home english | home deutsch | Site Map | Sascha | Kontakt | Pro | Weblog | Wiki
Workshop: Den eigenen Mac absichern
Ob kleine oder grosse Gefahren aus dem Internet oder von anderen lokalen Benutzer/innen, wir lernen wie wir sie vermeiden oder richtig damit umgehen: Benutzerrechte und Administratoren, der eingebaute FireWall, Passwörter und Schlüsselbund, Virenschutz, Backup.
Dabei gehen wir immer von alltagstauglichen Lösungen aus, die sofort nach dem Kurs am eigenen Mac umgesetzt werden können.
Grundkenntnisse zu Mac OS X sind hier erwünscht, aber der eigentliche Kursinhalt wird für EinsteigerInnen vermittelt.
Dieser Workshop ist die Kurzfassung eines halbtägigen Workshops, siehe meine Kurs-Seite.
von Sascha Welter <swelter@mus.ch>
Unsere Technik wird immer leistungsfähiger -- aber auch immer komplizierter. Dadurch ergeben sich Angriffspunkte, die die Produkte unserer Arbeit gefährden. Neben unserer Arbeit stehen auch unser Ansehen und das Vertrauen im Team auf dem Spiel. Obwohl es für viele Leute nicht so attraktiv ist, sich mit der Sicherheit des eigenen Computers zu beschäftigen, empfehle ich wenigstens einige einfache Dinge zu beachten.
In der Sicherheitsbranche wird gerne "schwarzgemalt". Wir wollen natürlich nicht übertreiben, aber einen kurzen Blick auf das Negative erlauben wir uns zum Anfang.
Eindringen Fremder
Die am meisten gefürchtete Sicherheitspanne ist das eindringen Fremder in den eigenen Rechner. Mit den modernen Betriebssystemen kann man praktisch alle Funktionen des Rechners auch nutzen, wenn man nicht davor sitzt.
Denial-Of-Service
Eine andere Angriffsmöglichkeit bezeichnet man als "Denial of Service", als "Verweigerung des Services". Dabei wird der angegriffene Rechner so beschäftigt oder durcheinandergebracht, dass die normalen gewünschten Funktionen nicht mehr durchgeführt werden können. Ein Webserver hört auf Webseiten zu liefern, weil er überlastet wird. Der private Computer lässt uns nicht mehr arbeiten, weil wichtige Systemprogramme abstürzen.
Datenverlust
Die am meisten gefürchtete Folge von Sicherheitspannen sind Datenverluste. Der Virus, der die Festplatte löscht ist hier das übliche Beispiel. Auch wenn nur wenige Dateien wegkommen und wenn man der Meinung ist, dass das eigene Zeug nicht so wichtig ist, sollten wir vorsichtig sein.
Missbrauch
Oft sind die fiesen Eindringlinge gar nicht direkt an unserem Rechner interessiert, sondern wollen diesen als "Sprungbrett" zum Angriff auf andere benutzen. Sei das nun, dass sie die Rechner des CIA angreifen wollen oder dem eigenen Lehrer ein beleidigendes Mail anonym schicken wollen.
Vertrauensverlust
Das Opfer einer Sicherheitspanne zu werden bedeutet einen Vertrauensverlust. Wir arbeiten entspannt mit unserem Computer, weil wir darauf vertrauen, dass er funktioniert. Wir können im Team eine gute Leistung erbringen, weil wir darauf vertrauen, dass auch unsere elektronische Kommunikation ungestört abläuft. Störungen dieses Zustands führen zu Vertrauensverlusten, die sich nicht immer ausbügeln lassen.
Rechtliche Probleme, Haftbarkeit
Als Folge gerade der Missbrauchsproblematik können vielleicht sogar rechtliche Probleme auf uns zukommen. Bei Schäden wird die Frage der Haftbarkeit wohl nicht immer ganz einfach zu klären sein.
Zeit und Nerven
Das Aufräumen nach einem Einbruch braucht Zeit und Nerven, auch wenn der Schaden auf den ersten Blick klein sein mag. Wenn eine Handtasche gestohlen wurde, sind z.B. nicht nur Geld und Ausweise weg, auch müssen oft Türschlösser ausgewechselt werden, weil Schlüssel drin waren. Beim Einbruch in einen Computer zieht sich oft auch so ein Rattenschwanz hinterher. Unsere Zeit und unsere Nerven werden auf jeden Fall belastet.
Admins...
Dürfen wichtige Einstellungen ändern, Benutzer einrichten, Programme installieren und entfernen, eigentlich dürfen Admins alles. Dabei können dann auch Fehler passieren. Die Fehler, die als Admin begangen werden, können auch alles kaputtmachen.
...und Normaluser
Normaluser dürfen vieles nicht. Sie dürfen eigentlich alles mit ihren eigenen Daten. Aber sie können keine systemweiten Einstellungen verändern, keine Programme löschen und nicht mit den Daten der anderen Benutzern rumspielen.
Privilegien und Schadensbegrenzung
Mit weniger Privilegien zu arbeiten, bedeutet auch, dass ein Eindringling, der es geschafft hat, meinen Account zu kapern, weniger Privilegien zur Verfügung hat. Wir sorgen für Schadensbegrenzung, sollte jemand unseren privaten Benutzeraccount übernehmen können.
Ein Programm das wir durch Doppelklicken ausführen, kann alles machen, was auch wir machen können: Dateien löschen, Mails verschicken, Festplatten formatieren, usw. Wenn so ein Programm keine Administrator-Rechte hat, ist es bedeutend stärker eingeschränkt. Zum Beispiel könnte ein bösartiges "Dialer"-Programm unsere Internet-Verbindung nicht auf eine kostenpflichtige Nummer umändern.
Fallstricke vermeiden
Wenn wir als "Normaluser" arbeiten, schützen wir uns selber vor Unaufmerksamkeit. Aus Versehen das Programm-File (statt die Datei) in den Papierkorb zu schmeissen geht nicht, wenn wir nicht die Berechtigung dazu haben. Der "Umstieg" auf den Admin-Account zwischendurch zwingt uns unsere Handlungen gut zu überlegen.
Die Einstellung wer was ändern kann wird in OS X mit jeder Datei und jedem Ordner auf der Festplatte gespeichert.
Eigentümer, Gruppen und Andere
Jede Datei hat dabei einen Eigentümer und eine Gruppe von Benutzern zugeordnet. Für Eigentümer, Gruppe und alle anderen können wir unterschiedliche Vorgaben machen.
Lesen, Schreiben, Ausführen
Freigeben kann ich dabei den Lesezugriff (Dateien öffnen, kopieren), den Schreibzugriff (Dateien verändern, überschreiben, löschen) und die Möglichkeit diese Datei als Programm starten zu können. Bei Ordnern kann ich festlegen, ob enthaltene Dateien gelesen werden können (Lesen), ob enthaltene Dateien gelöscht oder umbenannt werden dürfen (Schreiben) oder ob der Inhalt durchsucht werden kann (wird zum Auflisten des Inhalts benötigt).
Die Finder-Version
Der Finder lässt uns nur die jeweils ersten zwei dieser Einschränkungen verändern: Lesen und Schreiben. Weitere Einstellungen müssten im Terminal oder mit einem Hilfsprogramm gemacht werden.
Das Passwort ist sowas wie eine Identitätskarte. Falls Dein Passwort gestohlen wird, kann jemand im schlimmsten Fall in Deinem Namen grossen Schaden anrichten.
Gute Passwörter
Keine Namen oder Wörter die sich in irgendeinem Wörterbuch finden
Keine Initialen oder Namensteile
Keine Geburtsdaten oder Jahre
Heutzutage knacken die Crack-Programme auch einfache Mutationen wie "name123".
Mindestens 8 besser 10 Zeichen
Eselsbrücke machen
Aufschreiben?
Viele Experten warnen davor, Passwörter aufzuschreiben. In einer grossen Firma macht es tatsächlich weniger Sinn, wenn das Passwort zur Lohnbuchhaltung auf dem Monitor klebt. Beim privaten Computer oder beim Gerät in einem vertrauenswürdigen Umfeld macht das jedoch durchaus Sinn: Das aufgeschriebene Passwort kann "härter" gewählt werden. Wenn ein Einbrecher physisch eine Tür aufbricht und vor dem Computer steht oder wenn mir das Portemonnaie gestohlen wird, haben wir ganz andere Probleme als dieses Passwort. Aber der böse "Cracker" aus Hongkong dürfte Mühe haben, den Zettel auf Eurem Monitor zu lesen, während er mit einem simplen Passwort übers Netz eher zu schlage kommt.
Wichtige Passwörter sollten auch an einem sicheren Ort hinterlegt werden, zum Beispiel in einem verschlossenen Umschlag im Bankschliessfach oder in der Schublade mit den persönlichen Dokumenten. Es ist frustrierend, wenn auf einen Fileserver nicht mehr zugegriffen werden kann, weil der Mitarbeiter, der das Passwort weiss, einen Unfall hatte.
Zurücksetzen
Passwörter des Systems können mit der OS X Installations-CD zurückgesetzt werden. Dazu starten wir von der CD und wählen "Reset Password..." im Menü.
Hardware schützen
Die Möglichkeit ein Passwort zurückzusetzen kann unterbunden werden, indem auf dem betreffenden Mac die "Open Firmware" mittels eines weiteren Passwortes geschützt wird (Programm von Apple).
Der Schlüsselbund im OS X
OS X bietet uns mit dem Programm "Schlüsselbund"/"Keychain" die Möglichkeit an, weniger wichtige Passwörter wie die von Mail- und Web-Programmen zu sammeln und unter den Schutz eines "Hauptpassworts" zu stellen. Dabei wird der Schlüsselbund durch eingabe des Schlüsselbundpassworts freigegeben. Das Programm fragt bei jedem Zugriff nach. Der Schlüsselbund kann automatisch nach einer eingestellten Zeit wieder "gesperrt" werden.
Das "alte" Mac OS war vor allem darum so sicher, weil von Haus aus keine Serverdienste und Fernsteuerungen liefen. Mit Mac OS X ist das leicht anders: Von Haus aus werden mehrere solche Fernzugriffsmöglichkeiten geliefert. Viele dieser Serverdienste sind sinnvollerweise nach der Neuinstallation deaktiviert.
Offene Türen zum Beispiel mit FileSharing
Ein Beispiel für unüberlegte Hintertüren bei den Diensten ist das FileSharing: Damit wird auch der Gastzugriff eingerichtet, dass bedeutet, dass jedermann und -frau auf die öffentlichen Ordner des Macs Zugriff haben -- und zwar ohne ein Passwort zu brauchen. Natürlich betrifft das nicht die ganze Festplatte, aber ein kleiner Fuss ist schon in der Tür.
Was brauche ich? Was kenne ich?
Das bedeutet nicht, dass z.B. der eingebaute ftp-Server oder ssh-Server gefährlich ist. Aber ich sollte mir überlegen: Was brauche ich wirklich, womit kann ich wirklich umgehen? Wenn ich etwas nicht kenne und nicht wirklich brauche, dann lasse ich vielleicht besser die Finger davon.
Anschluss bitte! Was sind "Ports"?
Eine Verbindung im Internet funktioniert ganz ähnlich, wie eine Telefonverbindung zwischen zwei Telefonzentralen mit vielen Nebenstellen. Die Verbindung findet von der Nummer der einen Zentrale (z.B. 01 999 88 77) zur Nummer der anderen Zentrale (z.B. 071 555 66 77) statt. Dabei werden aber auch je eine Nebenstelle verbunden, der tatsächliche Apparat, mit dem gesprochen oder gefaxt wird. Bei Zentrale 1 wäre das z.B. die interne Nummer 231, die auf die Nebenstelle 25 bei Zentrale 2 eine Voicemail-Nachricht hinterlässt.
In unserem Beispiel entsprechen die Telefonnummern den IP-Adressen des Internets. Jeder mit dem Netz verbundene Computer wird über eine IP-Adresse identifiziert und angesprochen.
Um auf diesem Computer aber jemanden "ans Telefon" zu bekommen (z.B. einen Mailserver oder den Empfänger einer iChat-Anfrage), müssen wir noch die Nebenstelle bezeichnen. Bei einem Mailserver ist das der Port 25, bei einem Webserver der Port 80.
Firewall und Dienste
Wenn wir einen der oben erwähnten Sharing-"Dienste" starten, dann wird der eingebaute Firewall automatisch instruiert, diese Nebenstelle freizugeben. Was passiert aber, wenn wir zum Beispiel ein Programm starten, das ohne unser Wissen versucht, auf dem Mac einen eigenen Serverdienst aufzumachen? Falls ein neu installiertes Programm zum Beispiel einen eigenen Fileserver aufmacht, hat niemand dem Firewall Bescheid gesagt und der "Port" kann von aussen trotzdem nicht erreicht werden. Die Tür ist zwar offen, aber es ist noch eine Wand davor.
Wenn wir tatsächlich bewusst ein Programm mit erwünschter Serverfunktion installieren, dann müssen wir dem Firewall ganz einfach mitteilen, welchen Port er freischalten soll.
Kommerzielle Firewalls
Neben dem eingebauten Firewall gibt es auch kommerzielle Produkte die ähnliche Jobs machen. Zusätzlich kann man dann noch einstellen, dass man eine Meldung bekommt, wenn jemand sich an einem verschlossenen Port versucht und man kann wohl noch ein paar andere Spielchen treiben. Ich selber komme gut mit dem eingebauten Firewall zurecht. Wenn man mal begriffen hat, dass ein Firewall keine Hexerei ist, dann braucht man auch nicht für Hokuspokus zu bezahlen.
Software updaten
In den Programmen und in den Systemen die wir verwenden tauchen immer wieder Fehler auf. Einige Fehler führen direkt oder indirekt zu Sicherheitsproblemen. So kann es sein, dass von einem Tag auf den anderen bekannt wird, dass eine Webserver-Software ein ungewolltes Hintertürchen hat. Sobald so etwas bekannt wird, geben die Hersteller üblicherweise Updates und Security-Updates heraus. Deshalb ist es für uns sinnvoll, unser System und unsere Programme regelmässig auf den aktuellen Stand zu bringen.
Zumindest Apple macht uns das relativ einfach mit den "Software Update" Systemeinstellungen. Die Updates sind zwar manchmal etwas sehr gross geraten, dafür ist die Installation einfach. Bei Software von anderen Herstellern müssen wir selber auf Updates achten und diese Installieren.
Anweisungen aus dem Internet.
Oft lese ich im Internet oder auf verschiedenen Mailinglisten Anweisungen, die als Antwort auf Fragen und Probleme genannt werden, und bei denen es mir kalt den Rücken runterläuft. Zum Beispiel empfahl jemand "so allgemein" bei Problemen doch die Netinfo-Datenbank zu löschen. Super Idee, damit sind auch gleich die Benutzereinstellungen und sonst noch ein Haufen Zeug weg. Wir sollten uns überlegen, von wem wir Anleitungen und Anweisungen ohne Rückfrage akzeptieren wollen. Besonders wenn die Befehle su, sudo, der "root"-Benützer oder Dinge die nur der Admin machen kann auftauchen, dann sollte die Warnglocke läuten und wir sollten mit doppelter Vorsicht vorgehen. Eine Falschinformation oder ein Tippfehler können zu massiven Problemen führen. Wenn es sich dann um wichtige Arbeitsdaten handelt, dann kann das Ende bitter sein. Merke: Wenn uns jemand bei OS 9 sagt, wir sollen den Systemordner löschen und das System neu installieren, dann wissen wir aus Erfahrung, dass da eigene Daten flöten gehen können. Bei OS X müssen wir einige dieser Dinge noch lernen.
Programme oder Scripts installieren, die wir nicht kennen.
Eine ähnliche Vertrauensfrage ist natürlich die Installation von unbekannten Programmen oder das ausführen von Unix- oder AppleScripts aus vielleicht nicht top vertrauenswürdigen Quellen. Bisher ist die Mac-Welt von fiesen Trojanern, Würmern und Viren grösstenteils verschont geblieben. Eine gesunde Vorsicht und der Aufbau von einer gegenseitigen Vertrauensbasis sichern, dass das möglichst so bleibt.
Copyright © 2003 Sascha Welter
Vielen Dank für Eure Aufmerksamkeit!