2100335

System Integrity Protection: El Capitan bringt neue Sicherheitsrestriktionen

20.07.2016 | 11:00 Uhr | Claus Becker

Kein Betriebssystem ist absolut sicher. Apple nimmt sich diese Kenntnis zu Herzen, und riegelt OS X mehr ab als je zuvor.

Die letzte grĂ¶ĂŸere SicherheitslĂŒcke in Yosemite ist nicht all zu lange her, und seit der Veröffentlichung vom E-Mail Verkehr des HackingTeams ist eines gewiss: Absolute Sicherheit ist nicht möglich. Mit OS X 10.11 El Capitan geht Apple aber einen Schritt weiter und fĂŒhrt die System Integrity Protection ein.

System Integrity Protection

Die System Integrity Protection verhindert die Schreibzugriffe auf Systemordner. Selbst Administratoren können auf die Systemordner /System, /bin, /usr und /sbin nicht mehr zugreifen. FĂŒr versierte Anwender sind dies Bereiche, in dem sie das System zu ihrem Gunsten verĂ€ndern können: In diesem englischsprachigem WWDC-Video erklĂ€rt Apple die Funktion im Detai l.

Mit El Capitan sind Systemordner nicht mehr beschreibbar. Dazu gehören /System, /bin, /usr und /sbin. Der Library-Ordner sowie der Programmeordner sind weiterhin zugänglich für Lese- und Schreibzugriffe.
VergrĂ¶ĂŸern Mit El Capitan sind Systemordner nicht mehr beschreibbar. Dazu gehören /System, /bin, /usr und /sbin. Der Library-Ordner sowie der Programmeordner sind weiterhin zugĂ€nglich fĂŒr Lese- und Schreibzugriffe.

Doch nicht nur Systemadministratoren haben hier das Nachsehen: Beliebte Anwendungen wie Total Finder , die durch das Ablegen von Dateien in diesen Ordnern Systemanwendungen ermöglichen, haben seit El Capitan ein echtes Problem. Wie unter iOS ist es so nicht mehr möglich, Anwendungen zu entwickeln die gewisse Systemeigenschaften besitzen, beziehungsweise diese verÀndern.

Ist OS X das neue iOS?

Seit der EinfĂŒhrung des Mac App Store mĂŒssen Nutzer explizit einstellen, auch Anwendungen von Drittanbietern installieren zu dĂŒrfen. Jetzt kommt mit System Integrity Protection ein weiterer Mechanismus hinzu, der gesamte Systemanwendungen und den Schreibzugriff auf Systemdateien verbietet. Es ist also keine falsche These, dass Apple nun auch OS X so abriegelt wie es bisher mit  iOS der Fall ist.

System Integrity Protection kann auch deaktiviert werden. Dazu fährt man den Mac in die Wiederherstellungspartition hoch, und wählt das neue Sicherheitskonfigurationsprogramm aus. Der Schutz ist anschließend systemweit deaktiviert, und bleibt dies auch bis zur erneuten manuellen Aktivierung.
VergrĂ¶ĂŸern System Integrity Protection kann auch deaktiviert werden. Dazu fĂ€hrt man den Mac in die Wiederherstellungspartition hoch, und wĂ€hlt das neue Sicherheitskonfigurationsprogramm aus. Der Schutz ist anschließend systemweit deaktiviert, und bleibt dies auch bis zur erneuten manuellen Aktivierung.

Die gute Nachricht ist jedoch: Die Systemschutzfunktion kann deaktiviert werden. Dazu muss der Nutzer beim Hochfahren die Wiederherstellungspartition auswĂ€hlen. Hier bietet Apple einen neuen MenĂŒeintrag an, der die Sicherheitsfunktion systemweit deaktiviert. Anschließend hat der Nutzer wieder die Möglichkeit, Systemdateien zu verĂ€ndern.

Was bewegt Apple zu dieser Maßnahme?

Sicherheit ist immer ein Drahtseilakt zwischen Offenheit und Grenzziehung. Die Installation einer schĂ€dlichen Anwendung ist nicht ohne Weiteres spĂŒrbar, selbst fĂŒr versierte Anwender. Hat ein Angreifer also erst einmal den Schadcode auf dem Mac platziert, hat er anschließend volle Kontrolle auf alle AktivitĂ€ten des Benutzers. Genau hier greift der neue Schutz.

Selbst wenn ein Angreifer es schafft, eine schĂ€dliche Anwendung zu installieren, so hat er anschließend keinen Zugriff auf das System selbst. Hier kann bisher auch Code platziert werden, der eine komplette Neuinstallation des Betriebssystems ĂŒberdauert und somit echten Schaden anrichten kann. Durch die neue Barriere kann selbst mit einer Passworteingabe nichts mehr in Systemordnern platziert werden. Versierte Anwender haben aber weiterhin die Option, den Mechanismus zu deaktivieren. Auch ist es weiterhin möglich, sogenannte Kernelerweiterungen zu installieren, ab El Capitan jedoch nur wenn man zuvor eine von Apple signierte Datei vorweisen kann.

Aktivieren oder Deaktivieren?

Selbst die Entwickler von Total Finder, deren Anwendung direkt vom neuen Konzept betroffen ist, zeigen sich erfreut ĂŒber die Entwicklung . Laut deren Aussagen versuchen sie gerade, einen Weg zu finden, um die Anwendung trotzdem lauffĂ€hig fĂŒr El Capitan zu bekommen. Eine Option hĂ€lt man sich jedoch offen: Die Bitte zur Deaktivierung des Schutzes.

Der neue Schutzmechanismus ist ein notwendiger Schritt, um einen tiefgreifenden Schutz zu gewährleisten. Apple trennt endlich sauber zwischen System- und Benutzeranwendung. Mit der Option der Deaktivierung ist außerhalb die Freiheit erhalten, wie gehabt mit dem System zu arbeiten.
VergrĂ¶ĂŸern Der neue Schutzmechanismus ist ein notwendiger Schritt, um einen tiefgreifenden Schutz zu gewĂ€hrleisten. Apple trennt endlich sauber zwischen System- und Benutzeranwendung. Mit der Option der Deaktivierung ist außerhalb die Freiheit erhalten, wie gehabt mit dem System zu arbeiten.

Ein abgeriegeltes System bringt auch immer etwas Bevormundung mit sich. In diesem Fall ergibt es aber durchaus Sinn. Die Systemdateien sind nicht versteckt, und können weiterhin eingesehen werden. Nutzer von Systemtools sollten sich also fragen ob derartige Anwendungen wirklich nötig sind, und mit welchen Risiken der Einsatz verbunden ist. System Integrity Protection sollte also nur im Ausnahmefall deaktiviert werden.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2100335