Wann wird Apple an Security glauben?

Meine Erwähnung von Apple in einer Rede bei der CeBIT in Australien sorgte für das übliche aufgeregte Geschwätz und Veröffentlichungen über die Einstellung des Unternehmens zur Sicherheit (hier ein Beispiel).

Da Apples Sicherheit zur Zeit ein heißes Thema zu sein scheint (zumindest seit Flashfake), halte ich es für einen guten Moment, ein paar vernünftige Sachen über das Thema zu sagen. Wie Sie wissen, bemerken wir heute eine wachsende Kluft zwischen Apples Langzeitkampagne „Macs sind für Malware unbesiegbar“ auf der einen Seite, und der Realität auf der anderen Seite. Denn diese Kampagne verliert immer mehr Glaubwürdigkeit, um es milde zu formulieren.

Doch werden die Nutzer den Grips haben, die tatsächliche Sachlage zu verstehen, trotz dessen, was Apple ihnen weiterhin sagt? Was stimmt nicht an Apples Einstellung zur Sicherheit? Gibt es irgendetwas, was Apple von Microsoft und anderen Anbietern über Sicherheit lernen kann?

Vor einem Jahrzehnt trieben Würmer wie Blaster und Sasser ihre Umtriebe auf Microsofts Windows- Plattform und zwangen die Firma, einige schwere – und teure – Entscheidungen zu treffen. Das wichtigste waren die Erschaffung der Trustworthy-Computing-Initiative, die Einführung einer Firmenrichtlinie, die eine weitreichende Neuprogrammierung von Windows XP SP2 einschloss, eine verbesserte Reaktion auf Sicherheitslücken (Patch Tuesday, Sicherheitshinweise) und das obligatorische SDL-Programm (Security Development Lifecycle), mit dem das Betriebssystem bei Hackangriffen widerstandsfähiger wurde.

Das MacOS-X-Flashback-Botnet war Apples Version der Netzwerk-Wurm-Ära. Es war ein Alarmsignal für eine Firma, die Sicherheit bisher traditionell ignoriert hat.

Um Apples Fahrlässigkeit bei der Sicherheit auf den Grund zu gehen, müssen wir zurück ins Jahr 2006 zu dem berühmten Werbespot „Mac gegen PC“ gehen, in dem ein PC wegen einer Vireninfektion nießt und der Mac dem PC ein Taschentuch reicht, aber jeden Schutz ablehnt, da Viren für Mac OS keine Bedrohung sind.

Der Spot war klever und witzig, aber irreführend. Es trug dazu bei, dass Mac-Anhänger ihren falschen Übermut behielten und erhärtete den Glauben, dass es einfach keines Schutzprogramms bedurfte – weil Macs unschlagbar sind und nicht infiziert werden können.

Diese Selbstgefälligkeit führte und führt auch weiterhin zu inakzeptabel langen Verzögerungen beim Erstellen von Patches für kritische Sicherheitslücken und der Reaktion auf In-The-Wild-Angriffe.

Machen wir uns nichts vor, der iBotnet-Vorfall (Flashback/Flashfake infizierte mehr als 700.000 Macs) war komplett Apples Schuld. Der Java-Patch (CVE-2012-0507), der die Schwachstelle repariert, wurde für Windows am 14. Februar 2012 herausgegeben. Die gleiche Schwachstelle war auch in Mac OS X zu finden, doch Apple stellte bis 3. April 2012 keinen Patch zur Verfügung!  Apple ließ seine Nutzer 49 Tage lang schutzlos, was für Malwareschreiber ein riesiges Zeit- und Chancenfenster bot, um ein Botnet aufzubauen. Unverzeihlich.

Denken Sie mal darüber nach: Fast eine Million Macs in einem gewinnbringenden Botnet, in den Händen von Cyberkriminellen. Vergleicht man das mit den Marktanteilen (der Prozentsatz von Mac-Nutzern, die infiziert worden waren), ist das die Mac-Version von Windows‘ Conficker. Es ist der erste Malware-Angriff auf Mac OS X In-The-Wild, mit einer so hohen Zahl an Opfern, und eine weitere Bestätigung dafür, dass der wachsende Marktanteil von Mac für Angreifer einen bedeutenden Anreiz bietet.

Flashback ist besonders übel, weil es sich via Drive-By-Downloads verbreitet – der Nutzer wird nicht gefragt, es muss nichts angeklickt werden und es werden keine Admin-Passwörter benötigt. Surfen Sie einfach auf eine getürkte oder gehackte Website und die Malware installiert sich automatisch. Die bekannten Varianten wurden für Click-Betrug verwendet. Doch es hätte noch gefährlicher werden können. Denn durch die enthaltene Trojan-Downloader-Komponente hätten die Angreifer auch zusätzliche Malware auf die infizierten Maschinen herunterladen können.

Es ist klar, dass wir den Wendepunkt beim Marktanteil von Mac OS erreicht haben, an dem man sich um Massen-Malware-Angriffe kümmern muss. Die Faustregel lautet: Ist der Marktanteil groß genug, sind auch Cyberkriminelle motiviert, in Angriffe zu investieren. Malware-Autoren haben schon in der Vergangenheit mit Mac-Angriffen herumgespielt – DNS-Changer, Scareware (Fake-Antivirus) und die üblichen Phishing-Köder. Aber wenn man alles zusammenstellt, sieht man, dass wir in eine neue Phase eintreten.

Die Tatsache dass Apple-Nutzer einer Gehirnwäsche unterzogen wurden, um Sicherheitsbedrohungen zu ignorieren, bedeutet, dass verletzbare Desktop-Anwendungen weiterhin ungepatcht bleiben werden, wodurch es immer eine große Zahl möglicher Opfer geben wird, die darauf warten, infiziert zu werden.

Wenn Sie ein teures Auto die ganze Nacht unabgeschlossen auf der Straße stehen lassen und es gestohlen wird, sind Sie daran schuld, denn Sie hätten es abschließen sollen – ganz klar. Genau so ist auch Apple an der momentanen Lage schuld. Die Firma hinkt mit Patches für bekannte Sicherheitslücken immer hinterher.

Java für Mac ist nur ein Beispiel, aber wenn Sie Apples Patch-Veröffentlichungen verfolgen, werden Sie bemerken, dass sie mit Patches immer spät dran sind, vor allem bei Open-Source Komponenten. WebKit und Safari sind andauernde Sicherheitsalbträume.

Dann gibt es da noch die ganze „Geheimhaltung“. Apple ignoriert einfach alle Medienfragen über Sicherheitsprobleme. Immer wenn es eine echte Bedrohung gibt, bekommen die Nutzer von Apple null Information. Es gibt Hinweise bevor ein Patch veröffentlicht wird. Es werden keine Daten an Sicherheitsanbieter weitergegeben, die dabei helfen würden, das System sicher zu halten. Wenn es einen Ausbruch gibt, müssen Mac-Nutzer auf Ratschläge von Dritten zurückgreifen, anstatt von Apple direkt Hilfe zu bekommen. Toller Respekt für die User!

Das witzige ist, dass Apple in Bezug auf Sicherheit viel von Microsoft lernen kann. In der Tat finde ich, dass Apple im Hinblick auf die Reaktionsgeschwindigkeit einfach alles von Microsoft nachmachen sollte.

Apple braucht einen SDL-Proxess um sicherzustellen, dass die Entwickler Sicherheit in jede Etappe des Entwicklungsprozesses einbauen. SCADA, Smart-Grid-Anbieter und selbst die Regierung von Indien haben bereits Microsofts SDL-Prozess übernommen, und das zeigt, dass Microsoft bei der Implementierung von Sicherheit Vorreiter ist.

Apples Marketing-Leute werden es nicht gerne hören, aber es ist nichts Schlimmes daran, von Microsoft zu lernen, jedenfalls sollte es das nicht sein. Apple sollte Microsofts Sicherheitsprogramm nachmachen, damit die Nutzer anständig informiert werden, wenn eine seriöse Sicherheitsbedrohung besteht. Wenn Mac-Nutzer ewig auf Patches warten müssen, sollte Apple zumindest kurzfristige Linderung bieten. Wie wär’s mit einem festen Patch-Tag? Das wird IT-Administratoren helfen, sich auf Patches vorzubereiten, anstatt von ad-hoc-Updates überrumpelt zu werden. Beim Thema Reaktionsgeschwindigkeit steckt Apple noch in den Neunzigern.

Vor zehn Jahren befreite „Trustworthy Computing“ die Windows-Plattform sozusagen aus dem Malware-Armageddon. Die Sicherhei von Windows hat sich verbessert und Microsofts Reaktionsprozess ist nun der Standard den mittlerweile andere – wie etwa Adobe – imitieren.

Nun ist Apple dran. Die Firma würde sich – und seinen Nutzern – einen riesigen Gefallen tun, wenn sie den Flashback-Angriff als eine Art Ernüchterung sehen und das Prinzip „Sicherheit-durch-PR“ aufgeben würde, das ihre Nutzer in die Selbstgefälligkeit geführt hat. Apple muss das Sicherheitsspiel ernst nehmen. Wir sind nicht mehr im Jahr 2006, in dem Macs noch für sicher gehalten wurden, und niedliche Werbespots benutzt werden konnten, um ein Betriebssystem als „überlegen“ zu kennzeichnen. Flashback ist das erste bedeutende Mac-Botnet, aber Sie können darauf wetten, dass es weitere geben wird. Apple kann es sich nicht leisten, die Lektionen von Flashback zu ignorieren.

Sehr geehrtes Apple, hörst du zu?