Sicherheitsfunktionen in Apple OS X Yosemite

Apple OS X Yosemite (10.10) ist da und es wird Zeit, nachzusehen, was uns das neue Betriebssystem im Bereich der Sicherheit zu bieten hat. Apple hat sogar eine spezielle Seite mit Infos zur Sicherheit von OS X erstellt, auf der viel Text zu finden ist – sehr viel, aber er ist umfassend und leicht zu lesen. Leider steht nicht darin, welche Funktionen neu sind.

Schutz von Computer

Apple OS X Yosemite (10.10) ist da und es wird Zeit, nachzusehen, was uns das neue Betriebssystem im Bereich der Sicherheit zu bieten hat. Apple hat sogar eine spezielle Seite mit Infos zur Sicherheit von OS X erstellt, auf der viel Text zu finden ist – sehr viel, aber er ist umfassend und leicht zu lesen. Leider steht nicht darin, welche Funktionen neu sind.

Zunächst sagt Apple, dass die Sicherheit „der Hauptgedanke war und nicht erst nachträglich darüber nachgedacht wurde.“ Das ist heutzutage wirklich gut. Eigentlich war das immer wichtig, doch nicht jeder Entwickler hat von Anfang an über die Sicherheit nachgedacht. Apple macht es richtig oder behauptet das zumindest.

Die meisten der Sicherheitsfunktionen haben eigene Namen bekommen – Gatekeeper, FileVault, usw. Das ist natürlich gut fürs Marketing, hilft aber auch zu erklären, was jede einzelne Funktion macht. Also schauen wir sie uns einmal an.

Gatekeeper

Eine alte Funktion (eingeführt mit OS X Mountain Lion 10.8), die einen Mac vor Schadprogrammen und „schädlichen Apps, die aus dem Internet heruntergeladen wurden“, schützt. Sie ähnelt in Zweck und Verhalten der Windows User Account Control (UAC). Kurz, Gatekeeper prüft, ob ein Programm, das aus einer anderen Quelle als dem Mac App Store heruntergeladen wurde, die richtige Developer ID besitzt. Ist das nicht der Fall, wird das Programm nicht starten, außer die Einstellungen werden verändert.

In der Standardeinstellung erlaubt Gatekeeper dem Anwender, Apps aus dem Mac App Store sowie Apps mit Developer ID herunterzuladen. Andere werden blockiert, doch dies kann manuell umgangen werden. Weitere Möglichkeiten sind das Herunterladen von „Überall“ (am unsichersten) sowie vom „Mac App Store“ (ausschließlich aus dem offiziellen Marktplatz; das ist die höchste Sicherheitseinstellung).

FileVault 2

Dieses Sicherheits-Tool verschlüsselt das komplette Laufwerk eines Mac und schützt Daten mit einer XTS-AES-128-Verschlüsselung. Laut Apple ist die erstmalige Verschlüsselung schnell und unaufdringlich. Zudem kann es jeden abnehmbaren Datenträger verschlüsseln, so dass auch Time-Machine-Sicherungskopien und andere externe Laufwerke geschützt werden können.

FileVault 2 ermöglicht Anwendern auch, Daten auf dem Laufwerk endgültig zu löschen, was in zwei Stufen gemacht wird. Zunächst entfernt es die Verschlüsselungs-Keys des Mac, über die die Daten laut Apple „komplett unerreichbar“ werden. Dann werden die Daten sauber vom Laufwerk gelöscht. Wer immer von diesem Laufwerk dann irgendetwas holen möchte, wird viel „Spaß“ dabei haben. Als Möglichkeit, vertrauliche Daten zu schützen und sie davon abzuhalten, in die falschen Hände zu fallen, ist das extrem praktisch.

Remote Wipe

Mit dieser Funktion können Anwender all ihre privaten Daten löschen und den Mac auf die Fabrikeinstellungen zurücksetzen, falls der Computer ohne Zustimmung des Eigentümers „den Benutzer gewechselt hat“. Etwas weniger extrem ist die Möglichkeit, aus der Ferne eine Passcode-Sperre einzurichten.

iCloud.com und die App Find My iPhone auf iOS-Geräten erlauben es Anwendern, vermisste Macs über eine virtuelle Karte wieder zu finden. Ist der Mac offline, erhält der Anwender sofort eine Benachrichtigung, wenn sich der Computer mit einem drahtlosen Netzwerk verbindet. Zudem gibt es die Möglichkeit, eine Nachricht auf dem Computerbildschirm anzuzeigen, die Informationen enthält, wie man den vermissten Computer zurückgeben kann.

Passwörter

Der Safari-Browser enthält einen Passwortgenerator, der starke Passwörter für Ihre Online-Konten erstellt. Es gibt auch die iCloud Keychain, die Ihre Loginnamen und Passwörter (sowie Ihre Kreditkartendaten) mit einer 256 Bit starken AES-Verschlüsselung speichert. iCloud erlaubt es zudem, alle Nutzernamen und Passwörter zwischen Apple-Geräten zu synchronisieren – vom Mac über das iPhone und iPad bis zum iPod Touch.

Die Auto-Ausfüllen-Funktion hat nur einen Nachteil: Wenn jemand in Ihrer Abwesenheit Ihren Mac verwendet, kann das böse Auswirkungen haben. Deshalb empfehlen wir, das automatische Login in den Sicherheits- und Privatsphäre-Einstellungen auszuschalten.

Kontrolle der Privatsphäre

Diese Funktionen erlauben (oder verbieten) bestimmten Apps, ihren Aufenthaltsort festzustellen und erklären, wie Ortungsdienste Ihre Privatsphäre beeinträchtigen können. Es gibt auch bestimmte „Zugänglichkeits“-Reiter, über die bestimmten Apps erlaubt werden kann, den „Computer zu kontrollieren“ (ein offensichtliches Gegenstück zu Windows – manche Programme, vor allem ältere, benötigen die Einstellung „Als Administrator ausführen“, um zu laufen). Es liegt in der Hand des Anwenders, zu entscheiden, welchen Programmen er diese Privilegien geben will. Auch wenn das alleine nicht unbedingt die Privatsphäre beeinträchtigt, so ist es doch wert, als Sicherheitsfunktion erwähnt zu werden.

Aber Apple hätte hier noch mehr tun können: Es scheint als würde Spotlight auf Yosemite den aktuellen Aufenthaltsort des Anwenders (auf Städteebene) und all seine Suchanfragen standardmäßig an Apple und andere Firmen weitergeben. Um diese Funktion loszuwerden, sollten Spotlight-Vorschläge und Bing-Suchen unter Systemeinstellungen > Spotlight > Suchergebnisse ausgeschaltet werden. Spotlight-Vorschläge müssen zusätzlich auch in den Safari-Einstellungen ausgeschaltet werden.

Antiphishing

Dieses Tool (das eigentlich schon vor längerer Zeit eingeführt worden ist) ist enorm wichtig. Das immer größer werdende Phishing-Problem verlangt entsprechende Gegenmaßnahmen und Apple bietet diese mit Antiphishing.

Firewall

Eine grundlegende Funktion, mit der Anwender eingehende Verbindungen für einzelne Programme annehmen oder ablehnen können. Allerdings bietet das Modul keine Firewall für den ausgehenden Datenverkehr, also ist zu empfehlen, eine robustere Lösung zu installieren.

Sandbox und Schutz auf Prozessorebene

Die App Sandbox wurde bereits mit Mac OS X Lion 10.7 eingeführt; sie bietet eine isolierte Umgebung für Apps, die schädlich für das System sein könnten. Interessanterweise bietet OS X Sandbox-Schutz auch in Safari, und zwar mit dem Sandboxing des eingebauten PDF-Ansichtsprogramms und von Plugins wie Adobe Flash Player, Silverlight, QuickTime und Oracle Java – genau die Programme, die zu den anfälligsten und am meisten angegriffenen gehören. Zudem führt OS X Programme wie Mac App Store, Messages, Calendar, Contacts, Dictionary, Font Book, Photo Booth, Quick Look Previews, Notes, Reminders, Game Center, Mail und FaceTime in einer Sandbox aus, so dass sich dort kein Schädling einschleichen kann.

Hier haben wir auch den Run-Time-Schutz auf Prozessorebene: Dieser ist in die Prozessor-XD-Funktion (Execute Disable) eingebaut, die eine „starke Mauer zwischen Speicher, der für Daten verwendet wird, und Speicher, der für ausführbare Befehle verwendet wird“, aufbaut. Laut der Beschreibung von Apple schützt das vor Schadprogrammen, die versuchen den Mac dazu zu bringen, Daten genau so zu behandeln wie Programme, um so das System zu kompromittieren.

Das neue System nutzt auch Address Space Layout Randomization (ASLR) für den Speicher, der vom Kernel verwendet wird und arrangiert die Positionen von Key-Datenbereichen jedes Programms zufällig. Dies schützt vor bestimmten Angriffen (etwa Buffer Overflows), indem es für Angreifer schwieriger wird, eine Zieladresse vorauszusagen. Apple hat die Randomization für Systembibliothek mit Mac OS X Leopard 10.5 eingeführt und mit Mountain Lion 10.8 im Juli 2012 auf den heutigen Stand gebracht. Momentan bleibt es dabei.

Wenn man nach dieser Funktionsliste geht, hat Apple wirklich daran gearbeitet, OS X sicherer zu machen und wird das offensichtlich auch weiterhin tun. Das zeigt, dass Apple in die richtige Richtung geht, indem sie Probleme der Cybersicherheit angehen und mögliche Angriffsoberflächen durch verschiedene Tools reduzieren. Aber das bedeutet nicht, dass es sich um ein „absolut“ geschütztes Betriebssystem handelt – leider gibt es so etwas nicht. Zudem wächst die Zahl der OS-X-Bedrohungen genauso stetigwie die Zahl der Mac-Nutzer. Das zieht natürlich Cyberkriminelle an, die laufend nach Sicherheitslücken suchen und sie auch finden.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.