987304

Macs sind (noch) sicher

05.03.2008 | 13:00 Uhr |

Seit Jahren ist es vergleichsweise einfach, einen Windows-PC zu hacken, um von dort Daten zu stehlen oder die Kontrolle über den Rechner zu übernehmen. Aber Unix-Systeme wie Mac-OS X (und das als „Festung“ geltende Mac-OS 9) sind nicht unverwundbar. Hacker suchen sich einfache Tarnungen ausg, um Mac-Besitzer dazu zu bringen, die Schadsoftware selbst zu installieren. Davor schützt kein Betriebssystem.

Seit Jahren ist es vergleichsweise einfach, einen Windows-PC zu hacken, um von dort Daten zu stehlen oder die Kontrolle über den Rechner zu übernehmen. Aber Unix-Systeme wie Mac-OS X (und das als „Festung“ geltende Mac-OS 9) sind nicht unverwundbar. Im aktuellen Fall haben sich die Hacker eine einfache Tarnung ausgesucht, um Mac-Besitzer dazu zu bringen, die Schadsoftware selbst zu installieren. Davor schützt kein Betriebssystem.

Macs und das dazugehörige Betriebssystem sind nicht besonders sicher, aber auch nicht besonders unsicher – selbst wenn manche Information, die seit November 2007 bekannt geworden ist, einen anderen Eindruck erwecken mag. Der neue Trojaner ist eine geschickt gewählte Verpackung für einen Schädling – dagegen hilft in der Regel nur gesunder Menschenverstand beziehungsweise eine Skepsis vor kostenlosen Angeboten im Internet. Die „Application Firewall“ von Mac-OS X 10.5 dagegen erzeugt bei Sicherheitsprofis Verwunderung: Apple hat damit etwas Neues geschaffen, was zwar einfach einstellbar ist, aber möglicherweise nicht den Schutz bietet, den sich Profis und Laien von einer Firewall erwarten.

OSX.RSPlug.A ist keine Videosoftware

Intego: Auf den Internet-Seiten von Intego findet sich seit Anfang November der Hinweis auf den Trojaner OSX.RSPlug.A – plus Werbung für die Antivirensoftware Virusbarrier.
Vergrößern Intego: Auf den Internet-Seiten von Intego findet sich seit Anfang November der Hinweis auf den Trojaner OSX.RSPlug.A – plus Werbung für die Antivirensoftware Virusbarrier.

Ende Oktober/Anfang November 2007 tauchen die ersten Berichte über einen Trojaner auf, der sich auf Macs einnistet. Der Softwarehersteller Intego nennt den Schädling „OSX.RSPlug.A“: Er gibt sich als Videocodec aus, der notwendig ist, um gewisse Pornofilme abzuspielen. Der angebliche Codec wird von Porno-Internet-Seiten zum Download angeboten; wer auf das Standbild des Videos klickt, erhält eine DMG-Datei (eine virtuelle Festplatte), die nach dem Öffnen ein harmlos aussehendes Installationsprogramm zeigt. Startet man die Installation, wird man nach dem Kennwort eines Administrators gefragt und danach läuft unter Mac-OS X 10.4 und 10.5 (scheinbar) alles wie gewohnt. Nur die versprochenen Videos fehlen. Allerdings erhält man in Wirklichkeit keinen neuen Videocodec, sondern ein Internet-Plug-in, das die eigentlich schädliche Software installiert. Das Internet-Plug-in wird automatisch mit allen Browsern geladen, deshalb ist der Schaden in der Regel schon geschehen, wenn man einen Browser nach der Installation des angeblichen Codecs startet. Der Schaden, der durch OSX.RSPlug.A angerichtet wird, ist schnell beschrieben: Die Software ändert die Liste der DNS-Server und startet ein Hintergrundprogramm, das jede Minute prüft, ob die geänderte Liste noch existiert und sie im Zweifelsfall erneut ändert. Da die Hintergrundsoftware dazu im Namen des Benutzers „root“ arbeitet, (root ist der Benutzer, für den es auf einem Unix-Betriebssystem wie Mac-OS X keine Einschränkungen gibt), und geschickt die Automatikfunktionen des Unix-Betriebssystems nutzt, kann man die Änderungen nicht ohne weiteres rückgängig machen. In den beiden Texten am Ende des Artikels erklären wir, wie man den Trojaner erkennt, und welche Schritte nötig sind, um ihn wieder zu entfernen.

0 Kommentare zu diesem Artikel
987304