HappyMac: sicherheit

MacOs Spyware Trojaner in Bildschirmschoner von Drittanbieter

Doc Wirth — Fri, 04 Jun 2010 10:02:35 GMT

Wirkliche Bedrohungen für MacOS X durch Viren und Trojaner sind selten genug, das ich bisher den meisten User von der ständigen Verwendung Antiviren-Software abrate. Die Belastung von älteren und schwächeren Systemen birgt mehr Gefahren in sich als die zu erwartende Bedrohung selbst. Eine Ausnahme sind die User, die viele Daten von Microsoft-Produkten mit Windows-User austauschen.

Die Mac-Sicherheits-Firma Intego berichtet aber jetzt von einer der gravierendsten Sicherheitsprobleme der letzten Zeit: ein Trojaner namens "OSX/OpinionSpy", das sich in vielen Bildschirmschoner von Drittanbieter und in zumindest eine Anwendung zur extraction von Tonspuren aus Flash-Dateien versteckt. Der Trojaner scannt alle verbundene Volumen - auch über das Netzwerk - und schickt die Daten verschlüsselt an mehrere Internetserver. Ausserdem verschafft es sich root-Zugang und installiert code in einer Reihe von Anwendungen wie Safari, FireFox und iChat. Damit können dann kritische Zugangsdaten wie Urls und Passwörter zu Online-(Bank-)Konten etc. übermittelt werden.

Bisher ist bekannt das der Trojaner sich in der Application "MishInc FLV To Mp3", wie auch in einige dutzend Screensaver-Module des Anbieters 7art-screensavers versteckt - alle werden unter anderem auch über sonst als sicher eingeschätzten Sites wie MacUpdate und Softpedia angeboten!

Das Löschen dieer Software alleine entfernt die Malware-Programme nicht. Intego's Virenschutz ist aktualisiert worden um die Gefahr zu erkennen und zu entfernen. Ob dies für die von uns empfohlene Antivirus-Lösung ClamXav gilt ist noch nicht bekannt. Am besten ist es entsprechende Programme überhaupt zu vermeiden. Intego bietet auch eine < a href="http://www.intego.com/news/preliminary-list-of-applications-that-install-osx-opinionspy-spyware.asp">vorläufige Liste infizierter Anwendungen

Keine Paranoia: Online Sicherheit bei Gmail, Facebook und Co.

Doc Wirth — Fri, 24 Jul 2009 01:52:33 GMT

Die neueste Bedrohung im Web sind nichtmehr die berühmt-berüchtigten Viren, Trojaner und Würmer (OK, für uns Mac-User war die Bedrohung nie besonders gross) sondern Phishing, Hijacking und Identitätsklau. Gerade durch die Vernetzbarkeit von Sozialnetzwerke wie Facebook und Twitter mit Online-Anwendungen wie Gmail eröffnet das Knacken eines Kontos oft den Zugriff auf mehrere andere. Sogar gut Beratene wie US Präsident Obama werden gehijackt, zuletzt sogar die Gmail- und andere Konten von den Twitter-Machern selber.

Grundsätzlich ist das Netz nicht viel anders als z.B. der gewöhnliche Briefverkehr sammt Sonderdienste wie Eingeschrieben, Botendienste etc. Auch diese beruhen auf Vertrauen und es bleibt immer ein Restrisiko gegenüber der persönlichen Übergabe. Ein Brief kann auch abgefangen, geöffnet, gelesen werden oder verloren gehen. Der Unterschied ist der Aufwand, die Zugänglichkeit und die Speicherung. Schon bei der normalen Post ist ein Brief nur einigen wenigen, meist nachweisbaren, zugänglich, und nach der Zustellung ist der Brief bei uns und nirgends anders. Selbst ein RSA-Brief lässt sich fälschen, aber mit hohem Aufwand. Elektronische Nachrichten sind aber oft über Jahre Online gespeichert, lassen sich leicht vervielfältigen, sind für eine unbekannte Schar zugänglich und lassen sich meist mit geringen Aufwand fälschen.

Also: was tuen?

Sichere Passwörter verwenden

Das um und auf im Netz. Wer vor allem auf exponierte Anwendungen wie facebook, Google Mail, usw. einfache Namen-/Zahlen-Kombinationen verwendet ist selber schuld.

Ein anderes Passwort für jedes Konto

Damit wenn ein Konto geknackt wird nicht gleich alle Konten geknackt sind.

Bei Sicherheitsfragen lügen

Die Antworten zu Sicherheitsfragen wie Name der Schule oder Lieblingshaustier sind erforschbar: oft genug stehen sie sogar im Netz. Dort wo nicht eine eigene Frage erstellt werden kann, lügen sie einfach.

HTTPS verwenden

Gmail und viele andere Anwendungen lassen sich auf https umschalten damit der Datenverkehr zwischen User und Server abhörsicher wird. Bei Gmail geht das in den Einstellungen ganz unten unter Allgemein

Login Urls kontrollieren

Alle Online-Logins haben eindeutige urls, die leicht verifiziert werden können. Die von Gmail ist z.B. https://www.google.com/accounts/Login und nicht etwa http://mail.google.com/ (obwohl sie zur richtigen url hinleitet)

Immer abmelden

Besonders wenn unterwegs, bei Freunden, Internetcafes, etc. aber auch auf Laptops Smartphones, und ähnliches Gerät zu denen Dritte sich leicht Zugang verschaffen könnten. Das kann sogar das Standgerät zuhause sein, wenn es für Freunde, Mitbewohner, Reparaturdienst etc. leicht zugänglich ist. Falls es mal vergessen wird: Google und viele andere Anbieter lassen einen das auch nachträglich machen: bei Gmail ist z.B. ganz unten ein Link zu "Aktivität": hier sieht man die letzten 5 Logins, und kann andere Sessions auch nachträglich aus der Ferne abschalten.

Automatische Logins bzw. Passwortspeicherung nicht verwenden

Gehört zusammen mit dem vorherigen Punkt. Ausloggen nützt nichts, wenn Jeder mit einem Klick wieder eingeloggt ist. Das gilt vor allem für kritische Anwendungen wie Onlin-Banking, aber auch Online Mail, wenn es für kritische Informationen verwendet wird (wie im Fall der Twitter-Betreiber).

Mehrere Medien verwenden

Wenn schon kritische Daten verschickt werden müssen, hilft es sie getrennt über mehrere Medien zu verschicken: z.B. müssen Login-Daten verschickt werden, verschicke das den Login-Namen per mail, und das Passwort über SMS. Oder noch besser alles verschlüsselt in einem PDF, und das Passwort für solche Übertragungen vorher persönlich ausmachen oder per Telefon durchsagen.
Kritische Daten nicht online speichern

Das gilt sowieso für Passwörter etc., aber auch für eine Bandbreite anderer Daten persönlicher Art. Je länger sie im Netz verweilen, desto wahrscheinlicher ist es, das Dritte dazu Zugang verschaffen könnten.

Hier soll nicht zur Paranoia aufgerufen werden. Im Gegenteil. Die Kommunikationsmöglichkeiten im Web sind fasziniernd und mächtig. Google, Wikipedia, Bloggs und zuletzt Twitter eröffnen uns ungeahnte und vor allem unabhängige Zugänge zu Wissen und Informationsaustausch über viele Grenzen und andere Barrieren hinweg, und je mehr dazu beitragen desto besser. Die Leichtigkeit mit der das passiert lässt uns aber oft unbewusst und verantwortungslos damit umgehen, und dann wird wirklich wahr, was wir alle fürchten: unsere Daten im Web können und werden gegen uns verwendet werden.

Passwort geschützte PDFs

Doc Wirth — Tue, 27 Jan 2009 14:31:43 GMT

Eine simple Art empfindliche Daten zu schützen oder zu verschicken.

Immer wieder werden wir in dieser Passwort-geschützten Zeit mit dem Problem konfrontiert empfindliche Daten wie Logins und Passwörter verschicken zu müssen, oder auch nur geschützt auf unseren Rechner, USBsticks usw. zu speichern.

Eine ganz simple art Dies zu bewerkstelligen ist im Apple-Druckmenü verborgen. Das hiermit schnell PDFs gnerirt werden können ist schon weit bekannt. Das diese auch Passwort-Geschützt werden können dürfte aber vielen entgangen sein.

Das zu schützende Dokument öffnen, auf Ablage->Drucken (Befehl-P) gehen. Im Druck-Menü PDF->Als PDF sichern auswählen...

...und dort Sicherheitsoptionen ... anklicken. Dort Zum Öffnen des Dokuments Kennwort anfordern ankreuzen und das gewünschte Passwort eintragen.

Hier lassen sich auch Text und Bilder schützen, wie auch das Ausdrucken des Dokuments unterbunden werden kann.

Dieser und viele andere nützliche Tipps finden sich als QuickTime Tutorials auf der Apple Business Site.

Phishing Sites erkennen lernen

Doc Wirth — Sun, 30 Sep 2007 15:16:37 GMT

Die Carnegie-Mellon University hat ein Online-Spiel entwickelt, das helfen soll Phishing-Sites besser zu erkennen. Auch wenn es a bisserl kindisch und US-lastig ist, wird schnell vermittelt worauf geachtet werden muss.

Derzeit kann kein OS vor Phishing schÃπtzen, darum ist es wichtig das auch Mac-BenÃπtzer verstehen wie Social-Engineering funktioniert, und woran diese meist gut getarnten Websites dennoch zu erkennen sind.

Undercover: 3 Phasen Diebstahlschutz für Macs

Doc Wirth — Mon, 22 May 2006 12:18:23 GMT

Wie auf Mac Essentials berichtet bietet die belgische Softwareschmiede orbicule eine recht brauchbaren Schutz bei Diebstal namens "Undercover" für Macs an - vor allem für portable Geräte und solche mit eingebauter iSight-Kamera. Aus dem Artikel:

"...wenn der geklaute Mac online geht, sendet er Informationen über das Netz, an dem er hängt, und macht Screenshots. Falls er eine eingebaute iSight-Kamera hat, wird der Dieb fotografiert, die Bilder werden an die Datenbank gesandt.".

Der Schutz verwendet Open Firmware. Vorteil: selbst das Löschen oder sogar Austausch der Festplatte ändert nichts am Schutz. Nachteil: verschiedenste Vorgänge wie Starten im Target Modus oder das Zurücksetezen des Passworts sind nicht ohne weiteres möglich.

Kosten tut das ganze ab $ 29,90/Jahr

Baby und Kinderschutz Programme für Mac OS X

Doc Wirth — Sun, 26 Feb 2006 14:52:51 GMT

Aus gegebenen Anlass (Kinderfaschingsparty) haben wir sogenannte "Baby Smash" Programme getestet, die den Computer vor (Kinder)Missbrauch schützen, und meist dabei Interaktive Lernumgebungen nützen. Für uns interessant waren nur Free- und Shareware Anwendungen. Hier die Auswahl, wobei AlphaBaby mit seinem Screensaver der Favorit bei Jung und Alt war, gefolgt von KidSafeKeysLite.

Baby Banger 1.2.1 Schützt Computer und macht Töne und bunte Formen (Kreis,Oval,Quadrat,etc.) bei jedem Tastenanschlag - je nach Einstellung benennt es auch die Formen in English (Red Circle, Blue Oval, etc.).	213k	Freeware
Babylooba 0.2.2b Schützt Computer und macht Töne und bunte Formen (Kreis,Oval,Quadrat,etc.) bei jedem Tastenanschlag - zu einfacher Ausschalt-Code (Befehl-Q).	1.4M	Beta
AlphaBaby 1.5 Schützt Computer und macht Töne und bunte Formen (Kreis,Oval,Quadrat,etc.) und Buchstaben/Zahlen bei jedem Tastenanschlag - hat die meisten Einstellungsmöglichkeiten von allen Kinderschutzprogramme, inklusive Sprache (English) und Einbindung von Fotoalben und iPhoto. Riesenvorteil: beinhaltet auch ein Screensaver, der das Lernprogramm automatisch einschaltet nach verlassen des Computers!	499k	Freeware
BabySafe 1.75 Screensaver schützt Computer und macht Töne und bunte Formen (Kreis,Oval,Quadrat,etc.) und Buchstaben/Zahlen bei jedem Tastenanschlag. Support nur bis Mac OS 10.3 (Panther)	8.1M	Shareware
KidSafeKeysLite.osx 1.0 Bringt den Kids englische Buchstaben und Zahlen bei während es den Computer schützt, Flash basiert.	4.0M	Freeware
Baby Safe II 2.1.7 Das gleiche wie Babysafe, nur als Anwendung statt Screensaver. Support nur bis Mac OS 10.3 (Panther)	8.1M	Shareware

Zusammenfassung der Mac OS Sicherheitslücken

Doc Wirth — Sun, 26 Feb 2006 00:48:59 GMT

Zusammenfassung der Mac OS Sicherheitslücken

Vorne weg: eigentlich alle der angeführten Sicherheits-Lücken stellen eine Form von "Social Enginiering" dar, d. h. der Benützer muss unachtsam nachhelfen, damit diese "malwares" zum Tragen kommen. Wer nicht überall gleich draufdrückt, und überlegt warum er was aufmacht, ist trotz allem weit weg von einer wahren Gefahr.

"Zero-day exploit" ("Safari Automatically Executes Shell Scripts") a.k.a the resource fork hole

"Safari Automatically Executes Shell Scripts" vulnerability (zero-day exploit) [#3]: Protective methods, more

Explanation, fixes for "Safari Automatically Executes Shell Scripts" vulnerability; similar to Widget vulnerability

OSX/Inqtana.A, OSX/Inqtana.B, OSX/Inqtana.C

OSX/Inqtana.A, OSX/Inqtana.B worm (#3): Sophos fixes false positive flaw

OSX/Inqtana.A, OSX/Inqtana.B worm (#2): Sophos AntiVirus software generating false positives, wreaking system havoc

OSX/Inqtana.A worm affects older versions of Mac OS X 10.4.x (Tiger) -- not found in wild

Oompa-Loompa Trojan (OSX/Oomp-A or Leap-A)

Oompa-Loompa Trojan (OSX/Oomp-A) [#3]: ClamXav virus definitions updated; When the trojan will ask for an administrator password

Virus protection software makers respond to Oompa-Loompa trojan (OSX/Oomp-A); protective methods

Mac OS X malware "OSX/Oomp-A" discovered -- effects seem innocuous

Mac OS X Trojaner-Wurm OSX/Oomp-A relative "harmlos"

Doc Wirth — Sun, 19 Feb 2006 01:50:12 GMT

Seit kurzem (16.02.2006) ist ein malware für Apple's OS X bekannt geworden, der natürlich viel Aufhebens in den Medien macht: der Oompa-Loompa Virus, auch bekannt unter den Namen: CME-4 [Mitre], OSX.Leap.A [NAV], OSX.Oomp.A [Ambrosia], OSX/Leap-A [Sophos]. Eigentlich ist es kein Virus (weil es sich nicht von selber verteilen kann), sondern braucht das Zutuen eines Benutzers um in Aktion zu treten und ist deswegen eher als Wurm oder Trojaner zu klassifizieren. Durch fehlerhafte Kodierung schaft es selbst wenn aktiviert nicht seine Aufgaben zu erfüllen, sondern hindert sich selbst und infizierte Programme am arbeiten. Deswegen wird dieser "Social Engineering" Trojaner von den meisten Sicherheitsfirmen als eher harmlos klassifiziert.

Ausser den üblichen Vosichtsmaßnahmen gegen Computerviren und dergleichen (Vorsicht bei unbekannte Dateien, aufpassen wo und warum das Passwort verlangt wird.), empfehlen wir die Verwendung eines Viren-Scanners, nicht zuletzt auch um die Nicht-Mac-Welt vor Bösem zu schützen (z.B. das Freeware GUI ClamXav)

Lexmark Treiber enthalten Spyware

Doc Wirth — Mon, 22 Nov 2004 20:37:03 GMT

alt="spyware icon">"Wie aus verlässlichen Quellen berichtet wird, installiert Lexmark mit seinen Drucker und Scanner Software auch Spyware, das das private Daten ohne wissen des Benützers an die url http://www.lxkcc1.com verschickt. Bisher ist keine Stellungnahme der Firma bekannt.

Danke an "zdnet"

Tipp der Redaktion: Wer einen Lexmark Scanner oder Drucker hat, sollte sich Little Snitch besorgen, und alle Verbindungen zu oben genanntem Server unterbinden. Bessere Maßnahmen fallen uns derzeit nicht ein, und wir haben keinen Lexmark zum ausprobieren.

Mehr zum "Opener" malware

Doc Wirth — Wed, 27 Oct 2004 14:06:27 GMT

Mehr wegen der möglichen zukünftigen Bedrohung als der jetzigen sollten alle, vor allem die, die direkt am Internet mit eigener IP hängen (=chello, ADSL, etc.) folgende Vorsichtsmassnahmen einhalten:

Verwende "starke", sichere Passwörter: mindestens 8 Zeichen lang aus einer kombination von gross-klein-Buchstaben und Zahlen. Dazu können die shareware utilities PassGenX oder PasswordMaster hilfreich sein.
Verwende eine Firewall. Zumindest die in den Systemeinstellungen integrierte, oder eine professionellere wie BrickHouse. Auch Little Snitch kann einem dabei gute Hilfe leisten.
Installiere alle Apple Sicherheits Updates. Entweder über Software update (in den Systemeinstellungen) oder schau nach bei Apple Downloads.
Verwende eine Anti-Viren Programm. Die neusten Viren-updates von symantec erkennen z.B. die derzeit im umlauf befindliche Opener malware.

versiontracker

All diese Massnahmen sind nichts neues, und sollten so-und-so eingehalten werden.

Die Mac "Opener" Bedrohung, und wie sich schützen.

Doc Wirth — Tue, 26 Oct 2004 10:55:47 GMT

Durch eine Veröffentlichung auf SlashDot, das sich auf diesen Artiikel auf Macintouch.com beruft, ist einiges an Unruhe in die sonst so Viren-sichere Macintosh Welt gekommen.

Anscheinend kursiert ein "malware"-Program, das bei entschprechender Unachtsamkeit seitens des Benützers, sich Zugang zu sämtliche Passwörter verschafen kann und das System von aussen überwachbar macht.

Die bisher bekannten Versionen können noch nicht als wirklich bösartig eingestuft werden, und können erst aktive werden, wenn ein Administrator händisch root authentifizierung eintippt. Selbständig können die Programme sich weder Zugang zum System verschaffen noch sich verbreiten.

Es bleibt alles beim alten Sicherheitstipp #1: nie unbedacht Logins und Passwörter verbreiten oder wo reintippen, dann kann nichts passieren.

Achtung! Alle Powerbook & iBook Benützer!

Doc Wirth — Fri, 27 Aug 2004 12:29:08 GMT

Auszug aus dem Apple Service Training Handbuch:

Warning: If you connect the AC adapter to the computer before you connect the adapter to an electrical outlet, you can corrupt the power manager software. Symptoms of corrupted power manager software include startup problems and the inability to shut down the computer (the computer restarts spontaneously after shutdown). To fix this problem, you need to reset the power manager. Procedures for resetting the power manager differ depending on the PowerBook model and can be found in the appropriate Service Manual (on Service Source), or in the Knowledge Base article #14449.

Auf Deutsch: Immer das Ladegerät ZUERST am Strom anschliessen, dann am laptop. Das gleiche gilt für das Ausstecken und Umstecken: ZUERST am Laptop abstecken! Sonst kann kann die PMU Software beschädigt werden!

Word 2004 Trojaner für Mac OS X im Umlauf

Doc Wirth — Fri, 14 May 2004 11:10:38 GMT

Ein Trojanisches Pferd namens "Word 2004 Demo" ist laut MacWorld UK und MacFixit im Umlauf. Vor allem in Peer-2-Peer Netzwerke wie Limewire und Gnutella sei laut diesem Artikel dieser Trojaner für Mac OS X unterwegs.

Wenn der Installer aktiviert wird läuft ein Applescript ab, der den kompleten Userverzeichniss des jeweilig eingeloggten Benützers löscht. Leicht zu erkennen ist das Programm daran, das es nur ca. 100k hat - für ein Microsoft-Produkt undenkbar klein.

HappyMac: sicherheit

MacOs Spyware Trojaner in Bildschirmschoner von Drittanbieter

Keine Paranoia: Online Sicherheit bei Gmail, Facebook und Co.

Sichere Passwörter verwenden

Ein anderes Passwort für jedes Konto

Bei Sicherheitsfragen lügen

HTTPS verwenden

Login Urls kontrollieren

Immer abmelden

Automatische Logins bzw. Passwortspeicherung nicht verwenden

Mehrere Medien verwenden

Kritische Daten nicht online speichern

Passwort geschützte PDFs

Phishing Sites erkennen lernen

Undercover: 3 Phasen Diebstahlschutz für Macs

Baby und Kinderschutz Programme für Mac OS X

Zusammenfassung der Mac OS Sicherheitslücken

Mac OS X Trojaner-Wurm OSX/Oomp-A relative "harmlos"

Lexmark Treiber enthalten Spyware

Mehr zum "Opener" malware

Die Mac "Opener" Bedrohung, und wie sich schützen.

Achtung! Alle Powerbook & iBook Benützer!

Word 2004 Trojaner für Mac OS X im Umlauf