Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Test Virenschutz für Mac OS
Test Virenschutz für Mac OS
alephnull
17.12.15
16:14
Was nutzt Ihr so?
Hilfreich?
0
Kommentare
|<
1
2
PaulMuadDib
21.12.15
16:46
Matic
Übrigens empfehle ich trotzdem die Verwendung eines AV. Heise berichtete das man im Schadensfall beim Onlinebanking erst dann gegenüber der Bank Ansprüche geltend machen kann, wenn man einen AV hat. Ob es Sinn macht oder nicht, sei dahingestellt.
Gilt das in OS X vorhandene etwa nicht?
Hilfreich?
0
Matic
21.12.15
18:16
Gilt das in OS X vorhandene etwa nicht?
Entschuldige, ich weiß nicht was du meinst. OS X kommst standardmäßig ohne AV.
Peter Eckel
Allerdings funktioniert Sicherheit auch nicht, indem man sich irgendwelche Tools von Dritten einkauft und sich darauf verläßt, daß die schon wissen, was sie tun. Und schon gar nicht Läden, die regelmäßig öffentlich in Pressemeldungen Panik schüren, die sie selbstverständlich durch ihre eigenen Produkte gleich wieder beruhigen können.
Ja klar! Aber das ist den Banken ja egal. Was du geschrieben hast, finde ich gut und habe ich zT auch umgesetzt.
Hilfreich?
0
iOEG
21.12.15
18:37
Ich sag dazu mal, äh - garnix!
Hilfreich?
0
camaso
21.12.15
18:52
Matic
... OS X kommst standardmäßig ohne AV. ...
Das sieht sierkb aber anders (und wohl etliche andere auch):
Hilfreich?
0
Peter Eckel
21.12.15
19:12
Matic
Ja klar! Aber das ist den Banken ja egal.
Naja, wenn man sich auf den technischen Kenntnisstand der Bankjuristen herabbegeben will, kann man sich auf die Aussage Apples zurückziehen, daß OS X bereits mit einem vorinstallierten Virenscanner kommt (File Quarantine/'XProtect'). Und das wird sogar regelmäßig aktualisiert! Alles im grünen Bereich also.
Nicht, daß das wirklich was brächte, aber das tun die andern ja nun auch nicht ...
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
Matic
21.12.15
21:28
Peter Eckel
Danke, ich wusste nicht das xProtect ein Virenscanner ist.
Hilfreich?
0
StefanE
21.12.15
21:44
Frage: wo kann man denn nachprüfen, ob xProtect aktiv ist bzw diesen dann einschalten oder was genau macht der denn?
„Wer die Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren!“
Hilfreich?
0
hakken
21.12.15
22:30
Die ganzen naiven User die glauben das OS X sicher ist und scheinbar deshalb auch nichts weiter zum Schutz einsetzen können einem Leid tun.
Es ist wie Peter Eckel schreibt: man sollte sich auf jeden Fall Gedanken machen!
Wir haben aktuell infizierte Macs in der Firma. Ich darf mich nun damit beschäftigen.
Hilfreich?
0
Peter Eckel
21.12.15
22:47
StefanE
Frage: wo kann man denn nachprüfen, ob xProtect aktiv ist bzw diesen dann einschalten oder was genau macht der denn?
Großartige Frage - die Informationen, die ich in der offiziellen Dokumentation dazu gefunden habe, ist eher ... nun ja, dünn.
Es gibt zumindest mal ein Framework:
/System/Library/PrivateFrameworks/XprotectFramework.framework
Und ein Bundle:
/System/Library/CoreServices/XProtect.bundle
Das Framework kann man zu seinem Programm hinzulinken, z.B. bei BBEdit ist das der Fall. Da XProtect zumindest beim Download die heruntergeladenen Dateien scannt, dürfte es auch im dafür zuständigen Framework (WebKit?) referenziert werden. Wenn man sich die property lists aus dem Bundle anschaut
less /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist
less /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
finden sich dort neben etlichen Signaturen von Schadsoftware auch Dinge wie die minimal zugelassenen Java- und Flash-Versionen und Blacklists unzulässiger Plugins.
Durchsucht man die Systemdateien nach dem String 'Xprotect' finden sich zuguterletzt zahlreiche Referenzen in allen möglichen Files:
[...]
Binary file Frameworks/Security.framework/Security matches
Binary file Frameworks/Security.framework/Versions/A/Security matches
Binary file Frameworks/Security.framework/Versions/Current/Security matches
Binary file Frameworks/WebKit.framework/Frameworks/WebKitLegacy.framework/Versions/A/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Frameworks/WebKitLegacy.framework/Versions/Current/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Frameworks/WebKitLegacy.framework/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Versions/A/Frameworks/WebKitLegacy.framework/Versions/A/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Versions/A/Frameworks/WebKitLegacy.framework/Versions/Current/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Versions/A/Frameworks/WebKitLegacy.framework/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Versions/A/WebKit matches
Binary file Frameworks/WebKit.framework/Versions/Current/Frameworks/WebKitLegacy.framework/Versions/A/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Versions/Current/Frameworks/WebKitLegacy.framework/Versions/Current/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Versions/Current/Frameworks/WebKitLegacy.framework/WebKitLegacy matches
Binary file Frameworks/WebKit.framework/Versions/Current/WebKit matches
Binary file Frameworks/WebKit.framework/WebKit matches
Binary file PreferencePanes/Security.prefPane/Contents/MacOS/Security matches
Binary file PreferencePanes/Security.prefPane/Contents/XPCServices/com.apple.preference.security.remoteservice.xpc/Contents/MacOS/com.apple.preference.security.remoteservice matches
Binary file PrivateFrameworks/JavaLaunching.framework/JavaLaunching matches
Binary file PrivateFrameworks/JavaLaunching.framework/Versions/A/JavaLaunching matches
Binary file PrivateFrameworks/JavaLaunching.framework/Versions/Current/JavaLaunching matches
Binary file PrivateFrameworks/JavaScriptAppleEvents.framework/Resources/BridgeSupportCache/Automator.plist matches
Binary file PrivateFrameworks/JavaScriptAppleEvents.framework/Versions/A/Resources/BridgeSupportCache/Automator.plist matches
Binary file PrivateFrameworks/JavaScriptAppleEvents.framework/Versions/Current/Resources/BridgeSupportCache/Automator.plist matches
Binary file PrivateFrameworks/OfficeImport.framework/OfficeImport matches
Binary file PrivateFrameworks/OfficeImport.framework/Versions/A/OfficeImport matches
Binary file PrivateFrameworks/OfficeImport.framework/Versions/Current/OfficeImport matches
Binary file PrivateFrameworks/Safari.framework/Safari matches
Binary file PrivateFrameworks/Safari.framework/Versions/A/Safari matches
Binary file PrivateFrameworks/Safari.framework/Versions/Current/Safari matches
Binary file PrivateFrameworks/SemanticDocumentManagement.framework/Resources/English.lproj/HelpTermSynonyms.plist matches
Binary file PrivateFrameworks/SemanticDocumentManagement.framework/Versions/A/Resources/English.lproj/HelpTermSynonyms.plist matches
Binary file PrivateFrameworks/SemanticDocumentManagement.framework/Versions/Current/Resources/English.lproj/HelpTermSynonyms.plist matches
Binary file PrivateFrameworks/Symbolication.framework/Symbolication matches
Binary file PrivateFrameworks/Symbolication.framework/Versions/A/Symbolication matches
Binary file PrivateFrameworks/Symbolication.framework/Versions/Current/Symbolication matches
[...]
woraus ich schließe, daß Xprotect sehr tief an verschiedenen Stellen im System verankert ist.
Außer im 'Security & Privacy'-Control Panel unter 'General' ('Allow apps downloaded from:') habe ich jetzt auf Anhieb nichts gefunden, wo man die Funktion von Xprotect an- oder abschalten könnte. Ich gehe insofern davon aus, daß man nur den Funktionsumfang einstellen kann, Xprotect aber grundsätzlich immer aktiv ist (so ist es z.B. auch bei der Einstellung der letzteren Option auf 'Anywhere' immer noch unmöglich, eine alte Version des Flash-Plugins zu starten).
Wie gesagt, das ist jetzt mehr auf die Schnelle anhand verschiedener Indizien geschlossen als definitives Wissen. Sollte jemand eine bessere Dokumentation der Funktionsweise von Xprotect haben, wäre ich daran durchaus interessiert. Die Developer Documentation schweigt sich jedenfalls aus, oder ich bin nur zu blöd, die passenden Abschnitte zu finden.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
geka
22.12.15
00:05
hakken
Die ganzen naiven User die glauben das OS X sicher ist und scheinbar deshalb auch nichts weiter zum Schutz einsetzen können einem Leid tun.
Es ist wie Peter Eckel schreibt: man sollte sich auf jeden Fall Gedanken machen!
Wir haben aktuell infizierte Macs in der Firma. Ich darf mich nun damit beschäftigen.
Okay, bin so naiv, was kann ich denn wie besser machen?
Wie äußern sich denn bei euren Mac's die Infektionen?
Hilfreich?
0
wilhelmho
22.12.15
00:19
+1
geka
hakken
Die ganzen naiven User die glauben das OS X sicher ist und scheinbar deshalb auch nichts weiter zum Schutz einsetzen können einem Leid tun.
Es ist wie Peter Eckel schreibt: man sollte sich auf jeden Fall Gedanken machen!
Wir haben aktuell infizierte Macs in der Firma. Ich darf mich nun damit beschäftigen.
snip-
Wie äußern sich denn bei euren Mac's die Infektionen?
Welche Viren sind es denn?
Hilfreich?
0
dom_beta
22.12.15
03:40
Hallo hakken!
hakken
Wir haben aktuell infizierte Macs in der Firma. Ich darf mich nun damit beschäftigen.
Ach, das ist interessant. Darf man fragen, was das für eine genaue Infektion ist?
„...“
Hilfreich?
0
karpati
22.12.15
06:57
DIE Infektion würde mich auch interessieren
Hilfreich?
0
PaulMuadDib
22.12.15
09:05
Mich auch. Und wie habt ihr die erkannt? Und wann? Damit meine ich vorher oder erst als bereits schon alles zu spät war und das Backup Euerer Server bereits auf den holländischen Antillen erstellt ist.
Hilfreich?
0
Matic
22.12.15
18:06
Peter Eckel
Hab mir mal zu xProtect was durchgelesen. Wenn das stimmt was der Sicherheitsforscher Patrick Wardle sagt, dann lässt es sich durch eine Umbenennung oder rekompilierung oder sonstige Veränderung des Hashwertes, der für die Signatur nötig ist, austricksen. Hört sich jetzt nicht nach großer Sicherheit an.
Nach ihm lassen sich genauso die Sandboxes durchbrechen Kernel extensions installieren oder rootrechte erlangen.
Er beschreibt sogar, dass die jetzige Situation richtig angenehm für Malwarehersteller ist, da es relativ viele Macs aber keine gute Malwareprotection und wenig Schutzsoftware gibt.
Ich habe leider weniger Ahnung als er und muss daher erstmal davon ausgehen, dass er damit recht hat.
Hilfreich?
0
Peter Eckel
22.12.15
18:29
Matic
Peter Eckel
Hab mir mal zu xProtect was durchgelesen. Wenn das stimmt was der Sicherheitsforscher Patrick Wardle sagt, dann lässt es sich durch eine Umbenennung oder rekompilierung oder sonstige Veränderung des Hashwertes, der für die Signatur nötig ist, austricksen. Hört sich jetzt nicht nach großer Sicherheit an.
Das habe ich auch nie behauptet. Überdies gilt das für alle signaturbasierten Scanner.
Ich würde mich weder auf XProtect noch auf sonst irgendeinen Virenscanner verlassen. Auch wenn der Artikel, auf den Du Dich vermutlich beziehst, von April ist und somit vor der Einführung des 'rootless'-Features (das einige der Einfallstore schließt) stammt und sich auch XProtect konstant weiterentwickeln dürfte.
Worum es mir ging, war die potentielle Argumentation einer Bank gegenüber, die Haftung unter Hinweis auf nicht vorhandene Virenscanner ablehnt. XProtect ist zweifellos ein Virenscanner, case closed
Matic
Ich habe leider weniger Ahnung als er und muss daher erstmal davon ausgehen, dass er damit recht hat.
Davon gehe ich aus. Auch wenn das Rennen zwischen Systemherstellern und Angreifern naturgegebenermaßen sehr dynamisch ist.
Um so wichtiger ist es ja auch, sich nicht auf eine einzelne Maßnahme zu verlassen und sich mit dem wohligen Bewußtsein, einen Scanner installiert zu haben, zurückzulehnen. Welchen auch immer.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
hakken
23.12.15
11:19
Bei einigen Macs tritt im Moment zeitgleich folgender Fehler auf.
Ich bin mir nicht sicher ob es wirklich Malware ist.
Vielleicht hat Jemand eine Idee?
geka
Das hat Peter Eckel doch schon beschrieben?!
Hilfreich?
0
oliver
23.12.15
11:28
hakken
Ich bin mir nicht sicher ob es wirklich Malware ist.
Vielleicht hat Jemand eine Idee?
Aber Hauptsache erstmal „Virus!“ schreien
Das ist ein Bestandteil des Appstore-Frameworks, also alles harmlos.
„multiple exclamation marks are a sure sign of a diseased mind. -- terry pratchett“
Hilfreich?
0
hakken
23.12.15
13:02
Oliver
Wüsste nicht wo ich geschriehen habe. Mäßige dich besser.
Und seit wann fragt das Framework sporadisch nach Admin-Rechten?
Das ist also völlig normal? Ist mir in meiner Mac-Zeit noch NIE untergekommen.
Da darf man nicht misstrauisch sein?
Freu mich auf deine Erklärung!
Hilfreich?
0
oliver
23.12.15
13:43
hakken
Die ganzen naiven User die glauben das OS X sicher ist und scheinbar deshalb auch nichts weiter zum Schutz einsetzen können einem Leid tun.
…
Wir haben aktuell infizierte Macs in der Firma. Ich darf mich nun damit beschäftigen.
Darauf
bezog sich meine verkürzte Aussage.
Dass das Framework nach Adminrechten verlangt, wird ein Bug sein. In unserer Firma trat der Fehler genau an einem Mac (von über 20) auf – Adminpasswort eingegeben, dann war Ruhe.
Fakt ist: es gibt derzeit keinen ernstzunehmenden Grund, am Mac über das von Apple im System integrierte hinaus AV-Software einzusetzen.
Das einzige, was mir hin und wieder mal begegnet, sind durch unbedarfte Benutzer installierte Adware (im Schlepptau von Mackeeper), dafür gibts aber einTool: @@
„multiple exclamation marks are a sure sign of a diseased mind. -- terry pratchett“
Hilfreich?
0
geka
23.12.15
17:15
hakken
Bei einigen Macs tritt im Moment zeitgleich folgender Fehler auf.
Ich bin mir nicht sicher ob es wirklich Malware ist.
Vielleicht hat Jemand eine Idee?
@geka
Das hat Peter Eckel doch schon beschrieben?!
Na ja, was die Leute so schreiben... je komplizierter, desto beeindruckender
und, gerade Virenschutzprogramm-Programmierer trommeln ja in erster Linie für's Geschäft und das seit nunmehr über 20 Jahren!
-Sicher, die Einschläge kommen langsam näher, gleichwohl bin ich schon etwas überrascht, wie gemütlich die unterwegs sind.
Wir haben aktuell infizierte Macs in der Firma. Ich darf mich nun damit beschäftigen.
Wirklich nix gegen Dich, aber vielleicht sollte Eure Firma, wenn es ihr ernst ist, für das Problem doch jemanden engagieren, der sich mit so etwas wirklich auskennt
Hilfreich?
0
Peter Eckel
23.12.15
18:18
geka
hakken
@geka
Das hat Peter Eckel doch schon beschrieben?!
Na ja, was die Leute so schreiben... je komplizierter, desto beeindruckender
und, gerade Virenschutzprogramm-Programmierer trommeln ja in erster Linie für's Geschäft und das seit nunmehr über 20 Jahren!
"I can explain it to you, but I can't understand it for you."
Lesen und Verstehen mußt Du schon selbst.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
hakken
23.12.15
18:24
geka & oliver
Vielen Dank für die zielführenden Tips.
Es geht doch nichts über profunde Fakten.
Dann werde ich mal einen Profi suchen, der für mich das Passwort eintippt...
Hilfreich?
0
geka
24.12.15
02:47
hakken
geka & oliver
Vielen Dank für die zielführenden Tips.
Es geht doch nichts über profunde Fakten.
Dann werde ich mal einen Profi suchen, der für mich das Passwort eintippt...
Genau diese Fakten vermisste ich ja gerade bei Deinen Postings
Die Kenntnis des Passworts allein macht ja noch keinen qualifizierten Admin
Hilfreich?
0
geka
24.12.15
02:53
Peter Eckel
geka
hakken
@geka
Das hat Peter Eckel doch schon beschrieben?!
Na ja, was die Leute so schreiben... je komplizierter, desto beeindruckender
und, gerade Virenschutzprogramm-Programmierer trommeln ja in erster Linie für's Geschäft und das seit nunmehr über 20 Jahren!
"I can explain it to you, but I can't understand it for you."
Lesen und Verstehen mußt Du schon selbst.
Da ist ja leider überhaupt nüscht was es auch nur ansatzweise lohnen würde,
Hilfreich?
0
|<
1
2
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.