Wieso sind macs eigentlich genau sicherer als PC?

B

blipper

Aktives Mitglied
Thread Starter
Dabei seit
15.06.2003
Beiträge
1.325
Reaktionspunkte
170
Hallo,
ich habe hier im Büro eine Diskussion mit einem Kollegen gehabt, der behauptet, dass Spyware, Troyaner etc. auf dem Mac auch möglich sind, aber ausschliesslich (!) an der geringen Verbreitung des Mac scheitern. Ich bin nun anerer Meinung. Was sind die wichtigsten Punkte (vielleicht mit einem kleinen Beispiel dazu), warum Mac OS X grundsätzlich sicherer ist als Win?

Bis jetzt habe ich folgendes gefunden:
- Ports sind beim Mac grundsätzlich zu
- für Veränderungen auf Systemebene brauche ich ein Admin-Passwort einzugeben (Frage: ich habe als User Admin-Rechte...wieso muss ich dennoch manchmal das Passwort neu eingeben?)

Besten Dank für irgendwelche Antoworten (oder ein guter Link tuts auch!)
Alex
 
Die wichtigsten Punkte hast du schon fast genannt:

- geringere Verbreitung, deshalb weniger lohnendes Angriffsziel
- sicherere Grundkonfiguration (weniger Dienste nach aussen hin sichtbar)
- Unix-Rechtekonzept (sehr wichtig!)
- der Grundstock von OS X, Darwin ist als Opensource verfügbar, und wird von freiwilligen Entwicklern auf der ganzen Welt verbessert und auf Sicherheitslücken überprüft
- OS X lässt sich in vielen Punkten intuitiver und einfacher als Win bedienen...dadurch sind Nutzerfehler nicht ganz so häufig
- Firmenpolitik von Apple ist besser als bei Microsoft. Gefundene Sicherheitslücken werden im Normalfall in absehbarer Zeit auch gefixt. Bei MS sind manche Sicherheitslücken seit Jahren bekannt, und trotz Updates immer noch vorhanden.

Generell wäre es durchaus möglich, auch für Mac OS X Viren und Trojaner zu schreiben. Gottseidank gibts noch keine wirklich gefährlichen in der freien Wildbahn, sondern hauptsächlich ein paar Machbarkeitsbeweise (auf die die Virenscannerhersteller sich immer wieder gern berufen)

Wg. Passworteingabe trotz Adminuser: Der Adminuser ist NICHT der Root-User.
Root = der der alles darf
Der Root-Benutzer ist in OS X standardgemäß deaktiviert, du kannst dich mit ihm also erst gar nicht einloggen. Alle Benutzer der Gruppe Admin haben aber die Berechtigung vorübergehend Root-Rechte zu erlangen. Und genau dann musst du das immer mit deinem Passwort bestätigen.

cla
 
hier im unterforum "sicherheit" findest du bereits ohne ende antworten auf deine frage. bitte auch mal selber schauen und nicht alles nur vorkauen lassen. ;)
 
Meiner Meinung nach gibt es 3 wesentliche Grunde, die den OS X Benutzer vor Schaedlingen schuetzen:

Auch der Admin muss fuer die aller meisten Aktionen ausserhalb seines home Verzeichnisses das Admin passwort angeben.
Scripts verlangen eine aktive Beteiligung des Anwenders und werden nicht in Verbindung mit Anwendungsprogrammen einfach ausgefuehrt.
Die meisten Ports sind per default zu.

Diese Gruende haben nichts mit dem Verbreitungsgrad des OS zu tun sondern ausschliesslich mit dem Design des Betriebssystems und dem Sicherheitskonzept dahinter. Und damit, was sie dem halbwegs talentierten Benutzer abfordern um den Rechner halbwegs sicher benutzen zu koennen.

Wir sind uns einig, dass das Doppelkicken auf eine ausfuerbare Datei auf beiden Plattformen die gleichen unangenehmen Folgen haben kann. Ein einfaches apple script genuegt um dein home Verzeichniss zu plaetten, und da hat man in der Regel die wichtigen Daten. Mein vor diesem script bestens geschuetztes System habe ich in einer halben Stunde wieder hergestellt. Das gresste Risiko sitzt auch am Mac vor dem Bildschirm.

Cheers,
Lunde
 
lundehundt schrieb:
Das gresste Risiko sitzt auch am Mac vor dem Bildschirm.

Cheers,
Lunde
Zum Vergrößern anklicken....

Du kannst mit jedem Auto vor den Baum fahren!
Nur gibt es große Unterschiede in der Sicherheit und die ist durch die Konstruktion des Autos bedingt und dadurch bedingt was der Kunde ausgeben will bzw. kann.

Ach ja, Deppen die sich nicht anschnallen findest du in allen Fahrzeugen :D
 
Ein grosser und wichtiger Punkt ist, dass die Netzwerkumgebung auf eigenständigen Produkten basiert. Windows hat ein ausgefeilteres Rechtesystem als Unix, aber leider wird im allgemeinen davon kaum Gebrauch gemacht, d.h. der Admin kann ohne nachfrage einfach alles im System machen. Beim Mac muss eben alles erst bestätigt werden. Sicher, wenn jemand ein schadhaftes Script schreibt und danach dessen Ausführung bestätigt ist der Mac genauso hin, wie ein Windows.
Aber die meisten Sicherheitslöcher bei Windows basieren auf den Netzwerkdiensten, bzw. auf dem Browser, die so tief ins System eingegraben sind, dass auch diese alles machen können. Bei Mac und allen andere Unix derivaten sind die Netzwerkdienste und der/die Browser eigenständige Softwareteile, die von sich aus keine Möglichkeit haben das System zu übernehmen.
Ausserdem ist ein Unix System viel durchsichtiger als ein Windows System. In Windows laufen Dinge ab, die keiner genau nachvollziehen kann (wenn schon in einer Windows Anleitung steht, dass die AD Replizierung zwischen 5 und 15 Minuten dauern kann, dann ist es schonmal nicht nachvollziehbar, wer denn gerade im Netzwerk rumspukt).
Natürlich kommen noch die oben genannten Punte hinzu. In einem Unix sehe ich sehr schnell, welche IP Ports dass offen sind (Stichwort lsof |grep LISTEN).
 
lundehundt schrieb:
...
Wir sind uns einig, dass das Doppelkicken auf eine ausfuerbare Datei auf beiden Plattformen die gleichen unangenehmen Folgen haben kann. Ein einfaches apple script genuegt um dein home Verzeichniss zu plaetten, und da hat man in der Regel die wichtigen Daten.
...
Zum Vergrößern anklicken....
hallo lunde,

mit dieser Aussage implizierst Du doch bereits eine mögliche Lösung für dieses "Problem".
Wirklich wichtige Dateien kann man doch auch woanders als im Homeverzeichnis speichern.
Ich persönlich habe zum Beispiel meine sämtlichen "gewerblichen" Daten woanders abgespeichert.
Um ehrlich zu sein allerdings nicht aus Sicherheitsgründen, sondern der Übersichtlichkeit und des einfacheren BackUps wegen.
Abgesehen davon führe ich nicht "irgendwelche" Appleskripts o. ä. einfach so aus (ich nehme an, das meinst Du mit dem "vor dem Bildschirm sitzenden Risiko" ;))

Noch was allgemeines zum Thema Sicherheit.
Manchmal ist es sinnvoll (vor allem in solchen Diskussionen) sich mal zu überlegen welche Sicherheit gemeint ist (z. B. Sicherheit vor Viren, vor remote-Angriffen, vor Fehlbedienung, vor Datenverlust, vor lokalen Angriffen, usw.)
Dann redet man nicht einfach so ins Blaue hinein.
 
OK, besten Dank, das reicht fürs erste!
@Beasti: ich habe ja auch gesucht, wie glaubst Du, habe ich meine zwei Beispiele gefunden?

Alex
 
sgmelin schrieb:
... In einem Unix sehe ich sehr schnell, welche IP Ports dass offen sind (Stichwort lsof |grep LISTEN).
Zum Vergrößern anklicken....
Kann ich nicht nachvollziehen. Funktioniert zumindest unter OS X nicht so.
 
Doch. Hab ich gerade erst gemacht. Setz sudo vorne dran.

portmap 151 daemon 4u IPv4 0x019e9d8c 0t0 TCP *:sunrpc (LISTEN)
netinfod 162 root 7u IPv4 0x019e9ad8 0t0 TCP localhost:netinfo-local (LISTEN)
rpc.statd 325 root 5u IPv4 0x01b81214 0t0 TCP *:970 (LISTEN)
rpc.lockd 359 root 6u IPv4 0x01b80f60 0t0 TCP *:969 (LISTEN)
rpc.lockd 368 root 6u IPv4 0x01b80f60 0t0 TCP *:969 (LISTEN)
cupsd 369 root 0u IPv4 0x01c5aa68 0t0 TCP localhost:ipp (LISTEN)
mountd 383 root 6u IPv4 0x01bf64c8 0t0 TCP *:952 (LISTEN)
nfsd 387 root 3u IPv4 0x01bf5f60 0t0 TCP *:shilp (LISTEN)
httpd 436 root 16u IPv4 0x01d31500 0t0 TCP *:http (LISTEN)
httpd 437 www 16u IPv4 0x01d31500 0t0 TCP *:http (LISTEN)
slpd 764 root 2u IPv4 0x01c5024c 0t0 TCP *:svrloc (LISTEN)
Zum Vergrößern anklicken....
 
ah ja ;) funktioniert tatsächlich.
hätt ich auch selbst draufkommen können.

Da finde ich allerdings nmap übersichtlicher:
Code: 
$ nmap  localhost

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-10-31 13:33 CET
Interesting ports on 127.0.0.1:
(The 64983 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
21/tcp   open  ftp
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
143/tcp  open  imap
427/tcp  open  svrloc
548/tcp  open  afpovertcp
631/tcp  open  ipp
842/tcp  open  unknown
931/tcp  open  unknown
932/tcp  open  unknown
953/tcp  open  rndc
993/tcp  open  imaps
1033/tcp open  netinfo
2049/tcp open  nfs
3306/tcp open  mysql
 
Als einfachstes wäre es unter Windows nur mit einem DSL-Router ins Netz zu gehen. Dann ist eine automatische Hardware Firewall aktiv, die auch von keinem Trojaner umgangen wird.
Ein Problem ist auch das der XP user auch Admin ist. Ohne gehts kaum, wird sonst zu kompliziert, gibt einige Artikel in der CT darüber.
Windows user installieren zur Probe auch alles was sich downloaden lässt. Daher das große Problem.
 
klaus41542 schrieb:
Als einfachstes wäre es unter Windows nur mit einem DSL-Router ins Netz zu gehen. Dann ist eine automatische Hardware Firewall aktiv, die auch von keinem Trojaner umgangen wird.
...
Zum Vergrößern anklicken....
Darfst aber dann keine Emails empfangen und keine Webseiten aufrufen ;)
 
sgmelin schrieb:
Natürlich kommen noch die oben genannten Punte hinzu. In einem Unix sehe ich sehr schnell, welche IP Ports dass offen sind (Stichwort lsof |grep LISTEN).
Zum Vergrößern anklicken....

und was ist mit... ???

C:\>netstat -a
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP fossie:epmap fossie:0 ABHÖREN
TCP fossie:microsoft-ds fossie:0 ABHÖREN
TCP fossie:802 fossie:0 ABHÖREN
TCP fossie:1025 fossie:0 ABHÖREN
TCP fossie:1026 fossie:0 ABHÖREN
TCP fossie:2812 fossie:0 ABHÖREN
TCP fossie:5800 fossie:0 ABHÖREN
TCP fossie:5900 fossie:0 ABHÖREN
TCP fossie:netbios-ssn fossie:0 ABHÖREN
TCP fossie:microsoft-ds fossie:2812 HERGESTELLT
TCP fossie:2811 fossie:microsoft-ds WARTEND
TCP fossie:2812 fossie:microsoft-ds HERGESTELLT
TCP fossie:8888 fossie:0 ABHÖREN
UDP fossie:microsoft-ds *:*
UDP fossie:isakmp *:*
UDP fossie:802 *:*
UDP fossie:1027 *:*
UDP fossie:l2tp *:*
UDP fossie:4500 *:*
UDP fossie:netbios-ns *:*
UDP fossie:netbios-dgm *:*

auf ein Windows 2000 System... ;)
 
maceis schrieb:
Darfst aber dann keine Emails empfangen und keine Webseiten aufrufen ;)
Zum Vergrößern anklicken....
Die "gefährlichen" Emails erkennst du, ich bekomme jeden Tag 2-3 Emails, von Leute die ich nicht kenne mit Anhang. Löschen ohne lesen ist das richtige. Die gefährlichen Websites sind Cracksites und ähnliches. Da geht man doch nicht hin, oder? Auch da hat hat man Möglichkeiten.
Wer Active-X controls ausführt bekommt auch seine gerechte Strafe.
 
Ein DSL Router alleine schützt auch nicht. Schonmal was von UPnP gehört? Das ist so clever, dass der Windows Rechner die Ports öffnen kann, die er braucht. Und dann hilft auch der schönste Portfilter nicht weiter.
 
sgmelin schrieb:
Ein DSL Router alleine schützt auch nicht. Schonmal was von UPnP gehört? Das ist so clever, dass der Windows Rechner die Ports öffnen kann, die er braucht. Und dann hilft auch der schönste Portfilter nicht weiter.
Zum Vergrößern anklicken....
Dann hst du das Problem schon auf deinem Rechner, und das hast du dann selbst draufgespielt. Allgemeine Angriffe aus dem Internet fängt dir der Router ab. Das RPC Problem (ich hab den Namen vergessen) tauchen dann nicht auf, bleiben schon hängen. War vor ein paar Monaten aktuell. Mit XP SP2 hast du deinen Freigabe im Internet offen, ein Router fängt dir das auch ab. Die XP Firewall nicht. Ein riesen Problem was MS selbst kreiert hat.
 
Nun, 90% aller Würmer auf der DOSs sind doof. Sprich, sie vermehren sich durch eine email, deren Anhang der Benutzer öffnet. Dadurch wird ein Script freigesetzt, welches den eigentlichen Schädlich aus dem Internet lädt. Und davor schützt Dich weder ein Router, noch eine noch so gut konfigurierte Firewall.
Man bräuchte einen Virescanner, der dem Nutzer einen Stromschlag verpasst, wenn ein script ohne Rückfrage aus einer Mail ausgeführt wird. Dann wäre das Problem innerhalb kürzester Zeit behoben. Der Mensch ist auch nur ein Tier und lernt nur durch Schmerz. Ich seh das immer wieder bei den VBs, mit denen ich arbeite. Nur wenn ich sie dreimal auf die Schnauze hab fallen lassen fragen sie VORHER anstatt dann später zu Kreuze zu kriechen.
 
Da gebe ich dir recht, am wichtigsten ist immer der der vor dem Rechner sitzt. Alle technischen Hilfsmittel sind unnütz, wenn der Benutzer bei einer Warnung trotzdem sein OK gibt.
 
... oder wenn man Mechanismen einführt, die keinerlei Rückfragen mehr erlauben.
Für jeden Mist muss man eine Prüfung ablegen, aber an einen Computer darf man ohen Vorkenntnisse dran. Stell Dir mal vor, in Deinem Auto wäre ein Autopilot, der ohne Rückfrage die Strecke ändern kann. Der würde Dich in den Wald an eine dunkle Stelle fahren und den Motor ausmachen. Alle Welt würde aufschreiebn und das Verbot für ein solches Gerät fordern. Ein Router mit UPnP oder ein Windows mit integriertem Virusmagneten erhält nur eine weitere Verbreitungsbasis.
Verkehrte Welt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten