Gegen forensische Angriffe
Türsteher für macOS: swiftGuard überwacht USB-Ports
Das Open-Source-Projekt swiftGuard bezeichnet sich selbst als Anti-Forensik-Anwendung für macOS, die das eigene System durch die kontinuierliche Überwachung der vorhandenen USB-Anschlüsse zusätzlich schützen soll.
Anti-Forensik-Anwendung für macOS
Dabei konzentriert sich der kostenlos erhältliche Download für die Mac-Menüleiste darauf, den Rechner herunterzufahren oder das System in den Ruhezustand zu überführen, sobald ein nicht autorisiertes USB-Gerät angeschlossen oder ein bereits eingestecktes USB-Gerät getrennt wird.
Die Anwendung ist dabei nach Belieben konfigurierbar und bietet unter anderem die Möglichkeit, eine Liste zugelassener Geräte zu erstellen, die jederzeit per USB mit dem eigenen Rechner kommunizieren dürfen. Zudem haben Anwender die Möglichkeit, festzulegen, wie lange nach dem Anschluss eines unbekannten USB-Gerätes mit dem Shutdown gewartet werden soll.
Die Idee hinter dem Tool: Sollte der eigene Mac in die Hände von Strafverfolgern oder zwielichtigen Personen geraten, die sich externer Werkzeuge bedienen, um flüchtige Informationen aus dem Arbeitsspeicher oder den restlichen Systemen über Umwege auszulesen, würde die automatische Systemabschaltung den Einsatz entsprechender Tools aktiv verhindern.
Anwender besonders schützenswerter Berufsgruppen (etwa Journalisten, Anwälte und Ärzte), könnten ihren Rechnern so eine zusätzliche Barriere gegen Fremdzugriffe mit auf den Weg geben.
Swift Guard wird zum kostenlosen Download angeboten, lebt in der Mac-Menüleiste und richtet sich an Anwender, die besonderen Wert auf Systemsicherheit legen. Die Applikation steht auf dem Code-Portal GitHub zum Download bereit. Hier hat der Frankfurter Entwickler Lennart Haack auch die Roadmap mit den bereits geplanten Funktionserweiterungen veröffentlicht. So sei demnächst auch eine Bluetooth-Erkennung geplant; zudem sind automatische Updates und die notarielle Beurkundung der Anwendung durch Apple in Arbeit.
Gibt es nicht immer noch die USB-Schwachstelle, bei der der USB-Controller infiziert wird? Dann nutzt so ein Tool auch recht wenig.
Hallo, der Entwickler hier
Ich selber habe Tests mit meinem Macbook Pro durchgeführt und kann dir sagen, dass swiftGuard schnell genug das System herunterfährt (wenn du eine Verzögerung von 0 sekunden eingestellt hast) und eine Infektion nicht vollständig/erfolgreich ist.
Ich beziehe mich auf die Schwachstelle im T2 Chip mittels USB-C Angriff, die nicht von Apple Softwareseitig behebbar ist. Ebenso ist ein Angriff mit BadUSB nicht schnell genug und swiftGuard schützt auch da.
Ich hab jeden Angriffsvektor 5mal getestet und kein einziges Mal konnte die Infektion gelingen, da swiftGuard den nativen macOS Systemprofiler zur USB Überwachung nutzt und dieser im Millisekundenbereich reagiert :)
Danke für den Tipp, wünsche euch eine schöne Woche. o/
Mir erschließt sich der Sinn jetzt nicht ganz: Das Tool ist doch nur aktiv, wenn der Mac wach und entsperrt ist, oder? Dann kann doch ein Bösewicht ohnehin alles von meinem Rechner auslesen. Oder geht es darum, dass man im Büro kurz „um die Ecke“ muss, vergisst, seinen Rechner zu sperren, und dann steckt der Bösewicht einen USB-Stick an, um Daten von meinem Rechner zu ziehen? Dann würde es ja eher Sinn ergeben, den Rechner manuell oder automatisch sofort zu sperren.
Aber alle anderen Szenarien (Zitat Artikel „Sollte der eigene Mac in die Hände von Strafverfolgern oder zwielichtigen Personen geraten, die sich externer Werkzeuge bedienen, um flüchtige Informationen aus dem Arbeitsspeicher oder den restlichen Systemen über Umwege auszulesen“) führen doch nicht dazu, dass diese App überhaupt läuft, oder? Solange ich mich nicht anmelden kann am Passwort-geschützten System (und der verschlüsselten Festplatte), wie soll dann dieses Tool starten, um einen Shutdown zu initiieren?
Ich denke, das Tool zielt darauf ab, dass dein MacBook entsperrt ist und jemand einfach ein USB Stick ansteckt, um einen Angriff zu starten. Weil ansonsten hast du natürlich recht. Aber auch wenn die Festplatte mit FileVault verschlüsselt ist und der Mac in Ruhezustand ist beziehungsweise kein Nutzer angemeldet ist, sind auch die USB Ports nicht unbedingt deaktiviert. Hier würde dann das Tool aktiv werden.
Stimmt, Christian, wenn es entsperrt ist (wie gesagt, da würde ich dann an der Ursache anpacken). Aber in Deinem zweiten Beispiel: Nein, wenn kein User angemeldet ist, läuft auch ein Tool nicht, das in der Menüleiste lebt. Das setzt ja eben einen angemeldeten Benutzer und einen laufenden Rechner voraus.
Hallo der Entwickler hier
swiftGuard funktioniert natürlich nur, wenn der Mac angeschaltet und ein User eingeloggt ist. Dabei ist es egal ob der Mac entsperrt oder im Ruhezustand/Bildschirm heruntergeklappt ist: swiftGuard ist aktiv und kann den Mac herunterfahren.
Für mich sind bisher zwei Use-Cases erkennar:
Ihr setzt also Ermittler der Polizei mit zwielichtigen Gestalten gleich.
Und weigert euch dann auch noch meinen Kommentar zu veröffentlichen.
Ganz schwach.
Was meinst Du? Im Artikel steht doch: „… Strafverfolgern oder zwielichtigen Personen …“.