Wieso sind macs eigentlich genau sicherer als PC?

Hi
das grösste Problem ist Visual Basic bzw das M$-Basic. Damit kann man Erweiterungen am OS machen und Befehle ausführen lassen, man kann damit M$-Produkte erweitern zB Exel oder Macros schreiben, man kann als ASP Serverscripte schreiben und als Active-X(schlimmste Form) clientseitig Funktionen in eine Webseite bauen... und bestimmt noch mehr. Leider für solche eine Sprache zu viele Optionen und damit kommen eine Menge Sicherheitsprobleme ins Haus.
 
glotis schrieb:
Hi
das grösste Problem ist Visual Basic bzw das M$-Basic. Damit kann man Erweiterungen am OS machen und Befehle ausführen lassen, man kann damit M$-Produkte erweitern zB Exel oder Macros schreiben, man kann als ASP Serverscripte schreiben und als Active-X(schlimmste Form) clientseitig Funktionen in eine Webseite bauen... und bestimmt noch mehr. Leider für solche eine Sprache zu viele Optionen und damit kommen eine Menge Sicherheitsprobleme ins Haus.
Stimmt, aber man wird gefragt ob man es ausführen will. Als Attachment muß man es Doppelklicken.

Das alles sind sehr grobe Fehler. ASP war vielleicht gut gemeint von MS, aber ein riesiges Sicherheitsloch.
 
sgmelin schrieb:
Doch. Hab ich gerade erst gemacht. Setz sudo vorne dran.

Hi besser noch:
# lsof -i -n | egrep 'COMMAND|LISTEN'
ist dann gleich mit PID und einer Überschrift :)
ABER: leider nur TCP-Verbindungen
 
Upnp dienst unter windows abschiesen, dann hat sich das erledigt...
 
maceis schrieb:
ah ja ;) funktioniert tatsächlich.
hätt ich auch selbst draufkommen können.
Da finde ich allerdings nmap übersichtlicher:

Hi
nmap bringt hier nichts da es ein portscan von aussen ist aber ich will in diesem Fall eine Liste mit Ports und PID (netstat bringt auch nicht das gewünschte Ergebnis)
das bsd-tool sockstat liefert vergleichbares und kann mit fink installiert werden, man muss aber fink auf unstable setzen und den source kompilieren.
 
Zuletzt bearbeitet:
glotis schrieb:
Hi
nmap bringt hier nichts da es ein portscan von aussen ist aber ich will in diesem Fall eine Liste mit Ports und PID (netstat bringt auch nicht das gewünschte Ergebnis)
das bsd-tool sockstat liefert vergleichbares und kann mit fink installiert werden, man muss aber fink auf unstable setzen und den source kompilieren.
Kann ich nicht ganz folgen, da ports, die von außen nicht erreichbar imho sind auch nicht angegriffen werden können.
Außerdem kann ich mit nmap problemlos einen lokalen Portscan auf jeder beliebigen Schnittstelle ausführen.
Abgesehen davon erhalte ich das selbe Ergebnis.
Was aber noch viel wichtiger ist.
Unter *unix weiss ich i. d. R. welche ports offen sind, da das System nicht so freundlich ist, wie Windows und Ports nicht von selbst öffnet.
klaus41542 schrieb:
...
ASP war vielleicht gut gemeint von MS, aber ein riesiges Sicherheitsloch.
Was ist das Gegentiel von gut ???
Gut gemeint ! :D
 
Die "gefährlichste" Emails kommen immer von Freunden

klaus41542 schrieb:
Die "gefährlichen" Emails erkennst du, ich bekomme jeden Tag 2-3 Emails, von Leute die ich nicht kenne mit Anhang. Löschen ohne lesen ist das richtige.

Die "gefährlichste" Email mit Virus oder Trojaner kommt immer!! von einem Bekannten oder Freund. Das ist ja das tükische.

Wird ein PC eines Freundeskreises Virenverseucht, dann gehen doch die Mails an das Adressbuch, und da stehen doch nur gute Freunde drinn.

Es ist nicht der "böse" Unbekannte, sondern evt. Dein bester Freund, der seinen Rechner nicht "pflegt" und damit alle anderen Gefährdet.
 
hallo Error,
erstmal: Willkommen im Forum.

Ich kann Dir natürlich nur zustimmen.
Wenn man "gefährliche" emails immer sofort erkennen würde, bräuchte man ja auch keine Virenscanner (auch unter Windows nicht).

Daneben ist die Einstellung
... von Leute die ich nicht kenne mit Anhang. Löschen ohne lesen ist das richtige
für zu Hause u. U. richtig, aber in einem kommerziellen Umfeld natürlich nicht machbar.
 
Der Betreff ist schon eine Aussage, und wenn der Absender von einer nicht bekannten Firma kommt kann ich die eMail löschen. Außerdem hat ein Firmennetztwerk zusätzliche Filter. Das geht also schon. Wenn es wirklich wichtig ist, wird man mich auch telefonisch erreichen.

Zum privaten, die Kontaktliste wird von Outlook. Meine Bekannten benutzen nur HTML basierten Mailzugriff, so bin ich sicher.

Ich fahre jedenfalls seit Jahren gut damit.
 
Und wenn ich von einem Freund eine Mail mit englischen Text bekomme sollte ich auch stutzig werden. Selbst meine deutschsprachigen Kunden schicken keine Englischen Mails. Zumindest nicht ohne einleitende deutsche Worte.
 
klaus41542 schrieb:
Der Betreff ist schon eine Aussage, und wenn der Absender von einer nicht bekannten Firma kommt kann ich die eMail löschen. Außerdem hat ein Firmennetztwerk zusätzliche Filter. Das geht also schon.Wenn es wirklich wichtig ist, wird man mich auch telefonisch erreichen.
* müdes lächeln *
klaus41542 schrieb:
Zum privaten, die Kontaktliste wird von Outlook. Meine Bekannten benutzen nur HTML basierten Mailzugriff, so bin ich sicher.
Ach soooo; na dann bist Du jetzt aber wirklich gut geschützt :)
klaus41542 schrieb:
Ich fahre jedenfalls seit Jahren gut damit.
Prima - dann ist die Welt ja doch noch in Ordnung. :D
Vielleicht sollte ich doch auf Windows umsteigen *grübel*
 
maceis schrieb:
Kann ich nicht ganz folgen, da ports, die von außen nicht erreichbar imho sind auch nicht angegriffen werden können.
Außerdem kann ich mit nmap problemlos einen lokalen Portscan auf jeder beliebigen Schnittstelle ausführen.
Abgesehen davon erhalte ich das selbe Ergebnis.
Was aber noch viel wichtiger ist.
Unter *unix weiss ich i. d. R. welche ports offen sind, da das System nicht so freundlich ist, wie Windows und Ports nicht von selbst öffnet.
Was ist das Gegentiel von gut ???
Gut gemeint ! :D
Hi
nmap versucht mit Verbindungstests auf den ports statistisch zu ermitteln welcher Dienst auf dem Port hört. Bei deinem Post zB hast du auf 3 Ports einen "unknown" Dienst. Ausserdem kannst du nmap überlisten indem du vorspielst ein bestimmter Dienst zu sein. Du kannst nmap sogar ein falsches OS vorgaukeln. Ausserdem willst du ja die Dienste sehen die Kontakt nach Aussen aufbauen ohne dein Wissen(rootkit). Der Dienst wird sich demnach tarnen. Mit netstat und /etc/service kannst man versuchen den unbekannten Diensten im Ausschlussverfahren auf die Spur zu kommen indem man jeden Port und dessen Eintrag überprüft. Viel besser ist aber die PID des lokalen Rechners, dessen Status und die genaue Verbindung, wohin und wofür. Damit kannst du sofort ein getarntes rootkit erkennen das Verbindung nach aussen sucht und kannst auch sehen welchen Dienst anbietet und welche PID es hat und siehst den entfernten Server den es anwählt.
 
glotis schrieb:
Hi
nmap versucht mit Verbindungstests auf den ports statistisch zu ermitteln welcher Dienst auf dem Port hört. Bei deinem Post zB hast du auf 3 Ports einen "unknown" Dienst.
Hier schaut nmap wahlweise in der Datei /etc/services oder in seiner eigenen services-Datei nach.
Wenn unter der Portnummer nichts eingetragen ist, kann nmap folglich auch nichts anzeigen.
Allerdings arbeitet lsof ähnlich und gibt in diesem Fall auch nur die Portnummer aus.
glotis schrieb:
Ausserdem kannst du nmap überlisten indem du vorspielst ein bestimmter Dienst zu sein. Du kannst nmap sogar ein falsches OS vorgaukeln. Ausserdem willst du ja die Dienste sehen die Kontakt nach Aussen aufbauen ohne dein Wissen(rootkit). Der Dienst wird sich demnach tarnen.
Sicher ist der Einsatzbereich von lsof und nmap nicht identisch.
Ein falsches OS vorgaukeln kann man nmap nur deswegen, weil es überhaupt in der Lage ist, ein entferntes Betriebssystem zu erkennnen ;)
Dafür hat lsof, wie Du ja geschildert hast, Optionen, die nmap nicht anbietet.

Ich wollte ja auch nur andeuten, dass mir für einen simplen Portscan die Ausgabe von nmap übersichtlicher erscheint.

Was das Thema rootkits angeht, da ist die Lage imho wesentlich komplexer.
Wer es schafft, bei Dir einen rootkit zu installieren, bei dem muss man damit rechnen, dass er in der Lage ist, Programme auszutauschen.
Dann startest Du plötzlich nicht mehr Dein lsof, sondern die Ersatzvariante des bösen Buben, der damit genau sein kleines "Lauscherchen" tarnt ;)

Hier hilft es nur noch, von einem externen Rechner aus regelmäßig Checksummen von Kommadodateien etc. zu vergleichen. Aber ich fürchte fast, das geht hier zu weit ;)
 
blipper schrieb:
Bis jetzt habe ich folgendes gefunden:
- Ports sind beim Mac grundsätzlich zu
- für Veränderungen auf Systemebene brauche ich ein Admin-Passwort einzugeben (Frage: ich habe als User Admin-Rechte...wieso muss ich dennoch manchmal das Passwort neu eingeben?)

Es sollte aber dennoch erwähnt werden, dass man durch eine Firewall auf windows genau das gleiche erreichen kann ;)
Die OS X Firewall ist nach der Installation auch nicht default ON.

Wenn man auf einem PC nicht mit dem Administrator Account (Default) arbeitet, sondern einen User Account anlegt, müssen Zugriffe auf Systemebene auch bestätigt werden. Leider machen davon viel zu wenig Leute Gebrauch
 
Das ist ja genau der Punkt. Ein Windows User darf erstmal alles. Dadurch wird das System nie DAU-sicher. Aber es ist in Windows leider auch nicht ganz so einfach möglich als nicht-admin zu arbeiten. In Mac OS X werde ich bei Bedarf nach dem Root-Passwort gefragt, Windows verweigert einfach nur die Installation eines Programms. Nur wer weiss, dass er mit Shift-Rechtsklick auf die Datei diese als Admin ausführen kann, kann auch temporär mit Admin Rechten arbeiten.
 
maceis schrieb:
Hier schaut nmap wahlweise in der Datei /etc/services oder in seiner eigenen services-Datei nach.
Wenn unter der Portnummer nichts eingetragen ist, kann nmap folglich auch nichts anzeigen.
Allerdings arbeitet lsof ähnlich und gibt in diesem Fall auch nur die Portnummer aus.
[..]

Hi
lsof zeigt dir noch die PID an, also kannst du genau sehen welcher Prozess läuft.
Ausserdem haben sich meine weiteren Ausführungen auf "sockstat" bezogen und liefert beschriebenes. Dort kannst du sofort erkennen das ein bekannter Dienst sich mit einen unbekannten Server verbindet weil lokale Adresse/Port und Fremder Server/Port aufgelistet werden.
 
maceis schrieb:
* müdes lächeln *
Ach soooo; na dann bist Du jetzt aber wirklich gut geschützt :)
Prima - dann ist die Welt ja doch noch in Ordnung. :D
Vielleicht sollte ich doch auf Windows umsteigen *grübel*
Wenn du dich mit IT auskennst, kannst du auch mit Windows arbeiten, das mache ich schon seit Jahren. Vor allem beruflich, ein großer Konzern arbeitet wohl meistens und Windows. Mit der entsprechenden Vorsicht und den richtigen Tools geht das auch.
Ihr solltet nicht vergessen, das das Problem unter OS X auch da wäre, wenn der Marktanteil bei 90 % Läge.
 
sgmelin schrieb:
Das ist ja genau der Punkt. Ein Windows User darf erstmal alles. Dadurch wird das System nie DAU-sicher. Aber es ist in Windows leider auch nicht ganz so einfach möglich als nicht-admin zu arbeiten. In Mac OS X werde ich bei Bedarf nach dem Root-Passwort gefragt, Windows verweigert einfach nur die Installation eines Programms. Nur wer weiss, dass er mit Shift-Rechtsklick auf die Datei diese als Admin ausführen kann, kann auch temporär mit Admin Rechten arbeiten.


Da hast du Recht. Für den Beginner ist das nicht so einfach zu managen wie ein OS X und Out-of-the-Box ist ein Windows erstmal ziemlich offen.
Vielleicht ist es auch nicht so praktisch.

Man sollte nur nicht so naiv sein und denken, dass ein windows niemals gesichert werden könnte. Ein Schelm names Kevin Mitnick hat auf einem win3.11 (und später win95) die halbe Welt gehackt, sein System allerdings so gesichert, dass später nicht mal das FBI an seine Daten kam.

Man muss halt nur wissen wie ;)
 
klaus41542 schrieb:
Wenn du dich mit IT auskennst, kannst du auch mit Windows arbeiten, das mache ich schon seit Jahren. Vor allem beruflich, ein großer Konzern arbeitet wohl meistens und Windows. Mit der entsprechenden Vorsicht und den richtigen Tools geht das auch.
Ihr solltet nicht vergessen, das das Problem unter OS X auch da wäre, wenn der Marktanteil bei 90 % Läge.

Genau das bestreite ich. Darueber, dass Windows im Vergleich zu OS X offen wie ein Scheunentor ist, besteht ja wohl Konsens. Offene Ports, fehlende Passwort Abfrage, integration von VBA, IE und Active X mit allen Konsequenzen, um ein paar der Gruende nochmal zu nennen. Die haben aber nichts mit dem Verbreitungsgrad sondern mit dem Design des Systems zu tun.

Wenn es mehr OS X Marktanteile gaebe wuerde sich dadurch das Konzept nicht aendern. Auch bei einem hoeheren Verbreitungsgrad des Betriebssystems haetten die Viren, Wuermer oder Trojaner, die alle mit den Schwachstellen die oben erwaehnt sind arbeiten, noch keine bessere Chance sich unter OS X einzunisten und vor allem sich selbststaendig zu verbreiten.

Es ist muessig darueber zu streiten ob die Autoren von Viren creativer wuerden wenn OS X groessere Marktanteile haette. Der Kernel ist ein offener Standard und im wesentlichen seit 30 Jahren unveraendert. Ich erwarte da ehrlich gesagt nicht mehr viel.

Ich arbeite selbst in der IT eines grossen amerikanischen Unternehmens. Der Aufwand der hier betrieben wird um das Netzwerk, die Desktops und vor allem einige Tausend Laptops clean zu halten ist unglaublich. Ich behaupte, in einem OS X Intranet wuerde sich dieser Aufwand signifikant reduzieren.

Cheers,
Lunde
 
Zurück
Oben Unten