Seite 2: "Apple muss sich deutlich mehr anstrengen"

Inhaltsverzeichnis

Mac & i: Wie schnell reagiert Apple Ihrer Erfahrung nach auf konkrete Sicherheitslücken?

Felix von Leitner: Das handhaben die Apple-Abteilungen ganz unterschiedlich. Sie schreiben in den Advisories auch nicht, seit wann die jeweilige Lücke bekannt ist. Aber bei den Lücken, die Drittanbieter-Komponenten betreffen, hat man ganz gute Anhaltspunkte. Apple hat am 20. Oktober 2010 einen Patch für Java 1.6.0_20 veröffentlicht. Bei Sun gab es das Update auf 1.6.0_21 schon am 20. Juli. Hier hat Apple also über Monate auf bekannten Sicherheitslücken gesessen, die währenddessen auf anderen Plattformen sogar schon ausgenutzt wurden, um Malware zu verbreiten.

Ist Apple denn bloß langsam oder bemängeln Sie auch die Qualität?

Kürzlich gab es ein OS-X-Server-Update für den IMAP-Server dovecot, ein Open-Source-Projekt. In dem Advisory dazu heißt es bei Apple, die beseitigte Lücke beträfe nicht die Open-Source-Version von dovecot. Hier hat Apple also ein an sich sicheres Projekt unsicherer gemacht. Auch die Schwere der Lücken ist besorgniserregend. Das jüngst veröffentlichte Advisory für die Airport-Extreme-Basis beschreibt ein Problem ungefähr so: "Wenn uns jemand zu viele Pakete dieses Typs schickt, dann stürzen wir ab". Diese Art von Bug sieht für Experten mehr als peinlich aus, die sollte an sich seit der Jahrtausendwende ausgestorben sein. Ein anderer Bug, den sie in dem Patch-Pack gefixt haben, ist ein Bug in Racoon, einem Bestandteil von IPsec. Dieser Code kommt vom KAME-Projekt aus dem BSD-Umfeld und ist bei NetBSD im April 2009 behoben worden. Hier mussten Apple-Kunden über anderthalb Jahre lang mit einer bekannt unsicheren Version leben. Auch der Linux-Port von racoon ist seit April 2009 von diesem Bug befreit.

Mac-Anwender können sich also nicht gut versorgt fühlen und sich zurücklehnen?

Die Indikatoren sprechen eine deutliche Sprache: Apple muss sich deutlich mehr anstrengen, wenn ihre Kunden nachts ruhig schlafen können sollen. Immerhin kann man sehen, dass sich bei Apple die Herangehensweise ändert: Die Advisories, die Apple zu ihren geschlossenen Lücken herausgibt, sind nach Industriestandard recht brauchbar, da werden die einzelnen Probleme explizit aufgelistet.

Vielleicht ist die aktuelle Gefahrenlage einfach ein gemütliches Polster, auf dem es sich gut ausruhen lässt. Sind Ihnen konkrete Schadensfälle bekannt, die Malware auf OS-X-Rechnern verursacht hat, beispielsweise in Unternehmen?

Nein, aber darüber gibt es kein belastbares Zahlenmaterial, auch nicht für Windows-Systeme. Die gelegentlich genannten Zahlen kommen aus den PR-Abteilungen der Antivirus-Industrie, die natürlich voreingenommen sind. Denen hilft es ja geschäftlich, wenn sie Schäden und Potenziale hochreden. Im Übrigen ist Malware heute auch eher selten darauf ausgelegt, Schaden beim infizierten Rechner anzurichten. Der Schaden entsteht eher bei anderen, durch Spamversand oder Teilnahme an DDoS-Botnetzen. Es kommt nur in Einzelfällen gelegentlich vor, dass Malware Daten auf dem infizierten Rechner löscht oder kaputtmacht. Der häufigste direkte Schaden beim Infizierten kommt in der Praxis noch von Scareware, die den Anwender beim Arbeiten mit Panikfenstern nervt, er sei infiziert worden, und müsse sich jetzt dringend dieses unseriöse Schutzprodukt aus dem Internet kaufen.

... oder im privaten Umfeld, etwa durch Online-Banking-Trojaner?

Das ist ebenfalls schwierig einzuschätzen. Es gibt zwar Schätzungen, aber belastbar sind die Zahlen nicht. Mehrere Seiten haben ein Interesse daran, Schäden auf Trojaner zu schieben. Meine Bank will mich ab April nicht mehr mit PIN und TAN arbeiten lassen, sondern verlangt eine SMS-TAN oder ein Dongle. Sinnloses Sicherheitstheater ist für Banken inzwischen zu einem werbeträchtigen Alleinstellungsmerkmal geworden. Ob ein bestehender Schaden tatsächlich durch einen Trojaner ausgelöst wurde, ist nur im Einzelfall und mit erheblichen Aufwand zu klären.

In der aktuellen Ausgabe von Mac & i (ab 26. Februar am Kiosk) lesen Sie einen Hintergrundartikel zur Sicherheit von Mac OS X und warum Experten Apples Betriebssystem gegenüber Windows als weniger sicher einschätzen. Dazu äußern sich exklusiv auch die beiden bekanntesten Mac-Hacker, Charles Miller und Dino Dai Zovi, gegenüber Mac & i . Bereits im Dezember hat Malware-Experte Andreas Marx im Mac & i-Interview gewarnt: "Der Mac ist angreifbar".
(olm)