1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Thema "Viren unter OS X": Ein Artikel im Tages-Anzeiger

Dieses Thema im Forum "Café" wurde erstellt von GunBound, 28.04.09.

  1. GunBound

    GunBound Pohorka

    Dabei seit:
    23.06.05
    Beiträge:
    5.666
    [preview]
    [/preview]

    Durch eine Gratiszeitschrift bin ich heute auf diesen Artikel gestossen. Kopiert habe ich nach Reihenfolge im Artikel einige Ausschnitte aus dem Teilartikel.
    Nun: was sollen diese Zitate?

    Zum einen bieten sie eine praktische Grundlage eines Beispiels für einen mehr oder weniger schlecht recherchierten Beitrag, was selbst bei renommierten Zeitschriften wie dem Tages-Anzeiger (vergleichbar mit der "Süddeutschen Zeitung" in Deutschland) hin und wieder passieren kann; besonders, wenn es sich dabei um "exotischeres" Gebiet handelt. Neben der Tatsache, dass der Artikel mehr oder minder einer Werbung für das Antivirenprogramm "ClamXav" entspricht (und dabei bekanntere Antiviren-Programmhersteller wie Intego nicht erwähnt), haben die Autoren selbst für einen wenig versierte Mac-Benutzer mit dem Verdrehen von Aussagen und Definitionen einen leidigen Anblick geschaffen.

    Ein immer wieder gerne gebrachter Punkt ist der Marktanteil. Gefühlsmässig tendiert man dazu, den Verbreitungsgrad von Microsoft Windows für die Anzahl Viren verantwortlich zu machen (oder aber den von Mac OS X für dessen kleine Anzahl). Insofern stimmt die Aussage, als dass in einem Betriebssystem mit grösserer Beliebtheit mehr Leute versuchen, Sicherheitslücken zu finden. Das Problem reicht jedoch viel tiefer: Unter Mac OS X braucht es eine unentdeckte Sicherheitslücke, um Schadcode ins System einzuschleusen (ein gutes Beispiel ist eine längst geschlossene Lücke im QuickTime Player, die auf dem Prinzip des Buffer overflow basierte). Unter Windows braucht es das auch. Aber es geht noch einfacher: An Stelle einer "unentdeckten Sicherheitslücke" nimmt man unter Windows einen "vertuschten Architekturmangel".

    Ein damit zusammenhängender Fauxpas findet sich im Begriff "Virus". Gemäss Wikipedia ist ein Computervirus "ein sich selbst verbreitendes Computerprogramm, welches sich in andere Computerprogramme einschleust und sich damit reproduziert." Damit unterscheidet sich Virus in einem sehr wichtigen Detail von seinen Brüdern: Einerseits vom Computerwurm, der sich selbst via Netzwerk verbreitet und auf dem Computer Schaden anrichtet, sowie dem "Trojanischen Pferd", das, ganz der griechischen Mythologie entsprechend (Homer: "Ilias"), sich tarnt und vorgibt, ein bestimmtes nützliches Programm zu sein, um dann in Wirklichkeit ähnliche Aufgaben zu erledigen, wie es Viren zu tun pflegen.
    Aufgrund dieser Unterschiede streiten sich Fachleute deshalb, inwieweit ein Schadprogramm unter OS X als Virus einzustufen ist bzw. wieviele Viren es für Mac OS X tatsächlich gibt. Als vorteilhaft einzustufen ist jedoch, dass Mac OS X im Unterbau eine strikte Trennung zwischen Benutzern, Benutzergruppen, Dateien und Zugriffsrechten besitzt, was mit dem System von Unix zu erklären ist. Die drei wichtigsten Benutzertypen sind dabei der normale Benutzer, der unter Mac OS X (wie jeder andere Benutzer auch) Schreib- und Leserechte in seinem Benutzerordner und dazu standardmässig Leserechte in allen Ordnern ausser Benutzerordnern anderer Accounts und root-reservierten Systemordnern hat. Als "Administrator" bezeichnet man unter Unices und Unixoiden, anders als beispielsweise unter Microsoft Windows, den Benutzer, der in allem volle Lese- und Schreibrechte hat ausser in anderen Benutzerordnern sowie allen root-relevanten Ordnern (wozu wiederum das System gehört). Root ist der für Macintosh-Benutzer standardmässig nicht aktivierbare "wahre" Systemadministrator, der (bis auf ein paar seltene Ausnahmen) überall Lese- und Schreibrechte hat und während des (Normal-)Betriebes systemrelevante Hintergrundprozesse ausführt. Unter Windows sah die Situation bis vor Windows mit NT-Kernel so aus, als dass der Kernel nur einen einzigen Benutzeraccount zuliess. Entsprechend bot sich kein weiterer Platz für "Normalbenutzer" an, und somit besass jeder Mensch vor einem Windows-PC automatisch jegliche root-Rechte. Mit Windows NT-Versionen (genauer: mit späteren Modifikationen, die dann den NT-Kernel mehrbenutzerfähig machten) schien sich diese höchst gefährliche Sicherheitslücke zu schliessen: Die Fähigkeit, mehrere Benutzer verwalten zu können schien das System vor unerwünschten Eingriffen zu schützen. Zur allgemeinen Enttäuschung blieb der Pferdefuss jedoch bestehen und verschärfte sich teilweise sogar, da er nicht jedem Windows-Benutzer bekannt war/ist: Selbst unter einem zweiten Benutzerkonto mit eingeschränkten Rechten (also kein root-Konto, sondern ein Admin-Konto) besteht bis heute die Möglichkeit, Software passwortlos mit root-ähnlichen Rechten auszuführen, was Microsoft selbst beschreibt. Kurioserweise werden hier Viren nicht erwähnt, sondern nur die für Microsofts Sicherheitsphilosophie eher schädlicheren Sicherheitslücken.

    Mac OS X erlaubt das Ausführen eines Prozesses mit root-Rechten jedoch auch von einem Admin-Account aus, nämlich mit dem in einer Terminal-Shell vorangestellten Kürzel "sudo". Da jetzt jedoch Unix ins Spiel kommt, wird man mit einer freudigen Überraschung konfrontiert: Der Mac verlangt das Passwort eines Administrators und nimmt diesen und seine Funktion somit beim Wort. Es ist tatsächlich absolut nicht möglich, sich auf technisch legalem Weg root-Rechte von einem anderen Konto aus zu verschaffen, ohne das eigene Passwort einzugeben.
    Mac OS X sorgt natürlich mit diversen anderen Funktionen, Sicherheitsmechanismen und Warnungen für zusätzlichen Schutz (etwa die Meldung beim ersten Einrichten, man solle unbedingt ein Passwort verwenden), kann jedoch, gleich wie Windows, auch nicht vor Trojanern schützen. Das beste Beispiel für einen typischen Trojaner ist kürzlich aufgetaucht: Eine illegal heruntergeladene iWork '09-Vollversion enthielt einen Schädling angeheftet. Mac OS X und Unix schützten nun vor diesem Schädling, so gut es rein logisch ging: Das Installationsprogramm verlangte das Administratorpasswort. Da der Mensch vor dem Bildschirm jedoch nichts wusste und nur iWork '09 sah, erkannte er auch den Trojaner nicht, also wurde dieser mitinstalliert.

    Danach jedoch griffen die Sicherheitsmechanismen erneut: Der Trojaner war nicht in der Lage, das System zu manipulieren, weil es für ihn einmal mehr unmöglich war, passwortlos mit dem einzigen berechtigten Benutzer "root" das System anzugreifen. Es blieben ihm folglich "nur" die Administratorrechte. Persönliche Daten konnten damit zwar immer noch preisgegeben werden (da diese sich ja im eigenen Benutzerordner befinden), doch selbst diese Gefahrenstufe kann man vermeiden, in dem man den von Microsoft vorgeschlagenen Tipp befolgt, den ich euch auch ans Herz legen will: Leute, arbeitet niemals mit einem Administratorkonto. Die Anzahl Trojaner ist momentan noch relativ klein und diese beschränken sich hauptsächlich auf Software aus Grau- und Schwarzzonen (Illegales, Pornoseiten, etc.), doch das kann sich jederzeit ändern.

    Dritter Punkt betrifft die "Registry" und die Aussage, Microsoft habe "in Windows Vista viele Sicherheitslücken gestopft". Diese Aussagen können durchwegs stimmen. Das eigentliche Problem greift tiefer und betrifft einmal mehr den grundlegenden Aufbau von Windows, der zu wenig nach dem Passwort fragt (und dieses darüber hinaus zu wenig schützt. Ein Windows-Passwort ist mit genügend schneller Hardware schnell zu knacken via c't). Aufgrund dieser gefährlichen Konstruktion muss unter Windows auf Notlösungen gesetzt werden: Dazu kann man beispielsweise Virenscanner, Firewalls und Sicherheitsabfragen (Vista: "Sind Sie sicher, dass …") zählen. Andererseits muss man aber beachten, dass man nicht alle Verbindungen zwischen dem Unter- und Oberbau blockiert, weshalb hier auch wieder neue Funktionen eingreifen müssen. Man endet mit einem Betriebssystem, das dem Bibeltext ähnlich ist: Vieles ist nachträglich eingesetzt und widerspricht bereits Bestehendem.
    Entsprechend bleibt trotz aller Sicherheits-Updates und Warnungen vor Registry-Angriffen das, was vorher schützen sollte: Die Passwortabfrage bzw. die Fähigkeit eines Betriebssystems, ein Programm erst durch bestimmte Kontrollen ausführen zu können.


    Was sind meine Schlussfolgerung (neben der Tatsache, dass der genannte Tages-Anzeiger-Artikel gehörig falsch verfasst wurde)? Man kann diese kurz zusammenfassen:
    • Es gibt nie *keine* Viren für ein Betriebssystem. Unter Mac OS X ist es jedoch aufgrund der Rechteteilung enorm viel schwieriger, einen solchen gefährlichen zu programmieren (man braucht dazu eine erhebliche Sicherheitslücke zu finden). Alles andere zählt nicht als Virus.
    • Die angesprochenen "Viren" im Artikel sind in Wirklichkeit Trojaner
    • Microsoft hat mit Windows Vista nichts anders gemacht als mit anderen Systemupdates früherer Windows-Versionen. Die Lücke der fehlenden Isolation von root bleibt.

    Was kann ich Mac OS X-Benutzern raten?
    • Windows-Viren können sich auch über einen Mac verbreiten (z.B. an Word-Dokumente angehängte). Wer mit ungeschützten PCs in Verbindung steht, der installiert zuerst dort einen Virenscanner. ClamXav und Konsorten sind in wenigen Ausnahmefällen hilfreich, bereits auf einem Mac Viren zu finden.
    • Der eigene Verstand ist der beste Schutz vor Schädlingen. Das trifft ganz besonders für Mac OS X zu. Lieber überprüft man eine heruntergeladene oder bekommene Datei zweimal, bevor man sein Passwort preis gibt.
    • Das Arbeiten unter einem Konto ohne Administratorrechte lässt kein "sudo" zu — und damit auch keinen Trojaner à la "iWorkServices".
     
    #1 GunBound, 28.04.09
    Zuletzt bearbeitet: 28.04.09
    sheep und iNiKeY22 gefällt das.

Diese Seite empfehlen