Weitere Informationen zum Schutz vor Schadsoftware in Snow Leopard

Mit Mac OS X 10.4 Tiger hatte Apple ein neues System zur Überprüfung von Downloads eingeführt. Mit Leopard ergänzte Apple den Schutz dann um weitere Warnmeldungen, die den Nutzer darauf hinwiesen, gerade eine Datei geladen zu haben, die womöglich schädliche Inhalte aufweist. Über diese Meldung lässt sich sofort erkennen, von welcher Seite die Datei stammt und wann der Download durchgeführt wurde. Wie Anfang der Woche bekannt wurde, verfügt Snow Leopard über zusätzlichen Schutz. Apple verbesserte "File Quarantine" und überprüft heruntergeladene Dateien nun auch noch auf Trojaner. Bislang wurde noch spekuliert, wie Apple an die Informationen gelangt und ob auf die Datenbank anderer bekannter Hersteller zugegriffen wird. Auf Nachfrage gab Apple an, man führe eine eigene Liste an Definition bekannter Schadsoftware, wenngleich diese Sammlung noch nicht groß ist. Zusätzliche Definitionen können in Zukunft einfach über die Software-Aktualisierung zur Verfügung gestellt werden.
Wirft man einen Blick auf die Datei System/Library/CoreServices/CoreTypes.bundle/Contents/Resour ces/XProtect.plist, so befinden sich dort die Beschreibungen vom Trojaner OSX.RSPlug.A sowie dem OSX.iService, der mit raubkopierten Versionen von iWork in Umlauf kam. Findet Snow Leopard bekannte Schadsoftware, so kann der Benutzer entscheiden, wie er nun vorgehen möchte. Der Schutz greift übrigens nicht, wenn Dateien zum Beispiel über FTP-Server oder ein Torrent-Netzwerk bezogen werden. Von einem "Virenscanner" kann man ebenfalls nicht sprechen. Auf diesen Punkt weist auch Apple hin und zerstreut damit das Argument, Hersteller von Sicherheitssoftware wie Intego seien nun zumindest auf der Mac-Plattform arbeitslos. Die Funktion biete zwar besseren Schutz vor bekannten Trojanern, sei jedoch nicht als Antiviren-Software konzipiert. Überprüft werden übrigens auch Dateien, die über andere Browser auf den Computer gelangten, der Benutzer ist also nicht zwangsläufig auf Safari angewiesen.

Weiterführende Links:

Kommentare

Arachnid
Arachnid27.08.09 10:25
einerseits sagt ihr:
Der Schutz greift übrigens nicht, wenn Dateien zum Beispiel über FTP-Server oder ein Torrent-Netzwerk bezogen werden

andererseits:
Überprüft werden übrigens auch Dateien, die über andere Browser auf den Computer gelangten, der Benutzer ist also nicht zwangsläufig auf Safari angewiesen.

Wenn es bei anderen Browsern geht, wird man die Funktion sicherlich auch in generell anderen Programmen einsetzen können, wie etwas Torrent oder ftp clients.
Das wird ja sicherlich eine dokumentierte Schinttstelle sein, die man als Programmierer auch einbinden könnte. Liege ich in meiner Annahme richtig?
0
john
john27.08.09 10:30
bei dem zitierten punkt musste ich auch stutzen.
biete support. kostenlos, kompetent und freundlich. wähle zwei.
0
altes_ego
altes_ego27.08.09 10:35
erwartest du hier eine kompetente antwort oder war die Frage rein rhetorisch?
über macport oder Fink kann man ja selber noch nachbessern (snort, chkrootkit, usw.) auf div. Hersteller von [anti] virensoftware würd ich nicht viel geben.
ist der user mündig und versteht es sein Gehirn zu gebrauchen sind 99% der gefahr gebannt- und bei dem einen prozent Restrisiko hilft dir eh niemand mehr!!
altes_Ego
0
Knulch27.08.09 10:37
Hiermit ist sollte man auch als Macuser eingestehen, dass Schadsoftware existiert!

Wenn auch nur im kleinen Rahmen.

B-)*
0
ilovengage
ilovengage27.08.09 10:48
Knulch:
Wer was anderes behauptet hat ist einfach nur unglaublich naiv

Topic:
Wer sich trotzdem schützen will, kann ja einfach die über FTP oder Torrent geladene Datei lokal mittels Safari öffnen (und somit "downloaden"), dann wird die doch auch gecheckt, oder?
0
gentux
gentux27.08.09 10:55
Finde ich sehr gut, damit hat Apple proaktiv richtig reagiert!
0
Hannes Gnad
Hannes Gnad27.08.09 11:00
@altes_ego: Was glaubst Du, wie viel % der Mac-User wissen was macport, fink, chrootkit & Co. sind? Und wie viel %, schätzt Du, *wollen* so was überhaupt wissen?

Der Artikel ist übrigens insofern vermutlich nicht korrekt, als die Prüfung auf diese Malwares eher nicht schon direkt beim http-/Safari-Download stattfindet, sondern erst dann, wenn der Installer aufgerufen wird. Insofern besteht ein "Schutz" bzw. erscheint der Hinweis auch dann, wenn der böse Installer auf anderen Wegen auf die Maschine gelangt ist.

0
DonQ
DonQ27.08.09 11:09
chkrootkit wenn schon, dann richtig bitte.

btw. gemeint ist wahrscheinlich das prüfen von externen medien/laufwerken beim mounten/einloggen.

ich bin auf erste tests gespannt, vor allem bezüglich perfomance/cpu hunger.
an apple a day, keeps the rats away…
0
Michael Lang27.08.09 11:24
Wie ich vermutet hatte nur eine rudimentäre Lösung. Aber immerhin...
Einen Virenscanner ersetzt diese Lösung auf Dauer aber nicht und der Einsatz externer Software ist weiterhin zu empfehlen!

Ich hoffe aber, dass Apple mehr daraus macht und das das auch systemweit vor Malware schützen wird in Zukunft.
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
0
Christoph_M
Christoph_M27.08.09 11:25
gentux
Finde ich sehr gut, damit hat Apple proaktiv richtig reagiert!
Hallo!
das sehe ich anders:
Wenn der Hugo an seinem Mac mal mit Safari so einen Trojaner runterläd und die Meldung sieht oder im Internet über dieses Feature liest, dann denkt er sich wahrscheinlich "cool, der Mac hat einen Virenschutz" und verlässt sich drauf.
Wenn er sich dann z.B. das verseuchte iWork per Torrent runterläd und keine Meldung kommt, dann ist er überzeugt, das die Datei Clean ist.
Dieser "Schutz" führt also imho dazu, dass User weniger aufpassen, weil sie sich in falscher Sicherheit wiegen, was meiner Meinung nach gefährlicher ist, als einfach den Kopf anzuschalten beim Download und Öffnen von irgendwelchen Dateien.

Ist ungefähr so wie eine schlechte Verschlüsselung: Lieber weiß ich, dass meine E-Mails wie eine Postkarte durch Netz gehen, als das ich mich in einer Sicherheit wiege, die gar nicht Existent ist. (Ausser natürlich man verwendet als derzeit sicher geltende Verfahren).

Besser wäre meiner Meinung nach entweder, diesen beschränkten Schutz wegzulassen, oder noch besser, ihn soweit auszuweiten, dass er alle Dateien betrifft, die zum ersten mal gestartet werden. Egal ob sie von einer CD, nem Torrent oder aus der E-Mail von Oma sind.

Grüße,
Christoph
0
HerrRotkohl27.08.09 11:39
Pfui! Adobe ist echt eine Krake geworden. Und arrogant gegen ihre Kunden. Als es Macromedia noch gab haben die sich wenigstens noch um ihre Kunden bemüht.
Nieder mit den Monopolisten!!!
0
Gerhard Uhlhorn27.08.09 13:18
Es ist gut, dass Apple nun auf Trojaner scannt. Denn Trojaner greifen nicht das System, sondern die Leichtgäubigkeit des benutzers an. Deshalb gab es in letzter Zeit auch 2 erfolgreiche Trojaner auf dem Mac. In Zukunft kann Apple so nun die Verbreitung von Trojanern für den Mac sehr schnell stoppen. und es wird auch unattraktiv überhaupt Trojaner für den Mac zu schreiben. Damit bietet nun der Mac erstmals einen einfachen, aber sicher sehr wirksamen, Schutz gegen Trojaner.
0
sierkb27.08.09 14:00
Lesenswert!
Macworld: Inside Snow Leopard's hidden malware protection


Uhlhorn:

Bei Deiner Loblied-Säuselei auf Apple wird mir ja ganz schwindelig, wenn man bedenkt, wie Du Dich bei diesem Thema sonst immer mit Händen und Füßen gewehrt hast -- und auf einmal ist es für Dich supertoll, dass Apple wenigstens diese Minimallösung anbietet?

Abgesehen davon: Apples SnowLeopard scannt nicht auf alle Trojaner. Es scannt gerade mal auf die beiden bisher bekannten Trojaner für MacOSX. Update der malware definition list voraussichtlich im Rahmen der MacOSX Softwareaktualisierung bzw. evtl. im Rahmen von Security-Updates. Wie sich dieses System in der Praxis und der Zukunft schlagen wird und ob Apple mit dieser Lösung im Sinne des Anwenders gut und ausreichend fahren wird bzw. inwieweit Apple das nicht evtl. ausbaut oder ausbauen muss, das wird sich noch zeigen müssen (bzgl. der bisherigen Schnelligkeit Apples in deren Securityfix-Politik ist man ja als Apple-Nutzer nicht gerade verwöhnt).

Fest steht soweit, dass das kein umfassender Malware-Schutz ist, sondern gerade mal eine (ausbaufähige) Minimal-Lösung, ein zaghafter Ansatz in die richtige Richtung. Dabei arbeitet diese Lösung mit der bisher existierenden und Leopard-benutzern schon bekannten Quarantäne-Funktion zusammen.

Apples jetzige rudimentäre Lösung erlaubt NICHT das Entfernen von Malware. Sie informiert lediglich den Nutzer beim Öffnen einer heruntergeladenen Datei, ob diese Datei nach Überprüfung gegen die obig genannte Definitionsliste (die ja zum jetzigen Zeitpunkt nur zwei bekannte Trojaner für MacOSX enthält) ein vermutliches Schadprogramm enthält oder nicht. Andere als die in dieser Liste hinterlegten beiden Schaprogramme (evtl. auch welche, die andere Plattformen betreffen) können auf diese Weise bisher weder erkannt noch gebannt werden.

Die Informationen, ob diese Datei Malware-verseucht ist oder nicht, wird in den Meta-Informationen dieser Datei untergebracht und bleiben erhalten, solange diese Datei sich unter MacOSX befindet bzw. unter Macs direkt weitergegeben wird. Doch schon via FTP oder beim Speichern auf ein anderes Dateisystem (z.B. USB-Stick) gehen diese Meta-Informationen verloren.
Damit bietet nun der Mac erstmals einen einfachen, aber sicher sehr wirksamen, Schutz gegen Trojaner

Einfach? Ja.
Sicher sehr wirksam? Wird sich noch herausstellen müssen.
Schutz gegen Trojaner? Bisher sieht's so aus: Schutz gegen diese zwei bisher bekannten und die Mac-Plattform betreffenden Trojaner. Wie es mit dem Schutz gegen hinzukommende Mac-Trojaner geschweigedenn mit dem Schutz gegen andere gegen den Mac gerichteten zukünftigen Schadprogrammen aussieht, das wissen wir noch nicht. Das liegt in Apples Händen bzw. an deren Sicherheits- und Update-Plotik. Und bzgl. Schadprogrammen, die nicht die Mac-Plattform betreffen, ist das auch kein Schutz. Zumal die diskutierte SnowLeopard-Lösung ja für den Nutzer eine rein informative Lösung ist und keine, die evtl. erfolgreich etablierte Schadsoftware gleich entfernt.

Bei dieser Lösung heißt es also für den Nutzer im Zweifel lediglich: infizierte Datei behalten oder infizierte Datei in den Papierkorb?

Immerhin ein begrüßenswerter Anfang, der tendentiell schon mal in die richtige Richtung zeigt. Alles Weitere wird sich in der kommenden Zukunft zeigen und bewähren müssen.
0
Michael Lang27.08.09 14:01
Damit bietet nun der Mac erstmals einen einfachen, aber sicher sehr wirksamen, Schutz gegen Trojaner.

was für eine unreflektierte meinung ist das denn?? Ja klar, Apple ist einfach nur gut!!

Ich finde auch, dass das ein sehr rudimentärer "Schutz" ist, der allerhöchstens ein zaghafter Ansatz ist. Wenn Apple das nicht ausweitet und verfeinert, dann könnte man auch ganz darauf verzichten. Kein Wunder, dass Apple das nicht an die große Glocke gehangen hat. Kann Christoph da nur zustimmen!

Entweder Apple entwickelt das durchdacht weiter und zwar möglichst schnell oder man sollte wieder auf eine externe ausgereifte Lösung verweisen. IMHO ist ein anständiger Virenscanner immer noch Pflicht, der isoliert die Bösewichter wenigstens effektiv und läßt dem (dummen) user gar keine Wahl....

Man kann sich mit der Lösung in 10.6 auf gar keinen Fall sicher fühlen!!!
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
0
sierkb27.08.09 14:04
Michael lang:

+1
0
Christoph_M
Christoph_M27.08.09 14:34
sierkb
Bisher sieht's so aus: Schutz gegen diese zwei bisher bekannten und die Mac-Plattform betreffenden Trojaner.
und das auch nur wenn er über bestimmte Kanäle ins System gelangt.

Bis jetzt ist das ganze imho mehr Vortäuschung von Schutz als echter, belastbarer, vollumfassender Schutz. Und damit kann man das ganze gleich knicken
0
user_tron27.08.09 17:42
der Schädling sitzt beim Mac immer davor
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
Duffman
Duffman27.08.09 23:43
Ich stehe dem ganzen relativ positiv gegenüber, stimme aber sierkb im Kern zu. Das ist ein "Feature", welches von Apple bewusst nicht sonderlich beworben wird. Es ist gut, dass es da ist - mehr nicht.

Für Apple spricht, dass sie zumindest einmal eingestehen, dass es eine valide Bedrohung durch solche Trojaner gibt.

Durch diese Funktion zeigen sie Verantwortung.
Oder anders herum: wenn es schon bekannte Malware für OS X gibt, wäre es unverantwortlich, die Kunden nicht vor dieser Bedrohung zu schützen, zumal Apple einen Ruf zu verlieren hat. Schließlich reiben sie ja gerne der Konkurrenz unter die Nase, wie toll sicher OS X ist, und dass es keine Viren und Würmer für OS X gibt.

Vor kurzem wurden Fälle bekannt, in denen die Entwicklungsumgebung von Developern mit Schadsoftware infiziert wurde, welche dann unbemerkt Backdoors mit in deren Projekte einkompiliert hat.
Also besteht nicht nur eine Gefahr durch Software aus "dubiosen Quellen", sondern auch bei Software aus vermeintlich vertrauenswürdigen Quellen.
Dies nur, um das Argument "ist der Anwender selbst schuld" zu entkräften.

Wenn Apple die anderen Security Features in OS X wie bisher konsequent weiterentwickelt, mache ich mir um die Sicherheit des OS als solchem relativ wenig Sorgen.

Allerdings muss Apple an einigen Punkten dringend aufholen:
- schnelleres Patchen bekannt gewordener Schwachstellen
(insbesondere auch in 3rd Party / OSS Komponenten,
die Apple einbaut und bisher eher selten aktualisiert)

- feiner einstellbare Sicherheitsfeatures und Features zum
Schutz der Privatsphäre im Safari (ähnlich wie NoScript, Better Privacy etc.)

- Schutz vor Ausnutzung von Schwachstellen in Plugins wie Flash, etc.
(hier spielen alle anderen Punkte mit hinein)

- XSS Protection in Webkit/Safari

Viele Bedrohungen sind auf das OS als Angriffsziel kaum noch angewiesen.
Der Browser genügt vollkommen.

Wie auch immer - ich freue mich auf Snow Leopard und warte sehnsüchtig auf die Lieferung. Bis dahin sind noch einige Vorbereitungen für einen Clean-Install zu erledigen...
A life without walls needs no Windows!
0
Duffman
Duffman28.08.09 00:02
Nachtrag und ein wenig OT: habe gerade "Safari Cookies" installiert - einen erweiterten Cookie Manager.

So etwas hat mir bisher immer im Safari gefehlt. Ich kann z.B. Mactechnews als Favorit markieren, so dass dieses Cookie nicht gelöscht wird.
Alle anderen, nicht markierten Cookies werden je nach Einstellung beim Beenden von Safari gelöscht. Man kann sogar das Löschen von Flash Cookies einstellen.

Ein super praktisches Plugin für Safari!

Link:
A life without walls needs no Windows!
0
Tekl
Tekl28.08.09 00:54
Bitte nicht komplett in’s System integrieren, damit wird das Starten von Programmen ja noch weiter verzögert. Irgendwie ist es nämlich seit Leopard nicht mehr so flott.
0
sierkb28.08.09 02:04
Geil :

ROFL
0
Michael Lang28.08.09 11:54
sierkb: Ist echt zu schön was unser Gerhard da so von sich gibt. Er scheint dran zu glauben!! Und dann auch noch im Heise-Forum... MEGA ROFL

- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
0
Duffman
Duffman28.08.09 11:59
@sierkb *SEUFZ*

Wozu schreibe ich mir hier eigentlich immer die Finger fusselig?
Glaub ich wirklich, dass das irgendjemandes verbohrte und ignorante Einstellung ändern kann? Es war schon immer so. Wer nicht wissen will, der hört nicht. Und wenn ihm die Malware mit dem nackten Arsch ins Gesicht springt, wird er sagen "das gilt nicht - das ist gar keine echte Malware".


Mal ernsthaft:
Solche Argumente wie in dem Heise-Forum sind einfach unhaltbar und unverantwortlich. Mein Kommentar oben sprach das Problem bereits an.

Die einzige und gravierendste Schwachstelle im Gehirn des Benutzers ist die zu glauben, man sei selbst schlau genug, gute Software von böser Software unterscheiden zu können.

Das ist selbst für einen Experten in Malware-Analysis oft nur möglich, indem er das Programm decompiled und reverse engineered. Und das ist nicht trivial.

Aber was red' ich...

Wer sich informieren will, informiert sich und wer ein realistisches Bild von der Sicherheitssituation haben möchte, kann das haben.

Wer anderer Meinung ist, soll nur bitte nicht in fahrlässiger Art fehlleitende Informationen verbreiten, die dazu führen, dass sich andere Anwender in trügerischer Sicherheit wiegen.
Wer sogar von der Nutzung eines Virenscanners abrät, verhält sich darüber hinaus nicht nur fahrlässig sondern vordert vorsätzlich dazu auf, sich und andere nicht vor Schaden zu schützen. Da hört meine Toleranz ganz klar auf.

Wenn dies z.B. dazu führt, dass eine Firma keinen Virenschutz mehr auf seinen Macs einsetzt, verstösst diese Firma u.U. sogar gegen verschiedene Gesetze.
Das sollte einem zu denken geben.
A life without walls needs no Windows!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen