ARCHIV 1999-2006

ARCHIV :: # 4314

Get a Mac

von führenden Sicherheitsexperten empfohlen

Autor: dd - Datum: 07.07.2006

Vor wenigen Tagen hatten wir hier einen Artikel, in dem es um Sicherheitsexperten ging, die jedes Anzeichen einer vielleicht in naher oder ferner Zukunft eventuell möglichen Gefahr durch Viren auf der Mac-Plattform zum Anlass nehmen, laut in die Welt zu posaunen, dass auch Mac-User sich unbedingt schützen müssen, weil sonst das Ende der Welt unmittelbar bevorstehe.
Die Tatsache, dass jedes Betriebssystem, und damit auch MacOS X, grundsätzlich angreifbar ist, will ich gar nicht abstreiten und sogar betonen, aber es sollte schon zu denken geben, dass der Virenschutz-Software-Hersteller Sophos in seinem aktuellen Security Report Privatnutzern ausdrücklich empfiehlt, zum Mac zu wechseln. Während die Zahl der Viren, Würmer und in letzter Zeit vor allem Trojaner insgesamt weiter zunehme, sei weiterhin Windows das Angriffsziel. Es sei anzunehmen, dass der Mac deshalb auch in absehbarer Zeit sicherer sein würde.
Bei Ars Technica fragt man da, was Sophos dazu bewegt, ein System zu empfehlen, auf dem sie ihre Software weniger gut verkaufen können.

Kommentare

Na gut, dannn bin ich eben auch mal erster.

Von: Phileas | Datum: 07.07.2006 | #1
Jeder weiß, dass der Mac sicherer ist als der PC.
Da sollte man die Virensoftwarefirmen quatschen lassen was sie wollen und keine große Disskusion draus machen.

...

Von: Michael | Datum: 07.07.2006 | #2
Trotzdem sollte man hinterfragen was Sophos dazu bewegt ihre Klienten aufzufordern auf eine Architektur zu setzen, wo ihre Software evtl. überflüssig wird.
Wollen sie etwas dass ganz viele wechseln damit die Trojaner und Co. Autoren auch Ihren "Spass" am Mac haben und sie auch fürn Mac Software verkaufen können?

Sophos ist am A..sch

Von: pm | Datum: 07.07.2006 | #3
Sophos hat vor ein paar Monaten eine Studie über Virenmachbarkeit herausgegeben und damals extrem negative Kommentare eingefahren. Obwohl Sophos wahrscheinlich das einzig anständige Virenscanner für OS X ist.
Dass die Verkäufe eingebrochen sein könnten ist mehr als plausibel.
Sophos sucht den Mittelweg - den Weg aus der Krise mit OS X Virenscanner.

Markterschliessung...

Von: stö | Datum: 07.07.2006 | #4
Die bereiten doch nur neue Märkte vor, weil sie sich von M$ mit dessen neuer Produktpolitik für Sicherheitssoft bedroht fühlen: deshalb alternative Plattform pushen -> auf (quantitativ) erhöhte Bedrohungen warten -> "Lösung" anbieten.
Ich unterstelle Sophos und allen anderen, die von solchen Produkten leben, schlicht eigennützige kommerzielle Absichten. Ist ihnen ja auch nicht zu verübeln. Hoch lebe der kritische Konsument!
;-)
Gruss
stö

es ist wie überall

Von: Hrusty | Datum: 07.07.2006 | #5
wo Geld verdient wird, da wird auch Stimmung gemacht. ich kenne auch viele Windows User, die weder Firewall oder AntiVirenScanner haben.
Die haben auf mein ANraten mal einen Virenscan übers Internet gemacht- nada.
Nichts gefunden.

Sie installieren allerdings nur Originalsoftware oder heruntergeladene OS/Shareware und tauschen Daten nur per Mail aus. Keine Disketten. Außerdem surfen sie nicht auf Pornoseiten, welche bekannt sind als Viren und Trojanerschleudern.

Ist ja geschenkt, der Tipp...

Von: HK3470 | Datum: 07.07.2006 | #6
wer liest schon so einen report? doch nur geeks, die ohnehin wissen, was sache ist.

und selbst wenn der tipp der masse bekannt wird, ist der effekt für sophos doch nur positiv.

1) werden sich schon nicht so viele von einem ohnehin bekannten argument direkt zum switch motivieren lassen.

2) sophos wertet dadurch sein image als selbstloser menschenfreund auf, dem es nicht ums verkaufen geht, sondern darum, die menschen vor viren zu schützen.

geschenkt also, die haben ja nix zu berfürchten.

bensch

Vista scheint ja ziemlich gut zu sein

Von: klapauzius | Datum: 07.07.2006 | #7
Vielleicht hat M$ ja mal wirklich was auf die Reihe gekriegt security-mässig...

Ganz sicher wird VISTA super.

Von: Terrania | Datum: 07.07.2006 | #8
"wird". Fragt sich nur wann?

Die Beta's bei Sophos laufen ja wohl ganz gut

Von: klapauzius | Datum: 07.07.2006 | #9
:-)

Viren auf dem Mäc werden zunehmen!

Von: Rudolph Möshammer | Datum: 07.07.2006 | #10
Jetzt, wo im Mac Intel drin ist, werden auch die Viren für den Mäc zunehmen. Denn Virenschreiber müssen nicht mehr umständlich auf PPC umlernen, sondern können ihren x86-optimierten Code größtenteils weiterverwenden.

Deshalb werde ich mir auch nie einen Intel-Mac kaufen, ich besitze einen m68k-Mac, zwei beige G3 und einen Mac Mini PPC. Wenn sie auf ebay ausreichend billig verschleudert werden, weil alle die viel schlechteren Intel-Macs verwenden, kommt vielleicht noch ein iBook G4 dazu.

Bitte denken sie vor überhitzen Reaktionen in Ruhe über diese Fakten nach!

lol

Von: af | Datum: 07.07.2006 | #11
n/t

@Rudolph

Von: daniel (MacGuardians) | Datum: 07.07.2006 | #12
Hallo Rudolph
glücklicherweise stimmen deine Fakten so nicht, denn die Trojaner und Würmer nutzen im Allgemeinen Sicherheitslücken im Betriebssystem, um Schaden anzurichten und sich zu verbreiten. Auch Viren sind nicht Betriebssystem-unabhängig, weshalb ein Windows-Virus auch nicht auf MacOS (oder Linux) Schäden anrichten kann.

Die meisten Schädlinge heute sind auch nicht in Assembly geschrieben, also der Sprache des Prozessors, sondern in einer höheren Sprache und nutzen die API des Betriebssystems. Also spielt es auch deshalb keine Rolle, dass in den Macs der gleiche Prozessor steckt wie im Windows-PC.

Gruss
daniel

@rudolf

Von: Andi | Datum: 07.07.2006 | #13
Das ist totaler Unsinn!
Die Virenschreiber setzen am OS an und nicht am Prozessor, der ist sowas von egal. Und die Zeiten in denen Viren direkt in Assembler programmiert wurden sind lange vorbei. Und selbst damals mussten sich die Coder schliesslich am OS orientieren, in das wie was einschleusen wollten...

:-)

Von: Andi | Datum: 07.07.2006 | #14
...da haben wir ja fast zeitgleich geantwortet, lol.

@Andi

Von: daniel (MacGuardians) | Datum: 07.07.2006 | #15
und ich war schneller :-P

Der Prozessor hat schon was mit der Sicherheit zu tun

Von: Rudolph Möshammer | Datum: 07.07.2006 | #16
Schließlich weiß ja jeder, daß man mit AMD64-Prozessoren dank der Enhanced Virus Protection, also quasi dem NX-Bit, viel sicherer ist, weil kein Code auf dem Stack ausgeführt werden kann, der über einen Pufferüberlauf eingeschleust werden cann.

@pm: Das beste Virenscanner Programm ist von Intego

Von: Dirk Küpper | Datum: 07.07.2006 | #17
Und das setze ich auf meinem Mac ein, um auf dem PC neben dem vorhanden zusätzlich über das Netzwerk scannen zu lassen.
Und das Programm findet Windowsviren zuverlässig.

@Rudolph

Von: daniel (MacGuardians) | Datum: 07.07.2006 | #18
ich habe das, muss ich zu meiner schande gestehen, nicht gewusst. aber dank ein bisschen googlen weiss ich jetzt auch, dass intel dieses nx-bit (unter dem name xd-bit) seit p4 prescott wieder eingeführt hat. die frage ist dann noch, ob apple die funktion auch im os unterstützt (sowohl mit intel als auch mit ppc)

@daniel und Rudolph

Von: Rüdiger Goetz | Datum: 07.07.2006 | #19
Hallo,

Letzlich habt ihr beide recht. Zunächst einmal braucht ein Virenautor eine Lücke im System und die ist entweder OS-spezifisch oder Applikation-spezifisch (z.B. Macroviren).

Wenn die Lücke aber erst mal ausgenutzt ist (abgesehen von Marco und Skripten) muss ich etwas passendes in Maschinencode unterbringen, dass dann mir das Tor ins System öffnent. Das ist dann aber OS und CPU-spezifisch. Ergo haben es Cracker bzgl. des Macs nun etwas einfacher , weil sie nur ein anders OS lernen müssen nicht aber auch einen anderen Assembler.

Bis dann

R"udiger

Ihr wisst ja...

Von: Matthias Witte | Datum: 08.07.2006 | #20
...über Cupertino lacht die Sonne...über Redmond die ganze Welt!

@hrusty

Von: svenc | Datum: 08.07.2006 | #21
Du solltest wissen, dass es überhaupt nicht notwendig ist, aktiv etwas herunterzuladen oder zu installieren, um sich einen Virus oder Trojaner unter Windows einzufangen.
Mache einen einfachen Test: Nimm eine XP-Möhre, hänge die per Modem, ISDN oder DSL (ohne Router) ans InterNet, frisch nach der Installation. Warte 30min und scanne das Teil mit FreeAV oder ähnlichen Tools.
Voila, Du hast Dir die ersten Schädlinge eingefahren.
Windows wird ab Werk recht "offen" ausgeliefert und es gibt diverse Lücken im System (XP SP2 hat da gut nachgebessert, aber es sind noch genügend vorhanden) durch die sich diese Malware vollkommen selbstständig installiert.

Gruss

svenc

WinXP

Von: Hari | Datum: 08.07.2006 | #22
Kann svenc nur zustimmen. Hatte WinXP SP2 installiert ins Netz gehängt und wollte die Windows Updates laden. Soweit bin ich nichtmal gekommen. Keine 2 Minuten und ich hatte den ersten Trojaner. Die Software Firewall hat mir da auch nicht geholfen. Also hab ich dann einen Router mit Firewall gekauft.
Und ob Vista da der große Renner wird wage ich zu bezweifeln. Die Beta2 hat mich die letzten Nerven gekostet.

cui bono?

Von: Gast | Datum: 08.07.2006 | #23
Diese Meldung nutzt wem?
Sophos empfiehlt _Privat_nutzern...- vermult. kopieren die Dosis ihre Virenscanner so dermaßen, dass da eh keine müde Mark verdient werden kann. Und Sophos also auf den Business-Markt setzt. Da wiederum spielt Apple noch keine Rolle = kann man den Tipp ruhig geben. Schadet nix, nutzt auch nix, und man ist in aller Munde... ;-) wie man sieht.
feinemacht, PR-Abt.-

Daniel:

Von: Kai (MacGuardians) | Datum: 08.07.2006 | #24
"Die meisten Schädlinge heute sind auch nicht in Assembly geschrieben,"

Die meisten vielleicht nicht, aber die schnellsten und verheerendsten! ;-) Gibt soweit ich das sehe auch noch andere bekannte (Blaster, Code Red, Witty, MyDoom).. Ist aber immer sehr schwer zu sagen, ob die Dinger komplett in Assembler geschrieben wurden oder ob nur ein Kompilat nachträglich in ASM "optimiert" wurde bzw. ob es sich ursprünglich um C-Code mit inline-Assembly für den Schadcode handelte, denn man hat in den seltensten Fällen den Sourcecode. Ein Header, der auf den verwendeten Compiler rückschließen lässt fehlt allerdings wohl bei den meisten Viren/Würmern!

"also der Sprache des Prozessors, sondern in einer höheren Sprache und nutzen die API des Betriebssystems."

Das eine schließt das andere aber überhaupt nicht aus...

"Also spielt es auch deshalb keine Rolle, dass in den Macs der gleiche Prozessor steckt wie im Windows-PC."

Hm, da gab's doch mal so nen netten Artikel, dass bei x86 Buffer Overflows allgemein leichter sind, weil der Stack bei PPC in die umgekehrte Richtung wächst (und man daher nicht genau weiss, wo die Rücksprungaddresse die man will steht), und obwohl das scheinbar auch mit x86 machbar ist nutzt und kennt die Funktion keiner.

Hier hat einer auf Slashdot dazu was geschrieben..

Dieser Artikel ist auch recht interessant:

"Attackers have been focused on the [Intel] x86 for over a decade. Macintosh will have a lot more exposure than when it was on PowerPC," said Oliver Friedrichs, a senior manager at Symantec Corp. Security Response.[Intel x86] lowers the bar dramatically for someone trying to exploit a vulnerability,

Architecture: Though its name suggests otherwise Intel's CISC (Complex Instruction Set Computer) architecture is easier to audit for security holes than the RISC (Reduced Instruction Set Computer)–based chips from Motorola, said Lurene Grenier, a software vulnerability researcher and Mac PowerBook user in Columbia, Md."

Da Viren immer bestrebt sind, möglichst klein und unauffällig zu sein kann ich mir einen Universal Binary Virus nur schwer vorstellen. Und dass sich die Virenschreiber jetzt noch in PPC-Assembler einarbeiten, wo die Ansätze einen Buffer-Overflow zu erzeugen anders sind, kann ich mir ehrlich gesagt kaum vorstellen..

Andi:
"Und die Zeiten in denen Viren direkt in Assembler programmiert wurden sind lange vorbei."

Das ist falsch. Auch wenn vielleicht nicht alle in Assembler programmiert werden, so operieren sie zumindest meist auf einem Level, der massives Assembler-Knowhow notwendig macht. Buffer Overflows und High-Level-Programmierung vertragen sich irgendwie nicht so wirklich! ;-)

Matthias:
"...über Cupertino lacht die Sonne...über Redmond die ganze Welt!"

Nunja... Momentan lacht die ganze Welt wohl eher über Steve Jobs wegen seiner Intel-180-Grad-Wende! ;-)

Kai, was Viren angeht

Von: miniMe | Datum: 08.07.2006 | #25
sind die wenigsten Heute noch in Assembler verfasst, sondern teilweise sogar nur noch vbs.

Trojaner werden gern in C geschrieben mit den erwähnten Inlays. Das liegt daran dass sie meist Rootkit basiert sind und Assembler TFTP und Webserver sind zu komplex.

Würmer werden heute gern mal in Assembler geschrieben, vor allem wenn Overflows genutzt werden.

Buffer Overflows sind Geschichten die bei Mac OS X zwar nicht unmöglich sind doch eher unintressant - die Live Code Injection wie es mit SIMBL oder The bad ape und Ape allgemein schon für Cocoa gezeigt wurde und Unsanity Software zeigt auch, dass es mit Carbon und Java Möglichkeiten unter X gibt. Wenn es hier möglich wird bekannte Anwendungen zu Verknüpfen müsste so schon sehr viel möglich werden - nur hat das nicht im Geringsten mit einer hackbareren x86-Platform zu tun.

Beipiel: Vergleich Sicherheit von einer Linux-Distri unter PPC und unter x86.

Und wenn sich einer einarbeitet sollte er beim Lowlevel-programing durch OpenFirmware Vorteile haben, theoretisch wäre ein Virus rein auf dieser Basis denkbar (gut, aber bei x86 gibts jetzt EFI, also relativ, ich weiß)

Ach und Kai, wenn die Welt über Jobs lacht, dann frage ich mich warum er dann in letzter Zeit zu den 5 wichtigsten Leuten in der Businesswelt gezählt wird, warum er so positive Resonanz bekommt - wenn die Welt über Jobs lacht, lacht sie ihn wohl momentan an - nicht aus, auch wenn du das gern so hättest.

Daniel, wegen nx-Bit

Von: miniMe | Datum: 08.07.2006 | #26
so toll ist diese Technik allerdings nicht wenn du dich informierst wirst du feststellen, dass das ganze nur funktioniert wenn der Benutzer das Betriebssystem so konfiguriert und unterstütze Software nutzt. Dabei wird der Datenteil im Speicher durch ein No Execute-Bit versehen, so dass der Computer weiß, dass diese Daten nicht auszuführen sind. Schadcode der so eingeschleußt wird kann also nicht zur Ausführung kommen. Software die auf diese Funktion angewiesen ist hat Probleme.

NX = No eXecute
XD = eXecution Disabled

Diese Technik lässt sich aber sehr leicht umgehen. Dazu aus der Wikipedia: "Allerdings wird nur der Ausführung von Code in Datensegmenten (z. B. in einem Stack oder Heap) vorgebeugt. Der Pufferüberlauf an sich wird nicht unterbunden. Wenn dabei ein Sprung innerhalb des Segmentes ausgelöst wird, ist die No-Execute-Technik wirkungslos. Allerdings lässt sich trotz dieser Technik beliebiger Code beispielsweise durch ein „return into libc“ ausführen."

[Link]

hi

Von: www.haasenton.at | Datum: 08.07.2006 | #27
get a mac

gibts auf deutsch!!!!

minime:

Von: Kai (MacGuardians) | Datum: 09.07.2006 | #28
"Ach und Kai, wenn die Welt über Jobs lacht, dann frage ich mich warum er dann in letzter Zeit zu den 5 wichtigsten Leuten in der Businesswelt gezählt wird, warum er so positive Resonanz bekommt - wenn die Welt über Jobs lacht, lacht sie ihn wohl momentan an - nicht aus, auch wenn du das gern so hättest."

Haha, offensichtlich kennst du keine PC-User! ;-)

Übrigens: Wenn verliehene Preise und Auszeichnungen irgendjemanden interessieren würden, hätte Apple keine 3% Marktanteil, denn davon haben sie bekanntlich reichlich...

Kai

Von: miniMe | Datum: 10.07.2006 | #29
Kenne genug, nur sind doch jene die da lachen nicht representativ für eine so große Gruppe von denen die Meisten Jobs wohl nicht mal kennen.

Ruf irgendwo an, frag die Sekretärin ob Windows auf ihrem PC laufe und ob sie über Steve Jobs lache. Die Leute die zu G4-Zeiten mein Mac-Dasein belächelt haben, schauen jetzt dumm, weil sie plötzlich selber mit OSX und Intel-Macs liebäugeln. Sie schauen dumm weil die Apple-Aktie so abging, und sie schauen dumm weil der iPod den sie noch in meiner ersten Generation belächelten (Preis) nun der Hit Nummer eins ist. Es gibt welche, die verkraften die Entwicklung gar nicht, die überspielen ihr Empfinden - vielleicht findest du da ja wen der über Jobs noch lacht. Steve Ballmer lacht sicher nicht und die Jungs bei Dell haben sicher auch nichts zu lachen. Und frag erst mal bei Microsoft nach, da wirds totenstill, vor allem wegen Vista..

Scheiß drauf, ehrlich, mir ist Jobs eigentlich sowas von egal, also was reden wir hier eigentlich


Dass ein Apple-User mit den 3% kommt find ich schon komisch, oder irren sich die milliarden Fliegen doch nicht mehr?

Motivation

Von: delu | Datum: 13.07.2006 | #30
Die Motivation von Sophos und jetzt neu auch von Symantec für den Wechsel zu Mac OS X ist ganz einfach die Tatsache, dass Microsoft selbst in den Markt der Antiviren und Security-Software einsteigen will. "OneCare" wird sich das neue Paket sammeln und enthält alles nötige (Antiviren Software, Firewall, etc) und ist mit 20 - 50$ auch noch ziemlich preiswert. Da bleibt für die alten Softwareschmieden nicht mehr viel übrig. Man denke da nur an die Geschichte von Netscape & IE.

Nachtrag

Von: delu | Datum: 13.07.2006 | #31
Im Februar gabs übrigens den ersten Mac Virus. Antiviren-Software für den Mac ist auf keinen Fall übeflüssig, wenn auch nicht gerade erforderlich.

Portierbarkeit von Assembler

Von: Uli Kusterer | Datum: 29.07.2006 | #32
Haj, bin grad beim Googlen nach was anderem hier hängengeblieben und wollte nur mal erwähnen: Selbst wenn man dieselbe CPU hat und einen MacOS-spezifischen Exploit gefunden hat, kann man den rest seines Assembler-Codes immer noch nicht weiterbenutzen.

Die Konventionen, nach denen eine Funktion (d.h. ein "Befehl") auf einem Mac aufgerufen wird ist anders, als unter Windows (wer's nicht glaubt, darf gerne den Quellcode von libffi für Darwin und Windows nachlesen).

Bleibt also nicht viel übrig, was sich von den Assembler-Befehlen von Windows auf den Mac übernehmen lässt, zumindest was den eigentlichen Schadcode betrifft.

Aber ja, zumindest müssen sie nicht wie die Mac-Virenschreiber erst mal Intel-Assembler lernen, den können sie ja schon :-)