Welche Schutzsoftware ist für Mac OS X zu empfehlen?

[Cathul]

So, dann mal so: Als Angreifer schicke ich nun z.B. einen Ping an eine Adresse. Zurück kommt nichts, also weiß ich, dass da was ist...aber was ist da? Ein Mac? Ein Unix-Rechner? Ein Windows-PC? Ein Router? Ein Netzwerkdrucker? Ein Webserver? Eine Spielekonsole? Ein iPhone? Ein iPad? Ein iPod? ect.pp.
Ob das Gerät von jemanden Administriert wird, der wenig Ahnung hat sagt dir der Tarnmodus ja wohl mal nicht denn es sagt dir ja nicht, was derjenige vom Tarnmodus denkt? Vielleicht das Gleiche wie auf Macmarks Seite, dann hätte er wenig Ahnung. Vielleicht aber auch das gleiche wie ich, dann kannste wieder nix über die Ahnung des Administrators sagen.

nmap (und auch andere Programme) findet sowas heraus. Auch wenn man einen sogenannten "Tarn-Modus" verwendet.
"Tarnmodus" ist irreführend und in weiten Teilen konträr zu gängigen RFCs die das Funktionieren des Internets "regeln". I.d.R. macht ein "Tarnmodus" nur genau eines, nämlich ICMP kaputt, und das nicht nur auf OSX, sondern auch auf allen anderen Betriebssystemen wo durch einen sog. "Tarnmodus" ICMP defakto abgeschaltet wird. Auch wenn ich in vielen Dingen nicht auf einer Linie mit Macmark liege hat er hier vollkommen Recht, auch wenn er hier nicht weiter ins Detail geht. Ein nicht funktionaler ICMP-Stack ist z.B. extrem häufig ursächlich für sogenannte "Probleme" mit diversen Webseiten, die auf einmal nicht mehr aufgerufen werden können.

Der Nutzen aus dem sog. Tarnmodus ist immer kleiner als die Schäden die durch diesen verursacht werden. Das war in IT-Sicherheitskreisen schon bekannt seit ich anfing mich selber mit dem Thema intensiver zu beschäftigen. Das müsste so um 1998 gewesen sein. ICMP bringt keine höhere Sicherheit, die korrekte Konfiguration des Netzwerkstacks dagegen sehr wohl. Und ist der Netzwerkstack korrekt konfiguriert ist auf dieser Ebene ein maximal möglicher und sinnvoller Schutz gegeben. Ein Tarnmodus bringt da nichts mehr.

Ach übrigens, ICMP abzuschalten verhindert nicht, dass Portscans gegen TCP- oder UDP-Ports durchgeführt werden.

 

[Cathul]

Das beschreibt das Selbe was auch schon Mac OS zum Tarn-Modus schreibt, so what? Nur weil ihr dem Tarnmodus mehr andichtet als er eigentlich tut heißt das doch nicht, dass es keinen Tarnmodus gibt. Der Tarnmodus hat in meinen Augen folgenden Vorteil: Der Angreifer weiß nur, dass da was ist aber er weiß noch nicht was da ist.

Sobald man weiss das da etwas ist, ist das rausfinden was da genau ist auch mit Tarnmodus vergleichsweise einfach wenn die eigentliche Netzwerkkonfiguration noch großes Potential hat.

 

[Madcat]

Und es ist doch eine zusätzliche Hürde.

Der Nutzen aus dem sog. Tarnmodus ist immer kleiner als die Schäden die durch diesen verursacht werden.

Welche Schäden verursacht er denn? Dass es nur ein kleiner Nutzen ist bestreite ich ja nicht.

 

[Somian]

Ethernet aus, Wlan aus.

Nachtrag: Firewall ein; Tarnmodus ein; Haken weg bei signierter Software automatisch erlauben, eingehende Verbindungen zu empfangen

mac aus

 

[Cathul]

Und es ist doch eine zusätzliche Hürde.



Welche Schäden verursacht er denn? Dass es nur ein kleiner Nutzen ist bestreite ich ja nicht.

Es ist keine Hürde, Portscanner lassen sich schon seit Jahren so automatisieren, dass sie abgeschaltetes ICMP einfach ignorieren und trotzdem alle ~65.000 TCP und UDP Ports scannen. Das einzige was einen Portscan verhindern würde, wäre ein "Host not reachable" Reply vom Router beim Provider, und den kann man mit dem lokalen Abschalten von ICMP auf dem lokalen Computer nicht setzen.

Mögliche Schäden: nicht funktionierende Anpassung der Größe der Netzwerkpakete, nicht funktionierende Redirects auf Netzwerkebene sind zwei denkbare Schäden, die zu einer nicht-erreichbarkeit von Zielnetzen/-systemen führen. GMX ist/war z.B. solch ein Kandidat, der gerne mal nicht funktioniert, wenn ICMP abgeschaltet ist.

Frühere ICMP Attacken, z.B. Pingfloods (SMURF-Attacks) etc. funktionieren bei aktuellen Netzwerkstacks nicht mehr, daher besteht kein Grund diese abzuschalten.
Netzwerkscans nutzen auch immer weniger ICMP für Scans, sondern scannen direkt möglicherweise verwundbare Ports.
Auch sind immer weniger Computer direkt an das Internet angeschlossen, sondern stehen hinter einem Router, so dass ICMP-Abschaltung auf dem Computer keinen Effekt auf Netzwerkscans aus dem Internet heraus hat.

Netzwerkfilterung auf dieser Ebene hat darüber hinaus meiner Meinung nach nichts auf einem Computer zu suchen, der normal zum Arbeiten verwendet wird. Dafür sollte man dedizierte Systeme verwenden, z.B. passend konfigurierbare Router. Auch ist es, falls erforderlich, sinnvoller einzelne ICMP Nachrichten abzuschalten, als ICMP generell. Das geht allerdings nicht mit dem Häkchen bei Tarnmodus, sondern nur über die integrierte Firewall ipfw auf Konsolenebene.

Noch genereller gesagt sollten die Finger von Netzwerkfiltern gelassen werden, wenn nicht geplant ist , sich intensiv mit dem Thema auseinander zu setzen.

Genauso kritisch sehe ich z.B. LittleSnitch.
Sicher, das Wissen das sich ein Programm nach aussen verbindet kann wertvoll sein, aber doch auch nur dann, wenn ich weiss, was dort über das Netzwerk transportiert wird. Alleine die Verbindung nach aussen ist per se kein ausreichendes Kriterium um schädliches Verhalten anzunehmen (z.B. Anfrage beim Update-Server ob ein Update vorhanden ist etc.). Aber wer setzt sich dann schon z.B. mit Etherreal und einer Protokollierung und vor allem der Analyse der Netzwerkpakete und des jeweiligen Payloads der Pakete auseinander? Und wieso setzt man dann nicht z.B. Snort ein, um gewarnt zu werden, wenn eine Applikation tatsächlich unerwünschte Daten nach aussen senden will oder Protokollverletzungen begeht?

 

[Killerhund]

Danke für den Beitrag. Netzwerkfilterung direkt am Rechner ist imo noch ein Relikt aus der Zeit als man noch direkt via Modem ins Netz ging.

Sicher kann man LittleSnitch kritisch sehen, allerdings kann es einen schon einen Überblick geben, was Programme so machen. Natürlich wirklich nur dann, wenn der Host auf den das Programm zugreifen will auch aussagekräftig ist.
LittleSnitch taugt halt für User, die verstehen, dass viele Programme auf das Netz zugreifen, ohne dass es gleich gefährlich ist.
Dann kann man z.b. ohne weiteres nach der Installation von Flip4Mac blockieren, dass sich dieses noch mit google-analytics verbinden

 

[FFder1]

Mal eine neue Idee:

Was haltet ihr davon eine virtuelle Maschine mit Mac OS (oder Linux/windows) einzusetzen? Man könnte ja dann alle kritischen Dinge darüber laufen lassen ohne das eigene System zu infizieren und dann alles, was man dann doch noch auf dem Betriebssystem braucht, vorher scannen.

 

[Olaidon]

hallo nochmal,

diese diskussion hat sich ja sehr interessant entwickelt, so stieß ich nun auch auf den "snort"-hinweis und bin begeistert!

also, von der idee eine virtuelle maschine mit osx/win laufen zu lassen halte ich gar nichts, denn man muss seinen mac hochfahren lassen, dann vmware oder parallels hochfahren lassen, na super gefühlte drei jahre später kann ich dann meine emails lesen oder wie?

ich bin ein fan von sicherheit und meine arbeitsweise ist so:

ich bin verschlüsselt im internet mit vpn, wahlweise auch noch ssh-tunnel und squidproxy, anbieter und software dazu gibt es ja einige.

d.h. so sind nur die ports offen welche ich zulasse und ich nicht "direkt" mit dem internet verbunden bin sondern über einen server bei vpn und über drei server mit dem ssh-tunnel und squid-proxy.

auch ist meine netzwerkumgebung nicht die systemübliche, sondern ich habe mir verschiedene netzwerkumgebungen mit verschiedenen localhosts eingerichtet.

ich habe ein sehr kompliziertes systempasswort, bestehend aus zahlen, sonderzeichen, groß und kleinbuchstaben, was länger als 21 zeichen ist.

ich benutze secure email mit pgp-verschlüsselung, da gibt es einen anbieter
in kanada, wo man sich pro jahr mit einem kleinen oboulos eine solche email
einrichten kann. das ist auch 100% kompatibel zu meinen windows-kollegen.

ich öffne KEINE anhänge welche nicht vertrauenswürdig sind.

das ist zwar ein wenig fummelei was ich betreibe und ich habe es aber durch google und zwei tagen zeiten hinbekommen. da ich niemanden hatte, den ich fragen konnte.

alle halbe jahre lasse ich MacScan über mein system laufen und bin begeistert, dass ich immer wieder "clean" bin.

little snitch finde ich wichtig, denn nicht alle programme auf meinem mac dürfen einfach so nach hause telefonieren und generell mache ich ALLE updates manuell.

das mag vielleicht ein wenig umständlich klingen, jedoch mag ich es so zu arbeiten, bin sicher, gebe keine daten raus, die ich nicht dazu authorisiere, keiner
kann meine emails lesen, anhänge welche ich beifüge benenne ich im text der email, wenn dann doch ein "anhängsel" mit dabei ist sollte mein gegenüber diesen halt nicht öffnen...


olaidon

 

[spooner]

Hallo Zusammen,
stehe im Moment vor der selben Entscheidung und bin an sich ein wenig überrascht.
Fazit des Beitrags ist:
Virenprogramm: Sophos
Firewall / Netzwerkkontrolle: Little Snitch

Mich wundert es, dass so wenig über Intego Virur Barrier geschrieben wurde.
Dachte immer das die am längsten auf dem Markt sind (im Mac-Bereich) und dadurch auch einen Technologie-Vorteil haben.

Gruß spooner

 

[LosDosos]

Virenprogramm: Sophos

Ganz schlechte Wahl.
Wenn, dann nur ClamXav.

 

[Tjorben]

Ganz schlechte Wahl.
Wenn, dann nur ClamXav.

Aus welchem Grund soll Sophos eine schlechte Wahl sein ?

 

[LosDosos]

Abgesehen davon, dass der Hersteller Profit aus Angst und Unwissenheit der Macuser schlägt und zu erwähnen vergisst, dass die gelisteten Definitionen sich auf Windowsviren bezieht, kannst Du ja mal die Threads hier raussuchen, bei denen sich die Software tief ins System einnistet und zu Problemen (wie zb GB große Logs) führt.
ClamXav ist da das einzige Programm, das ich mir bedenkenlos auf mein System setzen würde - und kostenlos ist es dazu.

 

[Tjorben]

Wie sollte der Hersteller den Profit aus einer kostenlos angebotenen Software schlagen ?
Das Problem mit den GB großen Logs wurde so weit mir bekannt ist gelöst und das Sophos auch Windows Schädlinge erkennt ist doch jetzt auch kein Nachteil.

 

[LosDosos]

Die Hersteller der kostenpflichtigen Software schlagen daraus Profit, die Hersteller der kostenpflichtigen Software.
Und eine Software, die derartige Probleme bei dem System erzeugen kann, wie bei einigen Usern im Forum kommt zumindest nicht auf meinen Rechner.

 

[KampfFrettchen]

Mal eine neue Idee:

Was haltet ihr davon eine virtuelle Maschine mit Mac OS (oder Linux/windows) einzusetzen? Man könnte ja dann alle kritischen Dinge darüber laufen lassen ohne das eigene System zu infizieren und dann alles, was man dann doch noch auf dem Betriebssystem braucht, vorher scannen.

Vollkommen übertrieben.

Was treibt ihr bitte mit euren Rechner, dass ihr so ein Sicherheitslevel braucht? Dokumente der NSA abtippen?

Leute, arbeitet einfach mit eurem Betriebssystem, schaltet das Hirn ein wenn ihr im Internet seit, klickt nicht jeden Link oder Anhang an der verspricht euch in Sekunden zum Millionär oder Besitzer eines Harems zu machen und ihr seit auf der sicheren Seite.

Ich hab zwar auch einen Hardwarefirewall laufen, aber nur weil ich mich für das Gebiet interessiere und günstig an einen gekommen bin, aber im Regelfall reicht die Firewall von OS X in Kombination mit Little Snitch für ausgehende Ereignisse vollkommen aus.

Wer mal wissen will was so in seinem Netzwerk passiert sollte sich mal Snort[1] ansehen. Ist ein nettes NIDS[2] und teilweise sehr informativ.

[1] http://www.snort.org/
[2] https://secure.wikimedia.org/wikipedia/en/wiki/Network_intrusion_detection_system

 

[avalon]

Abgesehen davon, dass der Hersteller Profit aus Angst und Unwissenheit der Macuser schlägt und zu erwähnen vergisst, dass die gelisteten Definitionen sich auf Windowsviren bezieht,

Ich habe das bereits von Anfang an befürchtet, dass die Hersteller gestützt durch Unwissenheit und Angst (die auch hier verbreitet wird) bald Oberhand gewinnen und ein AV Programm bald zum Standard gehört (den lieben Win Usern die nun OS X benutzen fehlt offensichtlich ein Bestandteil was zu ihrem EDV Leben unabdinglich dazugehörte) und mancher Mac User lässt sich durch die herüberschwappende Flut der ehemaligen Windows Usern verunsichern.

Nicht dest Trotz, Vorsicht ist weiterhin geboten aber bitte keine Panik oder Angst, dass spielt nur Einnahmen in die Kassen der AV Softwarehersteller.

Ich für meinen Teil halte es nach wie vor so, das ich immer noch keine AV Software installiere, weil sie mich nicht vor neuen Gefahren schützt.

Wenn es denn mal so sein sollte, kann ich es immer noch laden und installieren.

 

[naturemac]

hallo nochmal,

diese diskussion hat sich ja sehr interessant entwickelt, so stieß ich nun auch auf den "snort"-hinweis und bin begeistert!

also, von der idee eine virtuelle maschine mit osx/win laufen zu lassen halte ich gar nichts, denn man muss seinen mac hochfahren lassen, dann vmware oder parallels hochfahren lassen, na super gefühlte drei jahre später kann ich dann meine emails lesen oder wie?

ich bin ein fan von sicherheit und meine arbeitsweise ist so:

ich bin verschlüsselt im internet mit vpn, wahlweise auch noch ssh-tunnel und squidproxy, anbieter und software dazu gibt es ja einige.

d.h. so sind nur die ports offen welche ich zulasse und ich nicht "direkt" mit dem internet verbunden bin sondern über einen server bei vpn und über drei server mit dem ssh-tunnel und squid-proxy.

auch ist meine netzwerkumgebung nicht die systemübliche, sondern ich habe mir verschiedene netzwerkumgebungen mit verschiedenen localhosts eingerichtet.

ich habe ein sehr kompliziertes systempasswort, bestehend aus zahlen, sonderzeichen, groß und kleinbuchstaben, was länger als 21 zeichen ist.

ich benutze secure email mit pgp-verschlüsselung, da gibt es einen anbieter
in kanada, wo man sich pro jahr mit einem kleinen oboulos eine solche email
einrichten kann. das ist auch 100% kompatibel zu meinen windows-kollegen.

ich öffne KEINE anhänge welche nicht vertrauenswürdig sind.

das ist zwar ein wenig fummelei was ich betreibe und ich habe es aber durch google und zwei tagen zeiten hinbekommen. da ich niemanden hatte, den ich fragen konnte.

alle halbe jahre lasse ich MacScan über mein system laufen und bin begeistert, dass ich immer wieder "clean" bin.

little snitch finde ich wichtig, denn nicht alle programme auf meinem mac dürfen einfach so nach hause telefonieren und generell mache ich ALLE updates manuell.

das mag vielleicht ein wenig umständlich klingen, jedoch mag ich es so zu arbeiten, bin sicher, gebe keine daten raus, die ich nicht dazu authorisiere, keiner
kann meine emails lesen, anhänge welche ich beifüge benenne ich im text der email, wenn dann doch ein "anhängsel" mit dabei ist sollte mein gegenüber diesen halt nicht öffnen...


olaidon

Dein Aufwand für die Sicherheit deines Systems in allen Ehren, aber ich betreibe nicht einen solchen und habe nach jeden Sophos-Scan (alle 2 Monate) auch ein sauberes System.

 

[geronimoTwo]

Dein Aufwand für die Sicherheit deines Systems in allen Ehren, aber ich betreibe nicht einen solchen und habe nach jeden Sophos-Scan (alle 2 Monate) auch ein sauberes System.

Und?

Hast du damit wirklich schon mal einen Mac-Schädling gefunden,
der -nachweislich- bei anderen Macusern das System zerschossen hätte?

Über die Antwort bin ich jetzt aber mal gespannt!

(Seit 1988 am Mac virenfrei ohne den oben erwähnten
Kladderadatsch unterwegs. Ne, stimmt ja garnicht,
ich benutze »Brain 1.0«)

 

[naturemac]

Und?

Hast du damit wirklich schon mal einen Mac-Schädling gefunden,
der -nachweislich- bei anderen Macusern das System zerschossen hätte?

Über die Antwort bin ich jetzt aber mal gespannt!

(Seit 1988 am Mac virenfrei ohne den oben erwähnten
Kladderadatsch unterwegs. Ne, stimmt ja garnicht,
ich benutze »Brain 1.0«)

Ich habe geschrieben, dass ich nicht einen solchen Aufwand betreibe. Die Aussage "Deinen Aufwand in Ehren" war ironisch gemeint. Ich überprüfe lediglich meinen Mac alle 2-3 Monate mit Sophos und hatte bisher nie einen Treffer (Dank Brain 1.0)!

 

[Bruny]

Ich hab bereits meinen Entschluss gefasst, dass ich mir eine solche Software installieren werde, also bitte ich euch Posts mit "Sowas braucht man doch nicht!" zu unterlassen. Ich weiß eben nur nicht welche die bessere ist!

Ich kann es nicht mehr begreifen. Jenseits jeglicher Zurechnungsfähigkeit (ich bitte um Nachsicht mit ganz viel Zucker oben drauf, dass man einfach nicht drumrum kommt, dies genau so feststellen zu müssen).

Aber wie kann man solche Aussagen überhaupt treffen und dann noch Vernunftsansprüche für sich erheben?!? Du hast dich augenscheinlich (wenn überhaupt) mit Virenprogrammen beschäftigt, aber nicht mit der OSX-Realität.

Wer Antivirensoftware am Mac nutzt, tut das allenfalls für Windows-Leute, mit denen er Daten austauscht. Also um eigentlich unnötiger Weise Verantwortung zu übernehmen, die jene vernachlässsigen, die es eigentlich nötig haben, also Windows-Kumpel. Ansonsten völlig sinnfrei!

Du verhältst dich zuletzt wie jemand, der auf Juist Urlaub macht und sich krampfhaft drauf vorbereiten will, von gefräßigen Aligatoren angefallen zu werden. Nur es gibt da keine! Es gibt allenfalls Geschäftemacher, die dir das einreden und Angst machen! Denen würdest du Geld in den Rachen schieben?!?
Du verhältst dich wie jemand, der im bergischen Land Angst vor einer Springflut hat, weil selbsterklärte Fachleute die Runde machen und daran verdienen, Rettungsboote zu verscheuern. Und anstatt dich mal umzusehen und den Einheimischen hinsichtlich ihrer Erfahrungen zu vertrauen... Nein, es lohnt nicht, dies weiterhin auszuführen.

Little Snitch ist vertbar. Als Virenklemme für arme Windows-Unbelehrbare noch ClamXAV. Spende denen vielleicht noch was. Betreibe ein anständiges Backup-Vorgehen, um anderen Problemen meist technischer Natur vorzubeugen und Datenverlust zu verhindern. Dann hast du alles getan, was noch zu verdauen ist. Und wenn du ganz und gar nicht ohne Sicherheitsbedenken klarkommst, lass Windows in einer virtuellen Maschine im Hintergrund laufen. Dann hat man noch was von altgewohnten Warnmeldungen und kann sich weiterhin etwas thrillen lassen. Genügt das nicht, installiere einfach Windows über Bootcamp und lass OSX komplett links liegen. Es ist einfach zu sicher. Man könnte glatt in Versuchung geraten, sich zu entspannen.

Nachsatz: Wie viele Werbetrolle sich wohl in solchen Threads austoben oder sie ständig aufs neue starten?!? Ich bin jedes mal begeistert über die nachsichtige Geduld der Apple-Community.