Der Erpressungs-Trojaner KeRanger, der sich gegen OS-X-Nutzer richtet, will künftig wahrscheinlich auch versuchen, die gesicherten Daten des Time-Machine-Backups der Nutzers ebenfalls zu verschlüsseln. Die Funktion "_encrypt_timemachine" war in den von der Sicherheitsfirma Palo Alto Networks untersuchten KeRanger-Ausführungen noch nicht aktiv aber bereits integriert.

Der Trojaner arbeitet mit den normalen Rechten eines Benutzers. Time-Machine-Backups zu verändern oder gar zu löschen ist mit diesen Rechten ohne weiteres nicht möglich. Aufgrund fehlender Rechte wird ein entsprechender Versuch mit einer Fehlmeldung quittiert. Zusätzlich sichert OS X das Backup mit Access Control Lists (ACL) ab.

Dieser ACL-Schutz lässt sich allerdings umgehen. In internen Tests konnte Mac & i Backup-Dateien mit normalen Nutzerrechten ohne Angabe eines Admin-Passworts löschen. Folglich könnte ein Erpressungs-Trojaner das auch.

Nutzer können zum Schutz vor Angriffen auf Time-Machine-Backups ein rotierendes Backup anlegen: Dazu richtet man ein zusätzliches Backup-Volumen ein, indem man eine weitere Festplatte an den Mac anschließt. In der Systemeinstellung für Time Machine ist dies ohne weiteres möglich.

Die Platte wirft man nach dem ersten erfolgreichen Backup aus und trennt diese physisch vom Mac. Wie gewohnt sichert die Time Machine dann weiter wie vorher auf dem ersten Backup-Laufwerk. In regelmäßigen Abständen sollten Sie die zweite Backup-Platte anschließen. Es empfiehlt sich, beispielsweise eine Erinnerung für die monatlich durchgeführte manuelle Sicherung anzulegen.

Sollte das Haupt-Backup durch Schadsoftware ruiniert werden, ist damit noch nicht alles verloren da man immer noch einen älteren Stand der Daten hat. Das zweite Backup sollte im Schadensfall erst angeschlossen werden, wenn der Trojaner sicher nicht mehr aktiv ist.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE