Jetzt möcht ich auch mal noch meinen Senf zu dem Thema dazugeben.
Hallo zusammen,
nachdem ich jetzt so ungefähr 9 von (wieviele Seiten?) gelesen habe, habe ich den Eindruck gewonnen, dass sich die ganze Diskussion im Kreis dreht und nur von wenigen Autoren hier auch vernünftige, fundierte Beiträge kommen.
Zuallererst: ich bin kein Windows-Fan, aber es ist nun mal ein System, das durchaus seine Berechtigung hat, vor Allem in grossen Unternehmensnetzen, wo die meisten Anwender sowieso nur ihr Office (in erster Linie Word, Excel und Kaderleute vielleicht auch noch Powerpoint) einigermassen beherrschen. Natürlich auch firmeneigene Branchensoftware. Für den Rest ist vor Allen in grossen Unternehmen die IT (Betrieb und Deployment) zuständig, und da tut jedes Unternehmen gut daran, sich ein paar Spezialisten zu angeln, die einer Bedrohung von aussen übers Internet einigermassen wirksam entgegenwirken können - nicht so wie bei SONY die letzten Tage!
Ich bin seit einigen Jahren Mac-Fan, weil ich beruflich aus der UNIX-Welt komme (allerdings SCO-UNIX, Solaris und nicht BSD). Da kann ich, wenn ich irgendwas versaubeutelt habe, meist runter auf die Shell und versuchen gerade zu biegen, was gerade zu biegen ist. Ich kenn mich mit UNIX einfach besser aus, auch wenn ich mal vor Jahren einen MCSE (Microsoft Certified System Engineer) gemacht habe.
Aber ich finde es einfach nicht fair, wenn die UNIX- und die Mac-Gemeinde auf der einen Seite stehen, und permanent mit dem Zeigefinger auf die Windows User zeigen und sich einen ablästern.
So, und nun mal zum eigentlichen Thema.
- Viren: so ca. in den 80er Jahren hat es doch mit Viren angefangen. Der Grund dafür: es erschien wohl irgendwie reizvoll, in einem Executable-File (damals vorzugsweise .com Dateien) irgendeinen zerstörerischen Code zu verstecken, der dann auch noch in der Lage war, sich im Bootrecord der Festplatte einzunisten und so ziemlich jedes ausführbare Programm ebenfalls zu befallen. Der 'Vertriebsweg' dieser Viecher waren damals in der Regel Disketten, die man an Bekannte weitergab oder, schlimmer, an Geschäftskunden. Da hatte so manches Softwarehaus gleich einen herben Imageschaden weg. Von (echten) Viren, die sich grossartig übers Internet verbreiten, habe ich eigentlich noch nicht viel gehört. Diesen Part übernehmen im Internet die Würmer, und auch von denen habe ich noch nicht einmal gehört, dass sie ein UNIX- oder Mac-System befallen hätten.
- Trojaner: Von denen geht heute die wirkliche Gefahr aus, sei es in Mails, in JPeGs, oder auch in Videodateien, Flash- und Quicktime. Zumindest ist ds mein Informationsstand. Die können natürlich jedes System befallen, egal, ob Mac oder Windows. Auch bei Java-Applets bin ich persönlich immer ganz vorsichtig und studiere genau den Zertifikatsbaum oder lasse mir eine Bestätigung des Fingerprint geben. Mit Java-Applets kann man , wenn man will, auch recht böse Dinge anstellen. Java ist jedoch, das betone ich hier ausdrücklich nochmal, weil nicht jedes MU-Mitglied ein versierter Crack ist, NICHT mit JavaScript zu verwechseln. Wenn nicht gerade die Ajax-Technologie zum Einsatz kommt, ist JavaScript harmlos, weil es lediglich lokal die über HTTP empfangenen Daten aufbereitet und somit ein Layer in der Darstellungsschicht ist. Mit JavaScript Festplatte löschen o.ä. iss nich!
- Spy- und Malware: das sind die Kanditaten, die einem oft genug über irgendwelche zweifelhaften Internetprotokolle untergejubelt werden. Diese sind, wie Trojaner auch, darauf ausgelegt, groben Schaden anzurichten, sei es in Form von Datenzerstörung oder in Form von Ausspähung sensibler Daten.
- Am perfidesten finde ich das Phishing: Das kann nun wirklich fast jeder Affe. Man schickt ein Spam-Mail und warnt darin z.B., dass es bei der Bank irgendein Sicherheitsproblem gebe. Dann wird der Kunde aufgefordert, einen (bei GENAUEM Hinschauen dubiosen) Link anzuklicken, der einen auf einen Server mit gefakter Webpage leitet. Dort soll man dann seine Login-Daten eingeben und anschliessend diesen und jenen Schritt ausführen. Sinn davon: es werden lediglich die Login-Daten geklaut, alles andere ist Makulatur. Und mehr als die Login-Daten von hunderten von Kunden einer Bank brauche ich ja nicht!
- Für die meisten Häcker am interessantesten ist es aber, in irgendwelche Netzwerke (private oder Firmennetze) einzubrechen und die Kotrolle über diese Netze zu übernehmen. Sie klauen sich dann die Root- oder Admin-Konten, und reissen sich quasi die fremde Hardware übers Internet unter den Nagel, um, sobald genügend Hardware zur Verfügung steht, massierte Angriffe gegen Grossunternehmen zu reiten. Das muss der ultimative Kick sein! Nach gelungener Aktion kommt man dann ja im Fernsehen und steht in allen Zeitungen.
Gegenmassnahmen:
Gegen Java-Applets und Phishing Attacken kann man sich eigentlich nur mit Intelligenz und Wachsamkeit schützen. Viele Firewalls bieten die Möglichkeit, Java-Applets zu blockieren, das ist aber auch nicht immer sinnvoll - in einem Firmennetz würde ich das aber tun und nur auf eigene Applets oder geprüfte, die man dann auf einem extra Proxy ablegen kann, vertrauen. In den eigenen vier Wänden wäre das dann doch übertrieben.
Off-Topic: Weil wir gerade bei Java sind, jetzt hab ich mir doch an meiner Kaffetasse die Finger verbrannt
Gegen die anderen Bedrohungen kann man jedoch mehrere Dinge tun.
- Auf jedem Rechner so wenig Dienste freigeben wie möglich, so viel wie nötig. Wenn man übers LAN Dateien von anderen Rechnern haben möchte/muss, so muss man natürlich die Dateifreigabe aktivieren. Wenn ich nicht möchte, dass andere Teilnehmer im LAN Fotos in meiner iPhoto-Library durchstöbern, erteile ich die iPhoto-Freigabe natürlich nicht. Was in diesem Zusammenhang die neue, von Apple eingeführte Application-Firewall soll, habe ich noch nicht ganz durchschaut, da scheint mir so manches "doppelt gemoppelt".
- Auf jedem System im LAN, ob nun Windows oder Mac OSX gibt es die gute alte IP-Firewall. Unter OSX 10.6 ist mir allerdings unangenehm aufgefallen, dass sie entweder nicht konfiguriert ist oder nicht läuft oder Beides. Das war unter OSX 10.4 besser; wie es bei 10.5 aussieht, weiss ich nicht. Auch hier gilt wieder: was an Ports nicht gebraucht wird, wird zugemacht! Nur was effektiv an Ports benötigt wird, sollte man öffnen.
Mit diesen Massnahmen sind alle Systeme innerhalb des LAN auch gegenüber anderen LAN-Teilnehmern schon mal wirkungsvoll geschützt. Dass es nicht ganz trivial ist, einen IP-Filter adäquat zu konfigurieren, ist mir auch klar, aber viele Mac-User haben (vertrauenswürdige!) Bekannte oder Freunde, die dabei helfen können.
[3.]Für den Schritt vom LAN ins WAN empfehle ich UNBEDINGT einen Router mit FW-Fähigkeiten. Wer ohne ans Netz geht, ist selbst schuld und das unabhängig vom Betriebssytem. Gerade bei Windows ist es umso wichtiger, weil man sich (hab ich schon erlebt) am Internet ohne weiteres Zutun innerhalb von Sekunden einen Wurm einfangen kann, der im letzten Security-Update noch nicht berücksichtigt ist. Für UNIX- und Mac OSX Systeme ist es in erster Linie wichtig um sich vor Ausspähung oder Datenklau zu schützen. Auch muss man an der Firewall die Ports schliessen, die im LAN freigegeben sind, z.B. iTunes. Es haben schon manche Leute massiv Ärger bekommen, weil ihre Mediathek plötzlich im Internet zu sehen war, und andere Internetbenutzer sich an der Musik frei bedienen konnten (Stichwort Copyright-Verletzung). Also auch am Router alle Ports, die man nicht braucht, und das wird meistens sowieso nur der Port 80 sein, wenn man einen eigenen Webserver betreibt, oder auch 21/22, wenn man einen FTP Server betreibt, unbedingt schliessen!
Sollte mal wirklich kein Router mit FW zur Verfügung stehen (gibt es übrigens ab ca. 50.-- SFr, also 30-40 €), so muss man auf die Schritte 1 und 2 umsomehr Augenmerk legen, bevor man ans Internet geht (über Kabel- oder DSL-Modem). WLAN Router einschl. Airport haben meines Wissens generell FW-Fähigkeiten.
Ansonsten gilt natürlich noch der uralte und lästige Rat, Passwörter von hoher Sicherheit zu verwenden, sie regelmässig zu wechseln und bitte nicht für mehrere oder sogar alle Sites zu verwenden, bei denen man sich hi und da mal anmeldet.
Und für jeden User gilt natürlich, auch die Zugriffsrechte auf Dateien überlegt zu vergeben, ACLs sauber zu strukturieren und unter UNIS/OSX nicht alle Dateien mit 777 auszustatten. Wer tatsächlich mal vom WAN her auf einem System einbricht hat in der Regel (unter UNIX und OSX) die UserId anonymous und unter Windows Guest. Die brauchen in meinen Dateien überhaupt nichts zu suchen!
Für mich als Mac-User sind mein LAN sowie meine PCs (Macs
natürlich) mit den hier geschilderten Massnahmen vollkommen ausreichend geschützt. Obwohl ich in der Beziehung ein bisschen paranoid bin, da ich aus der IT-Security einer Grossbank komme. Da brauch ich keine teure kommerzielle Antiviren-Software. Bei Windows-Systemen sieht es ein bisschen anders aus. Microsoft ist in der letzten Zeit mit der Herstellung von Security Updates sehr schnell geworden, für manche (beim Marktanteil von Windows natürlich viele) Anwender jedoch nicht immer schnell genug. Ob man zum Windows-Virenscan aber unbedingt noch einen Norton Antivirus braucht (Symantec ist in meinen Augen dazu noch sowieso eine Apotheke), ich wage es zu bezweifeln.
Ok, genug jetzt mit der Vorlesung; Euch allen eine Gute Nacht
Gina