Kommentar: 2. Februar 2007,

Kommentar: Month of Apple Bugs

Kommentar
Kommentar

Der umstrittene Month of Apple Bugs ist vorüber, auch wenn sich die beiden Initiatoren Lance M. Havok und Kevin Finisterre noch eine Lücke aufgehoben haben. Abseits aller Querelen und kontroverser Diskussionen stellt sich aber für jeden Mac-Anwender die Frage, wie sicher das geliebte Mac OS X ist.

Die Berichterstattung in den Mac-Medien über das Projekt war relativ dünn. Deshalb beschlich viele das Gefühl, dass das Projekt hinter seinen großen Ankündigungen zurückblieb und eher um Aufmerksamkeit für sich als für die Sicherheitsproblematik besorgt war. Dennoch, die aufgezeigten Schwachstellen sollten jeden Mac-Anwender aufhorchen lassen, und Fragen nach der Sicherheit von Mac OS X zukünftig nicht mehr einfach abtun.

Werbung

Wie sicher ist Mac OS X?

Wie angekündigt wurde jeden Tag eine Lücke in Mac OS X oder einer Mac-Anwendung samt Anleitung, wie sie sich ausnutzen lässt, präsentiert. Die Kritik einiger Anwender, dass der Schadcode nur mit Anwenderrechten ausgeführt wird und damit eher harmlos sei, ist kurzsichtig und beruhigt nicht. Denn damit lassen sich z. B. Dokumente löschen oder der Mac in einen Spam-Server verwandeln. Zudem wurden etliche Schwachstellen präsentiert, mit denen sich die Rechte auf einem System problemlos auf Root-Ebene erweitern ließen.

An dieser Stelle muss sich Apple fragen lassen, inwiefern die Sicherheit bei der Entwicklung von Mac OS X zu den Design-Zielen gehört. Etliche Sicherheitsprobleme bei der Rechtevergabe sind von anderen Betriebssystem bekannt und finden sich schon seit Jahren dort nur noch selten. Dass Apple solche elementaren Fehler macht, überrascht.

Kritik

Das MoAB-Projekt muss sich vorhalten lassen, dass sie gegen ein ungeschriebenes Gesetz der Softwareindustrie „verstoßen“ haben. Normalerweise informiert der Finder einer Sicherheitslücke zunächst den Hersteller und gibt ihm so Zeit, dass Problem zu beheben, bevor damit an die Öffentlichkeit gegangen wird. Hier lief es genau anders herum und es wurden zudem die passenden Werkzeuge für das Ausnutzen der Schwachstellen veröffentlicht.

Jenseits des guten Geschmacks war die Schaltung von pornographischen Inhalten als Platzhalter für noch unveröffentlichte Fehlerberichte. Die zum Fehler in iChat bzw. Bonjour gehörende Meldung, beinhaltete ein sogenanntes „Osterei“, das im Quelltext mit folgenden Worten kommentiert war:

„Never use the macbook at bed again when browsing the MoAB or you will fry your balls, looper“.
MoAB

Nicht zuletzt durch solch kindisches Auftreten, war das Projekt umstritten und wurde vorwiegend negativ wahrgenommen.

Reaktion

Apple hat sich bisher auffallend stark zurückgehalten und nur für eine Lücke in QuickTime ein Update veröffentlicht. Für alle anderen Schwachstellen z. B. bei der Verarbeitung von DMG-Dateien, oder in iChat, gibt es bisher keine Lösungen von Apple. Die Anwender wurden nicht einmal über die Probleme unterrichtet, wie es bei anderen großen Unternehmen mittlerweile üblich ist. Apple muss zukünftig an seiner Informationspolitik arbeiten!

Zumindest eine Gruppe um den ehemaligen Apple-Ingenieur Landon Fuller versuchte für jede vorgestellte Lücke entweder einen Patch oder einen Workaround bereitzustellen. Damit haben sie demonstriert, dass sich selbst in sehr kurzer Zeit Lösungen finden lassen. Davon kann sich Apple eine Scheibe abschneiden.

Fazit

Bei aller Kritik an der Umsetzung des Projekts „Month of Apple Bugs“, so hat es doch dazu geführt, dass das Thema Sicherheit in Mac-Kreisen zukünftig kritischer diskutiert wird. Havok und Finisterre haben gezeigt, dass sich ein Mac relativ einfach übernehmen lässt.

Trotzdem ist in naher Zukunft nicht mit einer großen Angriffswelle auf OS-X-Systeme zu rechnen. Dafür ist die Verbreitung des Macs nach wie vor zu gering. Apple sollte sich allerdings schnell die Lücken und konzeptionellen Fehler auf die Agenda setzen und mit zukünftigen Updates beseitigen. Sonst hätte der MoAB sein Ziel verfehlt – Schuld wäre dann aber Apple.

Zuletzt kommentiert



 3 Kommentar(e) bisher

  •  mds (2. Februar 2007)

    „Responsible disclosure“ ist Unsinn. Wer Sicherheitslücken entdeckt, ist meistens nicht der erste, allenfalls der erste, der sie publiziert und nicht schlicht für eigene Zwecke nutzt… man muss Unternehmen wie Apple durch direktes Veröffentlichen von Sicherheitslücken zu (mehr) Sicherheitskultur zwingen, anders geht es leider nicht. Ich hoffe, Apple und die Mac-Benutzer müssen Sicherheitskultur nicht auf dem „Microsoft-Weg“ lernen, das wäre sehr schmerzhaft!

  •  hessi (3. Februar 2007)

    mds, Du hast wahrscheinlich leider recht, Apple reagiert, wie so viele andere Firmen, nicht sehr zügig auf diskret gemeldete Sicherheitslücken.
    Ich weiß von mindestens einer Person, die Apple vorab über Sicherheitslücken informiert hat, gleich mit der Information, diese zu einem bestimmten Zeitpunkt öffentlich zu machen (CCC). Am Vorabend der Veranstaltung hat Apple sich erstmals zurückgemeldet, mit der Bitte, die Information noch nicht zu verbreiten. Er hat es doch getan, denn 14 Tage Totschweigen ist inakzeptabel.
    DAS ist in meinen Augen der korrekte Weg. Gebt Apple eine Chance, sich das Problem anzuschauen und den Kontakt mit dem Finder herzustellen. Reagieren sie in dieser Zeit nicht akzeptabel (das ist natürlich subjektiv), wird die Schwachstelle veröffentlicht (aber bitte ohne fertigen Code mit // insert your mischief here). Gleichzeitig weisst man auf das langsame Verhalten Apples hin.
    Nur so kann man Apple dazu bringen, ein „Fast Response Team“ zu etablieren, das mit der Community zusammenarbeitet. Andere können es doch auch, for gods sake!!

  •  Jaja, Apple und seine User.. (4. Mai 2007)

    Ich kann nur immer wieder grinsen, wenn ich solche Artikel wie diesen hier lese..
    „Hier muss Apple zukünftig an seiner Informationspolitik arbeiten.“ :P
    Wie lange gibt es Apple und sein Alternativ-Designer-Betriebsystem schon ?
    Wieso hat denn der gute Steve Jobs diese teilweise ja wirklich herben Fehler
    (Benutzerrechte auf Userebene ändern, zB) icht schon eher gekannt, oder behoben ?
    Hier wird eher das Augenmerk auf das Verhalten der beiden MoAB-Initiatoren gelegt,
    und dass die „Berichterstattung in den Mac-Medien eher dünn“ war, ist ja wohl auch kein Wunder.. Ihr lasst euch nicht die Augen öffnen, seid wie Schafe, die die kleinen Design-Leckereien für überteuerte Preise kauft, die euch der ach so charismatische Steve vorwirft.

    mfg ein amüsierter Linuxuser (ja, dass System gilt als sehr sicher, hochkonfigurierbar, und schnell noch dazu.. mindestens 2 dieser 3 Punkte sucht man bei Mac vergeblich..


Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.



You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>