OS X: Änderungen seit Flashback

Es sind nun fast zwei Jahre vergangen als laut Medienberichten die Mac-Welt untergehen sollte. Flashback wäre erst der Anfang einer Welle von Schädlingen, die auf OS X zurollen würde. Tatsächlich ist seitdem nichts Vergleichbares mehr bekannt geworden. Digitale Systeme kennen kein Glück, sondern nur Ja oder Nein. Ich bezweifele, daß wir das Glück haben, alle Malware-Autoren hätten plötzlich keine Lust mehr gehabt, Macs anzugreifen. Viel mehr halte ich nüchterne technische Gründe für die Ursache, daß nach einer ganzen Serie von Flashback-Varianten sich keine weiteren Mutationen mehr erfolgreich verbreiten können.

Schädling, Abwehr und Vernichtung

Die erfolgreichste Flashback-Variante nutzte einen Fehler im Java-Plugin für Webbrowser aus. Besuchte man eine Webseite, die ein böswilliges Java-Applet enthielt, konnte es aufgrund dieses Bugs aus seiner Sandbox ausbrechen und Daten auf die Platte schreiben. Auf die Details bin ich in einer Tiefenanalyse: Der Flashback-Trojaner – Wie der bisher erfolgreichste Mac-Schädling funktioniert eingegangen.

Dies sind die Gründe, warum es keine vergleichbaren Wiederholungen mehr gab:

Alle Maßnahmen zusammen machen den Mac zu einem sehr unwirtlichen Ziel für Schad-Programme, die Browser-Plugins angreifen. Am wichtigsten dabei ist das aus User-Sicht vollautomatische weltweite Abschalten betroffener Plugins, was weitere Infektionen stoppt, bis fehlerbereinigte Versionen der Plugins ausgeliefert werden.

Bereits installierte Schädlinge werden mit einem neu erstellten speziellen Killer gelöscht, auf den sich die Malware-Autoren nicht vorbereiten können, denn sie wissen nicht, was Apple per Software-Update rausschicken wird. Anscheinend liegt die jeweils letzte Version des Killers unter /usr/libexec/mrt, wobei mrt augenscheinlich für Malware Removal Tool steht.

Zum Glück keine AV-Software

Handelsübliche Antiviren-Software wäre allein schon deshalb nicht so effektiv, weil sie im Gegensatz zu Apples Software-Update-Funktion, nicht 100% aller Macs erreicht.

Darüber hinaus berücksichtigen Malware-Autoren bekannte AV-Software bei ihren Angriffen. So mancher Schädlinge greift die AV-Software selbst an, weil sie Code unter hohen Rechten zu bieten hat und typischerweise sehr komplex und darum erfahrungsgemäß oft fehlerhaft ist. Vergleiche dazu das Kapitel 6 in A Bug Hunter's Diary. Apples Killer-Update hingegen ist eine sehr schlanke Software, die nur einmal läuft und deren aktuelle Version vorher unbekannt ist.

Normale AV-Software steht auf verlorenem Posten, weil sie ein Problem lösen will, das nachweislich unlösbar ist: Neue Programme als schädlich oder unschädlich einzustufen. Die Details beschreibe ich in der Nicht-Machbarkeit von Anti-Viren-Software. AV-Software ist gezwungen, bei stetig wachsender Malware-Anzahl immer komplexer und intelligenter zu werden, was sie wiederum fehleranfälliger macht. Ein Teufelskreis, den Apple zum Glück vermeidet. Apple packt das Übel an der Wurzel, indem es die Sicherheitslücken mitsamt zugehörigem Plugin schlicht deaktiviert und falls nötig, einen simplen Killer rausschickt, der nur eine einfache Aufgabe hat.

Noch was drauf?

Wer als User selbst noch etwas tun möchte, um seinen Mac effektiv abzusichern, kann eine Silberkugel gegen Driveby-Infektionen lesen und mit ClickToPlugin Plugins immer nur manuell starten, denn Plugin-Malware verwendet immer einen nichtsichtbaren Bereich, kann also nicht manuell aktiviert werden.

Ansonsten bin ich ganz klar Anti Anti-Virus. Und damit zufällig mal einer Meinung mit den beiden größten Mac-Hackern. Im Gegenzug bin ich gar nicht der Meinung der AV-Firmen wie beispielsweise Kaspersky. Denn Ambitionen wie Kaspersky fordert Sicherheitslöcher in iOS, machen AV-Hersteller selbst zur Bedrohung.

Am 13. Dezember 2012 folgte er mir offenbar auf Twitter:

DROPOUTJEEP

Valid XHTML 1.0!

Besucherzähler


Latest Update: 02. June 2017 at 07:36h (german time)
Link: warcraft.realmacmark.de/blog/osx_blog_2014-01-a.php