Hurra, jetzt nimmt das Wettrüsten hier auch schon Fahrt auf.

In dem Artikel heißt es:

"Allerdings haben Hacker bereits Fehler im Überwachungssystem von RandsomWhere entdeckt und ihre Strategie angepasst. So bewacht RansomWhere aufgrund der Zugriffsrechte in OS X nur das Nutzerverzeichnis. Dadurch können Angreifer Dateien an eine andere Stelle verschieben und verschlüsseln, ohne dass der Nutzer etwas mitbekommt. Darüber hinaus werden keine Verschlüsselungen Apple-signierter Apps erkannt, sodass auch ein Trojaner im Mac App Store unbemerkt bliebe."

Da frage ich mich doch, was einem diese Software dann noch nutzt.

Aus meiner Sicht sollte das alles das System machen, statt Drittanbietersoftware holen zu müssen. Und dann natürlich sofort blocken, nicht nur melden.
Der Mac läuft oft Tage durch, was nützt die Meldung, wenn ich gar nicht am Rechner sitze....

Das ist die Aufgabe von Gatekeeper. Die ist aber machtlos, sobald der User unsignierte Software trotz Warnung installiert.

can we trust 'em?

Gatekeeper ist auch dann machtlos, wenn er zunächste vermeintlich korrekt signierte Software durchlässt und diese dann, mit dem gerade erhaltenen Plazet von Gatekeeper huckepack und per Nachladen unsignierte Software (eine Warnung kommt dann nich mehrt, denn das Plazet ist ja zuvor bereits erteilt worden) an Gatekeeper vorbeischleust (schon mehrfach geschehen), bisher hat Apple da kein Mittel dagegen, und die ganze diesbzgl. Struktur im Betriebssystem müsste neu überdacht und neu gemacht werden. Siehe u.a. auch Patrick Wardles Ausführungen und die seiner Kollegen dazu. Gatekeeper ist deshalb, weil es auf diese Weise so leicht ausgetrickst werden kann, für jeden ein bisschen bewanderten Hacker oder Malware-Autor keine wirkliche Hürde und verliert dadurch schnell seine Wirkung, ist eher ein Plazebo statt ein wirksamer Schutz.

Diese ganze sog. Anti-Malware-Software ist durch die Bank Schlangenöl und vollkommen nutzlos. Ist jemals ein Angriff wirklich vor der Katastrophe wirksam unterbunden worden? Meistens werden bloß hinter her die Scherben aufgekehrt von diesen Programmen. Leider ist das prinzipbedingt so.

Damit stellst Du auch Apples in OS X eingebauten Anti-Malware-Lösungen infrage, allen voran XProtect und MRT.app.

Und: manche werden geschützt, manche, die vor ihnen stehen, bekommen's noch voll ab. Aber schon die nächsten in der Reihe können ggf. davon profitieren, dass inzwischen der Lerneffekt der betreffenden Software einsetzt via Signatur-Update (bei XProtect genauso wie bei einer zusätzlichen Lösung, die den beschränkten Erkennungsradius von OS X' eingebautem XProtect um ein Vielfaches erweitert weil besser und regelmäßiger gepflegt) und betreffende Malware rechtzeitig erkannt und entweder geblockt oder zumindest davor gewarnt werden kann, wenn erkannt.

Und wie hoch ist die Wahrscheinlichkeit, dass man sich eine derartige Software "einfängt"?

Genau. Nur ist das OS die einzige Instants die überhaupt in der Lage wäre irgendwas effektives tun zu können. Aber da tut sich bei keinem Hersteller etwas.

Deswegen könne die Schlangenölverkäufer weiter schön wildern. Mittlerweile wird es schwierig für Offline-Umgebungen irgendwas vernünftiges zu finden. Ein geradezu unglaubliches Paradoxon. Die wollen keinen wirklichen Schutz.

Behauptest Du einfach. Stimmen muss Deine Behauptung nicht.

Behauptest Du einfach. Stimmen muss Deine Behauptung nicht.

Apple ist also ein Schlangenölverkäufer?

Behauptst Du einfach. Stimmen muss Deine Behauptung nicht.

Man wird niemals alle Nutzer zu 100% schützen können. Wer ständig in totaler Angst lebt, muss halt die Softwareinstalltion auf den App Store beschränken. Das reduziert dich Wahrscheinlichkeit weiter.

@PaulMuadDib

Wie sähe denn dein Schutzkonzept aus? Wenn Apple bei OS X zu viel macht, dann schreihen hier wieder alle, dass Apple zensuriert und man nicht mehr nach Belieben Software installieren kann usw.

Wer ein "einigermassen" sicheres OS will, der sollte bei Qubes OS nachsehen:

Ne, sie verkaufen es ja nicht. Kaspersky und co. fallen seit über 10 Jahren jetzt mit vermeintlichen Studien auf, wie schlimm die Bedrohung für den Mac doch mittlerweile sei, tatsächlich hat sich aber kaum etwas geändert, weil OS X Jahr für Jahr neue Schutzmaßnahmen einbaut.

DAS ist die Definition von Schlangenölverkäufern. Sich selbst einen Markt schaffen durch Angst und Manipulation.

Bei der Definition fallen mir spontan noch ganz andere große Schlangenöl-Verkäufer ein: Sie nennen sich Politiker und verzapfen sowas wie VDS…

———
Interessantes Konzept – vielleicht kommt sowas von Apple ja auch… mal…

vg.

Jein. Sie vertreiben es. Als festen Bestandteil ihres Betriebssystems.
Zumal es durchaus kostenfreie AV-Lösungen gibt und nicht alle und für jeden Geld kosten. Bitte differenzieren und nicht alle über einen Kamm scheren.

Es gibt auch noch andere außer Kaspersky. Bessere und schlechtere.

Erstens sind nicht alle solche Marktschreier wie Kaspersky ("Klappern gehört zum Handwerk", auch Apple klappert und betreibt an anderen Stellen marktschreiersich Marketing und sperrt den Schnabel weit auf und bleibt nicht immer ganz bei der Wahrheit bzw. übertreibt dabei), und zweitens hat Kaspersky manchmal durchaus Recht mit dem, was sie äußern. Face the facts.
Bitte differenzieren und nicht alles über einen Kamm scheren. Die Welt ist nicht nur schwarz/weiß, sie hat auch Grautöne und Farben.

Wenn die Bedrohung nicht wäre und nicht wachsen würde, warum baut Apple dann Schutzmechanismen ein und rüstet ständig nach? Apple macht das also aus purem Spaß an der Freude, obwohl es gar nicht notwendig ist? Ich glaube, Du unterliegst da einem schweren Irrtum. Derlei Maßnahmen SIND inzwischen notwendig. Notwendiger als Dir womöglich lieb ist und Du bereit bist anzuerkennen und zuzugeben. Apple ist da inzwischen wohl mehr in der Realität angekommen als Du und so manch' anderer.

Gönau! Die ganze Welt hat sich gegen Dich und Apple verschworen. Alles Lügner da draußen, nur Du siehst klar und hast alles im Griff. Du kannst von Glück sagen, dass sogar Apple es anders sieht als Du und entgegen Deinem Geplärre und Deinem Weltbild, das bräuchte man alles nicht und das wären ja sowieso alles nur Schlangenölbeschwörer, die Angst verbreitteten, Schutzmaßnahmen in deren Betriebssysteme einbaut. Die zwar leider auch löchrig sind und nicht zu Ende gedacht und umgangen werden können und auch werden, aber es ist offenbar besser als gar nichts. Eben weil da real existieren Bedrohungen sind (denen auch so mancher MTN-Nutzer in jüngster Zeit schon zum Opfer gefallen ist, nichtsahnend und trotz erhöhter Wachsamkeit und Brain 2.0), denen Du sonst schutzlos ausgeliefert bist, ob Dir das nun in Dein enges Weltbild passt oder nicht.

"und"-counter over 9000

Doch. Kernel. Ring 0 und so. Alles Andere ist leichter umgehbar.
Nö. Das sind die die seit Jahren den Weltuntergang herbeibeten, der nicht eingetreten ist. Dafür konnte noch nie eine Bedrohung im Vorfeld ausgeräumt werden. Die Kinder sind immer schon im Brunnen gewesen.
Doch. Das ist Fakt. Ich sehe es jeden Tag. Wir haben so eine Insel. Eine große Insel. Wir müssen leider die gelbe Pest (alias SEP) einsetzen. Der Hauptverteilserver lässt sich nur mit Aufwand mit Signaturen versorgen, wenn dieser keine direkte Internetverbindung haben. Es ist ein Kreuz und völlig unverständlich, warum es da keine einfache Möglichkeit gibt.

Kennst Du übrigens die Trefferquote von reinen Signaturprüfungen? Also im günstigsten Fall?

Wenn das so einfach zu lösen wäre, warum wird's dann nicht gemacht? Warum macht auch Apple das nicht bei seinen beiden Betriebssystemen, hat's schon längst gemacht und wäre damit dann schnell fein raus, wenn es damit getan wäre und wenn damit alle Probleme gelöst wären?

Sondern? Sie sind was, obwohl sie u.a. auf genau dieselben Mechanismen zur Erkennung und Abwehr zurückgreifen und diese einsetzen wie jene, die Du Schlangenölverkäufer zeihst?

Hat niemand getan, tut auch niemand. Du übertreibst.

Dafür sind andere unschöne Dinge eingetreten und finden leider immer noch und in leider zunehmenden Maße statt, die so mancher Leichtgläubige und Fehlgeleitete lange nicht für möglich gehalten hat Apples beide Plattformen betreffend.

Aber sicher doch! Spätestens dann, wenn die Gefahr erkannt worden und entsprechend nachgebessert worden ist.
Analog: Du bist an anderer Stelle also auch einer der vehementen Impfgegner und -verweigerer und Kondomverweigerer? Weil das Deiner Meinung eh alles nur Quatsch ist und nie und nirgends hilft, etwas einzudämmen und vorzubeugen?

Fakt in Deiner kleinen Welt vielleicht. Die Welt ist aber größer als Deine kleine Welt. Andere hingegen machen andere Beobachtungen und Erfahrungen, die sich von Deinen unterscheiden und die den Deinigen da teilweise wohl durchaus entgegenstehen. Die würde ich nicht einfach ignorieren und vom Tisch wischen.

Du. Siehe grad' Gesagtes.

Dass die umstritten ist, ist auch mir bewusst. Aber man sollte bei aller Kritik nicht immer vom allerersten ersten Auftreffen ausgehen, sondern mitbedenken, dass viele Nutzer geschützt werden können, wenn eine Signatur bekannt und in Umlauf ist. Ab dann kann eine Ausbreitung zumindest eingedämmt werden in ihren Ausmaßen, die Ausbreitungsgeschwindigkeit verlangsamt werden.
Zudem: Deshalb werden ja durchaus auch andere Ansätze gefahren, heuristische z.B. oder/und auf Basis von YARA. Und: Auch Apples eingebautes XProtect ist rein signaturbasiert. Und zudem noch schlecht gepflegt und so Einiges an Mac-Malware und Varianten nicht kennend und damit diese nicht erkennend. Frag' mal Apple, warum die das trotzdem machen und zum integralen Bestandteil von OS X gemacht haben, wenn es Deiner Ansicht nach so überflüssig und unnütz ist.

Wo habe ich gesagt, dass dies einfach sei?
Dann ist es doch zu spät.
Das hat rein gar nix damit zu tun. Wirklich nix.
Dumm nur, daß Du nicht weißt, wie groß meine kleine Welt ist.
Ok. Dann nenne mir ein AV-Produkt, welches sich Problemlos offline Betreiben lässt. Da hätten wir ernsthaftes Interesse dran.
Umstritten? Unter 30% ist in meinen Augen lächerlich. Und das mit den Heuristik kann auch nicht so gut funktionieren. Es hat uns bisher mehr Ärger eingebracht, als genutzt.

Zwischen grauer Theorie und Praxis ist halt manchmal ein großer Unterschied. Fordern und ein Idealbild malen kann man sehr leicht. Aber es in die Praxis umsetzen und zeigen, dass die Theorie der harten Wirklichkeit im Alltag auch standhält, das ist dann oft wieder was Anderes. Meist läuft es dann auf einen Kompromiss raus zwischen "Haben wollen" und "Umsetzen können", zumal es nicht selten auch nicht zu vernachlässigende Seiteneffektegibt, die die Umsetzung der reinen Lehre dann verhageln oder verunmöglichen.

Keineswegs. Für den Ersten, der ungeschützt getroffen wird, ja. Aber für alle anderen Nachfolgenden, bei denen der Schutz dann greift, ist es nicht zu spät, die profitieren dann von den in den Stunden/Tagen davor stattgefundenen Erkennungsmaßnahmen und Signatur-Updates. Und genau deshalb wird diese Methode noch aufrechterhalten. Weil eine nicht kleineAnzahl von Nutzern davon tatsächlich profitieren kann. Dreh- und Angelpunkt ist da aber die Reaktionsschnelligkeit des Anbieters, wie schnell und zügig der in der Lage ist, Signaturen bereitzustellen. Manchmal schafft er es, weil er entsprechend vernetzt ist, Signaturen bereitzustellen, bevor die betreffende Malware groß Verbreitung findet und nur erst irgendwo im Untergrund wabert, und manchmal ist man damit halt ein paar Stunden oder Tage zu spät. Aber ab dem Zeitpunkt, wo Signaturen bereitgestellt sind, können eine große Anzahl an Nutzern davon profitieren und geschützt werden und eine weitere, sonst ungebremste epidemische Ausbreitung kann dadurch wirkungsvoll abgebremst werden.

Das will ich aber wohl doch meinen. Die Situation und Analogie und auch das Vorgehen dagegen sind ähnlich.

Das muss ich auch nicht, um eine solche Äußerung zu tätigen. Es liegt einfach in der Natur der Sache. Trifft auf jeden zu, auf mich selber ja auch, da nehme ich mich überhaupt nicht aus.

Es bleibt Dir z.B. unbenommen, die betreffenden Signatur-Dateien von Hand einzuspielen oder Dir einen eigenen In-House-Proxy aufzusetzen, von dem Du Dir frische Signatur-Dateien holst, ohne dass die Rechner, die sie bekommen sollen, dazu selber online sein müssen. Sowas wird teilweise durchaus praktiziert.
Abgesehen davon: der sicherste Rechner ist immer nochder, der in keinster Weise auf irgendeine Weise mit irgendwem vernetzt ist, auch nicht lokal im lokalen In-house-Netz. Updates werden auf solchen Rechnern dann per Hand und zu Fuß von Rechner zu Rechner getragen und dann eingespielt. Auch das wird teilweise durchaus praktiziert.

30% bezogen auf WAS genau?
Zumal: 30 Prozent oder knapp drunter sind immer noch besser als 0%. Lässt man es deshalb sein? Nein. Warum? Weil es immerhin eine Verbesserung bringt, die deutlich größer Null ist und in konkreten Fällen ausgedrückt immer noch Tausende, Zigtausende Rechner bedeutet, die dadurch besser geschützt sind als wenn man komplett drauf verzichten würde und gar nichts dagegenstellen würde. Und weil das so ist, reiht sich auch Apple hier ein und macht es unter anderem genau so bzw. hat mehrere sich ergänzende Maßnahmen, wovon eine das ebenfalls signaturbasierte (leider nur mit Signaturen für die spektakulärsten und nicht für alle derzeit kursierende Mac-Malware versehene) XProtect ist, wie alle anderen es auch machen. Weil es immer noch besser ist als gar nichts dagegenzusetzen und den Benutzer völlig schutzlos dastehen zu lassen.

Du sprichst im Plural. Wer ist "uns"? Und wie repräsentativ und aussagekräftig auf die gesamte IT-Welt weltweit bezogen sind Deine/eure Erfahrungen?