The Turkey Curse
fukamis terror chatroom

Der Apfel, dessen Nutzer und die Sicherheit

Boomtime, 27th Chaos, 3172.

Ich benutze ja nun schon seit Äonen Apple Hardware und Betriebssysteme. Nicht, dass ich das aus ideologischen Gründen tue oder glaube, das wäre das beste OS und die beste Hardware unter der Sonne, sondern eher weil ich meistens einfach keine Lust zum Rumfrickeln habe und es stabil und im Grossen und Ganzen zuverlässig seinen Dienst tut. Es ist eben für mich gut genug und z.Zt. finde ich für mich persönlich erstmal nichts Besseres. Aber langsam geht mir die Firma so richtig auf den Keks. Ob das die Nummer mit spyTunes ist, ihre Anstalten rund um DRM, ihre Preispolitik, bei der sie den Europäern einfach mal den Finger in den Po stecken, das drohende baldige Auslaufen des PPC-Supports oder die Art wie Apple mit Security umgeht: Immer wieder Nadelstiche, die mir sehr zu denken geben. Dazu bin ich häufig von Mac-Zealoten umgeben, die der Meinung sind, das Apple die beste Firma des Universums sei, so ganz anders funktioniere als die restliche Industrie und bei denen User kein Schlachtvieh wie z.B. bei Microsoft sind.

Die Reaktionen der Leser auf den Artikel bei ZDNet Australia Ancient flaws leave OS X vulnerable? dort oder z.B. auch bei Macnews sind schon mehr als seltsam und wirken auf mich teilweise wie eine Realsatire. Ja, Apple schiebt immer mal Security-Updates hinterher, aber nur ein kurzer Blick, z.B. auf Securityfocus zeigt eine ganze Reihe aktuell gefixter Probleme, die, bei etwas genauerer Betrachtung, einfach lächerlicher Natur sind. Programme wie dsidentify, ein Tool, das zum Anlegen und Löschen von Useraccounts gedacht war und das als Fix schlicht gelöscht wurde, hätte wohl niemals in das Endprodukt einfliessen sollen. Aber auch das mag vielleicht gar nicht so sehr das Problem sein.

Vielleicht wird es ja mal einen Virus für MacOS X geben, vielleicht aber auch nicht. Macht im Kern meiner Meinung nach keinerlei Unterschied. Das wäre wohl höchstens als Erweckungserlebnis mal ganz gut, aber spielt sonst eben keine Rolle. Denn ich denke, die ganzen Dinge offenbaren ein ganz anderes Problem. Dieses OS ist prädestiniert für Angriffe auf die persönliche Integrität seiner User, wo oftmals keine Anti-Virensoftware, Little Snitch oder andere Tools der Art irgendeinen Schutz bieten, da sie meist eher gegen anonyme Exploitation helfen sollen (in die man auch nicht reingucken kann um zu sehen, was die so genau machen und eigentlich selbst ein Threat sein könnten — ich erinnere nur, dass mit dem Unterbau des MacOS Mach Injections möglich sind). Angriffe können sich aber beispielsweise gezielter gegen Browser oder Feedreader richten, die in einer Community, die sich so wenig Gedanken darum macht was da auf ihren Kiste eigentlich genau passiert, ganz hervorragende Möglichkeiten schafft. In weiten Teilen sind nicht mal Exploits oder JavaScript-Spielereien nötig, um sich interessante Szenarien auszumalen, langsam und unauffällig beispielsweise Logindaten zu stehlen. Für Botnetze braucht man Macs einfach nicht, dafür gibt es mehr als genug Windowsboxen. Macuser sind als persönliche Ziele oft auch viel interessanter, weil sie häufig mehr Geld für ihren digitalen Lifestyle ausgeben und einfach hip sein wollen. Perfekte Ziele für eine bestimmte Art von Attacken eben.

Ich habe in letzter Zeit immer Mal bei verschiedenen Anlässen, vor allem wenn viele Macuser anwesend waren, meinen Rüssel reingehalten und eigentlich immer zumindest Logins zu Mailaccounts, Weblogs, Social Communities aber auch anderes bekommen können. Aber auch in meinen verschiedenen Weblogs hinterlege ich immer mal wieder diesen oder jenen No-Brainer, und was soll ich sagen: Die einzigen, die es trifft sind ganz offensichtlich jene Macuser, die ihre Passwörter convenient-halber im Schlüsselbund sichern oder Login-Cookies benuten, die nicht expirern. Ich benutze diese Daten nicht, sondern sage den Leuten immer brav Bescheid, aber erstaunen, ja entsetzen, tut es mich trotz alledem, wie leicht es manchmal ist, gezielt User zu exploiten, vor allem wenn sie Macs benutzen. Da sind sie also im Kern kein deut besser als die Windoze-User, auf die sie so gerne mit dem Finger zeigen.

Wenn dazu auch noch eine Firma kommt, bei der es teilweise mit dem Verständnis für Security ob immer mehr und neuer Features nicht weit her ist, dann tun mir die armen User ehrlich und aufrichtig leid. Vor allem wenn diese glauben, in einem auf einer Bühne seine Show abziehenden Evangelisten ihr Seelenheil und digitale Zukunft zu finden und in heftige Hyperventilation ausbrechen, wenn jemand mal anmerkt, dass die auch nur mit (oft reichlich abgestandenem) Wasser kochen. Ein Zitat von Neil Archibald aus dem o.g. Artikel, um das mal zu an einem tieferliegenden Problem zu illustrieren:

Bugs like this _(Anm.: gemeint ist dsidentify)_ require a simple glance over the code to notice and are long dead on other operating systems… When we spoke to Apple on the phone about this issue, the security team had never even heard of the application, and burst out laughing at the simplicity of the vulnerability.

Und so geht es oft auch Usern, die zumindest was verstehen von der Materie, wenn es um Exploitation supersimpelster Art ihrer persönlichen Umgebung geht.

---

1 Comment »

  1. Wenn viele frustrierte Windows Vista-Benutzer zu MacOS wechseln, dann wird das noch lustige Zeiten geben. :-)

    Comment by Astro — Boomtime, 27th Chaos, 3172. @ 82755

RSS feed for comments on this post. | TrackBack URI

Leave a comment



Of the delights of this world, man cares most for sexual intercouse, yet he has left it out of his heaven.

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.071 seconds.