Kommentar zum Mac & i Interview mit Patrick Wardle

Es ist immer spannend, wenn sich Sicherheits-Experten, die ich auch für solche halte, zu Apples Systemen äußern. Und Patrick gehört offensichtlich dazu, wie man an Objective-See: Kostenlose, effektive Mac-Security-Tools sehen kann.

Sicherheits Tips

In dem Interview wird er auch nach konkreten Sicherheitstips für Mac-User gefragt. Auf Googles Sicherheits-Blog heißt es ja, daß Sicherheits-Experten in erster Linie zum Installieren von Software-Updates raten, worauf die Laien nicht kommen, und während Laien an erster Stelle zu Antivirus-Software raten, diese bei Sicherheits-Experten jedoch nicht gut ankommt. Was wird Patrick raten?

Patrick ist ein Guter und rät als erstes zu Software-Updates. Dann kommen, Software nur aus seriöser Quellen installieren (sprich App Store) und Emails nur von vertrauenswürdigen Versendern öffnen.

Das mit den Emails möchte ich verschärfen: Wenn man keine signierten Emails versendet, kann der Absender beliebig gefälscht sein. Und selbst gute Bekannte könnten verseuchte Dokumente verschicken. Und Öffnen ist gleichbedeutend mit Vorschau ansehen, darum sollte man sicherstellen, daß Bilder und dergleichen nicht automatisch geladen werden. Bei Mail.app ist das unter "Viewing -> Load remote content in messages". Den Haken nicht setzen! Man kann bei vertauenswürdigen Emails dann immer noch alles auf Knopfdruck nachladen und verhindert damit, daß ein möglicher Exploit automatisch zur Ausführung kommt. Nicht angeforderte Katzenvideos im Anhang sind ungesehen zu löschen ohne sie anzuklicken, also die Mutter-Email löschen.

Patrick rät weiter dazu, möglichst viele Dienste abzustellen. Dabei nennt er die Dateifreigabe. Die ist jedoch per Default bei macOS schon aus. Ziel wäre die Reduzierung der Angriffsoberfläche. Das ist korrekt. Und wie jedes gescheite Unix hat macOS standardmäßig keine Netzdienste laufen. Dazu sollte man auch nicht jede Software installieren, die einem über den Weg läuft. Insbesondere keine, die Root-Rechte benötigt, ohne Sandbox läuft, nachweislich gravierende Implementierungsschwächen hat und alles automatisch öffnet, was auf dem Rechner liegt; also keine Antivirus Software. Patrick drückt das netter aus. Er sagt, daß die angebotenen Sicherheitsprodukte leicht zu umgehen sind oder selbst Sicherheitslücken aufweisen. Darum hat er selbst ein paar Tools entwickelt, die Hinweise geben und die Aktion stoppen, wenn sensible Stellen verändert werden sollen, auf die Malware zugreifen muß, um sich einzunisten. Oder wenn andere Aktionen versucht werden, die möglicherweise auf einen Angriff schließen lassen. Das ist in meinen Augen jedoch ein Hauch Paranoia zuviel und nur etwas für Experten, denn wenn Apple so etwas mit ausliefern würde, wäre der normale Anwender mit den auftauchenden Hinweisen und Entscheidungen total überfordert.

Kritik an Apple

An XProtect bemängelt Patrick, daß der Mechanismus nicht alles erkennen kann, was jedoch bei Antivirus derselbe Fall ist. XProtect hat aus meiner Sicht den Vorteil, daß es nicht unter Root läuft und praktisch keine Leistung frisst. XProtect dient nur der Verhinderung von Infektionen mit bekannter Malware, was Patrick auch soweit ok findet. Es dient jedoch nicht dem Aufspüren einer erfolgreichen vorhandenen Infektion. Das bemängelt Patrick. Dem kann ich entgegenhalten: Apple schickt per Software-Update-Funktion einen Killer raus, falls doch etwas Relevantes durchschlüpften sollte. Siehe dazu auch meine FAQs.

Ein Blacklist-Ansatz ist eh nur bei geringer Malware-Anzahl praktikabel. Whitelisting ist wesentlich zuverlässiger und das setzt Apple mit den App Stores für seine Geräte um.

Ein weiterer Kritikpunkt von Patrick ist, daß Gatekeeper, der Software von nicht registrierten Entwicklern an der Ausführung hindert, nutzlos wird, wenn die Kriminellen sich selbst ein Entwickler-Zertifikat von Apple besorgen. Apple kann deren Programme jedoch weltweit an der Ausführung hindern, indem das Zertifikat zurückgezogen wird. Und das tat Apple auch, wenn er etwas gemeldet hatte, schnell, nur wünscht sich Patrick hier mehr Eigeninitiative von Apple. Er möchte, daß Apple genauer hinschaut, wer eine Developer ID beantragt. In meinem Fall wollte Apple jedenfalls eine Kopie von meinem Personalausweis. Kriminelle könnten sich auch ein Zertifikat von einem harmlosen Entwickler klauen, aber auch hier hilft die Deaktivierung.

Gut findet Patrick, daß Apple in den letzten Jahren diverse bekannte Sicherheits-Experten von draußen eingestellt hat, was sich auch schon im Betriebssystem positiv bemerkbar mache. Und den Start eines Bug Bounty Programms, also Geld für gemeldete sicherheitskritische Bugs. Manches Mal würde Apple die Bugs jedoch sogar verschlimmbessern. Aber mit der qualifizierten Verstärkung und den Bug Bounties hege ich hier durchaus Hoffnung auf Besserung.

Müssen wir alle sterben?

Der Aufhänger für den Artikel ist der Windows-Wurm WonnaCry(pt). Ist so etwas auch auf dem Mac möglich? Wer meinen Artikel darüber gelesen hat, weiß: Nein, denn die schnelle Verbreitung geschah über einen Bug im "SMB über Internet". Patrick sagt in dem Artikel auch ganz richtig, daß dem Mac für so einen Wurm die Angriffsoberfläche fehlt. Auf dem Mac laufen halt keine per Internet erreichbaren Netzdienste per Default. Selbst wenn in den Netzdiensten von macOS ein geeigneter böser Bug schlummert, macht das nichts, weil der Dienst nicht läuft. Und automatisierte Updates für Apps und System per App Store sorgen für zuverlässiges schnelles Abdichten. Zuverlässige Updates und Ausgeschaltet als Defaultwert für Netzdienste, das sind die beiden Dinge, die eine solche Epedimie wie unter Windows verhindern.

Windows hat halt das Problem, daß flächendeckende Updates für System und Apps nicht so gewährleistet sind wie auf dem Mac, und, daß Windows viele (Netz-)Dienste standardmäßig laufen hat, die aufgrund der vergeigten Architektur nicht ohne unerwünschte Nebenwirkungen (nix geht mehr) abgeschaltet werden können, und die Angriffsoberfläche dadurch echt groß ist. Die Angriffsoberfläche ist die Menge an ausgeführtem Code, den ein Input von außen auslösen kann. Weil sie die Windows-Dienste nicht abschalten können, bauen sie eine Firewall drum. Auf Systemen ohne aktive Dienste vergrößert eine lokale Firewall jedoch nur die Angriffsoberfläche ohne dafür einen Nutzen zu liefern, darum halte ich Patricks Hinweis, die lokale Firewall zu aktivieren, für wenig sinnvoll.

Das Ausbleiben von verheerenden Angriffen auf den Mac ist also technisch begründet: Wenn da kein Netzdienst läuft, dann kann man da auch nichts automatisiert übers Netz angreifen und verbreiten. Motiviert sind die Kriminellen schon, denn wer sich Apples Geräte leisten kann, wäre ein viel lohnenswerteres Opfer für Erpressungs-Malware als der Schnäppchenjäger mit PC vom Discounter. Aber die Angreifbarkeit steigt halt nicht dadurch, daß mehr Macs verkauft werden. Die seit vielen Jahren immer wieder von Presse und Windows-Usern herbeigesehnte Mac-Epidemie wird erst eintreten, wenn Apple Systeme mit angeschalteten Netzdiensten ausliefert und auf automatisierte Updates verzichtet. Warten auf Godot.

Darum sind die Angreifer beim Mac bis auf weiteres auf nicht-automatische Verbreitung mit Trojanern und die Gutgläubigkeit und Mithilfe des Benutzers angewiesen. Würmer und automatische Verbreitung sind und bleiben architekturbedingt ein reines Windows-Problem.

Und sonst?

Apples iOS findet Patrick wie erwartet erstaunlich sicher. Und er ist ganz offensichlich Mac-User laut dem, was er tut (Mac-Tools), und was man auf Photos sieht. Ich gehe davon aus, daß Sicherheitsforscher das verwenden, was sie für sicher halten. Nonverbale Kommunikation.

---