Im April 2009 wurde erstmals ein Botnet gefunden, das nur aus Apple-basierten Rechnern besteht. Damit ist klar: Auch für Mac-Nutzer gibt es keine Insel der Seligen, sie sind wie jeder PC-Anwender im Visier der Cyberkriminellen. Zwar ist die Bedrohungslage noch lange nicht so massiv, dennoch sollten sich auch Mac-Nutzer mit der Anschaffung einer Anti-Viren-Software auseinandersetzen.
Denn eine weitere Gefahr lauert im Einsatz von heterogenen Umgebungen: Einige Malware-Autoren nutzen Mac OS als Inkubator, um von dort aus Windows-Systeme zu infizieren. Vor allem mobile Geräte wie Notebooks sind geeignet, solche Attacken auszuführen. Administratoren sollten also auch bei Macs auf einen geeigneten Malware-Schutz bestehen, wenn die Systeme in ihrem Netzwerk angeschlossen werden sollen.
In diesem Artikel setzen wir uns mit den Gefahren eines Apple-Botnetz auseinander. Dabei beleuchten wir den Mac-Virus OSX.RSPlug.A genauer und zeigen, warum Conficker den Mac zwar nicht betrifft, Apple-Nutzer aber dennoch Sicherheitsvorkehrungen treffen sollten. Wir zeigen Ihnen, wie Sie Ihren Mac auf den Virus überprüfen und wie Sie die größten Schwachstellen im Mac OS X schließen.
Was den Mac unsicher macht
Der Mac-Virus OSX.RSPlug.A hat gezeigt, wo die Gefahr für Mac-Besitzer am größten ist: Wenn man die manipulierte Software selbst installiert. Bei OSX.RSPlug.A ist es eine angeblich fehlende Software für die Wiedergabe eines Videos; unter Windows ist einer der Tricks, sich als Antivirensoftware auszugeben (zum Beispiel „Spyware Protect 2009“).
Relativ gering ist dagegen mit Mac OS X die Gefahr, allein beim Besuch einer Internet-Seite (ohne Zutun des Benutzers) oder bei einer bestehenden Internet-Verbindung „gehackt“ zu werden. Denn für Hacker bietet Mac OS X weniger Angriffspunkte – zumindest solange man die diversen Komfortfunktionen nicht nutzt, die Apple in den Systemeinstellungen unter „Sharing“ anbietet. Wer einige davon privat nutzen will oder muss, findet im Kapitel „Sicher trotz Sharing“ die wichtigsten Sicherheitstipps zu diesem Thema. Wer die Dienste unter „Sharing“ in einer Firma nutzt, sollte sich darauf verlassen können, dass die Firma passende Sicherheitsvorkehrungen getroffen hat – wer ein Mac-Notebook aus der Firma mitnimmt, sollte prüfen, ob die Dienste zu Hause nicht abgeschaltet sein können.
Allen diesen „Diensten“ (oder „Services“) ist eines gemeinsam: Sie starten ein Hintergrundprogramm, das Mac OS X über Internet (oder im lokalen Netz) ansprechbar macht. Findet ein Hacker eine Sicherheitslücke in einem dieser Hintergrundprogramme, kann er versuchen, ob sich diese Lücke nutzen lässt, um den Mac fernzusteuern oder um Dateien vom Mac zu lesen. Sind die Dienste dagegen deaktiviert, kann ein Hacker auch eventuell vorhandene Sicherheitslücken nicht ausnutzen.
Hintergrund: Ein spezialisierter Virus für den Mac
Ende Oktober/Anfang November 2007 tauchen die ersten Berichte über einen Trojaner auf, der sich auf Macs einnistet. Der Softwarehersteller Intego nennt den Schädling „OSX.RSPlug.A“: Er gibt sich als Videocodec aus, der notwendig ist, um gewisse Pornofilme abzuspielen. Der angebliche Codec wird von Porno-Internet-Seiten zum Download angeboten; wer auf das Standbild des Videos klickt, erhält eine DMG-Datei (eine virtuelle Festplatte), die nach dem Öffnen ein harmlos aussehendes Installationsprogramm zeigt. Startet man die Installation, wird man nach dem Kennwort eines Administrators gefragt und danach läuft unter Mac OS X 10.4 und 10.5 (scheinbar) alles wie gewohnt. Nur die versprochenen Videos fehlen.
Allerdings erhält man in Wirklichkeit keinen neuen Videocodec, sondern ein Internet-Plug-in, das die eigentlich schädliche Software installiert. Das Internet-Plug-in wird automatisch mit allen Browsern geladen, deshalb ist der Schaden in der Regel schon geschehen, wenn man einen Browser nach der Installation des angeblichen Codecs startet.
Der Schaden, der durch OSX.RSPlug.A angerichtet wird, ist schnell beschrieben: Die Software ändert die Liste der DNS-Server und leitet den Nutzer so auf gefälschte Webseiten, um Passwörter und Nutzerdaten zu stehlen.
Wie man OSX.RSPlug.A erkennt und bereinigt
Insgesamt gibt es drei Merkmale für den Trojaner OSX.RSPlug.A. Ein Anzeichen für die Infektion mit dem Trojaner ist die Datei „plugins.settings“ im Ordner „/Library/Internet Plug- Ins“. Da allerdings Hacker dazu neigen, solche Dateinamen von Zeit zu Zeit zu ändern, versteckt sich der Trojaner möglicherweise hinter einem anderen Dateinamen.
Ein anderes Indiz ist ein Eintrag in der Auftragstabelle für den Benutzer „root“, die der Hintergrundprozess Cron auswertet. Diese Cron-Tabelle ist normalerweise für den Benutzer „root“ leer; allerdings hinterlassen manche Spezialprogramme dort Spuren, so dass auch dieses Indiz nicht eindeutig ist. Wer die Tabelle zur Sicherheit prüfen will, muss sich als Benutzer mit Verwaltungsrechten (siehe „Systemeinstellungen > Benutzer“) anmelden, das Dienstprogramm Terminal starten und dort den folgenden Befehl eintippen:
sudo crontab -l
Wenn man diesen Befehl eingibt und die Eingabetaste betätigt, muss man noch das Kennwort für den gerade aktiven Benutzer eintippen, damit das Unix-System den Befehl ausführt. Erhält man die folgende Antwort, kann man sich sicher sein, dass der Trojaner auf diesem Mac nicht aktiv ist:
crontab: no crontab for root
Umgekehrt gilt das aber nicht: Nicht jeder Eintrag in der Cron-Tabelle ist ein Hinweis auf OSX.RSPlug.A.
Die einzig eindeutige Methode, den Trojaner zu erkennen, ist ein Vergleich zwischen den Systemeinstellungen und der Information, die ein Unix-Befehl liefert – das ist aber nur unter Mac OS X 10.5 möglich:
scutil
show State:/Network/Global/DNS
...
exit
Der Befehl scutil liefert Informationen darüber, welche DNS-Server das Betriebssystem verwendet, um Internet-Namen wie www.tecchannel.de in die nummerische Form zu übersetzen. Der Trojaner ersetzt die normal zugeteilten DNS-Server in der Liste durch eigene Adressen, hinter denen manipulierte Systeme des Hackers stehen. Damit kann der Hacker den Browser zu völlig anderen Servern schicken. Wer beispielsweise auf der Suche nach www.ebay.com war, wurde vom Trojaner zu einer gefälschten Internet-Seite geleitet, die ähnlich aussieht wie Ebay USA, die aber nur dazu dient, Benutzername und Kennwort von Ebay-Teilnehmern in Erfahrung zu bringen.
Ist der Trojaner aktiv, stehen vor oder nach den normalen DNS-Einträgen weitere. Zum Vergleich kann man (nur unter Mac-OS X 10.5) die Liste der DNS-Einträge in den Systemeinstellungen prüfen (unter dem Punkt „Netzwerk“, wenn links die Schnittstelle gewählt ist, über die die Internet-Verbindung hergestellt wird).
<dictionary> {
ServerAddresses : <array> {
0 : 192.168.13.13
1 : 192.168.13.14
}
DomainName : officemuc.idg
}
Bei einem manipulierten System sieht in den Systemeinstellungen eine Liste von DNS-Servern, wobei die Einträge teilweise in grauen Buchstaben und teilweise in schwarzen dargestellt werden.
Ist ein System befallen, entfernt man den Trojaner am einfachsten mit einer Anti-Viren-Software, etwa dem kostenlosen ClamXav. Doch auch eine manuelle Reinigung ist möglich. Dazu müssen sie die Internet Plug-Ins sowie den entsprechenden cron-Job entfernen. Die Seite MacApper hat dazu eine Anleitung geschrieben.
Sicherheit trotz Sharing
Als Betriebssystem ist Mac OS X ist ab Werk relativ sicher. Das liegt vor allem daran, dass Netzdienste (in den Systemeinstellungen unter „Sharing“) deaktiviert sind. Wir prüfen, welche Dienste einigermaßen sicher und welche möglicherweise gefährlich sind.
In den Systemeinstellungen unter „Sharing“ legt man fest, ob (und wenn ja, wie) Mac OS X auf Anfragen aus dem Netz antwortet (das kann das lokale Netz in einer Firma sein oder das globale Internet). Jeder dort aktive „Dienst“ braucht mindestens ein Hintergrundprogramm, das auf entsprechende Anfrage aus dem Netz aktiv wird. Oder anders formuliert: Wer „Printer Sharing“ aktiviert, stellt damit einen Drucker, der über USB am Mac angeschlossen ist, anderen Benutzern im Netz zur Verfügung.
Solange dieser Dienst aktiv ist, wartet im Hintergrund die Unix-Software cups auf Anfragen anderer Benutzer. Beim Druck ist dann keine Autorisierung notwendig: Ein anderer Mac kann auf einem „freigegebenen“ Drucker ohne Angabe von Benutzername und Kennwort drucken.
Relativ ungefährlich sind folgende Dienste
PRINTER-SHARING Das dazugehörige Hintergrundprogramm cups wird regelmäßig aktualisiert; Sicherheitslücken regelmäßig geschlossen.
WEB-SHARING Dahinter steckt der Webserver Apache, von dem Apple in Mac-OS X eine nicht ganz aktuelle Version verwendet. Da Sicherheitslücken aber regelmäßig geschlossen werden, ist die damit verbundene Gefahr relativ gering.
ENTFERNTE ANMELDUNG Gemeint ist der Unix-Dienst ssh (= „secure shell“), dessen Hintergrundprogramm als gut geschützt gilt. Wenn aber zum Beispiel ein Benutzer namens „admin“ eingerichtet ist und das Kennwort leer ist oder „admin“ lautet, dann wird die „Entfernte Anmeldung“ zum offenen Tor: Mit dieser leicht zu erratenden Kombination aus Benutzername und Kennwort kann jeder die komplette Kontrolle über den Mac übernehmen. Sicher ist dieser Dienst nur, wenn das Kennwort schwer zu erraten ist.
SCREEN-SHARING, ENTFERNTE VERWALTUNG Beide Dienste greifen auf Apples Software Remote Desktop zurück; in den Optionen lässt sich außerdem das Hintergrundprogramm VNC aktivieren. Wie bei der entfernten Anmeldung ist die Sicherheit dieses Dienstes von der Qualität des Kennwortes abhängig. Manche Experten halten VNC für weniger sicher als Apple Remote Desktop; wir raten dazu, diese Option nur zu aktivieren, wenn die Arbeit mit Apple Remote Desktop nicht möglich ist.
Kritisch sehen wir die Dienste
FILESHARING Filesharing ist ein Sammelbegriff für Dienste, die den Zugriff auf die Festplatte des Mac erlauben (oder auf einzelne „freigegebene“ Ordner). Seit Mac-OS X 10.5 wird das Kennwort für Filesharing nicht mehr im Klartext übertragen; ist also für andere Personen im gleichen Netz nicht mehr ohne weiteres lesbar. Doch das gilt nur, wenn man weder FTP- noch SMB-Sharing aktiviert. Bei diesen beiden Diensten wird das Kennwort weiter im Klartext übertragen – deshalb sollte man diese Zugriffsart nur in einem gut geschützten Firmennetz aktivieren und speziell bei einem Notebook auf Reisen abschalten. Ganz generell empfehlen wir bei Filesharing den Gastzugriff abzuschalten.
INTERNET-SHARING Damit wird ein Mac zum Router; sprich: der Mac nutzt beispielsweise Airport, um ein weiteres Gerät in das drahtgebundene Ethernet zu bringen. Damit muss der Mac aber alle Daten von einem Anschluss zum anderen transportieren, wobei immer die Gefahr der Überlastung besteht. Bislang konnte man diese Funktion immer wieder dazu nutzen, bei extremer Überlastung oder bei einem Fehler in der Transportsoftware (= „routed“) beide Internet-Verbindungen lahm zu legen.
BLUETOOTH-SHARING Für den Betrieb einer drahtlosen Maus oder Tastatur muss Bluetooth-Sharing nicht aktiv sein. Notwendig ist die Funktion nur, wenn man beispielsweise Dateien zwischen einem Handy und dem Mac übertragen will. Wir empfehlen Bluetooth-Sharing nur zu aktivieren, wenn wirklich Daten übertragen werden und danach wieder auszuschalten. Außerdem sollte man generell festlegen, dass der „Verbindungsaufbau nötig“ ist – denn dann muss man das Bluetooth-Gerät mindestens einmal bei Mac-OS X anmelden und registrieren, damit die Kommunikation funktioniert.
ENTFERNTE APPLE-EVENTS Dieser Dienst erlaubt die Fernsteuerung eines Mac von einem anderen aus; benutzt werden dabei Applescript-Befehle. Nach der Eingabe von Benutzername und Kennwort erhält man bei der Fernsteuerung keine weiteren Informationen, dass der Mac gerade im Hintergrund Befehle eines anderen Rechners ausführt. Deshalb empfehlen wir dringend diesen Dienst nur einzuschalten, solange man diese Funktion benötigt.
Conficker: Mac kein Hauptziel, aber Verbreitungsweg
Intego und andere Anbieter von Antivirensoftware für den Mac haben Entwarnung gegeben: Der Computerwurm Conficker (alias „Downadup“ oder „Kido“) ist eine Gefahr für Windows, speziell für Windows XP, Mac-Nutzer bleiben aber einstweilen verschont. Möglicherweise könnte der Wurm sich aber in einer virtuellen Windows- Umgebung wie Apple Bootcamp, Parallels Desktop oder Vmware Fusion festsetzen.
In diesem Fall sollte man unter Windows beispielsweise die kostenlose „Software zum Entfernen bösartiger Software“ von Microsoft installieren (oder ein anderes kommerzielles Antivirenprodukt von Herstellern wie Symantec, Kaspersky oder F-Secure). Die Hacker hinter Conficker hatten anfangs eine Sicherheitslücke in Windows genutzt, um den Wurm zu installieren. Neuere Varianten des Wurms versuchen aber verstärkt, in Firmennetzen die Sharing-Dienste von Windows-PCs als Eingangstor zu nutzen.
Wieder andere Varianten werden über USB-Stick oder CDs verbreitet, wo sie sich als automatisch startendes Programm tarnen. Allen Verbreitungswegen ist gemein, dass Mac OS X dagegen immun ist. Wer viele Daten (per E-Mail oder auf CDs und ähnlichem) erhält, sollte dennoch auf dem Mac Software installieren, die Conficker erkennt und entfernen kann. Daher macht es durchaus Sinn, seinen Mac mit Anti-Viren-Software zu schützen. Denn so verhindert der Mac-Benutzer, dass er im Netzwerk oder im Bekanntenkreis als Virenschleuder Dateien Viren an Windows-Nutzer schickt.
Update-Muffel sind gefährdet
Für Windows und Mac OS X veröffentlicht der jeweilige Hersteller in mehr oder minder regelmäßigen Abständen Aktualisierungen oder „Updates“. Microsoft hat dafür den zweiten Dienstag im Monat etabliert; Apple liefert unregelmäßig: Das Update auf Mac OS X 10.5.6 am 15. Dezember 2008 und ein Sicherheits-Update 2009-001 am 12. Februar 2009.
Wer auf diese Aktualisierungen verzichtet, ist leichte Beute für Hacker: In der Regel veröffentlichen Microsoft und Apple nach einem solchen Update detaillierte Informationen über geschlossene Sicherheitslücken. Was im Gegenzug bedeutet, dass Hacker Informationen bekommen, wo sich ein Angriff lohnt: Wer etwa Apples „Security Update 2009-001“ nicht installiert, hat eine offene Sicherheitslücke in Safari, mit der sich Javascript-Befehle in RSS-Nachrichten verstecken lassen. Deshalb kann es für Hacker lohnend sein, entsprechend präparierte RSS-Nachrichten im Internet anzubieten und auf Internet-Surfer mit veraltetem Mac-Betriebssystem zu warten.
Wir empfehlen für Updates von Apple folgendes Verfahren: In den Systemeinstellungen wechselt man in den Bereich „Softwareaktualisierung“ und aktiviert dort die tägliche Suche nach Updates: „Nach Updates suchen: Täglich“. Danach deaktiviert man allerdings die Automatik „Wichtige Updates automatisch laden“; damit man jederzeit vollständige Kontrolle über den Ablauf hat. Dann wird man täglich über Updates informiert; steht in der Liste ein Update für das Betriebssystem „Mac OS X ...“ oder ein „Security Update“ macht man sich eine Notiz auf Papier oder im elektronischen Kalender. Spätestens nach einer Woche sollte man dieses Update dann installieren, aber nicht ohne vorher auf den einschlägigen Informationsbörsen im Internet (Apple Discussions oder Macwelt Online) nach möglicherweise darin enthaltenen Fehlern zu suchen.
Installierte Software muss aktuell sein
Ein Hacker hat auf der Konferenz Consec West im März 2009 gezeigt, wo heute eine der Gefahren für Mac-Besitzer liegt (selbst wenn man Anfängerfehler vermeidet): Das Preisgeld für einen schnellen Einbruch in einen Mac verdiente er sich mit einem Einbruch in Safari – in unter einer Stunde. Obwohl die Details noch nicht klar sind, zeigt das, wo die Gefahr liegt: Bei Zusatzsoftware wie Adobe Reader, Adobe Flash oder dem Plug-in Flip4mac, mit dem man im Browser Windows-Filme abspielen kann. Diese Software kann Fehler enthalten, die ein Hacker für den Einstieg in das Betriebssystem nutzen kann. Der Umkehrschluss heißt deshalb, dass man Zusatzprogramme auch regelmäßig aktualisieren muss.
Hacker nutzen gerne weit verbreitete Software. Auf dem Mac zählen dazu die Browser Firefox und Safari, Adobe Reader und das dazugehörige Reader-Plug-in, Adobe Flash Player-Plug-in sowie das Plug-in Flip4mac. Verwendet man eines dieser Programme oder Plug-ins, sollte man regelmäßig (mindestens einmal im Monat) deren Versionsnummern prüfen. Die Browser sollten im Ordner „Programme“ zu finden sein, die Plug-ins im Ordner „Library/Internet Plug-ins“. Zur Gegenkontrolle nutzt man Update-Dienste wie MacUpdate oder Versiontracker – dort werden täglich aktuell die neuesten Versionen der Software veröffentlicht.
Fazit
Macs haben den guten Ruf, „angriffssichere“ Computer zu sein. Was uns aber seit Jahren beschäftigt, ist Apples unguter Ruf, wenn schnelle Reaktion auf eine Bedrohung gefragt ist. Stefan Frei von der Universität Zürich hat dazu eine Zählmethode entwickelt und sechs Jahre gezählt: Wie viel Zeit vergeht, bis ein Hersteller eines Betriebssystems auf eine schwere Bedrohung reagiert und ein Update bereitstellt, das den Fehler behebt? Hier liegt Apple klar hinter Microsoft.
Für die Zukunft schadet es auch den Mac-Nutzern nicht, wenn sie deutlich mehr Vorsicht walten lassen. Denn schon lange sind auch die Apple-Rechner im Visier von Kriminellen. Die Windows-Fraktion hat hier einen Vorteil: Seit Jahren wird sie mit Malware bombadiert, Sicherheits-Software gehört mittlerweile auf jede Windows-Maschine. Bleibt zu hoffen, dass sich auch auf dem Mac ein Bewusstsein für Sicherheitsproblematiken entwickelt. (mja)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterzeitschrift MacWelt.