- Registriert
- 27.10.04
- Beiträge
- 6.949
Dann hast du es wirklich nicht verstanden? Hier einige Ausführungen:
Technische Ursachen
Mac OS X hat eine quelloffene Grundlage, die Darwin heißt. Darwin hat als Wurzel sehr viele andere quelloffene Projekte, zu denen unter anderem Mach gehört und 4.4BSD-Lite2, zu welchem FreeBSD, NetBSD und OpenBSD beitragen. OpenBSD hat zum Ziel, das sicherste Betriebssystem zu sein und wird auch als dieses anerkannt. Mac OS X verwendet einige Sicherheitstechniken, die OpenBSD auszeichnen.
UNIX ist für den Betrieb mit vielen gleichzeitigen Benutzern und als Netzwerk entworfen worden. Daher waren von Anfang an die entsprechenden Sicherheitsfragen zu beachten bei der Architektur. Bei UNIX gilt: "Das Netzwerk ist der Computer."
Andere Betriebssysteme, zu denen das marktbeherrschende gehört, wurden ursprünglich für Einzelplatznutzung ohne Netzwerk ausgelegt. Dort fehlte daher im Grundkonzept alles, was mit Sicherheit in Bezug auf Netzwerkbetrieb und mehrere gleichzeitige Benutzer zu tun hat. Bei Windows war lange Zeit oberstes Gebot, daß es keine Einschränkungen für Programme und Benutzer gibt: Jeder durfte alles mit allem.
Generell sind UNIX-Betriebssysteme aufgrund ihrer typischen Beschränkung der Benutzerberechtigungen nicht so leicht von Viren zu befallen. Hier sind sowohl Prozesse als auch Dateien unterschiedlicher Nutzer sauber und sicher voneinander getrennt.
Bei den Betriebssystemen von Microsoft war FAT seit 1976/77 über 20 Jahre (und wohl auch heute noch) das am meisten eingesetzte Dateisystem. FAT kann keine Dateien zwischen Benutzern trennen. Jedes Programm kann bei FAT jede Datei auf der ganzen Festplatte beschreiben. FAT kennt keine Dateibesitzer. Ein Virus findet auf FAT keine Hindernisse vor und kann alles nach Belieben infizieren. Microsoft hat mit Jahrzehnten FAT den Virenautoren die gesamte Festplatte sozusagen geschenkt und hat sich die Generationen von Virenschreibern damit selbst herangezüchtet.
Auch sind bei UNIX-Betriebssystemen unterschiedlich privilegierte Prozesse besser voneinander getrennt. Insbesondere laufen alle Prozesse aus Prinzip mit möglichst minimalen Berechtigungen. Werden besondere Rechte erforderlich, dann wird die Arbeit an einen sehr kleinen separaten Prozeß delegiert. Die geringe Größe eines solchen Spezialprozesses macht seine sichere und fehlerfreie Programmierung leicht.
Beim zur Zeit marktbeherrschenden Betriebssystem ist das genau andersherum: Dort läuft jeder Prozess mit maximalen Berechtigungen (ein Windows-Administrator ist gleichmächtig wie System) und geringere Rechte sind die Ausnahme (und nicht die Regel).
Unwichtige Prozesse sind in der Lage sogar Systemprozesse zu steuern. Und man macht sich nicht die Mühe, ein Programm in mehrere kleine Programme aufzuteilen, um sicherheitsrelevante Aktionen nur in einem kleinen Spezialprogramm zu verwenden. Daher läuft das gesamte Programm und, was es nochmals verschlimmert, alle von ihm verwendeten Programmbibliotheken, als hochprivilegierte Prozesse, wenn auch nur ein kleiner Anteil hohe Rechte benötigt. Der gravierende Sicherheitsaspekt hierbei ist, daß man für die sichere und fehlerfreie Programmierung des gesamten Programms und der gesamten verwendeten Bibliotheken nicht garantieren kann. Eine Lücke in einem dieser Teile genügt, um das gesamte System anschließend zu übernehmen.
Was bei UNIX undenkbar ist, ist bei Windows Normalität: Alles arbeitet als Windows-Administrator, der einem UNIX-Root entspricht.
Ein Administrator von Mac OS X hingegen ist nicht Root. Und ein Administrator muß, wenn er systemrelevante Dinge tun will, sich nochmals authentifizieren mit Paßwort. Man kann nicht mit einem Klick das System ändern.
Ein Schadprogramm unter einem Benutzer in Mac OS X ist daher sehr eingeschränkt darin, was es tun und beeinflussen kann. Unter dem bei den Autoren von Schadprogrammen als Ziel sehr beliebtem anderen Betriebssystem hingegen hat solch ein Programm unter einem Benutzer alle nur denkbaren Möglichkeiten; es ist ein Paradies für Schadprogramme.
Architekturfehler versus Programmierfehler
Bei Windows war es jahrelang die Devise, daß jeder alles mit allem können soll; auch über das für lokale Kommunikation deplaziert eingesetzte RPC. Das wurde Windows im Zuge der globalen Vernetzung der Rechner zum Verhängnis: Nun konnten alle im Internet dem heimischen Rechner sagen, was er tun soll dank RPC. Ein klassisches Scheunentor.
UNIX hingegen, das von Beginn an auf Mehrbenutzerbetrieb und als Netzwerk ausgelegt war (das Internet besteht aus UNIX-Protokollen), hat die nötigen Architektur-Aspekte von Anfang an im Betriebssystem und den Programmen umgesetzt und hat darüber hinaus Jahre Vorsprung, was die Praxiserfahrung in all diesen Dingen angeht.
Quelle: http://www.macmark.de/osx_security.php
