In einem Telepolis-Artikel (Der Staat als Einbrecher) wird die Meinung vertreten, dass der Mac als exotische Betriebssystemplattform dennoch nicht vor dem Bundestrojaner gefeit ist. Vor kurzem habe ich über die Möglichkeiten der Verschlüsselung auf dem Mac geschrieben, doch die beste Verschlüsselung nützt nichts, wenn sich der Spion bereits auf dem Rechner befindet, bevor die Daten verschlüsselt werden, so wie es beim Bundestrojaner der Fall wäre. Und es muss ja auch gar nicht der Bundestrojaner sein, der sich auf dem eigenen Rechner eingenistet hat, schlimmer (zumindest nach meinem Empfinden, natürlich ist jeder Spion doof) wäre ein Trojaner, der zum Beispiel meine Kreditkartendaten ausspioniert oder andere Daten, die ich gerne bei mir behalten würde.
Doch wie kann man es verhindern, dass sich ein Trojaner festsetzt? Im Telepolisartikel wird betont, dass man sich einfach nix von draußen herunterladen und installieren sollte, was etwas realitätsfremd ist. Es gibt aber auch andere Möglichkeiten, wobei ich gleich hinzufügen muss, dass ich kein Sicherheitsexperte bin und deswegen keine Garantie geben kann, dass die folgenden Tipps ausreichen.
Zunächst einmal sollte man selbst nicht als Admin eingeloggt sein, auch wenn das natürlich verführerisch ist; allerdings hat dies bei einem der ersten Schädlinge auf der Mac OS X-Plattform auch nicht vor Schaden bewahren können. Dennoch werden einige Risiken schon mal minimiert, denn als Admin eingeloggt kann man mehr Schaden anrichten als einem lieb ist, und das gilt auch für die Programme, die laufen, wenn man als Admin eingeloggt ist (kleiner Hinweis, Admin ist nicht Root!).
Der nächste Schritt ist, dass man darauf achtet, was im Netzwerk eigentlich passiert. Mac OS X hat zwar eine eingebaute Firewall, aber die ist nur für reinkommende Daten geeignet. Ist ein Trojaner erst einmal installiert (und hat die Firewall also ohne Probleme überwunden), so kann die Firewall nichts mehr ausrichten. Dafür gibt es aber Möglichkeiten zu sehen, welche Programme eigentlich nach draußen kommunizieren wollen, zum Beispiel mit Little Snitch. Mit diesem Programm lassen sich für jede Applikation Regeln erstellen, was die Applikation tun darf im Funkverkehr nach draußen und worüber man lieber informiert werden möchte. Und selbst wenn man nicht Angst vor Trojanern hat, ist es schon interessant zu wissen, welche der gewohnten Applikationen interessante Kommunikationsvorlieben haben.
So will zum Beispiel eine Applikation aus der Google Desktop-Suite, der StatsUploader, ab und zu nach Hause telefonieren, bei mir anscheinend zwei Mal pro Stunde:
Das hat mich sehr verwundert, denn eigentlich hatte ich das Nacht-Hause-Telefonieren von Google Desktop deaktiviert:
Ich bin nicht der erste, dem das auffällt, und dabei ist Google Desktop für den Mac nicht das einzige Programm, das sich anders verhält als erwartet. Warum verbindet sich hier zum Beispiel Firefox mit showmyip.com?
Tatsächlich ist es gar nicht Firefox selbst, sondern eine Erweiterung, die ich mir installiert hatte. Im ReadMe dazu stand nichts darüber.
Was mir an Little Snitch fehlt ist die Möglichkeit zu sehen, WAS nach Hause gefunkt wird. Wäre ja blöd, wenn man hier ein Programm verdächtigen würde, das gar nichts Böses vorhat.
Eine Alternative zu Little Snitch ist das bei den Bordmitteln bereits vorhandene UNIX-Tool tcpdump. Auf der Kommandozeile wird tcpdump -i en1 aufgerufen (en1 für das Netzwerkinterface bei mir, an dem Airport hängt, mit tcpdump -D erhält man eine Liste aller verfügbaren Netzwerkschnittstellen), und schon kann man den kompletten Netzwerktraffic überwachen.
In dem Screenshot redet zum Beispiel die IP-Adresse 192.168.2.101 ständig mit der IP-Adresse 192.168.2.104. Da dies Class C-Netzwerkadressen sind, handelt es sich nicht um Traffic nach draußen, sondern um netzinternen Traffic; stattdessen scheint mein Rechner sehr besorgt zu sein, dass mein WLAN-Drucker nicht mehr da ist und ständig nach ihm zu fragen 
tcpdump ist wie gesagt kostenlos, aber auch etwas schwieriger zu bedienen.
Wie bei der Verschlüsselung ist hier mehr zu tun vom Anwender, als die meisten Anwender momentan zu tun bereit scheinen; wer liest schon alle AGBs oder Lizenznutzungsvereinbarungen, und die Bequemlichkeit siegt auch hier. Dass das gefährlich ist, erklärt der folgende Film mit einfachen Worten:
Siehe auch PANOPTICOM
Update: Der Bundestrojaner soll gar kein Trojaner werden, sondern wird persönlich installiert…
Auch interessant: Bundestrojaner.net – Warum warten, bis das BKA den Bundestrojaner ihn installiert, gleich selber tun!
{ 2 trackbacks }
{ 3 comments… read them below or add one }
Eine weitere Sicherheitsmaßname wäre zB mit Safari über einen lokalen SOCKS Proxy zu surfen (siehe http://textsnippets.com/posts/show/1326 ).
Da tcpdump root-Rechte für die Ausführung benötigt, sollte der Aufruf im Terminal dann so lauten:
sudo tcpdump -i en1In der Folge 127 vom Chaosradio wird übrigens auch sehr viel über den Bundestrojaner erzählt. Sehr interessant, sollte man sich unbedingt anhören:
http://chaosradio.ccc.de/cr127.html