[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]Vanaf vandaag gaat de CanSecWest weer van start en zal beroepshacker en veiligheidsexpert Charlie Miller maar liefst twintig zero day security holes in programma's in Mac OS X demonstreren. Nu hoeft niemand zich meteen veel zorgen te gaan maken, hij geeft alleen een demonstratie van de methodes waarmee hij deze gaten heeft gevonden en meldt het verder allemaal netjes bij Apple zodat die een en ander weer kunnen repareren.

Maar in de aanloop van dit alles heeft Charlie Miller iets interessants te melden: hij zegt ook dat Mac OS X op dit moment simpelweg veiliger is omdat het een kleiner marktaandeel heeft, terwijl het minder goed beveiligd is dan bijvoorbeeld Windows 7.

Hij is niet de enige, er is al vaker met verbazing gereageerd op het feit dat Snow Leopard geen zaken als address space layout randomization en Data Execution Prevention zijn gekomen, Windows heeft dit soort zaken al sinds Windows Vista.

Volgens Charlie Miller is de reden dat Apple niet zo actief is met het toepassen van dergelijke technieken de volgende:

They sell lots of computers and nobody doesn't buy Apple computers because of a perceived lack of security. So in their minds, they don't have a security problem until it affects their bottom line, which hasn't been the case, yet

Ze verkopen veel computers en niemand koopt geen Apple computers omdat ze het idee hebben dat de veiligheid niet goed zit. Dus in hun perceptie hebben ze geen veiligheidsprobleem omdat het de winst niet aantast, en dat is nog niet zo.


Ik hoop dat Apple door deze stortvloed van security holes de veiligheid wel serieuzer gaat nemen. Want hoewel Mac OS X nog steeds een erg veilig besturingssysteem is, zit ik niet te wachten op het moment dat Apple gaten moet gaan dichten terwijl ze eigenlijk achter de feiten aanlopen.

Het is inderdaad te hopen dat Apple dit serieus neemt.
Nu hebben ze een reputatie van veilig te zijn, en zoals we allen weten is het opbouwen van een positieve ruputatie veel moeilijker dan deze kwijt te spelen.
Want als eenmaal zou blijken dat OS X toch niet zo veilig zou zijn, en dit gevoel ingeburgerd geraakt, zal Apple het zeer moeilijk hebben om zijn reputatie als veilig besturingssysteem terug op te bouwen.
Want (maar hier heb ik geen ervaring mee) als Windows 7 inderdaad zo veilig is, we denken toch nog steeds met zijn allen dat Windows zo lek is als een zeef, prijzen ons gelukkig dat we Mac OS X gebruiken en plagen de Windowsgebruikers er steeds mee dat zij wel en wij niet last hebben van virussen, mailware, spyware, ...

Dus Apple, a.u.b. zorg ervoor dat je steeds een stap voor bent zodat Mac OS X een veilig besturingssysteem blijft.

Ja gewoonweg stom dat Apple nog geen ASLR heeft ingebouwd, dat zou al zoveel schelen in de veiligheid van het OS...

Ze hebben vorig jaar toch een linux security goeroe aangetrokken?
Laten we hopen dat ie werkt voor zijn geld.

Overigens zijn er ook methodes om de ASLR van windows te omzeilen.
Dus hoe veilig je echt bent weet je nooit zeker welke technieken er ook
gebruikt worden.

Het blijft verwonderlijk dat men denkt dat de populariteit
van een systeem te maken heeft met de veiligheid ervan.
Er waren mìnder populaire systemen met méér virussen !

Een virus is geen "biologisch muterend wezen", zoals we
dat misschien bij de term graag willen denken. Het is een
stukje software dat geprogrammeerd moet worden en de
kans krijgt om schadelijke acties uit te voeren. En dat is
tot op heden nog geen enkele keer gebeurd op het OS X.
Dat het intussen al tienduizenden malen is gebeurd op de
oude Windows-systemen is jammer, maar geeft wel aan
dat het bij het Mac OS X beslist veel beter geregeld is.

Dat er "lekken" en "dreigende gevaren" zijn, ja nou en ?
Het kost 5 stappen om van lek naar schade te geraken,
te weten: Lek > Concept > Exploit > Virus > Schade.

Gelukkig is Apple al 10 jaar in staat gebleken om lekken
tijdig te dichten en de veiligheid gewoon te waarborgen,
dankzij een solide systeem-architectuur.

En laten we hopen dat Microsoft ook in staat is geweest
om de architectuur onder Windows 7 veiliger te krijgen.
Want computer-gebruikers naar de Mac laten switchten
omdat hun andere systeem niet/nauwelijks werkbaar is,
heb ik eigenlijk altijd een triest argument gevonden...

Peter Villevoye om 10:51, 22-03-2010
Het blijft verwonderlijk dat men denkt dat de populariteit
van een systeem te maken heeft met de veiligheid ervan.
Er waren mìnder populaire systemen met méér virussen !

Maar sinds virussen vooral dienen voor commerciële doeleinden is het besturingssysteem dat het meest voorkomt (Windows) altijd de klos. Maar het gaat hier vooral om exploits, een virus is volgens mij nog wel een stapje verder...

Blijft voorop staan dat het systeem
(al dan niet populair) vatbaar moet
zijn voor virussen. Dat is OS X niet.
Ik zeg niet "nooit", maar met een
historie van nul versus duizenden,
acht ik OS X gewoon robuuster.

Eeuhhhh... weten we wel zeker wat deze Miller wil zeggen ?
En wie is die Miller eigenlijk ?

Zijn taalgebruik is zo stupide als dat van een gemiddelde beroepsvoetballer en zo vaag als een verkiezingsprogramma van een coalitiepartij.

Deze tekst:
"They sell lots of computers and nobody doesn't buy Apple computers because of a perceived lack of security. So in their minds, they don't have a security problem until it affects their bottom line, which hasn't been the case, yet... "

Zou, gezien de abominabele grammatica en idioom, ook kunnen betekenen:


"Hullie verkopen een hoop computers maar niemand koopt Apple omdat ze denken dat die beveiliging te weinig doet. Dus in d'r eigen idee hebben ze geen enkel probleem met die beveiliging, totdat die aan kun kont gaat zitten, terwijl hij nog steeds niet aan die doos heb gezeten...."

Euh . . . , Hildo,

Volgens mij is het prima engels. En hij zegt 'doesn't'. Dat vertaal jij alsof er 'does' staat. Hoe zit het met jouw engels, Hildo?

Nou, ik snapte deze ook niet echt goed:

"Nobody doesn't buy Apple computers
because of a perceived lack of security."

Ik denk dat het rommelig Engels betreft,
dus dan bedoelt hij: "er is niemand die
Apple computers níet koopt, omdat men
een gebrekkige beveiliging vreest."
I.t.t.: "Er zijn wèl mensen die géén
Windows kopen vanwege virussen".

Ach, dubbele ontkenningen zijn niet zo heel duidelijk, maar dit is een typisch geval van spreektaal dat opgeschreven is.

(Bewerkt door Ziegler om 14:11, 22-03-2010)

Zijn taalgebruik is zo stupide als dat van een gemiddelde beroepsvoetballer en zo vaag als een verkiezingsprogramma van een coalitiepartij.

Het is een beetje slordig spreektaal-Engels. En het is ook wat slordig (want te letterlijk) vertaald.
Voor de serieuzen onder ons: Ik zou er in schrijftaal-Nederlands zo iets van maken:

"Ze verkopen een hoop computers, en niemand ziet af van een Apple computer omdat hij merkt dat deze niet voldoende beveiligd is. De mensen denken dus dat ze geen veiligheidsprobleem hebben totdat ze er zelf echt iets van gaan merken - maar dat is tot op heden nog niet gebeurd."

Maar dat hadden we eigenlijk al begrepen...

Hildo om 12:56, 22-03-2010
Eeuhhhh... weten we wel zeker wat deze Miller wil zeggen ?
En wie is die Miller eigenlijk ?

Die 'Miller' is de jongen die in de afgelopen jaren de meeste gaten in de bijgeleverde software van Mac OS X heeft ontdekt. Zijn beheersing van het Engels is kennelijk inderdaad niet zo fantastisch, maar hij weet kennelijk genoeg van hacken af...

Ik vind het ook opvallend dat bijv. Peter V. reageert met "er zijn geen virussen voor OSX".
Het gaat hier helemaal niet om een virus maar om mogelijke exploits.
Ook voor windows zijn er tegenwoordig relatief weinig nieuwe virussen.

Veelal zijn het botnets die op de pc van de gebruiker een stukje software draaien en die remote aansturen.
Dat is vele malen makkelijker dan een virus ofzo want een botnet kun je ook als gewone gebruiker laten draaien.

Situatie:
Argeloze gebruiker surft lekker naar een website, er zit een foute flashbanner die gebruik maakt van een exploit in Safari en die dropt een stukje code op de computer van de gebruiker, stukje software nestelt zich in de browser of waar dan ook, start op met de rechten van de gebruiker ( geen ww nodig dus) en gaat lekker staan luisteren naar commando´s.

Botnet beheerder stuurt commando `erase home of user`of `stuur 1mio email`en voila, ook osx is besmet.

Op dit moment is het er nog niet, maar als Apple niet snel wat aan serieuze security standaarden gaat voldoen, is het helaas een reeele optie dat het er wel komt.
Zeker als OSX een groter markt aandeel krijgt, dan is er meer geld mee te verdienen en zullen er meer mensen trachten lekken te vinden.

(Bewerkt door FanBoy om 18:11, 22-03-2010)

(Bewerkt door FanBoy om 18:12, 22-03-2010)

Ik heb keurig beschreven welk verband er bestaat
tussen de lekken, concepts, exploits en die virussen.
Strikt genomen ging het niet per se over "virussen",
maar lekken en exploits zijn in de meeste gevallen
de opmaat naar virussen. Maar gewoon 'n machine
lekker hacken mag natuurlijk ook - jouw feestje !

FanBoy om 18:10, 22-03-2010

Op dit moment is het er nog niet, maar als Apple niet snel wat aan serieuze security standaarden gaat voldoen, is het helaas een reeele optie dat het er wel komt.

Het is er niet, maar het zou zo maar kunnen komen. Goh. Als de weerman op die manier regen voorspelt, luisteren er maar weinig mensen.

Even die dubbele ontkenning en mijn wat fysieke vertaling van bottom-line en case daargelaten; het is absoluut niet duidelijk wie zich in de tweede zin (nog) niets van de beveilingsgebreken aantrekt.
Is dit Apple, de consument/koper of misschien wel een andere partij die in een mogelijk voorafgaande zin ten tonele werd gevoerd ?

Kortom: vaag, onleesbaar en onbegrijpelijk.

Ik vind het wel grappig om in dit draadje ook een ontkenning van het probleem te lezen, net zoals meneer Miller dit Apple verwijt. Voor de een is het gebruikte Engels niet duidelijk en daarom is het argument van deze meneer niet te volgen en lijkt het probleem niet te bestaan. Voor een ander is het de vertaling door de redactie die dit tot gevolg heeft. Voor weer een ander gaat het er om dat er nog nooit een virus in het wild voor OS X is aangetroffen. Kortom, deze meneer Miller is iemand die onzin verkondigt in ook nog eens slecht Engels. Deze meneer moet dus maar niet serieus genomen worden door Apple. Wij doen dat in ieder geval op voorhand al niet.

Struisvogelpolitiek?

E.e.a. nog eens even nalezend, vraag ik me nu dus ook af:
wat zijn in 's hemelsnaam "serieuze security standaarden" ?
En wie denkt nou werkelijk dat Apple zich minder hoeft te
verantwoorden, omdat ze "minder" gebruikers zou hebben ?
Hoeveel gebruikers zou een systeem-ontwikkelaar moeten
hebben eer ze "serieus" aan veiligheid werken ?
Alsof tientallen miljoenen gebruikers een peuleschilletje is !

Ik kan me daar best boos om maken. Al 10 jaar lang staat
Apple meer dan ooit in the picture; het is zelfs een hoge eer
voor een hacker die erin slaagt een Mac om zeep te helpen.
En al die jaren is NIKS gebeurd wat serieus schadelijk was.
Wat moet Apple dan zo nodig anders of beter doen ?

Ik ben het ermee eens dat Windows 7 veiliger dan ooit lijkt,
en ik hoop van harte dat al die PC-gebruikers tegenwoordig
veiliger gebruik kunnen maken van hun PC en Internet.
Maar om nu te gaan doen alsof Apple fout bezig is...

Weet je, zodra de eerste Mac bezwijkt of 'n virus rondwaart,
dan hangen we de vlag uit, lachen we er wellicht even om,
verspreidt Apple een patch en is het leed geleden.

(Bewerkt door Peter Villevoye om 19:28, 22-03-2010)

drrob om 19:23, 22-03-2010
Ik vind het wel grappig om in dit draadje ook een ontkenning van het probleem te lezen, net zoals meneer Miller dit Apple verwijt.
Struisvogelpolitiek?

Welk probleem? Als je mij kan uitleggen welk probleem je het hier over hebt, installeer ik direct een virusscanner.

Het is ook in dit draadje al aangegeven: Het ontbreken van ASLR is een ernstige omissie in SL. Dit is een slechte zaak omdat Apple hiermee plots weer gaat achterlopen bij Microsoft. Ik verwacht dat Micorosoft en/of gelieerde bedrijven dit t.z.t. wel breed zullen weten uit te meten. Apple zal dan weer met een stuk spectakel de opinie voor zich moeten winnen. Dat is niet onmogelijk omdat dat natuurlijk al eerder is gepasseerd. Denk maar eens terug aan het grote probleem van de megahertzen. Apple liep mijlenver achter toen PC's in de gigahertzen draaiden en Macs rond bleven dobberen in het 800 Megahertz gebied. Daarna hadden we de stabiliteit: OS8/9 tegenover windows 2000, om maar niet te spreken van OS8/9 tegenover windows NT. We zijn hedentendage natuurlijk nog steeds blij met de door Apple geboden oplossingen voor beide problemen (intel-processoren, OS X). Helaas heb ik in de 'moeilijke tijden' mij wel eens drie slagen in de rondte moeten wurmen om anderen van het goede van de Mac te proberen te overtuigen. Het lijkt mij beter voor Apple dat dat nu niet weer met betrekking tot de veiligheid van het OS een punt kan gaan worden.

If it ain't broken, don't fix it.
Ik vertrouw erop dat Apple heus wel ASLR of wat dan ook
zal inbouwen, als zij menen dat het nodig en verstandig is.

(Bewerkt door Peter Villevoye om 19:58, 22-03-2010)

De praktijk wijst uit dat je bij Apple redelijk wat geduld moet hebben voordat een optredend probleem wordt opgelost. Naast de beide eerder door mij genoemde problemen kan je ook op het gebied van veiligheid even terugdenken aan het lek in Quicktime van nog niet zo heel erg lang geleden.

Ondertussen neemt de concurrentie een voorsprong. Niet zo direct Microsoft maar meer de fabrikanten als HP, Acer, Fujitsu, waarbij het acherlopen van Apple als een verkoopargument gebruikt kan worden. Dit moet Apple niet willen. En dat is nu juist wat deze meneer Miller aangeeft: Men moet bij Apple niet op de lauweren rusten. Ik denk dat hij daar een sterk punt in heeft!

En dat heet nou struisvogelpolitiek....

drrob om 20:05, 22-03-2010

Ondertussen neemt de concurrentie een voorsprong. Niet zo direct Microsoft maar meer de fabrikanten als HP, Acer, Fujitsu, waarbij het acherlopen van Apple als een verkoopargument gebruikt kan worden. Dit moet Apple niet willen. En dat is nu juist wat deze meneer Miller aangeeft: Men moet bij Apple niet op de lauweren rusten. Ik denk dat hij daar een sterk punt in heeft!

De concurrentie heeft al zo'n kleine 15 jaar een voorsprong met een OS dat zo lek als een mandje was/is. Wat is nu precies je punt? Dat MS gaat roepen dat ze veiliger zijn? Zullen we weer terug keren naar de realiteit? We sluiten twee computers zonder extra beveiliging aan op 'het net'. Eén met Windows en één met OSX. Kijken we hoe het afloopt.