MACNOTES

Veröffentlicht am  2.02.07, 15:30 Uhr von  

Kommentar: Month of Apple Bugs

Month of Apple BugsDer umstrittene Month of Apple Bugs ist vorrüber, auch wenn sich die beiden Initiatoren Lance M. Havok und Kevin Finisterre noch eine Lücke aufgehoben haben. Abseits aller Querelen und kontroverser Diskussionen stellt sich aber für jeden Mac-Anwender die Frage, wie sicher das geliebte Mac OS X ist.

Die Berichterstattung in den Mac-Medien über das Projekt war relativ dünn. Deshalb beschlich viele das Gefühl, dass das Projekt hinter seinen großen Ankündigungen zurückblieb und eher um Aufmerksamkeit für sich, als für die Sicherheitsproblematik besorgt war. Dennoch, die aufgezeigten Schwachstellen sollten jeden Mac-Anwender aufhorchen lassen und Fragen nach der Sicherheit von Mac OS X zukünftig nicht mehr einfach ab zu tun.

Wie sicher ist Mac OS X?
Wie angekündigt wurde jeden Tag eine Lücke in Mac OS X oder einer Mac-Anwendung samt Anleitung, wie sie sich ausnutzen lässt, präsentiert. Die Kritik einiger Anwender, dass der Schadcode nur mit Anwenderrechten ausgeführt wird und damit eher harmlos sei, ist kurzsichtig und beruhigt nicht. Denn auch damit lassen sich z.B. Dokumente löschen oder der Mac in einen Spam-Server umwidmen. Zudem wurden etliche Schwachstellen präsentiert, mit denen sich die Rechte auf einem System problemlos auf Root-Rechte erweitern ließen.

An dieser Stelle muss sich Apple fragen lassen, inwiefern die Sicherheit bei der Entwicklung von Mac OS X zu den Design-Zielen gehört hat. Etliche Sicherheitsprobleme bei der Rechtevergabe, sind von anderen Betriebssystem bekannt und finden sich schon seit Jahren dort nur noch selten. Das Apple solche elementaren Fehler macht, überrascht.

Kritik
Das MoAB-Projekt muss sich vorhalten lassen, dass sie gegen ein ungeschriebenes Gesetz der Softwareindustrie “verstoßen” haben. Normalerweise informiert der Finder einer Sicherheitslücke zunächst den Hersteller und gibt ihm so Zeit, dass Problem zu beheben, bevor damit an die Öffentlichkeit gegangen wird. Hier lief es genau anders herum und es wurden auch gleich die passenden Werkzeuge für das Ausnutzen der Schwachstellen veröffentlicht.

Jenseits des guten Geschmacks war die Schaltung von pornographischen Inhalten als Platzhalter für noch unveröffentlichte Fehlerberichte. Die zum Fehler in iChat bzw. Bonjour gehörende Meldung, beinhaltete ein sogenanntes “Osterei”, welches im Quelltext mit den Worten

Never use the macbook at bed again when browsing the MoAB or you will fry your balls, looper

kommentiert war. Nicht zuletzt durch solch kindisches Auftreten, war das Projekt umstritten und wurde vorwiegend negativ wahrgenommen.

Reaktion
Apple hat sich bisher auffallend stark zurückgehalten und bisher nur für eine Lücke in QuickTime ein Update veröffentlicht. Für alle anderen Schwachstellen z.B. bei der Verarbeitung von DMG-Dateien oder in iChat gibt es bisher keine Lösungen von Apple. Die Anwender wurden nicht einmal über die Probleme unterrichtet, wie es bei anderen großen Unternehmen mitlerweile üblich ist. Hier muss Apple zukünftig an seiner Informationspolitik arbeiten.

Zumindest eine Gruppe um den ehemaligen Apple-Ingenieur Landon Fuller versuchte für jede vorgestellte Lücke entweder einen Patch oder einen Workaround bereitzustellen. Damit haben sie demonstriert, dass sich auch in sehr kurzer Zeit Lösungen finden lassen. Davon kann sich Apple eine Scheibe abschneiden.

Fazit
Bei aller Kritik an der Umsetzung des Projekts, so hat es doch dazu geführt, dass das Thema Sicherheit auch in Mac-Kreisen zukünftig kritischer diskutiert wird. Havok und Finisterre haben gezeigt, dass sich auch ein Mac relativ einfach übernehmen lässt.

Trotzdem ist in naher Zukunft nicht mit einer großen Angriffswelle auf Mac OS X Systeme zu rechnen. Dafür ist die Verbreitung des Macs nach wie vor zu gering. Apple sollte sich allerdings schnell die Lücken und konzeptionellen Fehler auf die Agenda setzen und mit zukünftigen Updates beseitigen. Sonst hätte der MoAB sein Ziel verfehlt – Schuld wäre dann aber Apple.

 Und wie ist deine Meinung?  Schreib uns einfach!

 3 Kommentar(e) bisher

  •  mds sagte am 2. Februar 2007:

    “Responsible disclosure” ist Unsinn. Wer Sicherheitslücken entdeckt, ist meistens nicht der erste, allenfalls der erste, der sie publiziert und nicht schlicht für eigene Zwecke nutzt… man muss Unternehmen wie Apple durch direktes Veröffentlichen von Sicherheitslücken zu (mehr) Sicherheitskultur zwingen, anders geht es leider nicht. Ich hoffe, Apple und die Mac-Benutzer müssen Sicherheitskultur nicht auf dem “Microsoft-Weg” lernen, das wäre sehr schmerzhaft!

    Antworten 
  •  hessi sagte am 3. Februar 2007:

    mds, Du hast wahrscheinlich leider recht, Apple reagiert, wie so viele andere Firmen, nicht sehr zügig auf diskret gemeldete Sicherheitslücken.
    Ich weiß von mindestens einer Person, die Apple vorab über Sicherheitslücken informiert hat, gleich mit der Information, diese zu einem bestimmten Zeitpunkt öffentlich zu machen (CCC). Am Vorabend der Veranstaltung hat Apple sich erstmals zurückgemeldet, mit der Bitte, die Information noch nicht zu verbreiten. Er hat es doch getan, denn 14 Tage Totschweigen ist inakzeptabel.
    DAS ist in meinen Augen der korrekte Weg. Gebt Apple eine Chance, sich das Problem anzuschauen und den Kontakt mit dem Finder herzustellen. Reagieren sie in dieser Zeit nicht akzeptabel (das ist natürlich subjektiv), wird die Schwachstelle veröffentlicht (aber bitte ohne fertigen Code mit // insert your mischief here). Gleichzeitig weisst man auf das langsame Verhalten Apples hin.
    Nur so kann man Apple dazu bringen, ein “Fast Response Team” zu etablieren, das mit der Community zusammenarbeitet. Andere können es doch auch, for gods sake!!

    Antworten 
  •  Jaja, Apple und seine User.. sagte am 4. Mai 2007:

    Ich kann nur immer wieder grinsen, wenn ich solche Artikel wie diesen hier lese..
    “Hier muss Apple zukünftig an seiner Informationspolitik arbeiten.” :P
    Wie lange gibt es Apple und sein Alternativ-Designer-Betriebsystem schon ?
    Wieso hat denn der gute Steve Jobs diese teilweise ja wirklich herben Fehler
    (Benutzerrechte auf Userebene ändern, zB) icht schon eher gekannt, oder behoben ?
    Hier wird eher das Augenmerk auf das Verhalten der beiden MoAB-Initiatoren gelegt,
    und dass die “Berichterstattung in den Mac-Medien eher dünn” war, ist ja wohl auch kein Wunder.. Ihr lasst euch nicht die Augen öffnen, seid wie Schafe, die die kleinen Design-Leckereien für überteuerte Preise kauft, die euch der ach so charismatische Steve vorwirft.

    mfg ein amüsierter Linuxuser (ja, dass System gilt als sehr sicher, hochkonfigurierbar, und schnell noch dazu.. mindestens 2 dieser 3 Punkte sucht man bei Mac vergeblich..

    Antworten 

Kommentar verfassen

 0  Tweets und Re-Tweets
       0  Likes auf Facebook
         0  Trackbacks/Pingbacks
          Werbung
          © 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de