@Reklow : Dennoch vielen Dank!
Wenn der Angriffsvektor ein nicht vertrauenswürdiges WLAN ist und ich im Admin Konto am Mac angemeldet war, ist praktisch alles möglich oder lässt sich die „Bedrohung“ irgendwie eingrenzen?
Das ist der Punkt. Wenn das alles so ist wie du sagst - der Angreifer kommt aus deinem Umfeld, hat es explizit auf dich abgesehen und die technischen Möglichkeiten einen aktuellen ARM Mac allein durch ein WLAN zu infizieren - dann reden wir hier über ein Bedrohungsszenario dem du realistisch längerfristig nichts entgegensetzen kannst ohne extreme Maßnahmen (komplett airgapped/oflline, Gerät vor physischen Zugriff schützen, etc.) zu ergreifen.
@Krone : Ja, so ist es.
Aber:
Wenn ich Vorsichtsmassnahmen befolge, welche Software / Hardware bietet sich an um nach Malware auf meinem System oder einem von Malware erzeugten „Datenstrom“ zu finden??
Es wurde mir vielfach Malwarebytes empfohlen, die hat aber leider nie angeschlagen.
VG + Danke
Wen kennst Du, der entsprechende Kenntnisse hat und zugleich Zugriff auf das nicht vertrauenswürdige WLAN? Wenn dem so wäre, würde sich der Personenkreis stark eingrenzen lassen.
Ich gehe stark davon aus, daß Dir jemand etwas unauffälliges geschickt hat und Du es geöffnet hast.
@audofriemler
Ich habe einen Verdacht, hilft aber leider nix.
Deshalb bitte nochmal meine letzte Frage ansehen.
Trotzdem vielen Dank!
Wenn dir jemand tatsächlich einen maßgeschneiderten exploit untergejubelt hat kommst du mit Virenscanner & Co. auch nicht weiter - da müssen forensische Experten ran. Wenn das so einfach wäre könnte man ja Staatstrojaner und Wirtschaftsspionage einfach mit 08/15 Software erkennen und abwehren.
Ich danke allen für die Teilnahme!!!
Wurden deine Einstellungen über die Apple ID synchronisiert?
Du solltest auf jeden Fall ausgehend von einem sicheren System deine Passwörter für alle wichtigen Accounts ändern (einzigartig, zufällig und lang) und alle verbundenen Geräte ausloggen. Wenn möglich schaffe dir zwei(+) Security-Keys an für Fido2 als zweiten Faktor.
Und wie soll das gehen? Die Firewall blockt eingehende Verbindungen standardmäßig ab und eine Remote-Kompromittierung des Wifi-Stacks halte ich für äußerst unwahrscheinlich. Verbindungen sind heutzutage auch TLS verschlüsselt also ist der Angriffsvektor auch nicht sehr wahrscheinlich, außer du hast irgendwelche Schrottsoftware drauf die Updates ohne TLS oder Signaturchecks installiert. Die Theorien die hier geäußert werden sind schon ziemlich wild. Kann zwar theoretisch sein, setzt aber sehr teures Wissen und Exploitchains voraus, die wohl kaum dazu verwendet werden um jemandem die Startseite zu ändern. Meistens ist es dann doch etwas Einfaches wie Apple ID mit schlechtem Passwort, physischer Zugang zum Gerät, oder einfach ausversehen etwas bösartiges ausgeführt.
Ich glaube nicht, dass ein maßgeschneiderter Exploit dafür verantwortlich war. Wenn er tatsächlich die ganze Zeit als Admin angemeldet war (und somit mit dem Admin Account gearbeitet hat, was man nicht machen sollte), wird ihm einfach jemand eine Datei geschickt haben, die beim Öffnen die Safari Startpage ändert.
So eine ‚Konfigurations Datei‘ würde wahrscheinlich auch nicht von Malwarebytes als Bedrohung erkannt werden.
Aber das alles ist nur eine Theorie.
Wenn man wirklich mehr wissen möchte, kommt man um ein Forensiker wahrscheinlich nicht herum!
Die Settings werden über die iCloud synchronisiert?
Ich speichere vorsichtshalber keine iOS Backups in der iCloud und auch den Schlüsselbund nicht, da ich auch Windows 11 verwende…
Yubikeys verwende ich seit etwa 2015. Die haben mich aber nicht vor einem Hack meines Google Kontos geschützt. Trotz Teilnahme am Advanced Protection Programme. Vermutlich durch einen Cookie Stealer. Bei Google ging das bei mir über eine längere Zeit. Auch das Ändern des Google-Passworts hat nichts genützt. Anklicken des Buttons „Abmelden“ bei der Geräteauflistung des Google Kontos war nicht ausreichend. Bis dann ein BSI Vorfall Experte darauf hinwies, dass ich den Button „Unbekanntes Gerät“ anklicken muss um dieses langlebige Cookie zu deaktivieren…
Schweinerei dass Google solche Cookies überhaupt verwendet und die Teilnehmer am Advanced Protection Programme in falscher Sicherheit wähnt.
Ich bin ein relativ gut informierter Privatanwender. Aber eben nur Privatanwender. Keine Ahnung wie es passieren konnte. Es ist aber passiert!
Ich verwende unterschiedliche Passwörter für alle Services und einen lokal abgespeicherten Passwort-Manager.
Sicher unterlaufen mir Fehler. Aber ich lade nicht einfach irgendwas runter. Meine E-Mails werden zurzeit auch nur über den Webbrowser bearbeitet.
Daher halte ich eine versehentlich geöffnete Konfigurationsdatei für ziemlich unwahrscheinlich in meinem Fall. Und dann Spotlight… Spotlight hat nichts mit dem Browser zu tun.
Aber ich hatte mich die letzten Jahre hauptsächlich als Admin angemeldet, das werde ich ändern.
VG + Dank atlantic
Wie wäre es mit VPN im unsicheren Netzwerk?
Oder diesea ganz meiden?
Ich verwende zzt. den VPN Service von Apple. Vielleicht schützt der im unsicheren Netz aber wenn der Computer bereits kompromittiert ist, hilft das VPN wohl auch nicht…
Wenn alles neu und frisch aufgespielt wurde, sollte ein VPN schon was bringen.
Nach meine Verständnis sieht dann jemand im unsicheren Netzwerk nicht mehr was du im Internet machst und hat so auch weniger Angriffsfläche.
Ich würde mein Anliegen nicht auf ein VPN reduzieren bzw. als die Lösung aller geschilderten Probleme.
Wenn jemand deinen Spitznamen verwendet, kennt er dich. Entweder hat er Zugang zu deinem Rechner gehabt oder deine Zugangsdaten, so wie @Chief1945 schreibt. Vielleicht war auch auf dem Mac Remote Access aktiviert …
Wenn du den Rechner komplett neu aufgesetzt hast (formatiert, neues System und neue Benutzer) etc. ist der Mac vollkommen „sauber“.
Erstelle zusätzlich eine neue Apple ID, die niemand kennt.
Lade alle Apps, die du zusätzlich brauchst, erneut herunter, nicht von deinem alten Account. Lass alle alten Daten und Emails erst einmal weg.
So hast du immer noch einen sauberen Mac.
@vax
Vielen Dank für die Tipps. So werde ich es tun.
@vax
Nur um es richtig zu verstehen:
„Lade alle Apps, die du zusätzlich brauchst, erneut herunter, nicht von deinem alten Account.“
Können die Apps die über mein altes iCloud Konto von Apple heruntergeladen wurden von Malware befallen sein?
Das iCloud Konto hat einen Wert, denn ich habe einige Medien gekauft.
Zur Sicherheit habe ich alle persönlichen Dokumente und Fotos aus der Cloud entfernt. Ebenso wie die iOS Backups.
Inwiefern ist das Beibehalten des alten iCloud Kontos ein Risiko??
VG
Atlantic
Die Apps werden aus dem allgemeinen Mac AppStore geladen. Alle Benutzer erhalten die gleichen, signierten App-Pakete. Deine bisherige AppleID sollte für das sichere Herunterladen der Apps keinen Unterschied machen.
Da hat @Reklow recht: bei den Apps aus dem AppStore ist es egal von wem die geladen werden.
Alle anderen Apps, die du nicht aus dem App Store bezogen hast, die solltest du erneut von der Original-Webseite laden und nicht von deinem alten Account Programm Ordner kopieren.
Meinst Du Apple Private-Relay mit dem VPN-Service von Apple?
Private-Relay arbeitet IMHO nur mit den Apps Safari und Mail zusammen, während alle anderen Anwendungen ohne VPN direkt kommunizieren. Sollte Dein Mac also aus dem „unsicheren WLAN“ angegriffen worden sein, dann biete Private-Relay hier keinen Schutz.
Wichtig ist aus meiner Sicht für den Betrieb eines Gerätes in öffentlichen Netzen vor allem ein aktuell gepatchtes System und die Aktivierung der Firewall gegen direkte Angriffe von außen auf eventuelle offene Dienste (Laufwerksfreigaben, Remotezugriffe) Deines Mac.
Ein wirkliches, systemweit greifendes VPN zu einem vertrauenswürdigen VPN-Gateway wiederum schützt ergänzend gegen Angriffsversuche auf von Dir aufgebaute Internet-Verbindungen (Man-in-the-Middle-Angriffe, Mitschneiden von unverschlüsselter Kommunikation, Umleiten von Kommunikation - jeweils innerhalb des unsicheren WLANs).
@Reklow
Vielen Dank für den Hinweis auf Private Relay. Ich verwende dann ProtonVPN.
Aktuell habe ich nach langer Zeit die x.te Strafanzeige erstattet und konnte jetzt erwirken, dass der Computer forensisch untersucht wird.
Ich hoffe dieser ganze Ärger damit erledigt sein wird.
VG