Sicherheit

Am Anfang eines Rechnerlebens (und gelegentlich zwischendurch) steht die Installation und Einrichtung des Betriebssystems. Zu diesem Zeitpunkt ist der Unterschied zwischen Windows und Mac-OS X riesengroß: Das Betriebssystem von Microsoft setzt Angriffen von Hackern nur wenig Widerstand entgegen; selbst das aktuelle Windows Vista ist ohne zusätzliche Schutzsoftware gefährdet. Mac-OS X dagegen bietet wenig Angriffsmöglichkeiten; unter anderem sind viele "Dienste" wie Filesharing oder die Fernsteuerung ausgeschaltet.

OSX.RSPlug.A hat gezeigt, wo die Gefahr für Mac-Besitzer am größten ist: Wenn man die Hacker-Software selbst installiert. Bei OSX.RSPlug.A ist es eine angeblich fehlende Software für die Wiedergabe eines Videos; unter Windows ist einer der Tricks, sich als Antivirensoftware auszugeben (zum Beispiel "Spyware Protect 2009").

Relativ gering ist dagegen mit Mac-OS X die Gefahr, allein beim Besuch einer Internet-Seite (ohne Zutun des Benutzers) oder bei einer bestehenden Internet-Verbindung "gehackt" zu werden. Denn für Hacker bietet Mac-OS X wenig Angriffspunkte - zumindest solange man die diversen Komfortfunktionen nicht nutzt, die Apple in den Systemeinstellungen unter "Sharing" anbietet. Wer einige davon privat nutzen will oder muss, sollte den Text "Sicher trotz Sharing" auf Seite 71 lesen; dort haben wir die wichtigsten Sicherheitstipps zu diesem Thema zusammengestellt. Wer die Dienste unter "Sharing" in einer Firma nutzt, sollte sich darauf verlassen können, dass die Firma passende Sicherheitsvorkehrungen getroffen hat - wer ein Mac-Notebook aus der Firma mitnimmt, sollte prüfen, ob die Dienste zu Hause nicht abgeschaltet sein können.

TIPP Allen diesen "Diensten" (oder "Services") ist eines gemeinsam: Sie starten ein Hintergrundprogramm, das Mac-OS X über Internet (oder im lokalen Netz) ansprechbar macht. Findet ein Hacker eine Sicherheitslücke in einem dieser Hintergrundprogramme, kann er versuchen, ob sich diese Lücke nutzen lässt, um den Mac fernzusteuern oder um Dateien vom Mac zu lesen. Sind die Dienste dagegen deaktiviert, kann ein Hacker auch eventuell vorhandene Sicherheitslücken nicht ausnutzen.

Intego und andere Anbieter von Antivirensoftware für den Mac haben Entwarnung gegeben: Der Computerwurm Conficker (alias "Downadup" oder "Kido") ist eine Gefahr für Windows, speziell für Windows XP. Für Mac-OS X aber nicht. Deshalb raten wir aktuell nur zur Vorsicht, wenn man Windows auf dem Mac nutzt - sei es mit Apples Bootcamp-Technik oder mit Zusatzsoftware wie Parallels Desktop oder Vmware Fusion. Nur in diesem Fall sollte man unter Windows beispielsweise die kostenlose "Software zum Entfernen bösartiger Software" von Microsoft installieren (oder ein anderes kommerzielles Antivirenprodukt von Herstellern wie Symantec, Kaspersky oder F-Secure) - siehe http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx.

Die Hacker hinter Conficker hatten anfangs eine Sicherheitslücke in Windows genutzt, um den Wurm zu installieren. Neuere Varianten des Wurms versuchen aber verstärkt, in Firmennetzen die Sharing-Dienste von Windows-PCs als Eingangstor zu nutzen. Wieder andere Varianten werden über USB-Stick oder CDs verbreitet, wo sie sich als automatisch startendes Programm tarnen. Allen Verbreitungswegen ist gemein, dass Mac-OS X dagegen immun ist. Wer viele Daten (per E-Mail oder auf CDs und ähnlichem) erhält, sollte auch auf dem Mac Software installieren, die Conficker erkennt und entfernen kann.

Für Windows und Mac-OS X veröffentlicht der jeweilige Hersteller in mehr oder minder regelmäßigen Abständen Aktualisierungen oder "Updates". Microsoft hat dafür den zweiten Dienstag im Monat etabliert; Apple liefert unregelmäßig: Das Update auf Mac-OS X 10.5.6 am 15. Dezember 2008 und ein Sicherheits-Update 2009-001 am 12. Februar 2009.

Wer auf diese Aktualisierungen verzichtet, ist leichte Beute für Hacker: In der Regel veröffentlichen Microsoft und Apple nach einem solchen Update detaillierte Informationen über geschlossene Sicherheitslücken. Was im Gegenzug bedeutet, dass Hacker Informationen bekommen, wo sich ein Angriff lohnt: Wer etwa Apples "Security Update 2009-001" nicht installiert, hat eine offene Sicherheitslücke in Safari, mit der sich Javascript-Befehle in RSS-Nachrichten verstecken lassen. Deshalb kann es für Hacker lohnend sein, entsprechend präparierte RSS-Nachrichten im Internet anzubieten und auf Internet-Surfer mit veraltetem Mac-Betriebssystem zu warten.

TIPP Wir empfehlen für Updates von Apple folgendes Verfahren: In den Systemeinstellungen wechselt man in den Bereich "Softwareaktualisierung" und aktiviert dort die tägliche Suche nach Updates: "Nach Updates suchen: Täglich". Danach deaktiviert man allerdings die Automatik "Wichtige Updates automatisch laden"; damit man jederzeit vollständige Kontrolle über den Ablauf hat. Dann wird man täglich über Updates informiert; steht in der Liste ein Update für das Betriebssystem "Mac-OS X ..." oder ein "Security Update" macht man sich eine Notiz auf Papier oder im elektronischen Kalender. Spätestens nach einer Woche sollte man dieses Update dann installieren, aber nicht ohne vorher auf den einschlägigen Informationsbörsen im Internet (Apple Discussions, Macwelt Online oder Heise) nach möglicherweise darin enthaltenen Fehlern zu suchen.

Ein Hacker hat auf der Konferenz Consec west im März 2009 gezeigt, wo heute eine der Gefahren für Mac-Besitzer liegt (selbst wenn man Anfängerfehler vermeidet): Das Preisgeld für einen schnellen Einbruch in einen Mac verdiente er sich mit einem Einbruch in Safari - in unter einer Stunde. Obwohl die Details noch nicht klar sind, zeigt das, wo die Gefahr liegt: Bei Zusatzsoftware wie Adobe Reader, Adobe Flash oder dem Plug-in Flip4mac, mit dem man im Browser Windows-Filme abspielen kann. Diese Software kann Fehler enthalten, die ein Hacker für den Einstieg in das Betriebssystem nutzen kann. Der Umkehrschluss heißt deshalb, dass man Zusatzprogramme auch regelmäßig aktualisieren muss.

TIPP Hacker nutzen gerne weit verbreitete Software. Auf dem Mac zählen dazu die Browser Firefox und Safari, Adobe Reader und das dazugehörige Reader-Plug-in, Adobe Flash Player-Plug-in sowie das Plug-in Flip4mac. Verwendet man eines dieser Programme oder Plug-ins, sollte man regelmäßig (mindestens einmal im Monat) deren Versionsnummern prüfen. Die Browser sollten im Ordner "Programme" zu finden sein, die Plug-ins im Ordner "Library/Internet Plug-ins". Zur Gegenkontrolle nutzt man Update-Dienste wie www.macupdate.com oder www.versiontracker.com - dort werden täglich aktuell die neuesten Versionen der Software veröffentlicht.

Macs haben den guten Ruf, "angriffssichere" Computer zu sein. Was uns aber seit Jahren beschäftigt, ist Apples unguter Ruf, wenn schnelle Reaktion auf eine Bedrohung gefragt ist. Stefan Frei von der Universität Zürich hat dazu eine Zählmethode entwickelt und sechs Jahre gezählt: Wie viel Zeit vergeht, bis ein Hersteller eines Betriebssystems auf eine schwere Bedrohung reagiert und ein Update bereitstellt, das den Fehler behebt? Hier liegt Apple klar hinter Microsoft.

TIPP Wer seinen Mac unverändert will, sollte eines tun: Den Newsletter zur "Bedrohungslage" von den relativ gut informierten deutschen Behörden abonnieren: www.buerger-cert.de

Unsicherheit oder das bekannte "Mach ich später" kann große Löcher in das "sichere" Mac-OS X reißen. Die gröbsten Schnitzer:

- Kein Kennwort verwenden

- Zu einfaches Kennwort wie "hans" oder "Test1"

- Automatische Anmeldung aktivieren

- Arbeit als Benutzer mit Verwaltungsrechten

- Ignoranz gegenüber dem Thema Sicherheit ("Macs sind sicher")

OSX.RSPlug.A (und die folgenden Varianten) haben gezeigt, wie man die Sicherheit von Mac-OS X aushebelt.

Ende Oktober/Anfang November 2007 tauchen die ersten Berichte über einen Trojaner auf, der sich auf Macs einnistet. Der Softwarehersteller Intego nennt den Schädling "OSX.RSPlug.A": Er gibt sich als Videocodec aus, der notwendig ist, um gewisse Pornofilme abzuspielen. Der angebliche Codec wird von Porno-Internet-Seiten zum Download angeboten; wer auf das Standbild des Videos klickt, erhält eine DMG-Datei (eine virtuelle Festplatte), die nach dem Öffnen ein harmlos aussehendes Installationsprogramm zeigt. Startet man die Installation, wird man nach dem Kennwort eines Administrators gefragt und danach läuft unter Mac-OS X 10.4 und 10.5 (scheinbar) alles wie gewohnt. Nur die versprochenen Videos fehlen.

Allerdings erhält man in Wirklichkeit keinen neuen Videocodec, sondern ein Internet-Plug-in, das die eigentlich schädliche Software installiert. Das Internet-Plug-in wird automatisch mit allen Browsern geladen, deshalb ist der Schaden in der Regel schon geschehen, wenn man einen Browser nach der Installation des angeblichen Codecs startet.

Der Schaden, der durch OSX.RSPlug.A angerichtet wird, ist schnell beschrieben: Die Software ändert die Liste der DNS-Server und versucht damit den Browser so zu manipulieren, dass statt der Internet-Seite von Ebay oder Paypal eine Fälschung geladen wird.

OSX.RSPlug.A erkennen

Es gibt zwei weniger eindeutige Merkmale für den Trojaner OSX.RSPlug.A und ein eindeutiges, das man aber nur nach einem relativ komplexen Befehl im Dienstprogramm Terminal erkennt.

Ein Anzeichen für die Infektion mit dem Trojaner ist die Datei "plugins.settings" im Ordner "/Library/Internet Plug- Ins". Da allerdings Hacker dazu neigen, solche Dateinamen von Zeit zu Zeit zu ändern, versteckt sich der Trojaner möglicherweise hinter einem anderen Dateinamen.

Ein anderes Indiz ist ein Eintrag in der Auftragstabelle für den Benutzer "root", die der Hintergrundprozess Cron auswertet. Diese Cron-Tabelle ist normalerweise für den Benutzer "root" leer; allerdings hinterlassen manche Spezialprogramme dort Spuren, so dass auch dieses Indiz nicht eindeutig ist. Wer die Tabelle zur Sicherheit prüfen will, muss sich als Benutzer mit Verwaltungsrechten (siehe "Systemeinstellungen > Benutzer") anmelden, das Dienstprogramm Terminal starten und dort den folgenden Befehl eintippen:

sudo crontab -l

Wenn man diesen Befehl eingibt und die Eingabetaste betätigt, muss man noch das Kennwort für den gerade aktiven Benutzer eintippen, damit das Unix-System den Befehl ausführt. Erhält man die folgende Antwort, kann man sich sicher sein, dass der Trojaner auf diesem Mac nicht aktiv ist:

crontab: no crontab for root

Umgekehrt gilt das aber nicht: Nicht jeder Eintrag in der Cron-Tabelle ist ein Hinweis auf OSX.RSPlug.A.

Die einzig eindeutige Methode, den Trojaner zu erkennen, ist ein Vergleich zwischen den Systemeinstellungen und der Information, die ein Unix-Befehl liefert - das ist aber nur unter Mac-OS X 10.5 möglich:

scutil

show State:/Network/Global/DNS

...

exit

Der Befehl scutil liefert Informationen darüber, welche DNS-Server das Betriebssystem verwendet, um Internet-Namen wie www.macwelt.de in die nummerische Form zu übersetzen. Die ebenfalls nummerischen Adressen dieser DNS-Server werden dem Mac normalerweise vom Internet- Provider zugeteilt, wenn man sich ins Internet einwählt. Der Trojaner aber setzt in diese Liste eigene Adressen ein, die zu DNS-Servern gehören, die vom Hacker selbst betrieben werden. Damit kann der Hacker den Browser zu völlig anderen Servern schicken (Englisch "scam"). Wer beispielsweise auf der Suche nach www.ebay.com war, wurde vom Trojaner zu einer gefälschten Internet-Seite geleitet, die ähnlich aussieht wie Ebay USA, die aber nur dazu dient, Benutzername und Kennwort von Ebay-Teilnehmern in Erfahrung zu bringen (Englisch: "phishing").

Wenn der Trojaner aktiv ist, stehen vor oder nach den normalen DNS-Einträgen weitere. Zum Vergleich kann man (nur unter Mac-OS X 10.5) die Liste der DNS-Einträge in den Systemeinstellungen prüfen (unter dem Punkt "Netzwerk", wenn links die Schnittstelle gewählt ist, über die die Internet-Verbindung hergestellt wird).

<dictionary> {

ServerAddresses : <array> {

0 : 192.168.13.13

1 : 192.168.13.14

}

DomainName : officemuc.idg

}

Ist der Trojaner aktiv, sieht man unter Mac-OS X 10.5 in den Systemeinstellungen eine Liste von DNS-Servern, wobei die Einträge teilweise in grauen Buchstaben und teilweise in schwarzen dargestellt werden.

Dieser Terminal-Screenshot zeigt die Auswirkungen von OSX.RSPlug.a

Mac-OS X ist ab Werk relativ sicher, weil die Netzdienste (in den Systemeinstellungen unter "Sharing") deaktiviert sind. Wir prüfen, welche Dienste einigermaßen sicher und welche möglicherweise gefährlich sind.

In den Systemeinstellungen unter "Sharing" legt man fest, ob (und wenn ja, wie) Mac-OS X auf Anfragen aus dem Netz antwortet (das kann das lokale Netz in einer Firma sein oder das globale Internet). Jeder dort aktive "Dienst" braucht mindestens ein Hintergrundprogramm, das auf entsprechende Anfrage aus dem Netz aktiv wird. Oder anders formuliert: Wer "Printer Sharing" aktiviert, stellt damit einen Drucker, der über USB am Mac angeschlossen ist, anderen Benutzern im Netz zur Verfügung. Solange dieser Dienst aktiv ist, wartet im Hintergrund die Unix-Software cups auf Anfragen anderer Benutzer. Beim Druck ist dann keine Autorisierung notwendig: Ein anderer Mac kann auf einem "freigegebenen" Drucker ohne Angabe von Benutzername und Kennwort drucken.

Printer-Sharing Das dazugehörige Hintergrundprogramm cups wird regelmäßig aktualisiert; Sicherheitslücken regelmäßig geschlossen.

Web-Sharing Dahinter steckt der Webserver Apache, von dem Apple in Mac-OS X eine nicht ganz aktuelle Version verwendet. Da Sicherheitslücken aber regelmäßig geschlossen werden, ist die damit verbundene Gefahr relativ gering.

Stark abhängig von der Qualität des Kennworts sind

Entfernte Anmeldung Gemeint ist der Unix-Dienst ssh (= "secure shell"), dessen Hintergrundprogramm als gut geschützt gilt. Wenn aber zum Beispiel ein Benutzer namens "admin" eingerichtet ist und das Kennwort leer ist oder "admin" lautet, dann wird die "Entfernte Anmeldung" zum offenen Tor: Mit dieser leicht zu erratenden Kombination aus Benutzername und Kennwort kann jeder die komplette Kontrolle über den Mac übernehmen. Sicher ist dieser Dienst nur, wenn das Kennwort schwer zu erraten ist.

Screen-Sharing, Entfernte Verwaltung Beide Dienste greifen auf Apples Software Remote Desktop zurück; in den Optionen lässt sich außerdem das Hintergrundprogramm VNC aktivieren. Wie bei der entfernten Anmeldung ist die Sicherheit dieses Dienstes von der Qualität des Kennwortes abhängig. Manche Experten halten VNC für weniger sicher als Apple Remote Desktop; wir raten dazu, diese Option nur zu aktivieren, wenn die Arbeit mit Apple Remote Desktop nicht möglich ist.

FileSharing Filesharing ist ein Sammelbegriff für Dienste, die den Zugriff auf die Festplatte des Mac erlauben (oder auf einzelne "freigegebene" Ordner). Seit Mac-OS X 10.5 wird das Kennwort für Filesharing nicht mehr im Klartext übertragen; ist also für andere Personen im gleichen Netz nicht mehr lesbar. Doch das gilt nur, wenn man weder FTP- noch SMB-Sharing aktiviert. Bei diesen beiden Diensten wird das Kennwort weiter gut lesbar im Klartext übertragen - deshalb sollte man diese Zugriffsart nur in einem gut geschützten Firmennetz aktivieren und speziell bei einem Notebook auf Reisen abschalten. Ganz generell empfehlen wir bei Filesharing den Gastzugriff abzuschalten.

Internet-Sharing Damit wird ein Mac zum Router; sprich: der Mac nutzt zwei Verbindungswege wie Airport und Ethernet, um etwa einen PC über Funk in das drahtgebundene Ethernet zu bringen. Damit muss der Mac aber alle Daten von einem Anschluss zum anderen transportieren, wobei immer die Gefahr der Überlastung besteht. Bislang konnte man diese Funktion immer wieder dazu nutzen, bei extremer Überlastung oder bei einem Fehler in der Transportsoftware (= "routed") beide Internet-Verbindungen lahm zu legen.

Bluetooth-Sharing Für den Betrieb einer drahtlosen Maus oder Tastatur muss Bluetooth-Sharing nicht aktiv sein. Notwendig ist die Funktion nur, wenn man beispielsweise Dateien zwischen einem Handy und dem Mac übertragen will. Wir empfehlen Bluetooth-Sharing nur zu aktivieren, wenn wirklich Daten übertragen werden und danach wieder auszuschalten. Außerdem sollte man generell festlegen, dass der "Verbindungsaufbau nötig" ist - denn dann muss man das Bluetooth-Gerät mindestens einmal bei Mac-OS X anmelden und registrieren, damit die Kommunikation funktioniert.

Entfernte Apple-Events Dieser Dienst erlaubt die Fernsteuerung eines Mac von einem anderen aus; benutzt werden dabei Applescript-Befehle. Nach der Eingabe von Benutzername und Kennwort erhält man bei der Fernsteuerung keine weiteren Informationen, dass der Mac gerade im Hintergrund Befehle eines anderen Rechners ausführt. Deshalb empfehlen wir dringend diesen Dienst nur einzuschalten, solange man diese Funktion benötigt.