Apple veräppelt Black-Hat-Teilnehmer

Für manche Menschen gehört Zeit zum Wertvollsten, was sie zur Verfügung haben. Und genau diesen Schatz hat Apple einem Raum voller IT-Sicherheitsexperten geklaut: Den ersten Auftritts des Konzerns überhaupt während der IT-Sicherheitskonferenz Black Hat in Las Vegas verwendete Dalles De Atley, verantwortlich für die Sicherheit des Smartphone- und Table-Betriebssystems iOS darauf, den Inhalt eines vor einiger Zeit veröffentlichten Whitepapers detailgetreu vorzutragen – und kein Wort mehr.

Die Realität hatte in De Atleys Vortrag keinen Platz: Mit keinem Wort erwähnt er, dass die Gemeinde der Jailbreaker bislang noch in jeder neuen Geräte- und iOS-Generation Bugs gefunden hat, die ein Freischalten der Geräte ermöglicht hat. Mit keinem Wort erwähnt er, dass Forscher wie Charlie Miller bereits bewiesen haben, dass der Prüfprozess des iTunes-Stores nicht perfekt ist. Ebensowenig sprach er an, dass Experten wie Stephan Esser Schwachstellen in iOS ausgemacht haben.

Der Vortrag blendete all diese in der Realität existierenden Probleme aus und beschrieb tatsächlich nur das, was dank Reverse Engineering bereits im Lauf der letzten Jahre Stück für Stück bekannt und nicht zuletzt vor genau einem Jahr von Dino Dai Zovi während der Black Hat präsentiert wurde. Charlie Miller sagte im Anschluss: „Es ist schon ziemlich schwach, dass noch nicht einmal die Existenz der Jailbreaks erwähnt wurde.“

Es spricht im Prinzip nichts dagegen, dass ein Hersteller sein Sicherheitskonzept vorstellt. Zumal Apple in Sachen iOS-Sicherheit ja tatsächlich Vieles richtig gemacht hat. Die Anzahl der Sicherheitsfunktionen und Architekturentscheidungen, die dem Absichern der auf den Geräten gespeicherten Daten dienen sollen, ist beeindruckend umfangreich. Das Problem an Apples Auftritt sind Zeitpunkt und Timing: Die Black Hat ist der falsche Ort für eine Werbeveranstaltung.

Und am Ende des Vortrags im Stil eines verurteilten Giftmüllhändlers fluchtartig den Raum zu verlassen – und zuvor keine einzige Frage zu beantworten –, hinterlässt ebenfalls einen sehr schalen Eindruck. Ein aufgezeichneter Webcast anstelle der Konferenzteilnahme hätte zwei Vorteile gehabt: Die Zuhörer hätten Passagen überspringen können und es hätte einen weiteren Vortragsslot für einen der zahlreichen abgelehnten potentiellen Sprecher gegeben.

Den Vogel abgeschossen hat eine in der Szene durchaus bekannte Kollegin von Dallas De Atley vor dessen Präsentation: Auf die Frage, ob Apples Teilnahme an der Black Hat für ein Öffnen des Unternehmens hin zur Security-Szene steht, antwortete sie: „Diese Frage kann nur unsere PR-Abteilung beantworten“. Womit die Frage dann an sich auch erschöpfend beantwortet wurde. Denn Apples Pressestelle bei Sicherheitsthemen zu kontaktieren gleicht dem Versuch, die Regierung Nordkoreas zu einer ehrlichen Einschätzung ihrer Politik zu bewegen. Womit wir wieder bei der eingangs erwähnten Zeitverschwendung wären. (rei)