[img=right]http://www.macfreak.nl/base/data/news/images/virus.jpg[/img]Het is duidelijk dat we een héél klein beetje beter moeten opletten op het internet, er is de laatste tijd wat meer malware voor Mac OS X gesignaleerd. Gelukkig wordt daar ook bij ons op het forum melding van gemaakt en we hebben er maar weer eens een nieuwsbericht geplaatst, met de bijbehorende waarschuwingen.

We denken dan ook dat alle Mac-gebruikers die hun hersens ook maar een beetje gebruiken nog steeds even veilig zijn als daarvoor, en alle doemdenkers die nu roepen dat Mac OS X even onveilig is als Windows hebben volgens ons geen gelijk. We zijn de enige trouwens niet, hier vind je een hele lijst van dit soort doemdenkers door de jaren op een rij.

Maar nu er ontwikkeltools voor malware gewoon te koop zijn ziet er naar uit dat we wat vaker dit soort flauwekul zullen gaan zien. Maar aangezien het altijd om je wachtwoord zal vragen moet je jezelf een simpele vraag stellen: zou je ieder onguur en ongewassen type je voordeur binnen laten? En als het antwoord nee is, dan is het een goed idee om bij de voordeur van je Mac hetzelfde beleid te voeren.

Dus als je je hersens gebruikt is er eigenlijk nog steeds weinig aan de hand, hoewel we niet kunnen ontkennen dat er wel meer troep voor de Mac voorhanden is dan in de afgelopen jaren.

Wel zorgwekkend is dat 'beveiligingsbedrijf' VUPEN zegt dat ze een lek in Safari hebben ontdekt waarbij ze toegang kunnen krijgen zonder wachtwoord en zonder dat Safari crasht.

Op zich nog geen reden tot ongerustheid, dit soort lekken worden normaal gesproken aan de fabrikant gemeld en die repareert ze dan. Maar bij VUPEN hebben ze daar andere ideeën over, getuige deze tweet.

De tekst laat weinig aan de verbeeldingover:

We created a new weaponized and unpatched exploit for Mac OS X 10.6.7 (x64) / Safari 5.0.5. If you do offensive security, contact sales…

Met andere woorden, deze mensen zijn niet van plan contact met Apple op te nemen maar willen dat Apple contact met hen opneemt en dat er meteen over de betaling gesproken wordt.

Dat lijkt mij een veel zorgelijker ontwikkeling dan malware die zichzelf keurig aandient in de vorm van de vraag om een wachtwoord. Je weet dan altijd zelf dat je iets aan het installeren bent.

Dit alles neemt niet weg dat we nog steeds op een heerlijk besturingssysteem werken en ik mijn Macs niet hoef te scannen om te weten dat ik er gaan malware op heb staan. Maar ik ben wel blij dat Apple in Lion de beveiliging stevig op gaat schroeven, bedrijven as VUPEN maken dit kennelijk noodzakelijk.


via webwereld, en met dank aan forumlid Pieterr voor deze link

Zolang we inderdaad een wachtwoord moeten intypen zal het wel los lopen maar het is weel zeer kwalijke ontwikkeling dat VUPEN niet zelf naar Apple stapt. Klinkt me meer als chantage dan als "responsible disclosure"

Je moet nu niet de schuld in de schoenen van dat bedrijf schuiven. Ook moet je niet gaan speculeren over de bedoelingen van ze. Wanneer Apple de zaak serieus neemt moet ze contant met die lui opnemen. Niet meer en niet minder.

If you do offensive security, contact sales…

Zegt genoeg denk ik....................

Het geeft hoogstens aan dat ze hun kennis niet gratis willen weggeven. Zouden ze dat dan wel moeten doen vindt je? Ik zie trouwens niet dat deze tweet aan Apple is gericht.

(Bewerkt door willemijngreven om 10:02, 6-05-2011)

Eigenlijk is het precies zoals ik in alle virus-draadjes hier meld: OS X is heel erg veilig, de veiligheid is geheel afhankelijk van de gebruiker. Doe geen domme dingen, dan gebeurt er niks met je Mac.

Waarom snapt iedereen in de echte wereld dat je geen kopietjes van je voordeursleutel aan iedereen uit moet delen, maar doen diezelfde mensen dat wel als ze op het internet zitten?!?! Dat blijft me nog steeds verbazen...

@Willemijn: Er is niks speculatiefs aan als je zegt dat het bedrijf VUPEN geld wil verdienen aan een mogelijk lek in Safari. Ze roepen Apple niet op om contact met ze op te nemen, nee, ze roepen Apple dan wel andere geïnteresseerden op om contact met hun sales afdeling op te nemen!

Ze hebben zelf een exploit ontwikkeld (wat op zich geen criminele activiteit is, zolang ze die niet misbruiken, verspreiden of verkopen), ze willen er duidelijk een slaatje uit slaan, ze hebben niet de intentie om OS X of Safari veiliger te maken.

Aangezien niet alleen Apple, maar ook anderen, wordt verzocht contact met hun sales op te nemen, zie ik ze ertoe in staat om de exploit te verkopen aan de hoogste bieder als Apple niet ingaat op deze chantage. Dat is inderdaad speculatief (het willen verkopen van de exploit, dat over chantage is geen speculatie), maar zo komt dit bedrijf op mij over.

VUPEN maakt zich wel schuldig aan een zekere mate van chantage. Ik snap wel dat ze geld willen zien voor het feit dat ze kennelijk(?) een belangrijk lek hebben opgespoord, maar dit is geen manier van zakendoen.

Verder blijft het natuurlijk een feit dat op Mac-computers ook vele computeranalfabeten werken. Opa's en oma's die dankzij het gebruiksgemak van de Mac gewoon een computer kunnen gebruiken zonder alle heisa van Windows. Het is met name die groep die ten prooi kan vallen aan dit soort malware (hoe doorzichtig ook). De gemiddelde gebruiker is veilig, maar vergeet niet dat er een groep is die er minder kaas van heeft gegeten. Aan Apple de schone taak om iedereen zo goed mogelijk te beschermen.

Je kunt het ook vergelijken met medicijnen. De maker ervan geeft die niet gratis weg. Is dat dan chantage? Is het de taak van een OS fabrikant om een veilig OS te maken of moet alle anti-virus en scan software gratis zijn?

(Bewerkt door willemijngreven om 10:08, 6-05-2011)

Webwereld had het bericht zelf zo te zien van deze site gehaald:
http://www.security.nl/artikel/36999/1/Hackers_veroveren_Mac_OS_X_via_Safari-lek.html

willemijngreven om 9:42, 6-05-2011
Je moet nu niet de schuld in de schoenen van dat bedrijf schuiven. Ook moet je niet gaan speculeren over de bedoelingen van ze. Wanneer Apple de zaak serieus neemt moet ze contant met die lui opnemen. Niet meer en niet minder.

"contant" schrijf je - da's een mooie freudiaanse typo...

Ik denk wel dat het wat al te idealistisch is om te verwachten dat iedereen die een lek ontdekt dit aan Apple wil melden.  Er zijn er zat die er graag geld voor willen vangen.

Maar er zijn er dus ook die daar opzettelijk malware voor willen ontwikkelen.  Dat blijkt wel uit dat mailtje. Ik weet niets van die lui uit het voorbeeld, maar hun mailtje klonk wel als chantage.

Niet zo best.    

willemijngreven om 10:05, 6-05-2011
Je kunt het ook vergelijken met medicijnen. De maker ervan geeft die niet gratis weg. Is dat dan chantage? Is het de taak van een OS fabrikant om een veilig OS te maken of moet alle anti-virus en scan software gratis zijn?

(Bewerkt door willemijngreven om 10:08, 6-05-2011)

Je kunt het beter vergelijken met misdaad. Ik ontdek dat er voor criminelen een nieuwe manier bestaat om mensen op te lichten. Ipv dit aan de politie te melden wacht ik tot ze mij geld komen brengen om het te vertellen en anders zeg ik lekker niks.

Nogmaals het feit dat ze geld willen zien begrijp ik, de manier waarop ze geld willen zien is dubieus. Maar we baseren ons nu op vage bronnen dus de werkelijkheid zal wel weer iets anders in elkaar blijken te zitten.

Zo te lezen is VUPEN niet van plan de info aan Apple te geven maar wel aan overheidsklanten. Dat geeft ze een uiterst dubieus stempel. Bij mij springen dan in ieder geval alle ledjes op rood
Als ik Apple was zou ik sowieso contact met ze opnemen. Als ze een redelijke vergoeding vragen voor de info zou ik die betalen en het lek dichten. VUPEN heeft er tijd en expertise ingestoken om deze info te verkrijgen. Met een reële vergoeding voor die prestatie heb ik op zich geen enkel probleem. Anders wordt het als de vergoeding buitenproportioneel is, dan is het gewoon een vorm van chantage. Maar hoe bepaal je nu een reële vergoeding. Toegang tot het systeem zonder password en vanaf internet is in principe killing. Maar er zal eerst vastgesteld moeten worden of die info juist is en wat de kans is op besmetting als VUPEN te goeder trouw is.
Als ze weigeren Apple de info te geven, zelfs als daar een reële vergoeding tegenover staat, zou ik direct alle juridische mogelijkheden onderzoeken en benutten. Apple heeft een bijzonder goed geoutilleerde jurische afdeling.

willemijngreven om 10:05, 6-05-2011
Je kunt het ook vergelijken met medicijnen. De maker ervan geeft die niet gratis weg. Is dat dan chantage? Is het de taak van een OS fabrikant om een veilig OS te maken of moet alle anti-virus en scan software gratis zijn?

Deze vergelijking loopt mank! Tenzij je eigenlijk bedoelt dat degene die de medicijnen maakt eerst zelf de ziekteverwekker heeft verspreid, want in dat geval gaat de vergelijking wel op.

Het bedrijf VUPEN legt gevoeligheden bloot in allerlei soorten software, niet alleen in OS X.

http://twitter.com/vupen

Volgens deze info leveren ze hun diensten zowel aan de overheid als aan ondernemingen. Lijkt me voor Apple een kwestie van dokken of het risico nemen dat het lek achteraf gedicht moet worden.
Stormpje in een vingerhoed water?

Ik vraag me überhaupt af wat voor club VUPEN is.
Als je de website bekijkt over hun achtergronden krijg je nul informatie over wie ze zijn, waar ze gevestigd zijn of wie er in de directie zit. Ondanks wilde claims van 'government agencies' en 'Fortune 500 companies' zie je nergens een referentie. Enger nog, ze bieden overheidsinstellingen mogelijkheden om andermans zwakke plekken in de beveiliging te mis/gebruiken... . De enige informatie van enig belang is dat ze 2 grote venture capitalists achter zich hebben staan... en dat geeft nou ook niet echt veel vertrouwen.

MacFrankie om 11:18, 6-05-2011

Citaat

willemijngreven om 10:05, 6-05-2011
Je kunt het ook vergelijken met medicijnen. De maker ervan geeft die niet gratis weg. Is dat dan chantage? Is het de taak van een OS fabrikant om een veilig OS te maken of moet alle anti-virus en scan software gratis zijn?

Deze vergelijking loopt mank! Tenzij je eigenlijk bedoelt dat degene die de medicijnen maakt eerst zelf de ziekteverwekker heeft verspreid, want in dat geval gaat de vergelijking wel op.

Nee dat bedoel ik niet. Dit is ook onjuist. Of ben jij van mening dat VUPEN hier het lek in Safari heeft aangebracht? Of begrijp ik je nu verkeerd?

Hallo inactieve(?!?!) Willemijn,

100% veilige software bestaat niet. Er zullen vast nog veiligheidslekken in OS X 10.6 en Safari 5 (en Windows 7 en Internet Explorer 9) zitten.

VUPEN beweert een ernstig lek te hebben gevonden. Of dat werkelijk zo is weet niemand, ze geven er geen duidelijke info over, want ze hebben niet de intentie het lek te dichten, maar zoveel mogelijk geld te vangen.

Laten we er vanuit gaan dat er een lek in Safari zit. Dat lek doet niks als er geen software is dat daar misbruik van maakt. Die foute software heet een exploit. Als het verhaal van VUPEN klopt (het kan nog steeds grootspraak of FUD zijn), dan heeft VUPEN een exploit gemaakt.

Software schrijven is geen misdaad, maar software inzetten om een systeem te kraken is wel een misdaad. De software inzetten om geld mee te verdienen is dus ook een misdaad.

Zolang VUPEN de exploit niet verspreidt, is er geen probleem. Vergelijken we met jouw farmaceutische voorbeeld: zolang de pillendraaier het virus niet verspreidt, is er geen probleem.

Groeten (actieve) Frank