Virenscanner am Mac / Iphone

veröffentlicht am : Mo, 29. 05. 2017 geändert am: Do, 10. 08. 2017

Kategorie: Sicherheit

Schlagworte: virus security


Virenscanner auf dem Mac / iPhone?

Die Virus-Angst geht um - auch am Mac... braucht man also einen Virenscanner auf dem Mac oder ist der überflüssig? Zumindest wird mir in letzter Zeit diese Frage des öfteren gestellt.

Grundsätzlich ist die Frage nach einem Virenscanner für den Mac oder das iPhone natürlich gerechtfertigt und jeder sollte seinen Rechner so absichern, dass er sich sicher fühlt - denn recht viel mehr als ein Gefühl bringen die Anti-Viren-Programme am Mac momentan eh nicht. Im Moment sind, soweit ich weiß, eine Handvoll Schadprogramme für den Mac bekannt, die alle von den OSX eigenen Mechanismen erkannt werden und sich somit nicht weiter verbreiten können.

Momentan ist der Mac verschont - aber bald…

"Aber bald, da wird es ganz schlimm kommen.“

Ja, das höre ich auch jedes Jahr. Immer, wenn der Marktantail von OSX steigt, höre ich, dass jetzt bald die Grenze überschritten ist und alle Virenhersteller sich auf den Mac stürzen würden.

Natürlich ist der Marktanteil ein Argument, aber es kommt noch der Aufwand für die Entwicklung dazu. Und der Nutzen…

Vermutlich muss man beides in Betracht ziehen: wird ein System extrem leicht kompromittiert, wird das jemand tun, selbst wenn der Marktanteil verschwindend gering ist. Ist der Marktanteil nicht so hoch, aber das System lässt sich relativ simpel knacken, wir auch das passieren:

Beispiel: der Microsoft Internet Information Server (IIS) wird weit häufiger angegriffen, als der Marktführer Apache

Ist das System allerdings recht schwer zu knacken, muss der Anreiz schon recht groß sein, dass sich jemand die Mühe macht.

Es ist also wohl mehr so was wie ein Produkt aus Marktanteil und Machbarkeit, was die Anfälligkeit eines Systems für Malware bestimmt. Und nicht nur auf OSX gibt es nur wenig bis gar keine Schadsoftware, auch linux ist, obwohl es einen recht großen Marktanteil insbesondere bei Servern hat, immer noch recht verschont geblieben. Marktanteil an Servern.

Wichtig ist dabei auch zu unterscheiden zwischen Viren und Angriffen durch Hacker - vor letzterem ist kein System so wirklich sicher. Und wenn jemand in einen Rechner einbrechen will, gelingt ihm das auch - genügend kriminelle Energie und Motivation vorausgesetzt (siehe NSA & Co).

Linux-Server werden natürlich von Hackern angegrifen, aber entgegen der Bedrohung durch Viren ist das nicht etwas, das „automatisch“ und millionenfach passiert. Da sitzt eine Gruppe von Menschen, die sich entschließen den Server dieser oder jener Firma / Organisation zu hacken um dieses oder jenes zu machen.

Außerdem: „Jeden Rechner, den ich anfassen kann, kann ich auch hacken“.

Bestes Beispiel: das iPhone mit dem Jailbreak. Es ist eigentlich nur eine Frage des Aufwandes… den Rechner eines Schülers zu knacken ist sicherlich nicht so „interessant“ wie den von einem Vorstandsvorsitzenden einer Firma oder einem Politiker.

Gleiches gilt für Viren: die Viren werden nicht „zum Spass“ entwickelt - zumindest meistens nicht. Sondern damit soll auch Geld verdient werden - das ist der einzige Sinn und Zweck davon.

Deswegen hält sich auch immer noch hartnäckig das Gerücht, dass zumindest einige Viren, von den Anti-Viren-Software Herstellern selbst in Umlauf gebracht werden. Wer weiß… 100% ausschließen kann ich das nicht - zumindest habe ich einige Leute kennengelernt, die das wohl bestätigen können.

Wenn das so ist, frage ich mich allerdings, warum es noch keine nennenswerten Viren für Linux oder Mac OSX gibt. Das wäre doch ein gefundenes Fressen für die Antivirenhersteller. Ein komplett neues Marktsegment…

Ich gehe momentan eher davon aus, dass die Viren wirklich nur entwickelt werden, um damit direkt (durch Datendiebstahl, Kreditkarten etc) oder indirekt (durch Spammen, einsetzen als Zwischenstation auf dem Weg zum richtigen Ziel) Geld zu verdienen. Und dann sind wir wieder bei dem Produkt aus Marktanteil und Machbarkeit…

Schadsoftware grundsätzlich

Man muss ja mal grundsätzlich zwischen den verschiedenen Arten von Schadsoftware unterscheiden. In den Medien und den Köpfen der nicht-IT'ler wird das alles gerne als "Virus" bezeichnet. Allerdings ist es für einen sinnvollen Schutz vor diesen Schädlingen durchaus wichtig zu wissen, wovor ich mich genau schützen muss.

Man unterscheidet 3 Arten: Viren, Trojaner und Würmer (wobei natürlich auch viele Mischversionen dieser drei existieren - deswegen Allgemein: Schadsoftware):

  • Viren sind kleine Programme, die sich auf dem System selbst verbreiten und dort Schindluder treiben. Meistens nutzen diese irgendwelche Sicherheitslöcher aus, um dann etwas zu tun, was der Benutzer eigentlich nicht will (DDOS-Attacken gegen dritte, Passwörter ausspähen etc) Wikipedia Definition. Heutzutage sind das meistens Link-Viren. D.h. sie hängen sich an ein Programm oder eine Datei quasi „huckepack“ an. Früher auch sehr weit verbreitet sogenannte Bootsector-Viren wie der berühmt berüchtigte parity B.
  • Würmer sind Schadprogramme, die sich über das Netz weiter verbreiten und Netzwerksicherheitslücken ausnutzen um neue Rechner zu infizieren. Wikipedia. Vor Würmern kann man sich also ganz einfach schützen, indem man kein Netzwerk benutzt - oder zumindest kein Internet. So unpraktisch das klingt, ich war bei einigen Behörden und Abteilungen vor Ort, die sich genau so schützen. Allerdings nicht nur vor Würmern, sondern auch vor Datendiebstahl. Da kann der Zugriff auf das Internet nur durch einen abgeschotteten Rechner erfolgen, der keinen Zugriff ins lokale Netz hat.
  • Trojaner sind meisten als normale "Programme" oder "Werkzeuge" getarnt und machen im Hintergrund etwas, das der Benutzer normalerweise nicht will, oder zumindest von dem er nicht weiß, dass dieses Werkzeugt das tut. Hier wird der User meistens gefragt, ob z. B. der Taschenrechner, den er grad aus dem Netz gesaugt hat, denn die Berechtigung bekommt, auf die Kontakte zuzugreifen etc. Wikipedia zumindest unter OSX wird man in den häufigsten Fällen davor gewarnt.
  • ein neuer Typ an Schadsoftware hat es mit wannacry gerade zu trauriger Berühmtheit gebracht: Ransomware dabei wird meist ein Trojaner genutzt um sich auf dem System einzunisten und sämtliche Daten auf den Platten zu verschlüsseln. Entschlüsseln geht nur, wenn man an den Autor eine gewissen Anzahl bitcoins sendet.
  • natürlich tritt Schadsoftware nicht nur in diesen Reinformen auf, meistens sind es eher Mischungen (wie z.B. auch wannacry eine ist): Trojaner um sich einzunisten, Virus, weil es das system weiter infiziert und systemrechte erlangt, Wurm weil er sich weiter über das Netzwerk verbreitet.

am Mac?

Solche "Warnmeldungen" tauchen am Mac eigentlich fast immer auf, wenn eine Schadsoftware irgendwas tun will - so geschehen auch bei dem Trojaner, der sich über Java in das System eingebettet hat. Da wurden die User auch gefragt, ob sie der Software dies oder jenes erlabuen und es wurde einfach abgenickt.

Versteht mich bitte richtig, ich will die Gefahr von Schadsoftware gar nicht runterspielen, die ist sicherlich vorhanden. Vor Trojanern schützt einen eigentlich nur der gesunde Menschenverstand:

  • Warum muss der Taschenrechner meine Kontakte lesen?
  • Warum will meine neue Notizzettelapp Admin Rechte haben?
  • Warum will Software XY dies oder jenes tun?
  • Ist es clever ein Tool von einer Seite herunterzuladen, die zwielichtige Angebote (cracks, Exploits, raubkopien oder serials) anpreist?

Schwierig wird es, wenn der Trojaner sich auch noch (wie ein Virus) ins System hackt und dort Sicherheitslücken ausnutzt, so dass der User eben nicht mehr gefragt wird. Da ist eine Sichere Betriebssystemarchitektur von Nöten, die das nach Möglichkeit verhindert - bei allen Unixen ist das normalerweise der Fall.

Viren und Würmern kann man nicht so leicht verhindern, denn diese nutzen ja Bugs und Fehler im System aus. Aber auch da sind die Unix Betriebssysteme (und OSX ist eines) durch ihre Architektur wesentlich besser aufgestellt als andere.

Das liegt zum einen an der saubereren Trennung zwischen dem "System" und den "Userprozessen" also auch an der saubereren Trennung zwischen den Usern untereinander bzw deren Prozessen selbst. Und zu Guter Letzt wurde ja auch noch das Sandboxing eingeführt. Auch die grafische Oberfläche ist nicht so eng an den Betriebssystemkern geknüpft wie es z.B. in Windows seit NT der Fall ist.

Es hängt aber immer noch ganz besonders von dem Admin des Systems ab, wie sicher es denn unterm Strich wirklich ist.

Schadsoftware auf dem mobilen Endgerät

Wenn wir schon über die Gefahren von schädlicher Software reden, sollten wir auch mal die momentan oft und viel verwendeten mobilen Endgeräte nicht außer Acht lassen. Gerade Smarphones & Co sind beliebte Angriffsziele, weil sie zum einen eine Menge interessanter Daten beinhalten und es sich mit ihnen leicht Geld machen lässt (z.B. durch versenden von SMS).

Der "Einbruch" in solch abgeschlossene Systeme funktioniert oft über Sicherheitslöcher in dem zugrunde liegenden Betriebssystem, aber auch Angriffe mit sog. social engeneering passieren. Dabei wird der Benutzer irgendwie dazu gebracht, irgendeine Aktion durchzuführen, um einen Trojaner zu installieren oder das System so zu öffnen, dass ein Angreifer eben alles machen kann. Oder der Trojaner gibt sich einfach als eine andere App aus (zum Beispiel in dem die App kopiert und verändert wird).

Trojaner auf Smartphones kommen meist getarnt als kleine nützliche Anwendungen daher - z.b. als Taschenlampe - und lesen dann das Adressbuch aus oder versenden kostenpflichtige SMS, schalten Video und Audio Aufnahme an und überwachen so den Besitzer oder oder oder. Dem kann man nur schwer begegnen, weil man ja im Vorhinein nicht weiß, ob die App die man sich grad installieren will, etwas böses tut. Apple begegnet dem mit dem Review Prozess. Jede App muss, bevor sie im Appstore von irgendjemandem runtergeladen werden kann, sowohl automatisch als auch von einem Apple-Mitarbeiter geprüft werden. Dabei wird sicher gestellt, dass die App keine APIs nutzt, die nicht öffentlich genutzt werden sollen (z.B. Zugriff auf Interna des Systems, Änderungen von Einstellungen etc) und das die App genau das tut, was sie behauptet zu tun - und nicht mehr! Auch das ist kein 100%iger Schutz, aber bringt schon eine Menge (zumindest gibt es momentan keine nennenswerte Malware für iOS). Wobei ich gerne auch WhatsApp, Viber & Co als Malware bezeichnen würde! Diese machen eigentlich genau das, was ein Virus tun würde: Daten abgreifen und auf einen Server hochladen. Nur da stimmt der User noch freudig zu und findet es gut... Aber das ist ein anderes Thema. iOS ist damit etwas besser dran als Android (solange man sein iPhone nicht jailbreaked - dann ist es schnell ein Sicherheitsrisiko). Auf dem offenen Betriebssystem hat man gleich mehrere Probleme. Android basiert zwar auf Unix, allerdings wurden einige Securityfeatures, die Unixe von Haus aus mitbringen, "pervertiert". So wird eine "Art" Sandbox erzeugt, indem man einfach für jede App auf dem Gerät einen neuen User anlegt. So werden die Prozesse sauber voneinander getrennt. An sich eine gute Idee. Leider erzeugt das gleich viele Probleme mit dem Zugriff auf z.B. die SD-Card, die dann für alle lesbar sein muss.

Auch die Sicherheitseinstellungen der Apps kann man momentan nur nach dem Motto "all or nothing" nutzen. Und tut sich auch schwer, die Berechtigungen nachträglich zu ändern. (Das hat sich bei aktuelleren Versionen von Android schon geändert - allerdings nur marginal). Problematisch ist dabei, dass man die Berechtigung im "Vorhinein" bei der Installation der App statisch vergeben muss und sie später nicht mehr anpassen kann. Dieses "All or nothing"-Prinzip macht es Malware Herstellern natürlich ein leichtes, auch da sich die Leute angewöhnt haben, die Berechtigungswünsche einer App einfach abzunicken.

Außerdem haben Andoid apps von Haus aus die Möglichkeit, Code über das Netz nachzuladen - etwas was unter iOS verboten ist. Aus gutem Grund. Wie kann ich denn herausfinden, ob wenn heute die App Wetterdaten lädt, sie morgen nicht eine Schadroutine herunterlädt, die kostenpflichtige SMS verschickt?

Ein weiteres Problem ist, dass es für Android keinen "einzigen" Store gibt, sondern man kann Software aus nahezu jeder beliebigen Quelle installieren.

Natürlich hat auch ein Betriebssystem selbst Fehler, die man evtl. ausnutzen kann, um beliebig guten oder bösen Code auf dem Gerät auszuführen. Deswegen gibt es ja in regelmäßigen Abständen Updates für sowohl iOS als auch Android. Diese sollen die Probleme beheben und das System so sicherer machen. Bei iOS hat man die Gewissheit, dass man ein paar Jahre mit aktueller Software fahren kann (iOS 7 läuft auch auf einem 3 Jahre alten iPhone 4). Bei Android ist das stark vom Hersteller abhängig, da kommt es schon mal vor, dass die Updates für ein Gerät nach 1,5 Jahren eingestellt werden. Insbesondere Android phones aus der Billig-Fraktion werden heute noch mit Android 2.x ausgeliefert. Mit allen darin befindlichen Fehlern und Sicherheitslücken - was es den Bösen Jungs natürlich auch wieder leichter macht.

Die Kombination des etwas unsichereren Ansatzes des System mit den unsicheren Quellen von Software, machen Andoid deutlich anfälliger für Schadsoftware und dadurch auch besonders interessant für Bösewichte. Was zu so grotesken Dingen führt, wie Virenscanner und Firewalls für Smartphones. (Sicherheit von Android: nachlesen)

Man kann von Apple halten was man will, der Ansatz der ausnahmslosen Kontrolle ist für den Endverbraucher zumindest besser. Man muss sich im Normalfall keine Sorgen machen, wenn man Software aus Apples App-Store installiert. Auch wenn man durch die Regeln des Appstore nicht "alles" mit seinem Telefon machen kann... der Normaluser benötigt das eh nicht und merkt nix davon.

Der Poweruser kann sich ja sein Telefon jailbreaken - wenn er weiß was er tut. Denn dann ist ein iPhone auch unsicher - wenn man nicht aufpasst viel unsicherer als Android.

Einfallstor Software

Dummerweise können Viren auch Fehler in auf dem System (egal ob Computer oder Smartphone) befindlicher Software nutzen. Das muss also nicht immer das sein, was man gemeinhin als Betriebssystem bezeichnet. Der Einbruch kann auch über eine Software von einem Drittanbieter kommen, wie es z.B. mit der über Java verteilten Schadsoftware letztes Jahr der Fall war - Einfallstor war Java, nicht OSX (auch wenn die Meldung mal wieder war, dass OSX doch so unsicher sei)! Da ist wieder der gesunde Menschenverstand gefragt, denn auch in diesem Fall wurden die User gebeten dem Java-Plugin auf irgendeiner Webseite, mehr oder minder admin-Rechte zu gewähren. Und auch das wurde abgenickt...

Natürlich kann OSX oder irgend ein Betriebssystem nichts dagegen tun, wenn eine Drittsoftware Unsinn treibt - vor allem, da der User ja zugestimmt hat. Allerdings kann eine so eingedrungene Schadsoftware ja "nur" das tun, was auch die zum Einbruch benutzte App tun kann. Und um die Auswirkungen dessen noch weiter zu beschränken, laufen auf OSX und iOs alle Anwendungen in einer sog. Sandbox. In dieser Sandbox kann man eben nur das machen, was eine "normale" App eben so machen kann. Wenn diese keine Adminrechte hat, hat die Schadsoftware die natürlich zunächst auch nicht.

Wenn also alle Software, die man so laufen hat, mit minimalen Rechten läuft, kann auch eine evtl. darüber kommende Schadsoftware nicht viel schlimmes anstellen - zumindest nicht den Rechner karpern und als Spamschleuder verwenden oder auf andere Prozesse zugreifen oder oder. Allerdings ist es ja nicht das Ziel, eine Software dazu zu bringen, irgend einen Mist zu machen (da ist ja kein Nutzen für den Virenentwickler dahinter), sondern den Rechner dazu zu bringen, z.B. bei einer DDOS-Attacke mitzumachen oder ihn als Spambot zu missbrauchen.

Vor allem aber will man es schwer machen, den Schädling wieder loszuwerden. D.h. der (Schad-)Prozess und die zugehörigen Dateien sollten entsprechend im System "verankert" werden. Das geht im Normalfall aber nur, wenn der Schädling mehr Rechte bekommt, als er momentan hat. Stichwort "Privilege Escalation" - wie kann ein Prozess mehr Rechte erlangen, als ihm beim Start zugebilligt wurden - am besten ohne Zutun und ohne Wissen des Users. Im Normalfall sollte bei solch einem Versuch der User gefragt werden und der kann das erlauben, oder eben auch nicht (kann man einfach daran erkennen, dass ein Zugriff die Sandbox verlässt - sofern das OS Sandboxing unterstützt). Natürlich versuchen die Schadsoftwareentwickler das irgendwie zu umgehen. Das ist unter Unix allerdings etwas schwieriger, als es unter z.B. Windows der Fall ist. (das liegt unter anderem an der anderen Architektur, siehe hier oder hier oder hier. In den meisten Fällen unter OSX wird der User darüber informiert, dass die Software irgendwas komisches machen will.

Aber etwas sollte uns dabei noch viel mehr zu denken geben: wenn ich beliebige Software auf dem Mac als Einfallstor verwenden kann, dann sollte ich die Zahl der Programme ja reduzieren. Insbesondere die Zahl der Programme, die die ganze Zeit laufen und/oder die mit externen Quellen zu tun haben (Browser/Extensions) oder Adminrechte benötigen (wie z.B. Virenscanner). Damit Virenscanner ihre Arbeit verrichten können, benötigen sie Zugriff auf alles und jeden auf dem Rechner. Das geht nur mit Adminrechten. Nicht nur deswegen sind die Virenscanner häufig auch Ziel von Angriffen von Viren und werden selbst als Virenschleuder misbraucht. (Zumindest so was ist schon unter Windows passiert)

Wenn man dann noch hinzurechnet, dass eine Anti-Viren-Software ja "nur" die Viren erkennen kann, die schon eine Weile im Umlauf sind, wird der Virenschutz nicht wirklich stark erhöht, wenn man sich eine solche Software auf den Rechner packt.

Virenscanner auf dem Server

Das spricht gegen einen Virenscanner auf meinem Desktop - ganz anders wird die Sache aber auf dem Server. Nutze ich den z.B. als Mailserver, so muss ich schon dafür sorgen, dass meine Windows-User nicht mit Viren bombardiert werden. Da ist ein Virenscanner quasi ein Muss... was vermutlich auch der Grund ist, warum standardmäßig bei MacOS-Server ein Virenscanner dabei ist.

Das ganze kann man natürlich auch weiter treiben: arbeite ich mit vielen Windows Usern zusammen, die mir evtl. Viren-Mail senden, so sollte ich die auf keinen Fall weiter leiten (sonst wird ja noch jemand infiziert). Dazu muss ich diese Mails aber erkennen. Das ist im Deutschsprachigen Raum noch recht leicht, bisher bekam ich als Virenmail nur irgendwelches Kauderwelsch was schnell als Unsinn zu erkennen war. Arbeitet man international ist die Sache schon schwieriger zu durchschauen. Da ist ein Virenscanner sicherlich nett -für die anderen.

Man darf aber auch nicht vergessen, dass die Virenscanner natürlich auch Ressourcen auf der Maschine benötigen... Und das zum Teil nicht zu knapp (sie schalten sich z.B. bei jedem Dateizugriff dazwischen, oft auch bei Netzwerkkommunikation - das bremst).

Sicherheit ist nicht umsonst

Egal, was man nun macht. Sicherheit in der IT gibts nicht umsonst. Im günstigsten fall wird es umständlich, Dinge zu benutzen, da man Aktionen z.b. Nur durch komplexe Authentifizierungen durchführen kann oder ständig irgendwas bestätigen muss. Im ungünstigen fall kommt es zu Fehlern, weil zu komplex, wird es sehr teuer (Hardware) und eben zudem noch umständlich. Man muss sich überlegen, wo ist welches Maß an Sicherheit sinnvoll. Wo nicht. Ein Irisscanner vor dem Klo hat vermutlich nur bedingt seine Berechtugung...

Gesunder Menschenverstand

Die beste Waffe gegen Malware ist immer noch das Ding was zwischen den Ohren sitzt! Den Kopf einschalten ist wichtig und kann von keiner noch so ausgeklügelten Software ersetzt werden. Deswegen ist es auch nicht ungefährlich, sich auf Unix Systemen einfach zu sicher zu fühlen, so was führt zu Schlampereien etc. Insbesondere wenn man keine vernünftigen Passwörter vergibt, ist man gefährdet. Dann muss ein Virus gar nix mehr „hacken“ - er errät das Passwort und gut ist bzw. nicht gut! Ich will hier gar nicht zu Paranoia aufrufen. Man sollte einfach mit offenen Augen durchs Netz surfen. Software nur von vertrauenswürdigen Quellen installieren und dann diese auch mal hinterfragen. Überhaupt sollte man überlegen, welche App man benutzt, und ob man damit „leben“ kann. Bei Viber und WhatsApp sollte man wirklich mal hinterfragen, was da passiert.

If the product is for free, then YOU are the product

Fazit

Ich habe versucht das hier wenig Anti-Microsoft’sch zu schreiben, was nicht leicht fällt. Viele Sicherheitsprobleme treten momentan nur auf Windows-Systemen auf. Dummerweise ist man bei Windows selbst derjenige, der das System absichern muss und etwaige Sicherheitlücken durch sinnvollen Umgang mit dem Medium Internet und durch vorsichtiges Handeln zu umgehen. Mal abgesehen davon, dass Anti-Virensoftware auch auf Windows nur einen begrenzten Schutz liefert (einige Antivirenprogramme haben eine echt schlechte Erkennungsrate und wenn die Viren aktuell sind, erkennt es gar keiner).

Sollte man auf dem Mac nun eine Antivirensoftware installieren? Ich tendiere eher zu nein, aber es gibt auch gute Gründe das anders zu sehen (und ich bin nicht der einzige: hier und hier. Insbesondere sollte man zwischen Desktop und Server Einsatz unterscheiden. Und das nicht nur für osx - auch auf Linux Servern ist ein Virenscanner sicherlich sinnvoll, wenn Dienste auch für Windows System angeboten werden.

Fast alles, was ich hier geschrieben habe, gilt insbesondere auch für Linux / Unix - oder allgemein für Unix-Betriebssysteme. Auch da gibt es keine oder kaum relevante Schädlinge in freier Wildbahn.

erstellt Stephan Bösebeck (stephan)