Interview: Wie sicher sind iOS und macOS vor Angriffen?
Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.
(Bild: dpa, Karl-Josef Hildenbrand / Symbolbild)
Patrick Wardle ist Chief Security Researcher bei der kalifornischen IT-Security-Firma Synack und leitet deren Sicherheitsforschung. Vor der freien Wirtschaft arbeitete er auch bei der amerikanischen Regierung, unter anderem bei der Weltraumbehörde NASA und beim US-Geheimdienst NSA. In seiner Arbeit konzentriert er sich auf das automatische Erkennen von Sicherheitsproblemen insbesondere unter macOS und Mobilsystemen, darunter auch iOS. Die Sicherheitswerkzeuge, die er unter objective-see.com kostenlos zum Download anbietet, genießen in Apple-Security-Kreisen einen ausgezeichneten Ruf.
Mac & i: Patrick, lange Zeit lebten Apple-Nutzer beim Thema IT-Sicherheit im Vergleich zu Windows- und Android-Nutzern auf einer Art Insel der Glückseligen. Das scheint sich gerade zu ändern. In den letzten Monaten gab es vermehrt Angriffe, zuletzt wurde beispielsweise eine Malware-verseuchte Variante des Video-Encoders Handbrake verteilt. Haben Sie auch das Gefühl, dass sich die Sicherheitslage verschlechtert hat? Was ist der Grund?
Patrick Wardle: Lassen Sie mich mit einer Analogie beginnen: Windows-Rechner sind wie ein Haus im schlechteren Teil der Stadt. Natürlich haben sie blockierte Fenster und Sicherheitssysteme, bei ihnen wird aber schon aufgrund ihrer Lage häufiger eingebrochen.
Der Mac ist, um im Bild zu bleiben, dagegen ein schönes gepflegtes Häuschen draußen auf dem Land. Die Vordertür ist zwar verschlossen, aber es steht nicht selten ein Fenster offen oder es gibt einen anderen Weg hinein. Aufgrund der Örtlichkeit ist dieses Haus grundsätzlich ziemlich sicher. Jetzt passiert folgendes: Stadt und Vororte expandieren aufs Land. Das Häuschen ist plötzlich nicht mehr sicher.
Das war jetzt eine ziemlich lange Analogie. Was ich damit sagen will: Macs sind ein ziemlich weiches Ziel und werden mittlerweile mehr als jemals zuvor angegriffen und gehackt. Dafür gibt es ein paar Gründe.
Der erste: Macs werden normaler. Je häufiger es ein Stück Technik gibt, desto interessanter wird es für böse Hacker und Malware-Autoren. Das ist eine einfache Rechnung. Hinzu kommt: Das Ziel ist interessant. Ich habe zwar keine Zahlen dazu, aber viele Mac-Nutzer haben mehr frei verfügbares Einkommen, denn Apple-Produkte sind eher teuer. Entsprechend sind solche Nutzer ein tolles Ziel für Cybercrime oder Erpresserprogramme, also Ransomware.
Und wir Mac-Nutzer fühlen uns, auch wegen Apples Marketing, sicherer – ich zähle mich selbst dazu. Die Mentalität, dass Macs keine Malware abkriegen, ist immer noch normal. Das kann gefährlich sein, weil es Nutzer zu selbstsicher macht. Das erhöht das Risiko, sich etwas einzufangen oder gehackt zu werden. Auf einem Windows-Rechner nimmt man doch an, dass man angegriffen wird, da ist man supervorsichtig. Auf einem Mac nicht.
Hinzu kommt: Microsoft macht mittlerweile einen tollen Job, proaktiv Hacker anzuwerben und anzustellen, sie waren Pioniere bei einem „Bug Bounty“-Programm und Sicherheit ist dort eine Top-Priorität. Apple hinkte da etwas hinterher.
Neue Konzepte wie die sogenannten Advanced Exploitation Mitigations, mit denen sich Angriffe abfangen lassen, haben eine Weile gebraucht, bis sie auf Macs landeten.
Mittlerweile scheint Apple hier aber voranzukommen und hat einen Kader an tollen Sicherheitsforschern und Hackern angestellt. Apple hat große Sicherheitsfortschritte bei macOS gemacht.
Wäre ein Erpressungstrojaner wie WannaCry auf dem Mac möglich?
Mac & i: Auf dem PC sorgte kürzlich die als Wurm verteilte Ransomware WannaCry für Wirbel, sie infizierte Abertausende Maschinen, sorgte für Chaos sogar auf Bahnhöfen und in Krankenhäusern. Glauben Sie, dass eine derartige Welle auch auf Apple-Produkte einprasseln könnte?
Wardle: Man sagt ja – sag niemals nie, aber es ist derzeit relativ unwahrscheinlich. Warum? Erstens kommen Macs seltener vor und haben auch nicht so viele Dienste laufen, die nach außen lauschen, wie das bei WannaCry ausgenutzte Netzwerkprotokoll SMB. Die nach außen zugängliche Angriffsfläche, die von Malware wie einem solchen Wurm ausgenutzt werden könnte, ist kleiner.
Allerdings setzen sich Macs im Firmenbereich mehr und mehr durch. Entsprechend könnten wir durchaus eines Tages einen macOS-Wurm sehen. Und wenn wir von WannaCry und anderer Ransomware reden: Solche Erpresserschädlinge gibt es ja schon, zu nennen wären etwa OSX/KeRanger und OSX/Patcher. Glücklicherweise hatte diese Malware bisher einen eher ineffizienten Verbreitungsvektor, der ein manuelles Eingreifen des Nutzers voraussetzte, was dafür sorgte, dass sie den meisten Nutzern erspart blieb.
Mac & i: Also könnte sich das ändern?
Wardle: Die Verbreitung von Ransomware auf dem Mac wurde vor allem aufgrund dieser Einschränkung vermieden. Sollten Angreifer einen effizienteren Weg der Verbreitung finden, wie man ihn auf dem PC bei WannaCry sah, könnte macOS genauso verletzlich sein wie Windows.
Um mal den bösen „Black Hat“-Hacker zu spielen: Ich selbst habe kürzlich eine nette Sicherheitslücke (sie wird unter der ID CVE-2017-6974 geführt) entdeckt. Sie ist zwar mittlerweile geschlossen (durch macOS 10.12.4 – Anmerkung der Redaktion), erlaubte aber Malware, einen Mac dazu zu zwingen, von einem nicht vertrauenswürdigen Disk Image zu booten. Nachdem das geladen war, wäre quasi alles möglich, weil Code „außerhalb“ von macOS ausgeführt worden wäre. Ransomware aus einem solchen Disk Image heraus könnte dann jede einzelne Nutzerdatei verschlüsseln, ohne dass das erkannt werden könnte. Übel!
iOS-Lücken und iCloud-Erpressung
Mac & i: Und was ist mit iOS?
Wardle: Dort habe ich ein deutlich besseres Gefühl zu sagen, dass es unwahrscheinlich ist, dass wir einen Wurm sehen werden, der sich auf Geräten ohne Jailbreak fortpflanzt. Ein großer Nebeneffekt der Tatsache, dass Apple iOS und iOS-Geräte derart eng kontrolliert, ist, dass die Plattform ein erstaunlich hohes Sicherheitsniveau hat. Exploits für iOS, also noch unbekannte Sicherheitslücken, mit denen man Geräte übernehmen kann, kosten Millionen Dollar.
Falls nicht eine zum Wurm ausnutzbare Sicherheitslücke eines Geheimdienstes geleakt wird – bei WannaCry hat das die Gruppe „Shadow Brokers“ getan – ist es sehr unwahrscheinlich, dass irgendjemand eine derart wertvolle Sicherheitslücke für einen Wurm oder ein Botnetz „verbrennen“ würde. Ich bin skeptisch, dass das passiert. Hinzu kommt, dass Apple iOS-Fehler schnell behebt und iOS-Nutzer auch grundsätzlich schnell updaten.
Mac & i: Hacks von iCloud-Accounts, bei denen Diebe dann versuchen, Geld von Nutzern zu erpressen, hat es aber bereits gegeben. Ist das ein Problem, mit dem wir künftig leben müssen?
Wardle: Ja, unglücklicherweise ist das eine Methode, Geld zu verdienen – und böse Hacker werden es weiter versuchen. Angreifer knacken entweder iCloud-Zugangsdaten mittels „Brute Force“-Verfahren, also dem Ausprobieren aller möglicher Kombinationen. Oder sie erhalten sie durch Social-Engineering, durch Phishing oder mit Hilfe von Malware, die Tastatureingaben aufzeichnet, wenn der Nutzer sein Passwort eingibt.
Mac & i: Ist es Malware auch möglich, einen iCloud-Account darüber auszuschnüffeln, einen Mac per Firmware-Passwort zu schützen und dann Geld zu erpressen? Fortschrittliche Malware wie die Ransomware „OSX/KeRanger“ haben Sie ja schon genannt. Mit „Proton“ kursierte kürzlich auch noch ein fortschrittlicher Mac-Trojaner.
Wardle: Ähnlich wie bei anderen Einbrüchen und Password-Leaks können iCloud-Zugangsdaten zum Zugriff auf sensible Daten führen, die für böswillige Hacker sehr interessant sein können – etwa Nacktbilder, wie es von iCloud-Hacks auf Promis bekannt wurde. Mit solchen sensiblen Daten könnte man dann wieder Menschen erpressen. Ich zweifle allerdings daran, dass das auf Dauer ein erfolgreiches Geschäftsmodell für Hacker ist – weil ich hoffe, dass die Leute sich darauf nicht einlassen, zumal die Angreifer sicherlich eine Kopie behalten.
Wahrscheinlicher sind in der Tat Erpressungsversuche, bei denen man ein Gerät beispielsweise über die iCloud-Funktion „Meinen Mac finden“ sperrt und dann Geld für die Wiederöffnung verlangt. Obwohl Apple hier helfen kann, wenn man beweisen kann, dass man der legitime Besitzer des Gerätes ist, dürfte die Mehrheit der betroffenen Nutzer darauf hereinfallen und den Hacker bezahlen.
Mac-Malware mit Apple-Entwicklerzertifikat
Mac & i: In letzter Zeit gab es mehrfach Fälle von macOS-Malware, die mit einem echten Apple-Entwicklerzertifikat ausgeliefert wurde. Wird sich der Trend fortsetzen? Kann Apple überhaupt etwas dagegen tun? Die Systemsicherung Gatekeeper, die dieses Zertifikat überprüft, versagt hier.
Wardle: Das ist eine hervorragende Frage, die mich selbst stark beschäftigt. In der Vergangenheit habe ich ziemlich viel Zeit damit verbracht, Gatekeeper auseinander zu nehmen. Dabei stellte ich einige grundsätzliche Designfehler fest, durch die sich der Systemschutz trivial einfach umgehen ließ. Selbst mit aktivem Gatekeeper ließ sich nicht signierter Code ausführen – obwohl Gatekeeper ja genau dafür gedacht war. Die gute Nachricht ist, dass Apple mittlerweile Gatekeeper auf eine neue Architektur umgestellt hat, die deutlich stabiler ist.
Das Grundproblem, dass Angreifer einfach Malware mit einer validen Apple-Developer-ID signieren, bleibt aber bestehen. Die Default-Einstellung in Gatekeeper erlaubt es, solche Binaries ohne Nachfrage auszuführen. Entsprechend ist jede bessere neue Malware mittlerweile mit einem Zertifikat ausgestattet! Und da sich Gatekeeper so vollständig umgehen lässt, wird sich der Trend natürlich fortsetzen.
Mac & i: Was kann Apple dagegen tun?
Wardle: Zunächst scheint es zu einfach zu sein, an eine Apple-Developer-ID zu gelangen. Ich kenne den Prozess nicht besonders gut, mit dem Apple beantragende Personen durchleuchtet, doch er scheint trivial einfach missbrauch- oder umgehbar zu sein. Apple muss hier genauer draufschauen, wer eine Developer-ID beantragt.
Zweitens scheint es eine große Anzahl von Mac-Malware zu geben, insbesondere im Bereich von Adware, die unerwünschte Anzeigen einblendet. Sie werden zwar von Anti-Virus-Produkten erkannt, verfügen aber immer noch über eine nicht zurückgezogene Apple-Developer-ID. Das kann man bei dem Viren-Software-Überprüfer VirusTotal.com sehen. Ich muss einräumen, dass Apple auf meine Anfragen hin immer sehr schnell mit dem Zurückziehen solcher Zertifikate war. Daneben scheinen sie aber nicht sehr proaktiv vorzugehen!
Apples Mac-Systemschutz XProtect könnte besser sein
Mac & i: Apples hauseigene Datenbank gegen Malware, XProtect, soll das Ausführen problematischen Codes verhindern. Ist das ein vernünftiges Werkzeug oder reicht es nicht aus?
Wardle: Ich habe mich schon ein paar Mal über XProtect lustig gemacht, muss aber sagen, dass es durchaus tut, was es tun soll: neue Infektionen mit bekannter Malware verhindern. Das erfolgt über einfache Signaturen, einige sind einfach nur der Hash-Wert einer problematischen ausführbaren Binärdatei. Dadurch wird aber neue Malware nicht erkannt. Schlimmer noch, sobald Malware über eine XProtect-Signatur erkannt wird, kann der Autor sie einfach neu kompilieren – unter Umständen sogar nur neu benennen. Damit ist XProtect umgangen. Allerdings haben die meisten macOS-Anti-Viren-Produkte die gleichen Einschränkungen, hängen von statischen, sehr „brüchigen“ Signaturen ab.
Eine weitere Einschränkung von XProtect ist die Tatsache, dass es nur Dateien scannt, die aus dem Internet heruntergeladen wurden, bei denen das sogenannte Quarantäne-Bit gesetzt wurde. Die Erkennung läuft auch nur beim ersten Ausführen. Entsprechend kann der Schutz bereits existierende Infektionen nicht erkennen, selbst von bekannter Malware!
Apple heuert bekannte Hacker an
Mac & i: Apples IT-Sicherheitsabteilung hatte in verschiedenen Hackerkreisen lange Zeit keinen guten Ruf, weil man sich zu verschlossen gab. Hat sich das mittlerweile geändert?
Wardle: Ich gehöre ja zu denen, die freimütig zugeben, Apples Security-Team nicht immer im besten Licht erscheinen zu lassen. Aber ich muss sagen, sie sind in letzter Zeit wirklich vorangekommen! Sie scheinen endlich proaktiv auf die externe Hacker- und Sicherheitsforschungsgemeinschaft zuzugehen. Dieser Ansatz ist meiner Meinung nach eine deutlich erwachsenere Haltung zum Thema Sicherheit und wird Apple bestimmt helfen, seine Geräte besser abzusichern.
Der Auftritt des Teams bei der Hackerkonferenz „Blackhat“ im letzten Jahr kam in der Szene wirklich gut an. Gleiches gilt für den Start eines Bug-Bounty-Programms, für den Apple einen großen Teil der wichtigen macOS- und iOS-Hacker und Sicherheitsforscher direkt in sein Hauptquartier eingeladen hatte. Ich sehe definitiv ein neues Kapitel der Offenheit beim Sicherheitsteam. Und dafür hat Apple Lob verdient!
Mac & i: Apple hat einige in der Szene sehr respektierte Sicherheitsexperten anwerben können, zuletzt etwa den iOS-Forensiker Jonathan Zdziarski. Ist das hilfreich?
Wardle: Ja! Mittlerweile stapeln sie sich bei Apple fast – Jonathan ist da nur ein Beispiel. Meiner bescheidenen Meinung nach ist das ein grundlegender Weg, Apples Haltung zum Thema Sicherheit im Kern zu verbessern. Diese Leute sind unglaublich talentiert und waren für einige tolle Hacks verantwortlich, bevor sie zu Apple kamen – sowohl unter iOS als auch unter macOS.
Sobald Apple solche Talente anstellt, können sie intern die Sicherheit von Apples Produkten verbessern – und zwar massiv. Sie könnten sich beispielsweise Low-Level-Routinen ausdenken, die ganze Fehlerklassen nicht mehr ausnutzbar machen, das sind mächtige Sachen. Als macOS- und iOS-Nutzer freue ich mich besonders darüber, dass diese Neueinstellungen die grundlegende Systemsicherheit erhöhen werden.
Mac & i: In welchen Sicherheitsbereichen könnte Apple einen besseren Job machen?
Wardle: Apple kann sich, wie wir alle, immer weiter verbessern – ohne jetzt hier wie ein Hippie klingen zu wollen. Auch wenn sich ihre Haltung zum Thema Sicherheit wie erwähnt stark verbessert hat, gibt es Bereiche, in denen definitiv noch Arbeit vor ihnen liegt.
Wir haben bereits darüber geredet, dass die Mehrzahl von Mac-Malware nun eine Signatur aufweist, um Gatekeeper zu umgehen. Das zeigt, wie einfach es ist, an eine betrügerische Apple-Developer-ID zu gelangen. Ich möchte gerne, dass Apple dafür sorgt, dass dieser Prozess weniger einfach zu missbrauchen ist, und proaktiver wird, was das Sperren solcher Zertifikate anbetrifft, besonders auch bei Adware.
Ich denke außerdem, dass Apple einen besseren Job beim Patchen von Sicherheitslücken machen könnte. Ich will hier zwar nicht all meine Geheimnisse verraten, aber ich selbst habe eine ordentliche Anzahl von Sicherheitslücken gesammelt, indem ich Apples eigene Patches abgeklopft habe. Kürzlich habe ich einen Kernel-Fehler gemeldet, der unter bestimmten Bedingungen eine Kernel-Panic erzeugen konnte. Als ich dann Apples Patch für meinen Bug analysiert habe, wurde mir klar, dass er nicht nur das Problem nicht löste, sondern gleichzeitig noch eine schwerwiegendere neue Lücke einführte, den Leak von Kernel-Informationen.
Der neue Bug ist nun zwar gefixt, doch als Mac-Nutzer stört es mich schon, dass Apples Fehlerbehebungen neue Probleme einführen und das erstaunlich oft tun. Manchmal sind sie dann schwerwiegender als die Ausgangsfehler.
Sicherheitstipps für Mac und iOS-Nutzer: Updaten und Zusatztools
Mac & i: Welche konkreten Sicherheitstipps haben Sie für Mac- und iOS-Nutzer?
Wardle: Fangen wir bei den Grundlagen an. Man sollte immer sicherstellen, dass man die neuesten Versionen von macOS und iOS laufen hat. Warum? Apple liefert oft zahllose Sicherheits-Patches aus und noch wichtiger auch architektonische Verbesserungen bei der Security. Mit neuen Betriebssystemversionen kommen auch neue Routinen, die das Ausnutzen von Fehlern verhindern. Daneben sollte man natürlich alle Sicherheits-Updates einspielen, die ausnutzbare Fehler beheben. Böse Hacker könnten Menschen, deren System noch nicht gepatcht ist, angreifen.
Weiterhin sollte man den „Best Practices“ im Sicherheitsbereich folgen. Dazu gehört, Software nur von seriösen Quellen zu beziehen und nur Mails von vertrauenswürdigen Versendern zu öffnen.
Es gibt auch noch einige Mac-spezifische Sicherheitstipps, die ich persönlich befolge. So habe ich meinen Mac nach außen versperrt, indem ich alle unnötigen Dienste abdrehe – etwa die Dateifreigabe oder Bluetooth. Das reduziert die Angriffsfläche. Ich habe auch Sicherheitsfunktionen wie die Festplattenverschlüsselung (FileVault) und die eingebaute macOS-Firewall aktiviert.
Dennoch fühle ich mich noch nicht sicher, insbesondere, weil ich selbst eher große Lücken entdeckt habe. Und wenn ich das kann, können es auch andere. Mir gefallen auch die von anderen angebotenen Sicherheitsprodukte nicht, ich musste feststellen, dass sie leicht zu umgehen sind oder selbst Sicherheitslücken enthielten.
Da ich selbst offenbar zu viel Zeit habe (grinst), habe ich mich entschieden, etwas dagegen zu tun und verschiedene eigene Sicherheitswerkzeuge entwickelt. Ich bin ein großer Freund von Tools, die generische Angriffe erkennen können. Mein Tool „RansomWhere?“ kann beispielsweise die plötzliche Erstellung verschlüsselter Dateien durch nicht vertrauenswürdige Prozesse erkennen, um Ransomware zu bekämpfen.
„BlockBlock“ erkennt Veränderungen in den Bereichen des Betriebssystems, in denen man Programme ablegen kann, die sich stets neu starten, was persistente Malware erkennen soll. „OverSight“ ist wiederum ein Tool, das die Aktivierung von Mikrofon oder Kamera erkennt, um Malware zu detektieren, die den Nutzer ausspionieren will. Ich biete alle diese Tools kostenlos auf meiner Website an.
- In einem ausführlichen Sicherheitsschwerpunkt in Mac & i Heft 4/2017 erfahren Sie, wie man iOS und macOS absichert. Die neue Mac & i ist ab dem 3. August im Zeitschriftenhandel erhältlich.
(bsc)
