DualBoot mit Mac OS X 10.5.8 zweimal auf MacBookPro

[oneuseronly]

Zitat von Tocotronaut:

Trotzdem findest du das System eben nicht im EFI des Rechners wieder und das spricht für die Sicherheit des EFI.

Ich kenne mich nicht mit dem EFI aus. Wieso spricht das für die Sicherheit des EFI? Kann es sein, dass die Programmierer von Undercover wollten, dass es nicht im EFI auftaucht und es so programmiert haben?

 

[BoeserDrache]

Also in deinem Szenario gibt es nur eine einzige sichere Lösung. Und zwar ein zweiter Rechner der NIEMALS! Kontakt mit dem Internet oder externen Speichermedien hat.

 

[Tzunami]

Sorry, aber was ist das für eine alberne Diskussion?

Wenn du SOOOOOO eine Angst hast dir was einzufangen, dann verwende zum surfen eine Live CD und gut ist. Ganz hilfreich könnte auch die Kündigung deines DSL-Vertrages sein, dann bist du sicher.

Überall in der Welt gilt das selbe Prinzip: Abwägen zwischen Gefahr und Nutzen. Dein Vorgehen steht in keinem Verhältnis, denn du ballerst mit Kanonen auf Spatzen und diese Spatzen befinden sich noch nicht mal in Schussreichweite.

Die Annahme ist ja, dass das Mac OS X mit Malware verseucht ist...

Versuch es mal lieber mit ein bisschen weniger Annahmen und mit etwas mehr Fakten.

 

[oneuseronly]

@ 42 + @ 43: Dass in der Praxis ein Mac OS X mit aktuellen Updates und einem aufmerksamen Benutzer ausreichen, ist klar. Aber darum soll es in diesem Thread nicht gehen.
Dieser Thread ist theoretisch und hat bestimmte Annahmen, die bei der Diskussion berücksichtigt werden sollen. (siehe Eingangspost)


Mac OS X auf der internen Festplatte ist kompromittiert (mit Malware infiziert) -> System 1
Auf der externen Festplatte befindet sich ein "sauberes" Mac OS X. -> System 2

Kann System 1 auf System 2 Daten auslesen oder anderweitig System 2 infizieren, wenn die folgenden Verhaltensweisen berücksichtigt werden?

wenn du die platte anstöpselst und davon bootest kann keine malware von der internen auf die externe installiert werden, da das eventuell verseuchte system dann ja gar nicht läuft.

vorraussetzung:
die externe platte darf niemals angeschlossen werden, wenn das betriebssystem der internen läuft.
also immer den rechner vorher ausschalten.

Und:

das sollte dann sauber sein, wenn du nicht aus versehen die malware auf der internen von hand startest.

Noch eine Anmerkung: Eine Infizierung von System 2 auf anderem Wege (USB-Stick, Internet etc...) bitte nicht berücksichtigen! Es geht nur um den Einfluss von System 1 auf System 2.

 

[in2itiv]

Es geht nur um den Einfluss von System 1 auf System 2.

...der punkt ist doch ausführlich geklärt.

 

[oneuseronly]

@ in2itiv: falls doch noch jemand etwas dazu einfällt, was dagegen spricht oder zusätzlich zu beachten ist.

Weiterhin würde mich interessieren, ob es noch eine andere Variante gäbe, die ähnlich sicher oder fast so sicher ist, aber keine externe Festplatte erfordert (also mehr Komfort bieten würde).

Eine virtuelle Maschine war ja eine Idee. Können Keylogger/Screenlogger (im normalen Mac OS X auf der internen Festplatte) oder andere Malware auf eine virtuelle Maschine zugreifen, worin man ein "sauberes" Mac OS X benutzt?

 

[Tzunami]

Dieser Thread ist theoretisch und hat bestimmte Annahmen, die bei der Diskussion berücksichtigt werden sollen. (siehe Eingangspost)

Dann sage ich THEORETISCH: "Ja", wenn jemand eine Malware THEORETISCH schreiben würde die dieses THEORETISCHE vorgehen berücksichtigt. Dann ist es selbstverständlich THEORETISCH möglich.

THEORETISCH könnten aber auch Jeff Goldblum und Will Smith an deinem Computer andocken und einen bösen Virus einspielen, sodass deine Schilde für 7 min. versagen.

Beschäftige dich lieber mit realistischen Szenarien, wir sind hier nicht im Kino.

 

[Tzunami]

Keylogger/Screenlogger haben Zugriff auf alle VMs die auf dem "verseuchen" System laufen.

Grundsätzlich ist das sowieso der falsche Ansatz. Der richtige Ansatz: Man verwendet eine VM (Kopie einer Vorlage) die vom Host-System Isoliert wird und arbeitet dann mit der VM im Netz. Wird die VM kompromittiert wird sie gelöscht und eine neu Kopie der Vorlage erstellt und weitergemacht.

 

[oneuseronly]

@Tzunami: Bislang habe ich gedacht, dass VM immer nur in einem Betriebssystem betrieben werden können und einfach ein Programm sind, das man im Betriebssystem startet. Wenn ich dich richtig verstehe, dann kann aber eine VM quasi auch so gebootet werden?

Das heißt, dass man bei diesem Szenario auch eine VM auf eine externe Festplatte installieren könnte?

Hätte das Vorteile gegenüber der Variante, dass man das Betriebssysstem Mac OS X auf eine externe Festplatte installiert?

Das Ganze bezogen auf den Fall: Mac OS X auf der internen Festplatte wäre kompromittiert.

 

[Tzunami]

Nee, einzeln kann man normal keine VM starten. Der Vorteil einer VM ist einfach, der Zugriff endet bei den der VM zur Verfügung gestellten Ressourcen und kommt auch bei richtigen Einstellungen nicht darüber hinaus.

 

[oneuseronly]

Kannst du das etwas veranschaulichen? Was meinst du mit Ressourcen und was meinst du mit "vom Host isoliert"? Wie würde das gehen?

Und würde diese Variante bei einem infizierten OS X auf der internen Festplatte so gut sein oder fast so gut sein wie die Installation eines zweiten OS X auf der externen Festplatte (bei der man davon ausgeht, dass nur das kompromittierte OS X eine Gefahr darstellt und bei richtiger Verhaltensweise - siehe Post #44 - verschont bleibt)?

 

[Tzunami]

Etwas Geduld, ich mache gerade mal eine VM klar, dann kommt da mal ein Bild, dauert aber ca. 20 min Installation.

 

[Killerhund]

du surfst du arbeitest mit der VM
wenn die VM kompromitiert ist, kann sich von dort nichts ohne deinen ausdrücklichen wunsch auf die normale macos installation auf der die vm läuft schreiben, daher bleibt das hostsystem sicher.

btw: screen und keylogger für macos is eher kategorie wirtschaftsspionage

 

[Tzunami]

Hier siehst du z.B. einmal meine echten Platten und in der VM die VM-Platte. Wenn jetzt einer die VM übernimmt wird er deine echten Datenträger nie zu Gesicht bekommen. Wird jetzt die VM angegriffen (wie ist jetzt Nebensache), kannst du sie einfach löschen und eine neue anlegen.

Jetzt die 2 Platten Nummer: Die 2te Platte darf nie angeschlossen werden denn sonst besteht "Infektionsgefahr". Du willst jetzt aber ein Update auf deiner externen "ich bin nicht infiziert" Platte machen. Um 100% sicher zu sein, müsstest du jetzt deine "ich könnte infiziert sein" Platte ausbauen.

Aber diese ganze Diskussion ist sowieso hinfällig, denn du müsstest für beide Systeme jeweils zwei unterschiedliche Identitäten für ALLE Internetaktivitäten haben und trotzdem kann eine der 2 Identitäten für Mist missbraucht werden (Keylogger oder Screening), also ist das ganze Konzept eh fragwürdig und bietet keinen Schutz.

 

[oneuseronly]

Jetzt die 2 Platten Nummer: Die 2te Platte darf nie angeschlossen werden denn sonst besteht "Infektionsgefahr". Du willst jetzt aber ein Update auf deiner externen "ich bin nicht infiziert" Platte machen. Um 100% sicher zu sein, müsstest du jetzt deine "ich könnte infiziert sein" Platte ausbauen.

Ich boote von der externen Festplatte Mac OS X. Dann mach ich die Softwareaktualisierung über das Internet. Wieso kann dann die interne "ich könnte infiziert sein"-Platte Einfluss auf die externe Festplatte mit Mac OS X haben?

Und wieso sind zwei unterschiedliche Identitäten für alle Internetaktivitäten notwendig? Ich möchte jetzt nur die Frage beleuchten, ob die interne Festplatte Einfluss auf die externe Festplatte hat. Alle anderen Möglichkeiten möchte ich ignorieren (beispielsweise, dass sich die externe Festplatte über einen USB-Stick oder durch den Download von Malware aus dem Internet infiziert).

 

[Tzunami]

OSX indiziert neu Dateien automatisch für spotlight, auch von der "ich könnte infiziert sein"-Platte. Diese Funktion könnte sich ein findiger Cracker zu nutze machen. Darum ist es völlig sinnfrei solche Szenerien durchzukauen.

Lücken werden immer ausnutzbar sein und es wird sie immer geben, genauso wie ein Kopierschutz immer umgangen werden kann. Es muss bloss gerade der richtige bad guy bock drauf haben.

 

[oneuseronly]

Läuft Mac OS X in der VM ähnlich schnell wie das normale Mac OS X? Und lässt es sich im VM genauso arbeiten mit allen Programmen wie im normalen Mac OS X? Ist etwas besonderes zu beachten?

Wenn das Mac OS X in der VM kompromittiert ist (auch ohne, dass man es weiß), kann man außerhalb des VM im normalen Mac OS X mit sensiblen Daten ohne Risiko arbeiten? Dauerhaft ohne Risiko?

OSX indiziert neu Dateien automatisch für spotlight, auch von der "ich könnte infiziert sein"-Platte. Diese Funktion könnte sich ein findiger Cracker zu nutze machen. Darum ist es völlig sinnfrei solche Szenerien durchzukauen.

Wenn Mac OS X in der VM mit einer solchen Malware infiziert wird, aber das normale Mac OS X bisher sauber war: Dann kann das infizierte Mac OS X in der VM doch trotzdem nicht auf das normale Mac OS X zugreifen, oder?

 

[StarSirius]

Beim Betriebssystem wirst du keine Geschwindigkeitseinbußen feststellen, Anwendungen können jedoch je nach Anforderungen schon an Geschwindigkeit einbüßen.

Wenn das Mac OS X in der VM kompromittiert ist (auch ohne, dass man es weiß), kann man also außerhalb des VM im normalen Mac OS X mit sensiblen Daten ohne Risiko arbeiten?

Prinzipiell ja, problematisch wird es jedoch, wenn dein Hostsystem kompromittiert wird, dann sind nämlich beide unbrauchbar.

Edit: Ansonsten kann ich mich jedoch nur Tzunami anschließen.

Sorgen würde ich mir übrigens viel mehr um eine gute Backupstrategie der Nutzerdaten machen. Ein System kann ich nämlich ohne Probleme neu aufsetzen, sollte es kompromittiert sein. Die Daten kann ich aber nicht unbedingt aus dem "verseuchten" System übernehmen (schließlich könnte sich dort irgendwo der Schädling verstecken). Ein zweites System hilft hier nämlich auch nicht.

 

[oneuseronly]

Beim Betriebssystem wirst du keine Geschwindigkeitseinbußen feststellen, Anwendungen können jedoch je nach Anforderungen schon an Geschwindigkeit einbüßen.

Woran liegt das? Die Installation der Anwendungen ist doch dann auch innerhalb des VM. Viel Arbeitsspeicher fressende Anwendungen werden dann spürbar langsamer?

Prinzipiell ja, problematisch wird es jedoch, wenn dein Hostsystem kompromittiert wird, dann sind nämlich beide unbrauchbar.

Okay, aber wenn man zum Beispiel ein paar Freeware-Programmen (Wecker oder Programme, die Dateiformate wandeln) nicht ganz traut (also, dass vielleicht Malware drin ist), dann könnte man die doch wunderbar in der VM installieren und dort verwenden und außerhalb der VM weiterhin "gefahrenlos" mit sensiblen Daten arbeiten, oder?

 

[Tzunami]

Okay, aber wenn man zum Beispiel ein paar Freeware-Programmen (Wecker oder Programme, die Dateiformate wandeln) nicht ganz traut (also, dass vielleicht Malware drin ist), dann könnte man die doch wunderbar in der VM installieren und dort verwenden und außerhalb der VM weiterhin "gefahrenlos" mit sensiblen Daten arbeiten, oder?

jup, das geht