Antivirus software voor de Mac, nodig of niet?

Door: Night - 24 reacties
Anti-virus software
Afbeelding: ANP fotobank

Het is een diepgewortelde overtuiging in computerland, dat Macs geen last van malware hebben. Nou, we weten allemaal dat dat niet waar is. Alleen al in de eerste helft van 2019 zijn verschillende nieuwe bedreigingen ontdekt die specifiek op Macs waren gericht. Ook in het verleden zijn opmerkelijke gevallen van Mac in de publiciteit gekomen. Is het dat helemaal niet waar dat Macs minder kwetsbaar zijn dan Windows PC’s? En hoe zit het met de noodzaak voor anti-virus software?

De overtuiging dat je op de Mac minder kans maakt op een besmetting met malware is niet alleen maar fanboy-praat. Feit is dat Windows PC’s een marktaandeel hebben van zo’n 90%. Hierdoor zijn deze een veel aantrekkelijker doelwit voor de makers van malware. Minder kans? Inderdaad. Maar hoe klein de kans ook is, hij is wel degelijk aanwezig…

Macs hebben veel ingebouwde, krachtige functies die goede hulpmiddelen kunnen zijn in de strijd tegen malware. Maar is dat voldoende? Deze functies zitten standaard in elke Mac, dus is het echt nodig om extra antivirussoftware aan te schaffen? Een tweetal experts probeert wat licht in de zaak te brengen.

Welke bescherming biedt macOS?

Op de Mac heb je een aantal fantastische ingebouwde tools tot je beschikking, die je meteen beschermen. Wanneer je bijvoorbeeld een app van internet downloadt, wordt deze door XProtect gecontroleerd aan de hand van een lijst met bekende malware-apps. Het werkt onzichtbaar en op de achtergrond. Dat betekent dat het geen onderhoud of activering nodig heeft en de Mac niet vertraagt. Dan heeft je Mac nog de beschikking over een Malware Removal Tool (MRT), die eventuele malware op aanwijzing van XProtect kan verwijderen.

Ondertussen zal Gatekeeper ervoor zorgen dat de app niet zonder uw toestemming wordt geopend als deze niet digitaal is ondertekend en dus als veilig wordt beschouwd door Apple. En nu is Apple zelfs begonnen met het notariseren van apps. Dit wil zeggen dat alle apps bij Apple bekend én ondertekend moeten zijn met een certificaat.

Tenslotte zijn alle apps in een sandbox geplaatst, wat betekent dat ze alleen maar kunnen doen wat ze moeten doen. Ze zijn dus afgeschermd van de rest van het systeem en hebben geen toegang tot kritieke systeeminfrastructuur en instellingen.

Transmission bevatte KeRanger malware
Maart 2016: De eerste ransomware voor macOS wordt gevonden in Torrent download app Transmission (klik/tap voor groter). Afbeelding: Transmission

Kwetsbaarheden in macOS

Maar er zitten ook gaten in die bescherming. De beveiligingslaag van Apple is afhankelijk van het toekennen van ‘quarantainetags’ aan verdachte of regelrechte schadelijke software. Als je een app probeert te openen die zo’n tag heeft, krijg je een waarschuwingsscherm te zien.

Thomas Reed, directeur van ‘Mac & Mobile’ bij beveiligingsbedrijf Malwarebytes, legt uit dat de verdediging niet zo uitgebreid is als het lijkt. “Het toevoegen van die tag is geen vereiste, en niet alle software doet dat. Bijvoorbeeld, torrent-software doet dat vaak niet, maar dat wordt dan ook veelvuldig gebruikt voor piraterij.

Bovendien is de lijst met kwaadaardige bestandshandtekeningen van XProtect nauwelijks allesomvattend.” voegt Kirk McElhearn,¬†presentator in de podcast van Mac-beveiligingsbedrijf Intego en schrijver over malware-onderwerpen, daar aan toe. “XProtect kijkt alleen naar een handjevol malware”. Het vergelijkt bestanden op basis van nog geen 100 regels. Dat is maar een fractie van de regels die in een krachtigere antivirus-engine worden gevonden.”

In MacOS Catalina, dat dit najaar uitkomt, heeft Apple een aantal aanvullende maatregelen getroffen. Apps hebben dan je toestemming nodig voordat ze toegang kunnen krijgen tot je documenten, desktopbestanden, iCloud Drive en externe schijven. Daarnaast belooft het een betere beveiliging dankzij een speciaal systeemvolume voor het besturingssysteem en de T2-beveiligingschip in nieuwe Macs.

Reed gelooft echter nog steeds niet dat deze ver genoeg gaan. Hij vertelt dat Gatekeeper bij het opstarten nog steeds geen handtekening-controle uitvoert op niet-in quarantaine geplaatste apps. Dat houdt in dat een kwaadwillend persoon aan een legitieme app kan knoeien en dat zo’n app op MacOS gewoon kan worden gebruikt.

Sandboxing beperkt de mogelijkheden van anti-virus software

Reed stelt de aard van sandboxing op MacOS ook gelijk een achilleshiel is. Want niet alleen gewone apps worden beperkt in hun mogelijkheden, ook anti-virus software wordt beperkt, tenminste, als je het downloadt vanuit de App Store. Standaard kan een AV app bijvoorbeeld geen toegang krijgen tot de meeste bestanden op de harde schijf. Zelfs als je toegang verleent tot de gehele harde schijf, kunnen veel van die bestanden niet worden verwijderd door een App Store-app. Dit betekent dat de antivirus app uit de App Store minder snel alle bedreigingen kan detecteren en ook minder snel alle bedreigingen kan verwijderen.

Hoe zit het met de veelgehoorde kritiek dat antivirus-apps een Mac onnodig belasten, vertragen en ongewenste bloatware toevoegen? McElhearn vindt deze bezorgdheid overdreven.¬†“Tien jaar of langer geleden kan het argument in sommige gevallen zeker steekhoudend zijn geweest”, legt hij uit. “Moderne Macs hebben echter over het algemeen voldoende systeembronnen (lees: verwerkingskracht, geheugen en schijfsnelheid) om anti-virus software, zonder merkbaar nadeel voor de snelheid van de Mac, te laten functioneren.

Reed is echter niet zo afwijzend: de prestaties van antivirus-apps zijn een “zere plek” voor Mac-gebruikers.¬†“Als je besluit om een antivirus-app te installeren, moet je er wel een vinden die niet alleen betrouwbaar, maar ook snel is. Als je Mac langzamer gaat crawlen terwijl je antivirus-app bezig is met scannen, loop je je er al snel aan te ergeren. Zet je hem uit, dan loop je mogelijk gevaar.”

Alleen vertrouwen op Apple is niet voldoende

Niet alleen je Mac is een zwakke schakel. Vaak zijn we dat zelf ook. Reed beweert dat de ingebouwde beveiligingssystemen van Apple slecht zijn in het detecteren van adware en mogelijk ongewenste programma’s (PUP’s). Dat zijn dingen die hij tegenwoordig beschrijft als ‘de meest voorkomende’ bedreigingen voor Mac-gebruikers.

Als je het slachtoffer wordt van Mac-malware, stelt hij, is het minder waarschijnlijk dat dit is veroorzaakt door een traditioneel virus. Het is veel waarschijnlijker dat je bent misleid om kwaadaardige software te installeren die zich voordoet als een betrouwbare app. Mac Defender is hiervan het overbekende voorbeeld.

McElhearn stelt glashard dat alleen de systemen van Apple niet volstaan. Zo kan Gatekeeper weliswaar apps blokkeren die afkomstig zijn van externe of niet-vertrouwde ontwikkelaars, maar dit kan door de gebruiker gemakkelijk worden omzeild met een paar klikken. Want hoewel Gatekeeper je voldoende waarschuwt dat het negeren van de controles een slecht idee is, kun je het toch met relatief gemak doen.

Beide punten raken de kern van de grootste kwetsbaarheid in Mac-beveiliging: wij. Mensen zijn feilbare wezens, open voor manipulatie of gewoon lui.

We denken misschien dat een app onnodig is geweigerd door Gatekeeper of men krijgt “dialoog-moeheid” en laten de app zonder nadenken alsnog draaien),. Hierdoor wordt onbedoeld de deur geopend voor malware. Of we zien een goed gemaakte vervalsing van een betrouwbare website, waardoor we onze bankgegevens weggeven aan fraudeurs.

In dit soort gevallen bieden noch de ingebouwde beveiligingslagen van je Mac, noch antivirus-apps van derden een 100% bescherming.

Heb je nu wel of geen anti-virus software nodig?

De voor de hand liggende conclusie lijkt te zijn dat je wel degelijk anti-virus software op je Mac moet installeren. Maar zoals we hierboven hebben opgemerkt, zijn er enkele belangrijke kanttekeningen en dat AV software zeker niet de enige voorzorgsmaatregel is, die genomen moet worden.

Een effici√ęnte, snelle antivirus-app kan een handig hulpmiddel zijn om je Mac veilig te houden.¬†Maar uiteindelijk zal anti-virus software alleen echter nooit genoeg zijn. Je moet het altijd ondersteunen met een flinke dosis gezond verstand. Download geen apps van dubieuze bronnen; negeer de waarschuwingen van GateKeeper niet; klik niet op koppelingen in e-mails van onbekende afzenders en luister niet naar verdachte websites die vragen om Adobe Flash Player of een andere app te installeren.

Dat gezegd hebbende, een effici√ęnte, snelle en goede anti-virus app is een handig hulpmiddel zijn om je Mac veilig te houden en kan je helpen om dat deel af te dekken dat wordt gemist door Gatekeeper, XProtect en alle andere beveiligingsmaatregelen die standaard in je Mac zijn ingebouwd. Maar het is en blijft altijd een hulpmiddel.

Conclusie

Het is inderdaad verstandig is om anti-virus software op je Mac installeren, maar zorg er dan wel voor dat je er een kiest die je Mac niet vertraagt en ondersteun dit hulpmiddel met dosis gezond verstand. Traditioneel heeft macOS inderdaad weinig last van malware. Toch duikt er af en toe nieuwe malware op. Dat krijgt dan zoveel publiciteit dat je jezelf er snel tegen kunt wapenen. Lees dus ook regelmatig het laatste Apple nieuws, hier op OneMoreThing.  Doe dat allemaal dan maak je een goede kans om Mac-malware op afstand te houden.

Lees ook: ‚ěĒ¬†Schrikbarende stijging phishing aanvallen, ook op de Mac

Reacties

24 reacties
  • Profielfoto
    polansky

    Ieder OS heeft zijn kwetsbaarheden.
    MacOS is veiliger, maar niet waterdicht.

  • Profielfoto
    Jorik

    polansky op 18 september 2019 15:18
    Ieder OS heeft zijn kwetsbaarheden.
    MacOS is veiliger, maar niet waterdicht.

    Klopt, maar het bericht is natuurlijk ook een beetje gekleurd, want als je aan een expert, die beveiligingssoftware maakt/verkoopt, vraagt of zijn software nodig is, vindt hij dat uiteraard. Het zou interessant zijn om de mening van een onafhankelijk expert hierover te lezen.

  • Profielfoto
    SvS

    Toch leerzaam. En hier hebben we ook niet veel aan:

    Het is inderdaad verstandig is om anti-virus software op je Mac installeren, maar zorg er dan wel voor dat je er een kiest die je Mac niet vertraagt en ondersteun dit hulpmiddel met dosis gezond verstand.

    Ja, wèlke is dan goed?!

  • Profielfoto
    Tee Loo

    jorikcaljouw op 18 september 2019 15:32

    polansky op 18 september 2019 15:18
    Ieder OS heeft zijn kwetsbaarheden.
    MacOS is veiliger, maar niet waterdicht.

    Klopt, maar het bericht is natuurlijk ook een beetje gekleurd, want als je aan een expert, die beveiligingssoftware maakt/verkoopt, vraagt of zijn software nodig is, vindt hij dat uiteraard. Het zou interessant zijn om de mening van een onafhankelijk expert hierover te lezen.

    Second that.

  • Profielfoto
    Dutch Viking

    Sinds jaar en dag beveilig ik mijn iMac en MacBook Pro met Bitdefender Virus PLus – alleen via de Apple App Store, niet via Bitdefender zelf!). Eenmalig (!) een bedrag van ergens rond ‚ā¨ 35,= en meerdere computers kun je beveiligen. Dit programma downloadt meerdere keren per dag de nieuwste aanvullingen. Mijn ervaring: Perfecte aanvulling. Geen omkijken naar.
    Daarnaast heb ik Traffic Light, ook van Bitdefender, als extra beveiliging op Safari. De Mac trager hierdoor? Ik merk er niets van! Het zal wel, maar ik merk het niet.
    Misschien kan macOS het alleen wel af, maar ik rijd toch ook in een auto met ‘tig airbags √®n veiligheidsriemen? En desondanks kijk ik goed uit…….

  • Profielfoto
    Psmiles

    Informatief.

    En mensen die experts niet vertrouwen omdat die ook wat zouden willen verkopen: blijf vooral niet naar mensen luisteren die er écht verstand van hebben.

    Zoals @SvS ook de vraag: wat is goede AV-software?

  • Profielfoto
    macqintosh

    Dutch Viking op 18 september 2019 15:51
    Misschien kan macOS het alleen wel af, maar ik rijd toch ook in een auto met ‚Äėtig airbags √®n veiligheidsriemen? En desondanks kijk ik goed uit‚Ķ‚Ķ.

    Ja, maar draag je ook een helm in je auto? Ik vermoed van niet, dus AV pakket op een Mac is ook niet nodig ook al beweren “experts” van wel. Typisch WC Eend verhaal.

  • Profielfoto
    Night

    Ik zal eens vragen of er niet eens een vergelijkend onderzoek geplaatst kan worden

  • Profielfoto
    Festen

    Een redelijk bekend IT-bedrijf dat doet aan ethisch hacken en de veiligheid van websites onderzoekt (o.a. die van onze klanten), heeft z’n medewerkers allen voorzien van Macbooks. We hebben het hun gevraagd, en zij gebruiken zelf geen anti-virus.

    Omdat als je een beetje verstandig browst naar ‘normale’ websites (dus geen exotische torrent- of videosites), je kans op besmetting met een virus nihil is. Bovendien lopen de virusdefinities per definitie (ver) achter op de verspreiding van het virus zelf. Tegenwoordig is o.a. phishing een groter risico, maar ook dat kan je het beste door eigen inzicht omzeilen, en niet hopen dat een app de malafide link herkent.

    Dus een IT-organisatie gespecialiseerd in online veiligheid en wiens reputatie afhangt van veilige werklaptops, en zonder financieel belang in antivirusprogramma’s, vinden een anti-virus niet nodig. Nou werken daar uiteraard voornamelijk nerds, maar het goede gedrag kan iedereen overnemen.
    En er zullen altijd mensen zijn die zich beter/veiliger voelen met een antivirus programma, net zoals sommigen zich beter voelen na het drinken van water uit Lourdes.

  • Profielfoto
    Planeten Paultje

    Hier ook Bitdefender Virus Scanner Plus uit de App Store. Het vangt constant windows virussen.

    Alleen zit de Traffic Light extensie kennelijk niet meer in het rijtje dat Apple goedkeurt. Nog geen actie op ondernomen, komt nog.

  • Profielfoto
    Frans

    Een goede beveiliging tegen malware is een apart admin account aanmaken op je Mac. Alleen dat account geef je admin rechten en gebruik je nooit voor iets anders dan software installeren. Dat account geef je een heel sterk wachtwoord, dat je nergens anders voor gebruikt.

    Je gebruikt je Mac gewoonlijk met een ander account dat geen admin rechten heeft. Uiteraard ben je voorzichtig en bezoek je geen duistere websites en klik je niet op links in e-mails. Je laat ook nooit je Mac op afstand bedienen door iemand die je niet kent of vertrouwt. Wanneer er ineens een dialoog verschijnt waarin je gevraagd wordt je admin naam en wachtwoord in te tikken ben je gewaarschuwd en extra alert!

  • Profielfoto
    RW076

    Leuke promo.

  • Profielfoto
    Ziegler

    Schreef Night altijd al van die onzinartikelen of is dat sinds kort?

  • Profielfoto
    GoeieDag

    Nee, laatst kwam er ook zoiets raars voorbij uit zijn pen als artikel.

    Als forumlid is het een goeie gast, en ook als mod doet ie prima werk. Maar dit soort artikelen schrijven, dat kan ie beter laten.

  • Profielfoto
    Max_G

    Gratis en goed: VirusBarrier Scanner

  • Profielfoto
    Max_G

    En natuurlijk Malwarebytes

  • Profielfoto
    koen

    De beste antivirus zit achter de computer en de beste stuurlui staan aan wal.

  • Profielfoto
    Planeten Paultje

    Frans op 18 september 2019 19:08
    Een goede beveiliging tegen malware is een apart admin account aanmaken op je Mac. Alleen dat account geef je admin rechten en gebruik je nooit voor iets anders dan software installeren. </>

    Het eerste account dat je na een nieuwe installatie aanmaakt wordt het admin account (identifier 501). Daarna kan je een gewone gebruiker aanmaken in de Preferences en die gebruik je dan voor je reguliere werk.

    De reden dat Apple in OS X niet hard de standaard UNIX-conventie van admin en gewone gebruikers heeft ge√Įmplementeerd is dat ze hebben ingeschat -naar mijn mening correct- dat het voor de meeste klanten een brug te ver zou zijn. Die willen meteen aan de slag en niet nadenken over beveiliging door compartimentering. Ze willen ook niet de mogelijkheden hebben om hun systeem te vernachelen, wat bij een klassieke UNIX admin prima kan. De oplossing werd het onzichtbaar maken van de werkelijke admin (root, de Super User) en het cre√ęren van een soort¬†assistent admin (de 501) die net genoeg mag doen om de reguliere beheerstaken uit te kunnen voeren.

    Als je echter bent begonnen met het 501 admin account voor regulier werk te gebruiken -wat de meesten dus doen- dan zou je kunnen denken dat je een tweede admin account kan aanmaken en de 501 veranderen in een gewone gebruiker. Dat lijkt dan in eerste instantie te werken, maar omdat de 501-gebruiker heel diep verweven is in het systeem zal je daarna voor vervelende verrassingen komen te staan omdat de 501 niet de rechten meer heeft die het systeem van hem verwacht. Het uiteindelijke resultaat is een volledig nieuwe installatie om de problemen op te lossen.

    Wil je dus in plaats van de admin een gewone gebruiker worden, dan zal je die gewone gebruiker moeten aanmaken en je werk van de admin daarnaartoe overhevelen, bij voorbeeld via een externe disk. Dat vergt nogal wat werk als je al een tijd als admin werkt op je machine. Soms is het het beste om een nieuwe installatie uit te voeren en daarna >handmatig< van je backup je werk overzetten naar de nieuwe gewone gebruiker. Ook nogal wat werk, maar dan weet je tenminste zeker dat je machine helemaal opgeruimd en op orde is.

     

  • Profielfoto
    Ronron

    jorikcaljouw op 18 september 2019 15:32

    polansky op 18 september 2019 15:18
    Ieder OS heeft zijn kwetsbaarheden.
    MacOS is veiliger, maar niet waterdicht.

    Klopt, maar het bericht is natuurlijk ook een beetje gekleurd, want als je aan een expert, die beveiligingssoftware maakt/verkoopt, vraagt of zijn software nodig is, vindt hij dat uiteraard. Het zou interessant zijn om de mening van een onafhankelijk expert hierover te lezen.

    jorikcaljouw op 18 september 2019 15:32

    polansky op 18 september 2019 15:18
    Ieder OS heeft zijn kwetsbaarheden.
    MacOS is veiliger, maar niet waterdicht.

    Klopt, maar het bericht is natuurlijk ook een beetje gekleurd, want als je aan een expert, die beveiligingssoftware maakt/verkoopt, vraagt of zijn software nodig is, vindt hij dat uiteraard. Het zou interessant zijn om de mening van een onafhankelijk expert hierover te lezen.

     

  • Profielfoto
    Ronron

    dit is een verkoop verhaal niet geloofwaardig

  • Profielfoto
    freeway

    Planeten Paultje op 19 september 2019 04:02

    Frans op 18 september 2019 19:08
    Een goede beveiliging tegen malware is een apart admin account aanmaken op je Mac. Alleen dat account geef je admin rechten en gebruik je nooit voor iets anders dan software installeren. </>

    Het eerste account dat je na een nieuwe installatie aanmaakt wordt het admin account (identifier 501). Daarna kan je een gewone gebruiker aanmaken in de Preferences en die gebruik je dan voor je reguliere werk.

    De reden dat Apple in OS X niet hard de standaard UNIX-conventie van admin en gewone gebruikers heeft ge√Įmplementeerd is dat ze hebben ingeschat -naar mijn mening correct- dat het voor de meeste klanten een brug te ver zou zijn. Die willen meteen aan de slag en niet nadenken over beveiliging door compartimentering. Ze willen ook niet de mogelijkheden hebben om hun systeem te vernachelen, wat bij een klassieke UNIX admin prima kan. De oplossing werd het onzichtbaar maken van de werkelijke admin (root, de Super User) en het cre√ęren van een soort¬†assistent admin (de 501) die net genoeg mag doen om de reguliere beheerstaken uit te kunnen voeren.

    Als je echter bent begonnen met het 501 admin account voor regulier werk te gebruiken -wat de meesten dus doen- dan zou je kunnen denken dat je een tweede admin account kan aanmaken en de 501 veranderen in een gewone gebruiker. Dat lijkt dan in eerste instantie te werken, maar omdat de 501-gebruiker heel diep verweven is in het systeem zal je daarna voor vervelende verrassingen komen te staan omdat de 501 niet de rechten meer heeft die het systeem van hem verwacht. Het uiteindelijke resultaat is een volledig nieuwe installatie om de problemen op te lossen.

    Wil je dus in plaats van de admin een gewone gebruiker worden, dan zal je die gewone gebruiker moeten aanmaken en je werk van de admin daarnaartoe overhevelen, bij voorbeeld via een externe disk. Dat vergt nogal wat werk als je al een tijd als admin werkt op je machine. Soms is het het beste om een nieuwe installatie uit te voeren en daarna >handmatig< van je backup je werk overzetten naar de nieuwe gewone gebruiker. Ook nogal wat werk, maar dan weet je tenminste zeker dat je machine helemaal opgeruimd en op orde is.

     

    Ik heb ooit apart admin account aangemaakt en gebruikte een gebruiker account. Dit gaat niet goed samen met photoshop. Het was eigenlijk een vreselijke elende. Nu lees ik dat mijn overdreven veilige opzet de oorzaak was. Ik doe dit nooit meer.

  • Profielfoto
    Planeten Paultje

    freeway op 20 september 2019 08:24
    Ik heb ooit apart admin account aangemaakt en gebruikte een gebruiker account. Dit gaat niet goed samen met photoshop. </>

    Dat is bijzonder. Er is geen opleiding waar de studenten als admin werken, ze hebben alleen hun eigen gewone account waarin ze hun applicaties gebruiken, waaronder de Adobe suite. Ik zeg niet dat alles altijd helemaal probleemloos gaat, maar in ieder geval is het op mijn school geen probleem.

     

  • Profielfoto
    hendrik ijzerbroot

    Ik denk dat ik wel kan stellen dat ik een “ervaringsdeskundige” ben. Ik werk al sinds de Apple II+ (eind jaren 70) met een Apple computer en sinds 2007 heb ik internet. Ook in de begin periode van Apple waren er al pogingen tot het maken van een virus en het eerst Apple virus is van 1982 dus nog voor de Mac.

     

    Wat ben ik nu sinds die Apple II+ tegengekomen? Als mijn geheugen mij niet in de steek laat:

    1 virus op een cd rom van het tijdschrift MacFan ergens in de jaren 80.

    Toen een hele tijd niets en na het gebruik van internet:

    Een handvol malware over een periode van vele jaren. Malware dat vooral sinds OS-X gewoon niet werkte en slechts ruimte op de HDD in beslag nam.

    Het enige waar ik echt last van had was ‘chiltab’ dat de google zoekmachine kaapte in de browser. Heb ik over een periode van wederom enkele jaren twee maal moeten verwijderen.

    En dan te bedenken dat ik door de jaren heen in totaal zo’n 11 TB aan downloads heb uitgevoerd uit “illegale” bron. Een klein deel daarvan (ik denk 15%) was software, de rest films.

     

    Nu ben ik overigens wel iemand die niet klakkeloos op alles klikt…

  • Profielfoto
    hendrik ijzerbroot

    p.s. Een virusscanner continu laten draaien is niet aan mij besteed.