Oh ja, es gibt sie. Aber aus irgendeinem seltsamen Grund habe ich zu diesem Thema schon eine ganze Weile nichts Interessantes mehr gesagt…
Das letzte Mal war vor zweieinhalb Jahren. Ja, so lange ist es her, seit dem globalen Flashback Wurm-Ausbruch, der weltweit 700.000 Macs infizierte. Die Sicherheitsbranche hat damals viel Lärm gemacht (und das Flashback-Botnetz schnell deaktiviert), aber seitdem herrscht weitgehend Stille… Es mag manchen scheinen, dass es seitdem eine komplette Flaute an der Mac-Malware-Front gegeben hat und kein bisschen iMalware die ruhigen Gewässer der Apple Bay gestört hat…
Aber sie würden sich irren…
Mac Malware ist kein Mythos, sie existiert
Vergleicht man die Bedrohungslage auf verschiedenen Plattformen, so steht – wie immer – Microsoft Windows mit Abstand an der Spitze der Tabelle. Weit dahinter folgt Android – ein relativ neues Kind in der Nachbarschaft. Ja, in den letzten drei Jahren wurde der arme kleine grüne Roboter von Cyber-Schädlingen mit exponentiell zunehmender böswilliger Aktivität bombardiert. In der Welt der iPhones und iPads gab es, abgesehen von sehr seltenen Cyber-Spionage-Angriffen, kaum erfolgreiche Angriffe darauf (trotz der Verwendung verschiedener exotischer Methoden). Ähnlich verhält es sich mit Macs – im Vergleich zu anderen Plattformen ist es relativ friedlich; aber in letzter Zeit gab es… Regungen – über die ich in diesem Beitrag sprechen werde.
Kurz gesagt, ein paar Zahlen – sozusagen eine Zusammenfassung für Führungskräfte:
- Die Zahl der in den letzten Jahren entdeckten neuen Malware-Instanzen für Mac geht bereits in die Tausende;
- In den ersten acht Monaten des Jahres 2014 wurden 25 verschiedene “Familien” von Mac-Malware entdeckt;
- Die Wahrscheinlichkeit, dass sich ein ungeschützter Mac mit einer Mac-spezifischen Unannehmlichkeit infiziert, ist auf etwa drei Prozent gestiegen.
Allein im Jahr 2013 hat @kaspersky ~1700 Malware-Samples für OS X entdeckt. Tweet
Wenn man tiefer gräbt und die Situation aus der Sicht eines Malware-Experten betrachtet, ist das Bild viel weniger rosig…
Mac-Bedrohungen haben sich weiterentwickelt, die Wahrnehmung der Sicherheit unter Mac-Benutzern hat sich verändert (aber nicht allzu sehr), und die Hauptfrage ist, was wir in Zukunft erwarten können. Also los geht’s, ohne Emotionen, mit nur Zahlen und Fakten, für eine unvoreingenommene Analyse. Und wenn Sie Lust auf eine unparteiische, leidenschaftslose Diskussion in den Kommentaren haben – bitte, fühlen Sie sich frei!
Zunächst einmal – Frontberichte.
Was ist also in den letzten Jahren in der Mac-Bedrohungs-Welt vor sich gegangen? Ich beginne mit der folgenden Grafik. Sie zeigt die Anzahl der bösartigen Dateien für OS X, die wir im Laufe der Jahre entdeckt haben.
Die Zunahme von Mac-Malware im Laufe der Zeit
Mac Malware ist kein Mythos, sie existiert
Wie aus der Grafik ersichtlich, betrug der jährliche “Fang” an Bösartigkeit vor nur vier Jahren noch 50, aber im Jahr 2011 gab es einen plötzlichen Anstieg, und seitdem wird der jährliche “Fang” in Hunderten – fast Tausenden – gezählt.
Was genau wird also gefangen?
Nun, in den ersten acht Monaten dieses Jahres haben wir fast tausend einzigartige Angriffe auf Macs entdeckt, die in 25 Hauptfamilien eingeteilt wurden. Ein paar Worte zu den interessantesten:
- Backdoor.OSX.Callme – verbreitet sich im Körper eines speziell angefertigten MS Word-Dokuments, das beim Starten über eine Schwachstelle eine Hintertür im System installiert. Dies gibt dem Angreifer Fernzugriff auf das System. Gleichzeitig stiehlt es Kontaktlisten, offenbar um nach neuen Opfern zu suchen.
- Backdoor.OSX.Laoshu – macht einmal pro Minute Screenshots. Es wurde mit einem vertrauenswürdigen Zertifikat des Entwicklers signiert. Es sieht so aus, als ob die Virenschreiber geplant hätten, es in den App Store hochzuladen.
- Backdoor.OSX.Ventir – ein Multi-Modular-Trojaner-Spion mit versteckter Fernsteuerung. Es enthält einen Keylogger, der auf dem Open-Source-Logkext-Treiber basiert.
- Trojan.OSX.IOSinfector – Installer der mobilen Version von Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis) – ja, es infiziert iPhones.
- Trojan-Ransom.OSX.FileCoder – der erste Datei-Encryptor für OS X. Funktioniert nur gerade so – ein fehlerhafter Prototyp.
- Trojan-Spy.OSX.CoinStealer – die erste Bitcoin-stehlende Malware für OS X. Tarnt sich als ein paar Open-Source-Bitcoin-Dienstprogramme. Was es wirklich tut, ist, eine bösartige Browsererweiterung und/oder eine gepatchte Version von bitcoin-qt (ein Open-Source-Dienstprogramm für das Mining von Bitcoins) zu installieren.
Malware für OS X, von der Sie noch nie gehört haben (aber die Sie vielleicht auf Ihrem Mac finden) Tweet
An diesem Punkt kann man logisch schließen: Ok, ok, es gibt heutzutage etwas Malware für Macs, aber ist das wirklich eine bedeutende Bedrohung für die Benutzer? Wie wahrscheinlich ist eine Infektion auf einem ungeschützten Mac? Und welches ist das am weitesten verbreitete bösartige Programm?
Dank KSN haben wir die Antwort. Aber bevor wir die Zahlen analysieren, zunächst ein wichtiger Disclaimer: Diese Daten stammen ausschließlich von Benutzern unserer Produkte. Versuchen zu ermitteln, wie sich Malware global verbreitet, auch unter Benutzern anderer Sicherheitsprodukte und/oder solchen ohne Antivirus – das ist sowohl eine undankbare als auch sehr ungefähre Aufgabe, die auf Extrapolationen aus Daten aus verschiedenen Quellen basiert. Dennoch lohnt es sich, in KSN-Daten zu graben, und sei es nur, um uns etwas zum Reden am Wasserspender zu geben :).
Hier also die Top-20-Erkennungen von Malware für OS X für 2013–2014 (weltweit):
| Name | Anzahl der Erkennungen | % |
|---|---|---|
| AdWare.OSX.Geonei.b | 56,271 | 39.15 |
| Trojan.OSX.Vsrch.a | 28,222 | 19.63 |
| AdWare.OSX.Geonei.d | 23,904 | 16.63 |
| Trojan.OSX.Yontoo.i | 7595 | 5.28 |
| AdWare.OSX.FkCodec.b | 6395 | 4.45 |
| Trojan.OSX.Yontoo.h | 3636 | 2.53 |
| Trojan.OSX.Yontoo.j | 3366 | 2.34 |
| AdWare.OSX.Geonei.c | 2889 | 2.01 |
| Trojan.OSX.Yontoo.a | 2079 | 1.45 |
| AdWare.OSX.Geonei.e | 1758 | 1.22 |
| Trojan.OSX.FakeCo.a | 1413 | 0.98 |
| Trojan.OSX.Okaz.a | 1126 | 0.78 |
| Trojan-Downloader.OSX.Vidsler.a | 868 | 0.60 |
| RemoteAdmin.OSX.AppleRDAdmin.c | 677 | 0.47 |
| AdWare.OSX.Bnodlero.a | 656 | 0.46 |
| Trojan.OSX.Yontoo.b | 633 | 0.44 |
| AdWare.OSX.FkCodec.a | 609 | 0.42 |
| Trojan-Downloader.OSX.FavDonw.c | 571 | 0.40 |
| AdWare.OSX.Geonei.a | 544 | 0.38 |
| Trojan.OSX.Yontoo.d | 533 | 0.37 |
Und hier – die Geografie von iMalware für den gleichen Zeitraum:
Geografische Verteilung von Mac-Malware
Mac Malware ist kein Mythos, sie existiert
Wenn Sie sich die obigen Daten genau ansehen, werden Sie feststellen, dass etwa die Hälfte der Erkennungen aus Adware besteht, während zwei Drittel aller Erkennungen nur aus den ersten drei bösartigen Programmen bestehen. Was die Geografie der Verteilung von iMalware betrifft, so entspricht sie im Großen und Ganzen der Popularität von Macs selbst, d. h. mit einer Verbreitung hauptsächlich in entwickelten Ländern – wo potenzielle Opfer insgesamt das meiste Geld haben. Und schließlich fehlt kurioserweise der berühmte Flashback in den Top-20.
Was können wir also aus diesen Daten ableiten?
Erstens: Cyberkriminelle verdienen am einfachsten Geld mit meist legalen (nun ja, fast legalen) Ansätzen. Hartnäckige Werbung bringt auch Geld, und in Verbindung mit großflächigen Infektionen – viel Geld.
Zweitens: OS X-Virenschreiber sind eine recht seltene, aber hochentwickelte Spezies. Anders als in der Windows-Viren-Szene hat die OS X-Viren-Szene die kindliche Phase der “Viren zum Spaß” übersprungen und ist direkt zum Erwachsenen – Mac OS – Zeug übergegangen, mit all den damit verbundenen Hardcore-Malware-Tricks, die dafür notwendig sind. Das sind ernstzunehmende Leute! Es ist sehr wahrscheinlich, dass sie ihre Fähigkeiten zuerst auf der Windows-Plattform verfeinert haben und dann zu Mac übergegangen sind, um neues, unbekanntes Territorium auf der Suche nach neuen unerschlossenen Möglichkeiten zur Geldverdienen zu erobern. Schließlich ist das Geld da, und die Benutzer sind relativ unbeschwert in Bezug auf die Sicherheit, was bedeutet, dass es viele Möglichkeiten gibt – für diejenigen Blackhatter, die bereit sind, sich die Arbeit zu machen.
Das durchschnittliche Niveau der OS X-Malware ist viel höher als das der Windows-Malware.
Drittens: Professionelle Spionagegruppen haben die Ausnutzung von OS X wirklich angenommen. Viele APT-Angriffe in den letzten Jahren haben Mac-Module erworben, zum Beispiel Careto, Icefog und die gezielten Angriffe gegen uigurische Aktivisten. Ja, hier sprechen wir von punktgenauen – exklusiven im Gegensatz zu Massen-Angriffen, die auf speziell ausgewählte Opfer abzielen; deshalb tauchen sie nicht in den Top-20 auf. Nicht, dass sie weniger gefährlich wären; besonders wenn Ihre Daten für Geheimdienste interessant sein könnten.
Lassen Sie uns nun die praktische Relevanz der obigen Statistiken herausfinden.
In der Tat, vor dem Hintergrund des massiven Ausmaßes an Katastrophen in der Welt von Windows sehen hunderttausend Erkennungen in 18 Monaten nicht so schlimm aus, und könnten leicht zu dem Schluss führen, dass es wirklich keine große Bedrohung gibt. Nun, es gibt fast keine Bedrohung. Aber bedeutet “fast keine”, dass sich iUsers entspannen und sicherheitstechnisch allein auf Apple verlassen können? Mit anderen Worten – sich überhaupt nicht um den Schutz kümmern? Lesen Sie weiter…
Um hier zu verstehen, wer paranoid ist und wer nicht paranoid ist :), müssen wir uns wieder an KSN-Daten wenden. Diesmal, um den Grad der Verseuchung zu betrachten – oder das Verhältnis der Anzahl der geschützten Macs zur Anzahl der eindeutigen Erkennungen von Mac-Malware.
Innerhalb des Monats August lag die Wahrscheinlichkeit, sich eine iNuisance einzufangen, bei etwa 3 %. Nicht so schlimm im Vergleich zu der 21%igen Infektionswahrscheinlichkeit für Windows-Benutzer (basierend auf KSN-Daten). Dennoch bedeutet dies, dass ein iMalicious-Programm etwa 10 Mal pro Jahr einen Blick auf den Mac eines aktiven Internetbenutzers wirft.
Nun wird es noch interessanter…
Erstens: iUsers werden nicht nur von iMalware angegriffen. Einige Arten von Angriffen kümmern sich nicht darum, welches Betriebssystem ein Computer hat. Zum Beispiel Phishing und MITM-Angriffe. Und diese sind weit verbreitete Bedrohungen. Sie interessieren sich am meisten für die Bankkonten der Benutzer, wichtige genutzte Webdienste und Aktivitäten in sozialen Netzwerken.
Zweitens: Macs werden von un-Mac-typischen Bedrohungen anderer Art angegriffen – solchen, die durch Löcher in Software von Drittanbietern kommen; zum Beispiel Java, Flash oder Silverlight. Dies ist keine Standardsoftware auf einem Mac, aber dennoch laden viele Benutzer sie herunter und installieren sie, um alle Vorzüge des Webs voll auszuschöpfen.
Es ist schwer zu sagen, wie hoch die Wahrscheinlichkeit eines Angriffs wäre, wenn wir alle gängigen Software von Drittanbietern berücksichtigen würden. Aber ich denke, man kann mit Sicherheit sagen, dass sie sich um ein Vielfaches erhöhen würde.
Mac-spezifische Malware ist nicht die einzige Bedrohung für Macs. Es gibt auch Phishing, MitM & Software-Schwachstellen von Drittanbietern Tweet
Drittens: Nun, das hat nicht ganz mit Malware-Bedrohungen zu tun. Antivirensoftware ist schon lange nicht mehr etwas im Hintergrund, das uns irgendwie unmerklich vor diesem oder jenem rettet. Moderne Antivirensoftware enthält viele andere nützliche Funktionen, die weit über das kanonische Konzept der Software hinausgehen. Zum Beispiel Kindersicherung, Passwortmanager, Wi-Fi-Zuverlässigkeitsprüfungen, Webcam-Blockierung und Hunderte anderer Funktionen. Es stimmt, dass Mac-Sicherheitsprodukte in Bezug auf die Funktionalität hinter ihren PC-Cousins zurückbleiben, aber langsam und sicher holen sie auf…
Und nun zu ein wenig Futurologie…
Zwei Fragen werden seit langem immer wieder von vielen gestellt: Warum gibt es so wenig Malware für Macs, und wird es schlimmer werden?
Ich habe schon oft gesagt, dass es drei wesentliche Bedingungen für die Existenz von bösartiger Software auf einer bestimmten Plattform gibt: (i) Die Plattform muss eine unsichere Architektur und somit Schwachstellen aufweisen; (ii) Sie muss relativ weit verbreitet sein; und (iii) Sie muss Tools für die Entwicklung von Anwendungen durch Drittanbieter bereitstellen. OS X scheitert nur an Punkt (ii).
“Ha!”, sagt der sachkundige Leser. Aber es gibt jetzt mehr als 80 Millionen Computer, auf denen Mac OS läuft! Ist das nicht weit genug verbreitet? Es mag so scheinen. Aber dann gibt es 1,5 Milliarden Windows-Computer da draußen!
Ich habe bereits auf diesen Blogseiten über die Ökonomie der Computer-Unterwelt geschrieben. Es gibt eine Grundregel, die für alle Betriebssysteme gilt, und das schließt OS X ein: Für den Cyber-Abschaum macht es keinen Sinn, Ressourcen für schwierigere, weniger beliebte Betriebssysteme auszugeben, wenn vor ihnen zig Millionen fruchtbare Windows-basierte Computer stehen – einige ohne Antivirus, die meisten nie aktualisiert und andere mit kostenlosem – und löchrigem – Antivirus. Anders ausgedrückt – die Beute ist bei Windows zu einfach. Warum sich mehr anstrengen (mit OS X)?
Was wir stattdessen betrachten sollten, ist, wo die kritische Masse liegen könnte – wo “kleinere” (gemessen an ihrem Marktanteil) Betriebssysteme wie OS X wirtschaftlich interessant werden. Ich habe in der Vergangenheit erwähnt, dass 5-7 % der globalen installierten Basis das kritische Masseniveau sein sollten. Aber das hat sich als zu niedrig herausgestellt. In diesem Jahr hat OS X fast 10 % erreicht. Dennoch gab es keine große Veränderung in der Nichtstun-Haltung der Virenschreiber – nur ein paar Regungen: ungeschickte, widerwillige und Proof-of-Concept-Regungen.
Extrapoliert man den Trend, könnte Apple in drei Jahren 15 Prozent des Marktes einnehmen. Wird das der Auslöser für einen rapiden Anstieg der Entwicklung von iMalware sein?
Ich weiß es nicht. Für einen starken Anstieg – wahrscheinlich nicht. Aber ein Anstieg – auf jeden Fall. Hat jemand eigene Vorhersagen dazu?
Was wird also passieren, wenn der Marktanteil von OS X endlich seine kritische Masse erreicht?
Ich denke, dass es zunächst ein paar größere Epidemien mit einer beträchtlichen Anzahl von Opfern und erheblichen finanziellen Verlusten geben wird. Dann wird es eine Kettenreaktion geben – Virenschreiber werden andere kopieren, sehen, wie machbar und profitabel es geworden ist, OS X anzugreifen – und werden massenhaft auf die Plattform wechseln.
Ein anderes mögliches Szenario wäre, dass die Dinge plötzlich durch einen APT-Angriff gegen OS X außer Kontrolle geraten; zum Beispiel ein globaler Ausbruch, der durch einen nicht dokumentierten Bug in Malware oder ein Leck der Technologie eines Angriffs, seine Verbreitung in der Computer-Unterwelt und das Auftreten von vielen Klonen verursacht wird.
Die tatsächliche Situation mit der Mac-Sicherheit ist schwer einzuschätzen, da die meisten Mac-Benutzer immer noch vollstes Vertrauen in die Heiligkeit und Unfehlbarkeit ihres Lieblingsanbieters haben. Was also wirklich auf zig Millionen ungeschützten Macs vor sich geht, ist unbekannt. Es ist so ziemlich wie der Unterwasserteil eines Eisbergs. Und manchmal bringt dieser Teil unerwartete und unangenehme (Titanic!) Überraschungen wie den Flashback-Wurm im März 2012 mit sich. Aber welche Malware ist noch da? Was macht sie? Und wer zieht die Fäden – die üblichen Cyber-Kriminellen oder Angestellte, die angeheuerte Programmierer einsetzen? Alles interessante Fragen, und wir werden allmählich die Antworten herausfinden. Aber wir brauchen Ihre Hilfe. Wir können Sie nicht gewaltsam retten. Kümmern Sie sich also selbst um Ihre Sicherheit – machen Sie zumindest den ersten Schritt und ändern Sie Ihre Einstellung zum Mac-Schutz!
In der Zwischenzeit finden Sie hier ein paar einfache Tipps, wie Sie die Hygiene Ihres Macs aufrechterhalten und ihn sicher halten können.
Ein paar einfache Tipps, wie Sie die Hygiene Ihres Macs aufrechterhalten und ihn sicher halten können Tweet
Das war’s vorerst zum Thema Mac-Sicherheit – aber bleiben Sie dran. Es wird bald mehr zu diesem Thema geben, ganz sicher, und es wird immer interessanter…
P.S. Wow, das ging aber schnell! Das “mehr zu diesem interessanten Thema” kam schneller als erwartet!…
Forscher haben eine massiv ernste Schwachstelle in Bash Shell-Code gefunden, die Linux, UNIX und – Sie ahnen es – OS X betrifft. An Patches wird hastig gearbeitet, aber bisher gibt es nicht viel Fortschritt. Vergessen wir nicht, dass Unix auf vielen industriellen Kontrollsystemen und Energienetzen weltweit läuft. Erinnert sich jemand an Blaster? Damals veröffentlichte Microsoft einen Patch einen Monat vor der Katastrophe… und mit Katastrophe übertreibe ich nicht – es war ein grandioser Stromausfall im Osten der USA.