[img=right]http://www.macfreak.org/base/data/news/images/virus.jpg[/img]Het heeft nogal wat commotie veroorzaakt: een MacBookAir zou binnen twee minuten gehackt zijn en daarmee zou aangetoond zijn dat MacOSX (10.5.2) inherent onveiliger is dan Windows Vista SP1 of Ubuntu 7.10

Maar is dat ook zo?

Allereerst de opzet van deze 'competitie'.
Het CanSecWest event (overigens mede gesponsord door Microsoft, maar dit terzijde) bestond uit drie delen:
Dag 1: Hier waren alleen directe aanvallen over het netwerk toegestaan.
Dag 2: Nu mocht met een standaard  email client, een im client of een browser naar een server gelinkt worden.
Dag 3: Er werd een beperkt aantal 3rd party apps geïnstalleerd die ook voor de hack gebruikt konden worden
Aanvullende voorwaarde: mocht een kwetsbaarheid een cross-platform werking hebben mocht deze maar op één systeem worden toegepast.

De target-machines waren:
• VAIO VGN-TZ37CN met Ubuntu 7.10
• Fujitsu U810 met Vista Ultimate SP1
• MacBook Air met OSX 10.5.2

De eerste dag overleefden alle systemen probleemloos. De tweede dag werd de MacBookAir naar een speciaal geprepareerde website geleid die gebruik maakte van een kwetsbaarheid in Safari en viel ten prooi aan een daardoor mogelijk gemaakte telnet verbinding.

Dat de MacBookAir dus binnen twee minuten voor de bijl ging had alles te maken met de voorbereiding: Men wist tevoren van de kwetsbaarheid en had vooraf een website geprepareerd die hiervan gebruik (misbruik) kon maken. En dus niet - zoals sommige media beweren - dat een 'onvoorbereide hacker' er in geslaagd was om binnen twee minuten een gat in OSX te vinden.

Saillant detail: er was een team die een vergelijkbare kwetsbaarheid in Vista had voorbereid, maar deze was net gedicht door SP1 die vlak voor de competitie was uitgebracht en op het systeem geïnstalleerd. Uiteindelijk werd het Vista systeem gehackt op dag 3 via een kwetsbaarheid in Adobe's Flash.

De Sony VAIO met Ubuntu werd niet gehackt. Dat lijkt raar, want Ubuntu schijnt niet zo moeilijk te hacken te zijn. Maar waarom zou je je best doen voor $ 10.000,- als volgens de chatrooms van Ubuntu een mooie hack een veelvoud van dit bedrag waard is op de 'zwarte markt'? Hetzelfde geldt natuurlijk ook voor Vista: in tegenstelling tot voor het Mac platform is er voor de Windows varianten een levendige handel in exploits. Op dit platform is het een miljoenen-business: grote spammers exploiteren netwerken van spambots die allemaal draaien op dit soort kwetsbaarheden en de vraag lijkt dus gerechtvaardigd of de hackers hier het achterste van hun tong hebben laten zien.

De kwetsbaarheid in OSX blijkt trouwens een Javascript probleem te zijn in de Webkit. Dus niet in het OS zelf, maar in een 3rd party gedeelte wat door Safari gebruikt wordt. Apple acht zich hier uiteraard wel verantwoordelijk voor en het lek is inmiddels gedicht door het Webkit team en is nu al verwerkt in de nightly builds van Webkit en zal binnenkort (wanneer het volledig uitgetest is) in een officiële Safari (security) update verschijnen.

Moeten we hier nu wakker van liggen? Nee, wat mij betreft niet.
Het betreft hier een van de vele kwetsbaarheden die in elk besturingssysteem te vinden is. Maar dat betekent nog niet dat hier op enige schaal ook exploits voor op de 'markt' zijn en voor dat deze de kans krijgen de kop op te steken zal het lek alweer gedicht zijn in een eerstvolgende security update.

Vooralsnog hebben we met OSX nog steeds een virus vrij en spyware vrij platform en ik zie ook nu geen reden om over te gaan tot de aanschaf van een virusscanner of vergelijkbaar pakket. Geen vage software (die om het wachtwoord vraagt) downloaden en trouw de security updates installeren, is wat mij betreft nog steeds voldoende.

Zie ook het volgende artikel, dat gelijksoortige kanttekeningen zet bij de 'scoop' van CanSecWest:

http://www.roughlydrafted.com/2008/03/29/mac-shot-first-10-reasons-why-cansecwest-targets-apple/

Bedankt voor dit artikel, ik had al zo'n vermoeden door de manier waarop e.e.a naar buiten werd gebracht maar nog geen tijd gehad om het uit te zoeken. Daarom erg prettig om het hier zo op een rijtje te hebben...

Zoals ik 29 maart al meldde: http://www.macfreak.nl/cgi-bin/forums/topic.cgi?forum=18&topic=3285

Ik maak me geen zorgen over virussen op dit moment, maar zolang er een lek in een browser kan zitten dat niet gepatched is. loop je het risico op driveby dowloads. Zoals de tekst ook aangeeft, hoeft er niets geinstalleerd of ergens op geklikt te worden.

En aangezien de laatste tijd ook advertentie netwerken niet helemaal safe is, is het wel zorgwekkend.
Als deze persoon dus de exploit op het net had gezet en apple niet had ingelicht, dan hadden we ook besmette apple computers kunnen hebben.
Dus, slaap zacht meneer de president gaat hier niet helemaal op.

Overigens geldt hetzelfde hier voor Vista, ook gehacked via een tool van een derde partij. Enige verschil is, is dat flash niet geinstalleerd hoeft te zijn en Safari standaard is.

(Bewerkt door Calvin om 8:00, 1-04-2008)

Tja, we zullen er aan moeten wennen dat (door) MS (gesponsorde) uitlatingen helaas veel/te veel impact in de media genereren. Ook als ze onwaar zijn. Ik heb het Roughly Drafted artikel in ieder geval maar even gebookmarkt om handen wrijvende Windows-collega's die me komen vertellen dat Macs nu eindelijk ook onveilig zijn, terecht te kunnen wijzen...
Waar ik me wel (een beetje) druk over maak is de mededeling in het Roughly Drafted-stukje dat virussen voor Windows EN LINUX op de zwarte markt veel geld opbrengen. Je kan er natuurlijk op wachten dat dat ook voor OSX-virussen gaat spelen met dat toenemende marktaandeel...

Volgens mij is er met deze hack NIETS veranderd hoor.
Op elk willekeurig moment zijn er veiligheidslekken in zowel Windows, Linux als Mac OS. En af en toe vind iemand zo'n lek en wordt het weer gedicht. Niets nieuws dus.
Wat wél nieuws zou zijn, is als iemand daadwerkelijk een virus had gemaakt dat misbruik maakte van zo'n lek en daarmee zich kon verspreiden en Mac-gebruikers schade toebrengen.
Dat is tot op heden gelukkig nog niet gebeurd!! Maar ik denk dat het ooit wel zal gebeuren want ook Mac OS is nu eenmaal niet 100% waterdicht.

Ik maak me niet echt zorgen over dit nieuwe lek.
Er zullen ongetwijfeld, zo niet zekers te weten, nog genoeg lekken te vinden zijn.
Alleen, je moet ze vinden.

En toen Mac OS (al dan niet X) nog een klein marktaandeel had, was het niet interessant genoeg om er naar te zoeken.
Nu met de toenemende belangstelling, toenemend marktaandeel en best lovende recensies in tijdschriften (waaronder vele die merendeels Windows geöriënteerd zijn) wordt het steeds interessanter om onderzoek te doen naar de tekortkomingen van Mac OS X.

Ergens is het juist goed dat er dit soort wedstrijden worden gehouden.
We worden met de neus op de feiten gedrukt.
En we moeten ons terdege realiseren dat we ook gevaar kunnen lopen.
Niet iedere site hoeft voor ons meer veilig te zijn.
En dus moeten we nu zeker bewust(er) zijn van welke sites we bezoeken.

Ik denk dat het vooral aan de manier hoe je internet gebruikt ligt of je kwetsbaar bent of niet.
Een vriend (windows freak 1eklas) heeft nog nooit een virus op zijn pc gehad. Maar goed als je veel weet van het OS dat je gebruikt en je kent de zwakheden zal dat ook niet gauw gebeuren.

En wat betreft het onderwerp in de topic: alles wat door microsoft gesponsord wordt vertrouw ik bij voorbaat al niet. En het zal wel heeeeeeeeeeeel erg raar zijn als Vista bij dit onderzoekje als verliezer uit de bus was gekomen....

Je hoeft blijkbaar maar via een google-zoektocht op een verkeerde website komen en je apparaatje kan gehackt worden?

Ik ben het met Calvin eens dat je hier niet helemaal zacht op kunt slapen.

Is het nog van belang welke versie van Safari of Java je gebruikt? En is het besturingssysteem, bijvoorbeeld 10.4 of 10.5, van belang?

Zoals ik in het bericht al schreef: geen enkel operating system is 100% bullet proof. Een beetje oppassen met wat je doet is bij ieder operating system altijd verstandig. En dan nog loop je met OSX op dit moment de minste risico's: er is geen malware in het wild voor de Mac.

Deze exploit vereist wel iets meer dan alleen maar een foute site bezoeken: er moet ook nog actief vanaf die 'foute site' een Telnet verbinding met je Mac tot stand worden gebracht. En dan nog kan iemand vanaf die foute site' waarschijnlijk alleen nog maar 'snoopen' en niet zo maar allerlei kwaadaardige progjes op je Mac zetten, daarvoor zijn immers ook nog altijd admin rechten nodig.

Maar goed, als je er echt niet van kunt slapen is op dit moment de aangewezen weg om de laatste nightly build van Webkit te installeren. Voor de link zie het nieuwbericht.

Oh wat zijn we weer lekker naief hier... imho moet je ieder security leak serieus nemen. Dit lek is Safari is wel degelijk een ernstig lek, dat in IE ook een identiek lek zat en is gedicht is lullig, dat Ubuntu ook niet al te veilig is is ook niet fijn maar dit betekend nog steeds niet ER WEL EEN LEK IN SAFARI ZIT en die behoorlijk kloten is.

Het is hetzelfde als alle deuren in je huis openzetten en dan zeggen dat je wel veilig(er) bent want de buren hebben alle ramen openstaan.

Overigens ook weer net elders gelezen:

Linux is de grootste verliezer

Want:
Er is niet eens een poging ondernomen om het te hacken.
Het is "sexy" om Mac OS X te hacken, routine om Windows te hacken, maar Linux?
Nee, laat dat maar, er valt dan toch weinig eer te behalen.

Het lek in Adobe Flash waarmee een beveiligingsonderzoeker tijdens de PWN to OWN wedstrijd een Windows Vista laptop wist te hacken, is "cross-platform" en daardoor ook een gevaar voor Mac OS X en Linux-gebruikers. De aanval laat ook zien dat de beveiliging van Vista niet waterdicht is. Door Java en een nieuwe methode van "heap spraying" te gebruiken, is het mogelijk om de exploitcode op een te voorspellen plek in het geheugen te krijgen. Vista was juist voorzien van maatregelen die moesten voorkomen dat aanvallers het geheugen op deze manier konden gebruiken. ASLR (Address Space Layout Randomization) zorgt er bijvoorbeeld voor dat kritieke delen van Vista iedere keer op een andere plek in het virtuele geheugen worden ingeladen.

Een andere bescherming is DEP, Data Execution Prevention, wat moet voorkomen dat data in niet uitvoerbare gebieden toch wordt uitgevoerd. In de aanval die Vista op de knieën kreeg, is er waarschijnlijk een Java Applet gebruikt dat de DEP bescherming uitschakelde, waarna de Flash aanval werd uitgevoerd. Volgens Shane Macaulay die 5000 dollar voor zijn Vista-hack en de laptop kreeg, zit de kwetsbaarheid niet in Java zelf, maar zorgen de eigenschappen van Java ervoor dat de beveiliging van Microsoft wordt omzeild. "Dit kan ook tegen Linux of Mac OS X worden ingezet."

De reden dat Macaulay toch voor Vista koos was omdat hij eerder voor Microsoft heeft gewerkt en bekend met de producten van de softwaregigant is. Charlie Miller, de man die de MacBook Air hackte, liet weten dat hij voor de Mac koos omdat hij dacht dat dit een eenvoudiger doelwit zou zijn, iets wat Macaulay niet bestrijdt. Voor Nate McFeters is de cross-platform bug in Flash het bewijs dat uiteindelijk geen enkel besturingssysteem beter of veiliger is. "Kunnen we nu eindelijk deze discussie achter ons laten."

Zo zie maar weer hoeveel 3th party meuk de computer onveilig maakt.