Mac-Sicherheit OHNE Antivirus-Software
Dienstag, 22. Januar 2008 um 5:05 UhrJa, auch beim Arbeiten mit dem Mac drohen Gefahren. Viren im Besonderen sind für den Mac bislang zwar keine alltagsrelevante Gefahr, aber selbstverständlich denkbar. Entsprechend glauben viele Mac-Benutzer, insbesondere auch Microsoft Windows-«Switcher», ihren Mac mit Antivirus-Software schützen zu müssen … 
… sie ignorieren dabei in fahrlässiger Art und Weise nicht nur, dass Antivirus-Software den erwünschten Schutz nicht gewährleisten kann, sondern übersehen darüber hinaus, dass Antivirus-Software im Gegenteil neue Gefahren schafft. Es empfiehlt sich deshalb, auf Antivirus-Software zu verzichten und stattdessen auf BRAIN 1.0 zu setzen!
Zur Illustration nachfolgend einige Beispiele von Sicherheitsproblemen im Zusammenhang mit Antivirus-Software, über die Heise Online in den letzten Monaten berichtet hat …
avast und Gdata, beides weit verbreitete Virenschutzprogramme, melden fälschlicherweise einen Trojaner in der Systemdatei user32.dll von Windows XP. Anwender können sich das System zerschießen, wenn sie die vermeintlich infizierte Datei löschen. […] Fehlalarme von Virenscannern in wichtigen Systemdateien scheinen sich inzwischen zu häufen. […]
Der russische Antivirenhersteller Kaspersky hat in der vergangenen Nacht ein Update der Viren-Signaturen verteilt, durch das die Datei explorer.exe, die unter anderem die Windows-Bedienoberfläche für Anwender bereitstellt, als Worm.Win32.Huhk.c erkannt wird. Dadurch haben einige Nutzer der Software und darauf basierender Antivirenlösungen wie der von Gdata diese Datei nachhaltig gelöscht und können ihr System nach einem Neustart nicht mehr bedienen.
Sowohl Symantec als auch Sophos haben Updates für ihre Antivirenlösungen herausgegeben, die sicherheitsrelevante Fehler in der Software beheben. […]
Ein Update behebt zwei Schwachstellen der Antiviren-Software von Sophos für Windows und Unix/Linux. Durch eine manipulierte und mit dem Packer UPX komprimierte Datei können Angreifer das Antivirus-Programm in eine Endlosschleife schicken. Der Fehler lässt sich nicht nur zu einem Denial-of-Service-Angriff auf den Virenscanner missbrauchen, sondern Angreifer sind möglicherweise auch in der Lage, einem übers Netz angegriffenen Rechner beliebigen Schadcode unterzuschieben.
F-Secure hat mehrere Sicherheitslücken in seinen Antivirenprodukten für den Konsumenten- und Unternehmensbereich gemeldet. Angreifer können dadurch mit manipulierten ausführbaren Dateien oder Archiven Schadcode einschmuggeln und ausführen oder den Dienst lahm legen.
Computer Associates hat zwei Schwachstellen in mehreren seiner Produkte gemeldet, mit der ein Angreifer ein System unter seine Kontrolle bringen kann. […]
Der Hersteller von Antivirenprogrammen Kaspersky hat das Maintenance Pack 2 für Kaspersky Anti-Virus 6.0 und Kaspersky Internet Security 6.0 veröffentlicht, das mehrere, teils kritische Sicherheitslücken beseitigen soll. […]
Mit einer kurzen Sicherheitsnotiz weist Sophos darauf hin, dass Updates diverse Sicherheitsprobleme ihrer Anti-Virus-Produkte beheben, die iDefense und Tipping Point gemeldet hatten. … Die Lücken hätten teilweise das Einschleusen und Ausführen von Code durch präparierte E-Mails ermöglichen können … […].
Eine Schwachstelle in Symantecs Norton AntiVirus for Macintosh ermöglicht es am System angemeldeten Anwendern mit eingeschränkten Rechten, an höhere Rechte zu gelangen. Schuld sind laut Fehlerbericht falsch gesetzte Rechte des Ordners /Library/Application Support, sodass sich dort abgelegte Dateien und Unterverzeichnisse löschen oder umbenennen lassen. Da einige der Programme von NAV mit SUID-Rechten starten und weitere Anwendungen im genannten Ordner aufrufen, soll es darüber möglich sein, eigene dort gespeicherte Anwendungen mit Root-Rechten zu starten. […]
Der Hersteller von Antivirensoftware Alwil hat ein Update seiner Virenscan-Engine avast! veröffentlicht, das mindestens zwei sicherheitsrelevante Fehler beseitigt.
Sowohl Symantec als auch Sophos haben Updates für ihre Antivirenlösungen herausgegeben, die sicherheitsrelevante Fehler in der Software beheben […].
Der Hersteller Microworld bietet Sicherheitslösungen an, die auf der Kaspersky-Antiviren-Engine basieren. Bei der Installation richtet die Software jedoch die Zugriffsrechte auf den Programmordner so ein, dass jeder volle Zugriffsrechte darauf erhält. Anwender mit eingeschränkten Benutzerkonten können dadurch Programme mit Systemrechten ausführen. […] Auch renommiertere Antivirenhersteller arbeiten teilweise mit unsicheren Verzeichnisrechten. So setzt Panda bei seinen Antivirenlösungen auf Zugriffsrechte für jeden. […]
Symantec hat in einem Fehlerbericht auf kritische Lücken in Norton AntiVirus 2006, Norton Internet Security 2006, Norton Internet Security - Anti Spyware Edition 2005 und Norton System Works 2006 hingewiesen, über die Angreifer einen Windows-PC unter ihre Kontrolle bringen können. […] Um über diese Lücke etwa mit einem Schädling infiziert zu werden, genügt es, eine präparierte Webseite zu besuchen.
Die Antivirenlösungen von Panda vergeben bei der Installation vollständige Zugriffsrechte für jeden auf das Programmverzeichnis und die darin liegenden Dateien. Dadurch können Benutzer mit eingeschränkten Konten ihre Rechte ausweiten, indem sie etwa die ausführbaren Dateien der Panda-Dienste durch eigene Programme ersetzen.
Durch mehrere Schwachstellen in der Antiviren-Lösung des Herstellers Norman können Angreifer infizierte Dateien am Scanner vorbeischmuggeln oder eigenen Code auf einem Zielsystem starten. […]
Der Sicherheitsdienstleister n.runs hat mehrere Berichte über Schwachstellen in den Virenscannern NOD32 des Herstellers Eset und Panda Antivirus veröffentlicht, über die ein Angreifer einen Scanner zum Absturz bringen kann oder sogar eigenen Code in den Rechner eines Opfers schleusen und ohne dessen Zutun starten kann. Dazu genügt es, dass Pandas Produkt eine präparierte EXE-Datei einliest, die etwa an einer E-Mail hängt. […]
Die Antivirenlösungen ClamAV und AVG enthalten Schwachstellen, durch die Angreifer einen Denial-of-Service ausführen oder lokale Anwender ihre Rechte ausweiten können. […]
In Symantecs Produkten für Endkunden und Unternehmen führen Schwachstellen dazu, dass Anwender ihre Rechte erhöhen oder bösartige Individuen aus dem Netz gegen die Software einen Denial-of-Service-Angriff ausführen können; in einem Fall könnte möglicherweise auch eingeschleuster Schadcode zur Ausführung kommen. Die Fehler betreffen Symantecs Antivirus, Client Security, Backup Exec und die Norton-Produktlinie des Unternehmens.
Der Antiviren-Scanner NOD32 lässt sich unter Umständen beliebigen Schadcode unterschieben. Laut einem Posting auf der Sicherheits-Mailingliste Bugtraq können Angreifer die vollständige Kontrolle über ein verwundbares System übernehmen, wenn es ihnen lokal oder übers Netz gelingt, eine Datei in einem Verzeichnis mit einem überlangen Namen anzulegen. […]
… wer seinen Mac schützen möchte, nutzt wie erwähnt mit Vorteil BRAIN 1.0, konfiguriert sein Mac OS X mit sicheren Grundeinstellungen und sichert seine Daten regelmässig.
Die Datensicherung ist besonders wichtig, weil es keine Software gibt, die etwaige «Schädlinge» zuverlässig entfernen kann. Aus diesem Grund muss man ein System aus «sauberen» Quellen vollständig neu aufsetzen, wenn ein Verdacht auf «Schädlingsbefall» besteht … dafür ist eine zuverlässige Sicherung der eigenen Daten notwendig – nach Möglichkeit nicht nur lokal per «Time Machine», sondern in Ergänzung dazu auch extern.
Dienstag, 22. Januar 2008 um 7:03 Uhr
Naja - hört sich für meine (Admin-)Ohren an wie die Leute, die ohne Sicherheitsgurt Autofahren, weil man ja im Auto stecken bleiben könnte mit dem Gurt.
Eine Schwachstelle im Filter ist natürlich ein schwerer Faux-Pas. Aber BRAIN 1.0 schützt dich nicht vor gekaperten Webseiten, Würmern, die durch Systemschwachstellen eindringen und dem AppleScript-Wurm, den dein leider nicht vorhandener Scanner mittlerweile erkennt und von der Platte keulen würde.
Wer seinem BRAIN 1.0 vertraut und hinreichende Disziplin hat, der kann ja die On-Access-Keule einpacken und regelmäßig On-Demand scannen. Aber garnicht?
Und meine Meinung zu Symantec-Produkten ist eine Mischung aus Horror und Mitleid.
Dienstag, 22. Januar 2008 um 7:30 Uhr
Wie Heiko schon schrieb, gegen gekaperte Webseiten hilft kein BRAIN 1.0, schon gar nicht in Anbetracht der immer wieder auftauchenden Quicktime Lücken. Und auch wenn dein BRAIN 1.0 funktioniert, kannst Du das von allen deinen Bekannten auch behaupten?
Bisher hat mich mein BRAIN gut geschützt, trotzdem habe ich einen Virenscanner installiert. http://www.intego.com/de/virusbarrier/
Man bemerkt ihn nicht, ausser bei den automatischen Signaturupdates.
Dienstag, 22. Januar 2008 um 9:53 Uhr
@Heiko
Hier sind ebenfalls Admin-Ohren vorhanden, die in der Windows-Welt angesiedelt sind.
Privat nutze ich nur Macintosh.
Die Realität sieht leider anders aus.
Derzeit verursachen die Macintosh Anti-Viren Programme mehr als Chaos als Schutz.
Die Gefahren sind derzeit sehr überschaubar, es gibt keine nennenswerten Würmer, Trojaner, Spyware etc. für den Mac und diese ach-so-tollen Virenlösungen von Intego, Symantec verkaufen sich nur durch “Angstschürrungen” der einzelnen Hersteller, so wie es INTEGO regelmäßig versucht.
Bevor ich mir in meinen Mac ein Tumor einarbeite, agiere ich lieber mit BRAIN 1.0
Dienstag, 22. Januar 2008 um 11:36 Uhr
Moinsens… Gehört zwar nicht zum thema, allerdings wollte ich mal eine kleine “macke” erwähnen die mir gerade ebend aufgefallen ist. Wenn von Hinten die Sonne auf mein MacBook scheint glüht der Apfel durch mein Display durch. Irgendwie peinlich. Vielleicht kannst du darüber mal einen Post machen, habe nähmlich auch keine möglichkeit das zu fotografieren.
Grüße!
Dienstag, 22. Januar 2008 um 13:13 Uhr
Ich bin Administrator bei einem Schweizer KMU, rund 50 Arbeitsplätze plus Server. Natürlich haben wir Antivirus-Software am Laufen. Auf den Desktops könnte man aber darauf verzichten, sie schlägt nämlich nie an. Auf den Mailservern würde sie theoretisch anschlagen, wenn die Mail nicht schon als Spam gefiltert würde. Man könnte also darauf verzichten.
Gegen Würmer, gekaperte Websites, Lücken in anderen Programmen hilft Antivirus-Software nichts.
Privat verwende ich deshalb auch keine. Nicht auf dem Mac, nicht unter Linux, nicht unter Windows. Bis jetzt ohne Probleme. Und ich erspare mir damit viele Probleme.
Das mit dem BRAIN 1.0 finde ich sehr gut. Natürlich hilft es nicht immer. Aber Antivirus-Software hilft noch weniger und hälft BRAIN 1.0 mit Problemen auf Trab. Fehlalarme, Sicherheitslücken, Performanceprobleme. Ausserdem lagern die Benutzer das, was sie an BRAIN 1.0 haben, an die Antivirus-Software aus. OK, diese Benutzer haben wenig BRAIN 1.0 offensichtlich.
Witzig finde ich den, man bemerke die Antivirus-Software gar nicht. Dann kann man ja darauf verzichten!
Dienstag, 22. Januar 2008 um 15:26 Uhr
@Johannes
Nettes und vor allem realistisches Statement
Gefällt mir.
Das Lustige ist: Mac Antiviren Software erkennt auch oder vornehmlich nur Windows Viren
So wird auch schnell mal eine komplette mbox-Datei gelöscht.
So viel zu Antiviren Lösungen auf dem Mac
Viel Spass damit ^.^
Dienstag, 22. Januar 2008 um 16:31 Uhr
Vielen Dank für Eure Diskussionsbeiträge!
Ich möchte (vorläufig) nicht jeden Diskussionsbeitrag einzeln beantworten. Klar ist aber, dass mich die Aussagen von Johannes #2 am meisten gefreut haben …
Dienstag, 22. Januar 2008 um 17:58 Uhr
@Johannes:
“Witzig finde ich den, man bemerke die Antivirus-Software gar nicht. Dann kann man ja darauf verzichten!”
Ein bißchen mehr Brain 1.0 hätte ich dir schon zugetraut
Ich hoffe einfach mal das sich ein Virenprogramm bemerkbar macht, wenn es was findet. Keiner wird so blöd sein und es selbstständig was reparieren lassen. Aber wenn z.B. McAfee im Büro wieder meint was scannen zu müssen, dann ist die Windowskiste praktisch unbrauchbar für die Zeit. Sowas sollte im Hintergrund geschehen und davon will ich nichts wissen. Das erledigt Intego auf dem Mac ganz ordentlich. Ich sollte aber auch erwähnen, das es bei meinem Mac dabei war. Geld würde ich dafür wahrscheinlich auch nicht ausgeben.
Donnerstag, 24. Januar 2008 um 3:56 Uhr
[...] hat per Kommentar zu einem anderen Blogeintrag auf ein Problem mit seinem MacBook hingewiesen … […] Wenn von Hinten die Sonne auf mein MacBook [...]
Donnerstag, 24. Januar 2008 um 19:31 Uhr
Jeder weiss das AV-Software nicht funktioniert. Das Blacklist-Prinzip kann aus Prinzip nicht funktionieren. Also weg mit dem Zeugs!
Donnerstag, 24. Januar 2008 um 19:36 Uhr
Stimmt - die hunderten Mailwürmer und Trojaner, Dropper und Downloader, die unser Mail-Scanner täglich vertilgt - die gibts ja gar nicht. Also schalten wir den AntiVirus halt aus.
Bringt ja eh nix.
Donnerstag, 24. Januar 2008 um 19:50 Uhr
Wir scannen die E-Mail auch auf Spam und Viren. Beim Spam ist schon alles raus. Und die Benutzer benötigen weiterhin keine AV-Software. Bei unserem Mail only-Server ist das Risiko der AV-Software ausserdem beschränkt. Es wäre zwar dumm, wenn unser Mail-Server befallen würde aber es wäre nur der Mail-Server. Beim Benutzer hingegen wäre der Schaden immens.
Donnerstag, 24. Januar 2008 um 19:54 Uhr
Auch gut - ich traue meinen Schäfchen nicht soweit, als dass ich sie ohne Virenscanner aus dem LAN lassen würde.
Freitag, 25. Januar 2008 um 9:40 Uhr
@MacMacken
Wie versprochen scheinst du dich da dem Thema nochmals angenommen zu haben (worüber ich mich ja grundsätzlich freue
) Leider hat sich diese Recherche wohl auf eine ausgedehnte Suche bei “heise” nach applikationseigenen Fehlern in Sicherheitssoftware beschränkt, wobei die Zitate sogar noch völlig aus dem Zusammenhang gerissen abgedruckt wurden (man wollte da wohl eine bereits vorpräparierte Meinung noch untermauern, keineswegs aber eine realistische Auseinandersetzung mit dem Thema zulassen). Der Rest des Posts lässt sich auf Behauptung/Gegenbehauptung zusammenfassen - Ein glaubhafter Aufbau und eine realistische Auslegung der Problematik (These, Antithese, Analyse und Synthese) wurden durch ein propagandaträchtiges, reisserisches Plädoyer gegen Sicherheitssoftware ausgetauscht.
Meine Meinung zum Thema Sicherheitsapplikationen ist dir aus vorgängiger Diskussion hinreichend bekannt, die Kritik ist also nicht so aufzufassen dass ich nicht gewisse Teile der obigen Aussagen vertreten könnte, sondern vieleher dass diese Problematik einer fairen Auseinadersetzung mit realistischer Abwägung von Vor- und Nachteilen bedarf.
Grüsse
Martin Thomas
Freitag, 25. Januar 2008 um 19:07 Uhr
tatsache ist doch, dass av-programme alle daten scannen. und trotzdem haben gerade diese programme viele lücken. noch gravierender, sie werden zum teil erst nach monaten geflickt. das ideale einfallstor für gefahren aller art! ich muss im büro leider ein av-programm laufen lassen. bislang gab es nur fehlalarme. danach ist das system blockiert und der administrator muss es wieder reparieren. ein virus wurde noch nie angezeigt. und die einzige malware, mit der wir ein problem hatten, war gezielt auf unser büro zugeschnitten und wurde in handarbeit von einem administrator entdeckt.
Sonntag, 27. Januar 2008 um 15:12 Uhr
Gestern besuchte ich einen Vortrag mit PowerPoint-Präsentation – alle paar Minuten erschien unten rechts ein Fensterchen der Antivirus-Software, die sich darüber beklagte, keine Aktualisierung durchführen zu können … das ist auch meine Erfahrung mit Antivirus-Software – meldet sie sich, geht es um Aktualisierungen. Das letzte Mal, als mich eine Antivirus-Software vor einem Virus warnte, war zu einer Zeit, als Daten noch in erster Linie per Disketten ausgetauscht wurden …
Montag, 28. Januar 2008 um 4:47 Uhr
[...] SP2 und Microsoft Windows Vista), den Kinderschutz sollten Eltern nicht an Software delegieren und Antivirus-Software ist in erster Linie schädlich. Auch auf dem Mac darf man die Systemsicherheit nicht vernachlässigen, aber eine entsprechende [...]
Dienstag, 29. Januar 2008 um 16:18 Uhr
http://blog.fefe.de/?ts=b961f06a
Dienstag, 29. Januar 2008 um 17:26 Uhr
Jetzt also auch noch Verschwörungstheorien…
Und bloß, weil Politiker keine Ahnung von IT haben, bedeutet das noch lange nicht, dass ein “Bundestrojaner” jemals realisiert wird (oder werden kann). Bitte erst außerhalb der ComputerBILD informieren.
Dienstag, 29. Januar 2008 um 17:34 Uhr
@Heiko: Wanzen werden seit langer Zeit für das Abhören vor Ort verwendet. Wieso sollte man nicht auch das Computer-Äquivalent von Wanzen verwenden? Im Bezug auf Trojaner stellt sich für mich lediglich die Frage, wie man diese beim Abhörziel installiert … allerdings halte ich Trojaner für das Abhören vor Ort für unpraktisch, denn man kann den Software-Herstellern ja auch schlicht vorschreiben, Abhörschnittstellen in ihre Programme zu integrieren, ähnlich wie bei gewöhnlichen Telekomunikationsanbietern …
Dienstag, 29. Januar 2008 um 17:43 Uhr
Weil Software-Wanzen aufgrund der Art wie sie funktionieren (als Software) per se keine gerichtsfesten Beweise produzieren können. Die erfassten Daten können jederzeit und auf fast allen Zwischenstationen vom PC zur Staatsanwaltschaft manipuliert werden. Teilweise sogar im Nachhinein.
Das ein Geheimdienst so arbeitet, kann ich noch nachvollziehen - die wissen mit ‘weichen’ Beweisen umzugehen. Ein deutsches Gericht kann aber nur ‘harte’ Beweise verwerten - alles andere sind Indizien oder noch nicht mal so viel.
Sonntag, 2. März 2008 um 13:43 Uhr
Fakten, Fakten, Fakten: http://www.architektenwerk.de/.....chutz.html