-Netzprogrammen in der Regel auch im Hinblick auf Netzwerksicherheit programmiert. Daher stehen bei Unix / OS X nicht irgendwelche lokalen Dinge im Netz, sondern nur ausdrücklich dafür vorgesehene notwendige Dinge, die auch dafür sicher ausgelegt sind.

    Ein schönes Beispiel für den Windows-Design-Fehler liefert der Einsatz der netzwerkbasierten SQL-Server-Engine in über 100 Desktop-Anwendungen, die gar kein Netzwerk benötigen. Dadurch bieten völlig unerwartet ganz normale Programme diverse Netzwerkdienste an, die im Internet erreichbar sind.
    Der berühmte und sehr erfolgreiche Slammer-Wurm nutzte einen Fehler in dieser Engine und konnte so gut wie jeden Windows-PC infizieren, weil nicht nur SQL-Server betroffen waren, sondern auch lokale NIcht-Netzprogramme sich ihm internetweit anboten.

    Microsofts Entwicklungswerkzeuge fördern diesen monolithischen Entwicklungsansatz. Da man jedoch solche verkorksten Programme einsetzen will auf Windows, muß man ihnen die überflüssige Netzwerkfunktion künstlich durch eine "personal firewall" wieder nehmen. Diese Situation und dieser Grund existiert unter Unix / OS X nicht.

    Ich könnte ein Buch darüber schreiben, aber Ihr ahnt sicher auch nach diesen Absätzen, wie sich die Welten unterscheiden.
     
    #9 MacMark, 06.12.07
    Zuletzt bearbeitet: 06.12.07
    Harald909 gefällt das.
  10. tfc

    tfc Ontario

    Dabei seit:
    21.07.07
    Beiträge:
    348
    Ich benutze kein Windows - unter anderem aus dem Grund, dass ich die von Dir genannten Fakten schon kenne.

    Dass man weiterhin ipfw benutzen kann, ist mir bewusst. Aber das ist nicht beim Durchschnitts-Apple-User der Fall. Und genau der ist ordentlich gefickt, falls sich über Nacht ein Wurm ausbreitet, der beispielsweise eine Sicherheitslücke in Bonjour ausnutzt. Egal, wie schnell Apple Lücken in seinem Betriebssystem flickt - ein amoklaufender Prozess mit Root-Privilegien ist nunmal ein dickes Problem.

    Der Standardnutzer, der noch nie etwas von "ipfw" oder so gehört hat und sich mit der Standardfirewall sicher fühlt, ist es nicht. Und da liegt der Designfehler.

    UNICES sind zwar befreit von dieser RPC-Pest wie sie unter Windows allgegenwärtig ist, allerdings macht sie das alleine nicht sicher. Ein Programmierfehler, der ein paar Wochen lang von der Herstellerfirma übersehen wird, aber nicht von einem Geek, der nur auf sowas wartet und schnell einen Exploit schreibt, kann schon verheerend sein.
     
  11. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Bonjour funktioniert nur im LAN. Ein Internet-Wurm ist damit unmöglich.

    Post scriptum: Mit Fäkalsprache (und expliziten Ausdrücken) wäre ich vorsichtig. Ich wurde hier schon für einen harmloseren Ausdruck rausgeworfen.
     
    #11 MacMark, 06.12.07
    Zuletzt bearbeitet: 06.12.07
  12. tfc

    tfc Ontario

    Dabei seit:
    21.07.07
    Beiträge:
    348
    Okay, da hast Du wohl Recht mit der Fäkalsprache. Ich achte mal mehr drauf.

    Aber ich wäre noch viel vorsichtiger mit dem Begriff "unmöglich" in Verbindung mit IT-Sicherheit. Da haben schon sehr viele Leute ganz schön peinlich dagestanden. ;)
     
  13. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Mit Verlaub:

    a) der Threadersteller hat keine Ahnung... ihr helft ihm also nicht
    b) Die Aussage: Bonjour funktioniere nur im LAN (ja), ein "Internet-Wurm" (<- gibts nicht) "ist damit" (<-womit) "umöglich" ist einfach nur Quatsch.
    Wer glaubt so einen Mist?

    c)
    Mach Dich bitte nicht lächerlich... wobei Peter Huth verdient ja auch nicht schlecht.

    d)
    fullack. In Entwicklerkreisen bei Apple hat das im Vorfeld schon für Unmut gesorgt. Die FW da hat ne Macke.
    Sicherheit ist Prozess, kein Moment.

    e) ipfw... dürfte der Threadersteller weder kennen, noch jemals kennen lernen, wie es aussieht. Natürlich das Sinnvollste, da es am frühsten greift. Obwohl mir pf lieber wäre. Grundlegend dient dieses Instrument der Netzwerktrennung, nicht der Abschrimung schlecht implementierter Services.
    Traffic aller Art kommt trotzdem erst einmal an, kann jedoch durch diese Filterregeln verworfen werden. Das bedeutet nicht, dass durch den Einsatz sicherheitsspezifisch Vorteile zu Tage treten im Punkt "Service-Sicherheit". Es bedeutet nur, dass umgangssprachlich gesprochen mehr Wege geschlossen sind, Services zu aktivieren, oder auf diese zuzugreifen.

    f) Ich wusste dass es wieder so eine Diskussion hier gibt. Die geht mal wieder am Ziel vorbei... Diese MS - Unix Vergleichskrankheit von MacMark geht mir auf die Nerven. Das ist weder produktiv - d. h. doch im Sinne von Flamerei und Werbequatsch, durch den man evtl. Kleingeister beeindruckt - noch ist es konstruktiv, weil das fachliche Gequatsche einerseits mit Fehlern sachlicher Natur durchsetzt ist, andererseits absolut die Zeit nicht wert ist, wenn man sich in phiolosophierendes Gebrabbel entflüchtet. In Sachen MS Sicherheit die Fakten auf den Tisch zu legen ist nicht ganz so trivial, wie der "Gelegenheitsnnutzer" im (software-ergonomischen Sinne) das karikiert.

    Nichts für ungut, aber was hier in diesem Thread herausgefunden werden sollte lässt sich mit sehr wenigen Worten zusammenfassen:


    MacOS 10.5 ist Unix und darf daher nur im unixoiden Sicherheitskontrast bewertet werden. Daher muss die Antwort lauten, dass plattformspezifisch die Unterschiede zum Vergleichen untauglich sind.

    p.s.: jetzt fang nicht mit der Zitiererei: ich weiß es aber besser Forenkämpferei an... :p das hier ist nur meine Meinung. Dieter Bohlen verkauft schließlich auch Bücher. Warum also nicht auch MacMark.
     
    #13 Bier, 07.12.07
    Zuletzt bearbeitet: 07.12.07
  14. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Denk nochmal darüber nach und finde heraus, worin Dein logischer Denkfehler liegt.
     
  15. tfc

    tfc Ontario

    Dabei seit:
    21.07.07
    Beiträge:
    348
    Also ich unterschreibe Biers Aussage b.).
     
  16. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Dann könnt Ihr ja zu zweit darüber nachdenken, was da ganz offensichtlich in sich falsch ist.
     
  17. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Vorsicht: wir haben es hier mit einem besonders Schlauen zu tun!
     
  18. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Habt Ihr inzwischen nachgedacht? Ist Euch aufgefallen, daß der mDNSResponder standardmäßig nur Anfragen aus dem lokalen Netzwerk annimmt (link-local addressing)? Und daß ein Internet-Wurm Bonjour daher per default nicht erreichen, geschweige denn angreifen könnte?
     
  19. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Du hast verstanden, worum es geht:

    [ ] ja
    [x] nein
     
  20. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Was hast Du denn nicht verstanden?
     

Diese Seite empfehlen