[Sammelthread] Warnung vor Cleanup-Tools, Antivirenprogrammen & Co.

[FritzS]

Da „Die Bösen“ ja nicht stehen bleiben, sollte Apple den Schutz weiter ausbauen.
Besser als von anderen Herstellern, wäre eine verbesserte Schutzfunktion von Apple selbst.

 

[dg2rbf]

Hi,
tja, dass die Apple User beim Surfen noch mehr das Hirn Ausschalten können ).

Franz

 

[echo.park]

Und trotzdem gibt es immer noch keine potente Malware für Apple Geräte. Alles ist nur irgendwelche Adware, die mit Software kommt, die der Nutzer selbst installieren muss und dadurch Rechte einräumt.

 

[kelevra]

Die Meldungen zur mangelhaften Sicherheit (macOS oder iOS) häufen sich gefühlt...

Man bekommt heute mehr mit, da Blogs und Newsseiten jede potenzielle Schwachstelle zum Sicherheitsfiasko aufblasen. Man schaue sich nur die Nummer bzgl des VLC PLayers an, die letzten herumging.

Fakt ist, dass macOS und insbesondere iOS immer noch deutlich sicherer sind als andere Systeme. Die Sicherheit brechen kann man selbstverständlich an jedem System, das steht ja außer Frage.

 

[FritzS]

Und trotzdem gibt es immer noch keine potente Malware für Apple Geräte. Alles ist nur irgendwelche Adware, die mit Software kommt, die der Nutzer selbst installieren muss und dadurch Rechte einräumt.

Ich gehe dem aus dem Wege, ich lege auf jeden Rechner (egal welches OS) einen „Arbeitsuser“ an, der über keine Admin Rechte verfügt. Zur Installation muss man den User wechseln, bzw. um beim Mac eine App in da Application Verzeichnis zu kopieren, Benutzername und Passwort des Admin Users eintippen. Dauert länger, hindert vor schnellem Klicks.

 

[kelevra]

Ich gehe dem aus dem Wege, ich lege auf jeden Rechner (egal welches OS) einen „Arbeitsuser“ an, der über keine Admin Rechte verfügt. Zur Installation muss man den User wechseln, bzw. um beim Mac eine App in da Application Verzeichnis zu kopieren, Benutzername und Passwort des Admin Users eintippen. Dauert länger, hindert vor schnellem Klicks.

Was die Sicherheit auch nicht drastisch erhöht, wenn eine Malware in einer von dir gewollt installierten Software versteckt ist.

 

[dg2rbf]

Hi,
so ein "Arbeitsuser" schützt nur vor eigenem Unvermögen, alles andere ist Illusion .

Franz

 

[echo.park]

Unter macOS macht es heutzutage keinen Unterschied mehr, welche Art von User man verwendet. Selbst ein Admin ist völlig in Ordnung.

 

[FritzS]

Was die Sicherheit auch nicht drastisch erhöht, wenn eine Malware in einer von dir gewollt installierten Software versteckt ist.

Ich lasse neue Software, sofern es möglich ist, von Virustotal scannen.
Und ich installiere keine Software aus mysteriösen Quellen und immer vom Original Download. Wenn Hash Werte angeführt werden, so überprüfe ich diese.
Wen das nicht hilft, was dann?

Abhilfe könne nur macOS selbst bieten, wenn es ungewöhnliche Aktivitäten erkennen könnte.

 

[FritzS]

Hi,
so ein "Arbeitsuser" schützt nur vor eigenem Unvermögen, alles andere ist Illusion .
Franz

Das sehe ich nicht so.

Unter macOS macht es heutzutage keinen Unterschied mehr, welche Art von User man verwendet. Selbst ein Admin ist völlig in Ordnung.

Beim 'Normaluser' ist es eben ein Schritt mehr. Und es ist eine alte Gewohnheit - Schaden kanns ja auch nicht!

 

[kelevra]

Und ich installiere keine Software aus mysteriösen Quellen und immer vom Original Download. Wenn Hash Werte angeführt werden, so überprüfe ich diese.

Auch da gab es schon Fälle, dass die Malware enthaltende Version auf den Server des Anbieters gelegt wurde.

https://www.heise.de/mac-and-i/meld...-brachte-erneut-Malware-auf-Macs-3310446.html

Falsch ist es nicht was du machst. Hash-Werte prüfen ist auf jeden Fall sinnvoll, wenn auch in solchen Fällen die Angreifer auch die Website manipulieren können. 100% Sicherheit gibt es eben nicht.

 

[FritzS]

Stimmt - 100% Sicherheit ist eine Illusion.
Und wäre nur durch einen „Seitenschneider“ machbar - d.h. jede Verbindung des Rechners nach außen kappen.

Mit dem Zwei-User System erreiche ich auch, dass der Owner von, durch kopieren installierter Apps, der Admin und nicht der „Normaluser“ ist. Die Inhalte der App-Container können vom „Normaluser“ nicht manipuliert werden.

Als „Netmon“ verwende ich LittleSnitch - ich weiß, dass das auch nicht 100%ig ist.

Was man über MacPorts installiert (darüber verwende ich auch einige Software), dem muss man eh „blind vertrauen“

ClamXav ist noch als eine Art Altlast anzusehen, wird aber bei einem neuen Mac nicht mehr installiert werden.
Scans mit Malwarebytes bzw. einigen der Objective-See Tools lasse ich gelegentlich laufen.

Da ich noch immer ElCapitan verwende, bin ich sehr vorsichtig - anstatt Safari verwende ich Firefox (Chromium, Opera).

 

[MacAlzenau]

Zwei Benutzer zu benutzen nützt auch bei eventueller Fehlersuche.

 

[echo.park]

Da ich ja nun vom Mac aufs iPad umgestiegen bin, habe ich den ganzen Kram quasi hinter mir gelassen.

Auf iOS muss es erstmal sowas geben wie auf macOS, und die Sachen auf macOS sind ja auch als eher harmlos anzusehen. Also im Grunde lebe ich in einer Malware-freien Welt.

 

[staettler]

Stimmt - 100% Sicherheit ist eine Illusion.
Und wäre nur durch einen „Seitenschneider“ machbar - d.h. jede Verbindung des Rechners nach außen kappen.

Mit dem Zwei-User System erreiche ich auch, dass der Owner von, durch kopieren installierter Apps, der Admin und nicht der „Normaluser“ ist. Die Inhalte der App-Container können vom „Normaluser“ nicht manipuliert werden.

Als „Netmon“ verwende ich LittleSnitch - ich weiß, dass das auch nicht 100%ig ist.

Was man über MacPorts installiert (darüber verwende ich auch einige Software), dem muss man eh „blind vertrauen“

ClamXav ist noch als eine Art Altlast anzusehen, wird aber bei einem neuen Mac nicht mehr installiert werden.
Scans mit Malwarebytes bzw. einigen der Objective-See Tools lasse ich gelegentlich laufen.

Da ich noch immer ElCapitan verwende, bin ich sehr vorsichtig - anstatt Safari verwende ich Firefox (Chromium, Opera).

Ist das nicht ein wenig „too much“?
Hattest du schon viele Vorfälle oder warum die ganzen Maßnahmen?

 

[FritzS]

Ist das nicht ein wenig „too much“?
Hattest du schon viele Vorfälle oder warum die ganzen Maßnahmen?

Eine Gewohnheit aus Admin Tagen - keinen Admin würde es einfallen ständig mit Admin Rechten auf seinem Arbeitsrechner (war damals MS Windows) unterwegs zu sein.
Ich weiß, dass Apple als auch Linux mittlerweile Hürden einbauten. Bei Linux wird, wenn root Rechte erforderlich, das Passwort abgefragt. Bei Windows reicht ein Bestätigungs-Klick.

Und zur Frage - nein, ich hatte bisher (in den 10 Jahren am Mac) noch keine Vorfälle. Surfe auch nicht im „Bodensatz des Internets“ herum und lade mir auch keine bedenkliche Software von „Schmuddelseiten“ herunter. Was ich installiere, läuft, wenn geht, als Scan bei Virustotal durch.
Nennt es vielleicht paranoid - aber ich werde mich da nicht ändern.

PS: Eine Schwachstelle gäbs noch - ich habe Crossover (wine) installiert. Dessen „Flaschen“ blenden das gesamte Mac Userverzeichnis als zusätzlichen Laufwerksbuchstaben ein. Crossover (wine) sollte eigentlich in einer Sandbox laufen, bei der man nur einige Verzeichnisse zum Austausch freigeben sollte. Bei einem neuen Mac werde ich mir überlegen ob Crossover noch installiert würde.
Oder es über eine eigene Mac VM lösen in der Crossover läuft. Zudem werfe ich die alten Macs ja nicht gleich weg.

PPS: Bei Linux bzw. xxxBSD muss man den, von der Distribution angebotenen Paketen sowieso vertrauen. Detto jenen von MacPorts, Homebrew, Fink.

 

[kelevra]

Ist das nicht ein wenig „too much“?

Das wollte ich auch schon fragen, aber so hat halt jeder sein Ding.

Ich nutze bspw. auch diverse VMs um Zeug zu testen, bevor ich es mir auf mein System werfe. Ich bin aber auch so bekloppt und lade mir absichtlich Ransomware runter. Da ist eine isolierte VM ganz nett.

Btw. @FritzS Wenn du ohnehin darüber nachdenkst, dir auf einem künftigen System Crossover in einer VM laufen zu lassen, könntest du dir auch gleich eine Windows VM aufsetzen und auf wine verzichten.

 

[Marcel Bresink]

keinen Admin würde es einfallen ständig mit Admin Rechten auf seinem Arbeitsrechner (war damals MS Windows) unterwegs zu sein.

Das war früher mal so, als Admins noch echte Sonderrechte hatten. Bei den meisten Betriebssystemen ist das aber seit etwa 10 Jahren nicht mehr gegeben. In macOS gibt es nur noch ganz wenige Unterschiede zwischen einem Admin und einem Nicht-Admin. Die Unterschiede beziehen sich hauptsächlich auf die Unix-Befehlszeile und das Leserecht für Systemprotokolle.

lade mir auch keine bedenkliche Software von „Schmuddelseiten“ herunter.

Bedenkliche Software gibt es (dank Google-Werbung) inzwischen auch auf seriösen Webseiten.

Mit dem Zwei-User System erreiche ich auch, dass der Owner von, durch kopieren installierter Apps, der Admin und nicht der „Normaluser“ ist. Die Inhalte der App-Container können vom „Normaluser“ nicht manipuliert werden.

Bei den meisten Programmen würde Gatekeeper eine Manipulation sofort bemerken, da die Apps digital versiegelt sind. Und von Apple ab Werk mitgelieferte Programme kann selbst "root" nicht mehr verändern.

 

[FritzS]

@kelevra
W10 habe ich in einer VM sowieso installiert - aber auch meinem, nicht mehr ganz 'taufrischen' Mac läuft, besser 'kriecht' W10 mit jedem neuen Upgrade immer mehr dahin.
Egal ob unter VMware Fusion oder jetzt VirtualBox. Mit einem aktuellen 'Mehrkerner' und 16GB RAM würde sich das sicherlich bessern.

@Marcel Bresink
Wie ich schon sagte, unter Linux (habe Mint, Manjaro - auch FreeBSD - in VMs installiert) wird bei Beanspruchung von Root Rechten nochmals das Passwort abgefragt. FreeBSD (mit MATE) ist sowieso ein spezieller Fall und nicht ganz trivial.

Um über MacPorts (Homebrew, Fink) installierte Programme scheint sich Gatekeeper nicht zu kümmern, oder doch?

Und es gibt einige benötigte aber seriöse Programme, die erst freigeschaltet werden müssen (sudo xattr -d com.apple.quarantine / sudo spctl --add --label "My Stuff").
Z.B. XLD (Audio CD Ripper - analog zu EAC unter Windows), HandBrake, einige frei CAD Programme.

PS: Ich betreibe auch meinen eigenen lokalen Cache & Resolv DNSSEC = BIND named - installiert über MacPorts. Vielleicht wandert der mal ins Home-Netz auch einen der neuen RasPi aus. Ob die Fritz!Box 4040 WLAN als DNSSEC ohne Forewarder dienen könnte, habe ich noch nicht näher 'erforscht'. Natürlich kann man BIND named auch selbst ohne MacPorts kompilieren (habe ich auch schon mal probiert) - aber mann muss bei jedem Update die ganze Prozedur neu durchlaufen. Mit MacPorts ist das einfacher.

 

[kelevra]

Um nochmal auf die scheinbar bessere Security eines macOS einzugehen, empfehle ich den aktuellen Talk von Patrick Wardle sich anzuschauen, den er auf der diesjährigen defcon gehalten hat:

https://speakerdeck.com/patrickwardle/harnessing-weapons-of-mac-destruction

Er selbst sagt sogar, dass Windows 10 mit Defender eine härtere Nuss ist, als macOS. Entsprechende macOS Malware bietet er neben Sicherheitstools auf seiner website an: https://objective-see.com/

/edit
Das Video zum Talk wird später noch online verfügbar sein. Ich verlinke das gerne hier.

Man kann sich derweilen auch gerne mal den Talk vom letzten Jahr anschauen, wie die macOS Firewall umgangen werden kann:

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren