From: egle
Date: 12. März 2006 17:12:06 GMT+01:00
Subject: Viren(?)-Nachlese auf Apple Macintosh
Sehr geehrte LeserInnen,
Es ist nun etwa 1 Monat vergangen, seit dem Beginn der
letzten "Viren-Attacken" und ich erlaube mir, eine
Zusammenfassung zu erstellen und Empfehlungen aus meiner
Sicht abzugeben.
Was war denn los?
==============
Leap-A/OSX/Oomp-A/latestpics.tgz am
13.2.06
---------------------------------------------------------------
Eine Datei, welche Bilder des
neuen Betriebssystems 10.5, a.k.a Leopard beinhalte, wurde
in einem Diskussionsforum hinterlegt. Wer die Datei
herunterlud, als Administrator angemeldet war, und sie
oeffnete, hat sich so verschiedene Programmteile
installiert, die, falls gewollt, Daten des Administrators
wie auch Programme und Systemdateien haette veraendern
koennen. Es wurden aber nur Programm-Teile installiert,
damit sich das Programm via iChat haette weiterverbreiten
koennen. Allerdings war jener Code fehlerhaft und
funktionierte nicht. Die Verbreitung fand nur in jenem
Diskussionsforum statt und wurde in "freier Wildbahn" nicht
angetroffen.
War es nun ein Virus oder ein
Trojanisches Pferd, oder einen Wurm? Eigentlich ein Zwitter
zwischen den beiden letztern Typen: Zuerst braucht es
aktive Hilfe des Bedieners um es zu starten und dann haette
es sich wie ein Wurm ueber iChat selber weiterverbreitet.
Ein Virus war es sicherlich nicht.
OSX.Inqtana.A
am 17.2.06
---------------------------------------
Inqtana war wirklich ein "Proof-of-Concept"
eines Wurms, der
alte Loecher in Apple's BlueTooth Software ausgenutzt
haette. Allerdings war dieses Loch seit Mai 2005 bekannt
und am 8.6.05 mit dem Security Update 2005-006,
welcher fuer 10.3 und 10.4 erhaeltlich ist, gestopft.
Break-In Wettbewerbe
------------------------------
Es wurden zwei Wettbewerbe durchgefuehrt, bei denen haette
bewiesen werden sollen, dass Macs, sofern richtig
konfiguriert, einbruchsicher sind (oder nicht). Am 22.2.06
wurde in Schweden ein Mac mini als Web-Server ans Internet
gehaengt mit der Aufforderung, die Webseite abzuaendern.
Dies gelang innerhalb von 30 Minuten, allerdings nicht von
ausserhalb, sondern von "inhouse". Die Umstaende sind
unklar. Am 7.3.06 wurde an der Universaet von Wisconsin in
Madision ein Rechner ans Netz gehaengt. Mit 10.4.5 und
allen Sicherheitspatches. Allerdings war dieser "Hacking
Challenge" nicht von den Uni-Administratoren bewilligt
worden und der Rechner musste vor Ablauf der Challenge vom
Netz genommen werden. Der Rechner hat 38 Stunden, 4000
Login-Versuche und 2 DOS-Attacken klaglos ueberstanden.
Sicherheitsluecke(?) von Heise publiziert am 20.2.06
-----------------------------------------------------------------------
Heise hat festgestellt, dass sichere Dateien wie z.B.
Dateien mit Endungen wie .PDF, .JPG, oder .ZIP ein
Programm, anstelle des versprochenen Inhaltes, enthalten
und, sofern z.B. im Safari so eingestellt, nach dem
Herunterladen automatisch ausgefuehrt werden koennten.
Apple hat dieses Loch am 1.3.06 geschlossen.
Was ist nun (Stand heute) davon zu halten?
=================================
Wer weiterhin vorsichtig mit fremden Informationen umgeht,
und sein System mit den von Apple zur Verfuegung gestellten
Updates a-jour haelt, lebt sicher. Eigentlich wie im
taeglichen Leben. Analogie Auto: Nicht zu schnell sich auf
unbekannten Strassen bewegen und das Auto regelmaessig in
den Service geben.
Muss ich ein Anti-Virus-Programm verwenden?
====================================
Meine persoenliche Einschaetzung ist die:
1. Bis heute weiss ich von keiner Moeglichkeit, dass mein
Mac
a) Andere Macs anstecken kann
b) Windows Computer anstecken kann.
Einzige Moeglichkeit waere, wenn ich ein File mit
Virus/Trojanischem Pferd/Wurm auf einem Datentraeger, Mail
oder Server weitergebe. Weiss ich, was ich tue, sollte das
also nicht passieren.
2. Ich setze keinen Virenscanner ein, denn:
a) Norton Antivirus und ClamAV verlangsamen mein
System stark (Belastung zwischen 10 und 95 %).
b) Virex stuerzt bei mir jedes Mal ab, obwohl ich
"nur" meinen Home-Ordner scannen moechte.
c) Mir ist kein Scanner bekannt, der direkt mit
einem Mail-Programm zusammenarbeiten kann.
d) Ich ueberlege mir genau, welche Daten ich wie
weitergebe.
Muss ich mich denn gar nicht schuetzen?
================================
_Doch!_ Ich befolge folgende Richtlinien (generelle
Datensicherheit, nicht nur wegen Viren/Trojanischen
Pferden/Wuermern):
1. Der Administrator ist nicht fuer die taegliche Arbeit zu
verwenden. Also "blos" als User arbeiten.
2. Nicht automatisch als einen Benutzer einloggen, sondern
nur ueber "User/Login" sich anmelden.
3. Passwort nach dem Screensaver.
4. Nicht benoetigte Sharing-Services ausschalten.
5. Firewall einschalten.
6. Ein starkes Passwort verwenden.
7. Apple's Security und System-Updates immer sofort
installieren.
Nachwort(e)
=========
Die oben gemachen sind einerseits von mir gemachte
Erfahrungen und/oder ueber Fachpublikationen erworbene
Informationen. Wer Links zu oben genannten Informationen
wuenscht, dem sende ich sie gerne zu. Und: Fuer sein
Leben (mit dem Computer) ist schlussendlich jede/jeder
selber verantwortlich.
Ich habe diese Informationen unaufgefordert an Personen
geschickt, von denen ich annahm, dass sie daran
interessiert sind. Wer weiterhin solche oder aehnliche
Informationen von mir erhalten moechte, bitte ich, mir ein
E-Mail mit dieser Willensaeusserung zukommen zu lassen. Als
moegliches naechstes Thema saehe ich die ersten Erfahrungen
mit Intel-Macs.
Freundlich gruesst
Rainer Egle
-------------------------------------------------------------------------------
EgleConsulting, Berggasse 4, 8332 Russikon, Switzerland
Tel. +41 44 995 6207, Fax +41 44 995 6206
