Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Entwickler zeigen sich mit Apples GateKeeper-Modell zufrieden

Mit der Veröffentlichung von OS X Mountain Lion und dem Update auf OS X 10.7.5 hat Apple das GateKeeper-System auf einem Großteil der Macs eingeführt, um den Schutz vor Schadsoftware zu erhöhen. GateKeeper vereint mithilfe von Software-Signaturen zwei Ansätze zur Erhöhung der Sicherheit. Zum einen können durch die Signaturen Apps nicht mehr so einfach manipuliert werden, wie es bis vor einigen Monaten noch der Fall war. Darüber hinaus kann Apple im Notfall auch Signaturen eines Entwicklers bei Missbrauch zurückziehen, um größeren Schaden zu verhindern. Grundsätzlich können Nutzer aber auch mit GateKeeper beliebige Software aus dem Internet installieren. Allerdings werden sie nun in den Standardeinstellungen vor den möglichen Gefahren gewarnt. Dieser Kompromiss erscheint Mac-Entwicklern als praktikabler Weg, um den Schutz zu erhöhen und die Offenheit des Systems beizubehalten. Für Schadsoftware wie Trojaner stellt GateKeeper so ein Problem dar, weil es den Nutzer sensibilisiert und möglicherweise beim Angriff misstrauisch werden lässt. Schließlich ist einige Monate nach der Einführung von GateKeeper ein Großteil aktueller Mac-Software bereits mit den notwendigen Signaturen ausgestattet. Zwar können Angreifer nach der Registrierung bei Apple ebenfalls Signaturen anfordern, doch hätte Apple in diesem Fall ausreichend Hinweise, um Ermittlungen gegen die Angreifer durchzuführen. In unserer Leser-Umfrage hatte sich übrigens gezeigt, dass immerhin 50 Prozent die Standardeinstellungen verwenden oder sich sogar ausschließlich auf signierte Software beschränken.

Weiterführende Links:
Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
Release Candidate ist da! iOS 18, iPadOS 18, macOS 15 und watchOS 11 sind fertig
Release Candidate ist da! iOS 18, iPadOS 18, ma...
M4 Max: Noch beeindruckendere Benchmark-Ergebnisse
M4 Max: Noch beeindruckendere Benchmark-Ergebni...
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ist bekannt
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ...
Weitere Neuerungen: iPhone 16 mit 8 GB RAM +++ iPhone 13 ist Geschichte +++ iOS 18.1 und macOS 15.1 Public Beta im Oktober
Weitere Neuerungen: iPhone 16 mit 8 GB RAM +++ ...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?

Kommentare

Spatenheimer2
Spatenheimer201.10.12 10:12
Für Schadsoftware wie Trojaner stellt GateKeeper so ein Problem dar, weil es den Nutzer sensibilisiert und möglicherweise beim Angriff misstrauisch werden lässt.

Ich rechne eher damit, dass sich die Leute jetzt auf Gatekeeper verlassen und im Falle von signierter Schadsoftware mit heruntergelassener Hose dastehen.

"Ich kann net gehackt werden, hab doch ZoneAlarm."
No dynamite, chainsaws or shotguns.
0
valcoholic
valcoholic01.10.12 10:25
Spatenheimer2
Für Schadsoftware wie Trojaner stellt GateKeeper so ein Problem dar, weil es den Nutzer sensibilisiert und möglicherweise beim Angriff misstrauisch werden lässt.

Ich rechne eher damit, dass sich die Leute jetzt auf Gatekeeper verlassen und im Falle von signierter Schadsoftware mit heruntergelassener Hose dastehen.

"Ich kann net gehackt werden, hab doch ZoneAlarm."

mag sein, allerdings ist mir persönlich dieses risiko eher egal. ist natürlich nur meine sicht der dinge, die ich niemandem ans herz legen will. Ich hatte in den vergangenen 12 Jahren als Mac-User nie irgendwelche Erfahrungen mit irgendwelcher Schadsoftware gemacht. Immer hat es geheissen, dass das mit höherer Verbreitung schon noch kommen würde, was auch logisch erscheint. Dennoch kam nie was daher. Das heisst, wenn sich die Motivation, Schadsoftware auf der Mac Plattform zu verbreiten, schon dermassen in Grenzen hält, dann fürchte ich mich vor signierter Schadsoftware wahrlich noch weniger. mag sein, dass ich dann mit runtergelassener Hose dastehe, aber das würde ich auch, wenn mich auf einer einsamen Insel ein Taschendieb überfällt.
0
macmuckel
macmuckel01.10.12 10:26
Denken die Leute nicht eh schon "Mir kann nichts passieren, ich benutze 'nen Mac!"...?
0
Duck Dodgers01.10.12 10:44
@spatenheimer2
Naja, der größte Teil der User hat doch vorher eh alles geöffnet, jetzt wird er wenigstens darauf hingewiesen, dass der Entwickler bei Apple nicht bekannt ist.

Aber GateKeeper schützt nicht vor Schadsoftware, sondern zertifiziert nur den Entwickler! Was die App macht, weiß Apple damit auch nicht.
0
o.wunder
o.wunder01.10.12 11:24
Es ist so schon sicher genug. Wer ganz auf Nummer sicher gehen will, installiert nur Software aus dem Mac AppStore. Es ist auch gut das man das bewusst ausschalten kann.
0
sierkb01.10.12 11:53
Duck Dodgers
Aber GateKeeper schützt nicht vor Schadsoftware, sondern zertifiziert nur den Entwickler! Was die App macht, weiß Apple damit auch nicht.

+1

Zumal solche Zertifikate inzwischen auch von zweifelhaftem Nutzen sind und keinen echten Schutz bieten, weil sie von Hackern und Malware-Schreibern entwendet und zu ihren Zwecken missbraucht werden können (und das derzeit leider auch werden!), um sich unter falscher Flagge -- will heißen: unter dem Schutz eines solchen entwendeten bzw. missbräuchlich betriebenen Zertifikats -- einzuschleichen und zu legitimieren, wie jetzt vor wenigen Tagen auch Adobe hat feststellen dürfen:

heise (28.09.2012): Adobe gehackt und missbraucht

Adobe Blog (27.09.2012): Adobe to Revoke Code Signing Certificate

Adobe Security Advisory APSA12-01: Upcoming Revocation of Adobe code signing certificate

Und wenige Monate zuvor Microsoft:

heise (13.06.2012): Microsoft verändert Zertifikatsmanagement

heise (04.06.2012): Super-Spion Flame trug Microsoft-Signatur

Kann Apple auch passieren. Dürfte wohl weniger eine Frage sein, ob's passiert, sondern mehr die Frage, wann.

Spätestens seit dem nunmehr mehrmalig passierten Desaster mit komprommittierten Root-Zertifikaten von zentralen CA-Signierstellen (die Betriebssystem- und Browserhersteller incl. Apple hatten hierzu mehrmals Software-Patches und Signatur- bzw. Schlüssel-Updates machen müssen) weiß man, was man von solchen Zertifikaten und deren vorgeblicher Sicherheit und stabiler Vertrauenswürdigkeit unterm Strich halten darf: nichts.
0
Hannes Gnad
Hannes Gnad01.10.12 12:16
Klar kann es bei der PKI immer wieder mal Pannen und Einbrüche geben, aber wie soll man sonst ein Vertrauen errichten?
0
sierkb01.10.12 12:31
Hannes Gnad
Klar kann es bei der PKI immer wieder mal Pannen und Einbrüche geben, aber wie soll man sonst ein Vertrauen errichten?

Z.B. über einen weniger zentralistischen und mehr dezentralen Ansatz eines sog. "Netz des Vertrauens" (Web of Trust). Beim hier vorliegenden zentralistisch geprägten PKI reicht es aus, ein einziges Wurzel-Zertifikat, eine einzige Wurzel-Authorität zu komprommittieren, dessen Glaubwürdigkeit zu erschüttern und alle dranhängenden und darauf aufbauenden Zertifikate sind damit unglaubwürdig und damit Toast. Bei einem dezentralen PKI mit mehreren, von einander unabhängigen PKIs, die sich gegenseitig ihr Vertrauen aussprechen und ihre Zertifikate gegeneinander absichern, ist der potentielle Schaden hingegen kleiner, wenn ein Zertifikat oder eine Zertifizierungsstelle mal kompromittiert sein sollte, denn es gäbe parallel und gleichberechtigt und eben nicht hierarchisch noch genügend andere in der Vertrauenskette, deren Signatur/Zertifikat vertraut werden könnte.
0
ma_hovina
ma_hovina01.10.12 12:41
valcoholic
mag sein, dass ich dann mit runtergelassener Hose dastehe, aber das würde ich auch, wenn mich auf einer einsamen Insel ein Taschendieb überfällt.

LOL! hab' mir bildlich vorgestellt wie tief sich der taschendieb bücken müsste um an meine runtergelassene hose zu kommen
0
chessboard
chessboard01.10.12 13:03
Letztlich wird es keine Sicherheitstechnik geben, die den einzelnen Benutzer davon entbindet, selbst die Verantwortung für sein Verhalten am Rechner und im Netz zu übernehmen.

Solange es nicht möglich ist, jeden einzelnen Benutzer und Anbieter im Web eindeutig zu identifizieren, solange bestimmt eben Pragmatismus das Handeln. Entweder man vertraut einfach der vorgeblichen Reputation des Gegenübers, oder man verzichtet auf den Kontakt oder Austausch. Zertifikate von Stellen, die man als Otto-Normaluser sowieso nicht überprüfen kann, helfen da auch nicht wirklich weiter.

Im Übrigen gilt wie beim Regen: Das meiste fällt eh daneben.
0
Gerhard Uhlhorn01.10.12 16:10
Na ja, aber zumindest ist es auf diese Art und weise viel aufwändiger das System anzugreifen. Ein Angreifer überlegt es zweimal, ob er sein eigenes Zertifikat dafür missbraucht. Und das Zertifikat zu fälschen oder zu stehlen ist um ein vielfaches aufwändiger als die Schadsoftware selbst.

Zumindest ist die Hürde jetzt deutlich höher. Vielleicht reicht sie irgendwann nicht mehr. dann legt man sie eben noch höher. Im Moment reicht es aber um Epidemien wie früher unter Windows üblich zu verhindern.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.