Nachdem ich die Beiträge in ein paar Foren (u.a. macrumors als "Ursprung" von OSX/Leap-A) gelesen habe, überkommt mich der Eindruck, dass die Anzahl der Postings zu dem Thema die Zahl der Infektionen deutlich übersteigt. Das ist zumindest eine gute Nachricht
So manchen Mac-Nutzer ergreift nun die blanke Panik, ich sehe dafür jedoch derzeit keine Veranlassung.
Die Chance, die infektiöse Datei zugesandt zu bekommen, ist äußerst gering.
Symantec beispielsweise siedelt die Anzahl der Infektionen im Bereich von 0-49 an und gruppiert den Trojaner in die unterste Gefährdungsstufe ein.
(Quelle:
http://www.symantec.com/avcenter/venc/data/osx.leap.a.html)
Das ist jedoch kein Grund zur Entwarnung!
Es Risiko besteht weiterhin aufgrund der Kombination von zwei Faktoren, einer psychologischen und technischen Komponente:
1. Viele Nutzer von MacOS X glauben an einen "Freibrief" in Punkto Sicherheit.
2. Die Möglichkeit einer Manipulation der Verzeichnisse /Library/InputManagers und /$home/Library/InputManagers besteht weiterhin, bis Apple Abhilfe schafft.
Fraglich ist, ob andere Malware-Autoren nachziehen und noch schädlichere Routinen implementieren.
Für den Nutzer heisst das, Sicherheit und Integrität des Systems ernster zu nehmen!
Folgende Maßnahmen und Verhaltensweisen können vor einer Infektion mit schädlicher Software schützen:
1. Das Gehirn einschalten! Eine Datei aus zweifelhafter Quelle sollte nicht ausgeführt werden. Auch Dateien, die man von Freunden, Bekannten oder Arbeitskollegen erhält, sollten argwöhnisch betrachtet werden. Oftmals versenden sich Viren, Würmer und Trojaner automatisch an Einträge in Adressbüchern (Bsp. iChat) und der Absender ist selbst ahnungsloses Opfer.
2. Nicht jede Datei ist, was sie vorgibt zu sein. Es ist daher ratsam, die Dateiendungen im Finder anzeigen zu lassen.
Die Aktivierung erfolgt über Finder -> Einstellungen -> Erweitert
Dort die Option "Alle Suffixe anzeigen" einschalten.
3. Selbst mit angezeigter Dateiendung seid Ihr nicht auf der sicheren Seite. Sheep hat uns in einem Posting gezeigt, wie ein scheinbar harmloses png-Bild beliebigen Code ausführen kann (
https://www.macuser.de/threads/wir-wurden-infiziert.151257/page-7#post-1535150)
Aus diesem Grund schaltet von der Symbolansicht auf die Listen- oder Spalten-Ansicht.
4. Nutzt für die tägliche Arbeit keinen Benutzer mit Administrator-Rechten.
Im Vergleich zu einem Standard-Nutzer hat der Administrator weitergehende (wenn auch nicht volle) Kontrolle über viele Bereiche des Systems. So hat er beispielsweise Zugriff auf das Programmverzeichnis (/Applications). Um Schaden in diesen Verzeichnissen zu vermeiden, sollte für die tägliche Arbeit ein Standard-Benutzer genutzt werden. tau hat dazu im Einsteiger-Forum eine verständliche Anleitung verfasst (
https://www.macuser.de/threads/wie-werde-ich-admin-standardnutzer-howto.151469/#post-1536836)
5. Last, but not least. Sichert eure Daten!
Sheep hat eine Schritt-für-Schritt Anleitung verfasst (
https://www.macuser.de/threads/automatische-backups-und-syncs-unter-os-x.125410/). Daneben existieren auch Programme mit graphischer Benutzeroberfläche, so beispielsweise RsyncX
6. Zum Thema OSX/Leap-A im Speziellen:
Momentan (Stand 17.02.2006) gibt es seitens Apple noch keinen Patch, der die Manipulation der Verzeichnisse /Library/InputManagers und /$home/Library/InputManagers durch Trojaner oder Viren verhindert.
Eine Lösung besteht darin, die Freigaben so restriktiv einzuschränken, dass der Schreibzugriff durch den Standardbenutzer nicht mehr ermöglicht wird. Eine Anleitung, wie dies zu bewerkstelligen ist, findet sich bei Heise (
http://www.heise.de/security/news/meldung/69677).
Vorsicht: Der Zugriff des Standard-Nutzers auf /$home/Library/InputManagers/ soll offenbar grundsätzlich ermöglicht sein. Anderenfalls wäre das Verzeichnis nicht in der Hierachie eines Standard-Nutzers angesiedelt. Der Sinn ist, meiner Meinung nach, jedoch mehr als fragwürdig. Hier kann mehr Schaden als Nutzen angerichtet werden.
Weiterhin erfolgen die Eingaben mit root-Berechtigungen im Terminal. Wer also keine Erfahrungen mit dem Terminal hat, sollte eigene Änderungen im System unterlassen und auf einen Patch von Apple warten!
Manch' einer von euch wird die Ratschläge als übertrieben abtun. Für viele Anwender mag das auch stimmen. Jedoch gibt es "da draußen" Macuser, die bislang von der Sicherheit ihres Systems überzeugt waren und wenig Aufmerksamkeit auf ihre eigene Verhaltenweise gerichtet haben. Für viele ist der Mac ein Arbeitsgerät. Für viele Freelancer Basis ihres Einkommens. Ein Datenverlust hätte unter Umständen enorme Auswirkungen. Deshalb sollten auch vermehrt Apple-Nutzer sensibilisiert werden.
Wenn man sich die ersten Postings im Macrumors-Forum anschaut, erkennt man auch deutlichen Nachholbedarf (
http://forums.macrumors.com/showthread.php?t=180066)
In diesem Sinne alles Gute - und kühlen Kopf bewahren
MacApfel