CCC: OS X hat verheerende Sicherheitslücken
Apple leistet sich peinliche Fehler und mache "an sich sichere Produkte unsicher". Das wirft Felix von Leitner, Sprecher des Chaos Computer Club, Apple vor. Eine gekürzte Fassung des Interviews ist in der ersten gedruckten Ausgabe von Mac & i im Rahmen einer größeren Analyse des Sicherheitskonzeptes von Mac OS X veröffentlicht; hier erscheint es vollständig.
- Tobias Engler
Mac & i: Herr von Leitner, Apples OS X gilt unter seinen Anhängern als sicheres Betriebssystem. Teilen Sie diese Auffassung?
Felix von Leitner: Wenn man damit "sicher gegen Unfälle" meint, dann ja. Apple hatte ja vor OS X nicht einmal Speicherschutz im Betriebssystem, da war selbst Windows 95 weiter. Aber Sicherheit im Sinne von "Versuche, mein System anzugreifen, sind zum Scheitern verurteilt" hat Apple dadurch nicht. Da hinken sie der Konkurrenz deutlich hinterher. Mehrbenutzerfähigkeit als Feature kann das nicht lösen, das muss von vorneherein Teil des Software-Designs sein und man muss während des gesamten Entwicklungsprozesses darauf achten. Hier haben alle Hersteller einen Umgewöhnungsprozess durchzustehen – und das hilft auch nur gegen zukünftige Bugs. Je mehr alten Quellcode ein Produkt beinhaltet, desto kostspieliger ist das Absichern der Altlasten. Wie weit ein Hersteller hier ist, kann man von außen nicht so einfach beurteilen. Als Faustregel gilt: Es ist schlecht, wenn Hersteller Probleme leugnen oder wenn sie länger als einen Monat brauchen, bis sie für einen Bug einen Patch haben.
Der Unix-Unterbau garantiert also kein Mehr an Sicherheit?
Unix kommt aus einer Zeit, in der niemand seinen Rechner selbst administriert hat. Benutzer konnten keine Software systemweit installieren, und wenn sie etwas in ihrem Bereich installiert haben, dann lief das auch nur mit ihren Berechtigungen im System. Das hat wesentlich das Sicherheitsgefühl unter Unix geprägt. In der Praxis konnte man natürlich trotzdem das System gefährden, weil es eben Sicherheitslücken gab, damals wie heute. Aber das war damals "Geheimwissen", insofern ist das auch nicht wirklich vergleichbar. Ein bloßer Unix-Unterbau garantiert jedenfalls noch keine Sicherheit gegen Hacker.
Apple hat OS X ja auch Schutzmechanismen wie Data Execution Prevention, Address Space Layout Randomization und Sandboxing mitgegeben. Das müsste doch eigentlich reichen?
Das sind alles Mitigations, die das Ausnutzen von Lücken schwerer, aber nicht unmöglich machen. Und: Die unterliegenden Lücken sind noch da! Genau die muss man schließen und nicht bloß das Ausnutzen schwieriger machen. Im Übrigen braucht Apple immer deutlich länger als die Konkurrenz für diese Mitigations. Für Linux gibt es DEP seit 2000, sogar schon länger, als es CPUs mit Hardware-Support dafür gibt. Windows unterstützt DEP seit 2004. Apple hat DEP seit 2006, und die erste Implementation war dazu noch nur für den Stack, nicht auch für den Heap.
Ist die Konkurrenz denn besser aufgestellt?
Die Konkurrenz hat in weiten Teilen die gleichen Probleme, nimmt sie aber ernster. Microsoft kann zwei Gebäude mit den Leuten füllen, die sich damit beschäftigen, wie man den Code von Windows und Co. sicherer macht. Bei Apple gab es jahrelang nur eine Handvoll Leute, erst 2010 hat sich das gebessert. Noch hat man dort das Glück, für kommerzielle Angreifer relativ uninteressant zu sein – die konzentrieren sich nach wie vor auf Windows. Irgendwann wird sich das ändern, bis dahin muss Apple ihre Reformen geschafft haben.
