996074

Mac-Schädlinge: Kommt jetzt die Flut?

25.06.2008 | 16:56 Uhr |

Wieder wurde ein Trojaner für den Mac gesichtet und wieder ging die Bedrohung offensichtlich spurlos an den meisten Anwendern vorüber: "Ich hab den Schädling entwickelt", brüstet sich nun allerdings einer der Programmierer, aus reinem Interesse - überhaupt sei Apple schuld. Doch auch Sicherheitsexperte und Vorzeige-Hacker Dino Dai Zovi findet: Spätestens mit Snow Leopard muss sich der Mac-Hersteller endlich um neue Sicherheitsmaßnahmen kümmern.

So ticken die Virenbauer: Seit Mitte Mai haben digitale Tunichtgute auf der Seite Macshadows.com versucht, eine Sicherheitslücke im ARDagent so gut wie möglich auszunutzen und in gemeinsamer Arbeit ein Schadprogramm zu schreiben, das diesen Namen auch verdient. Der große Showdown allerdings ist ihnen nicht gelungen und weder auf der Macshadows-Seite noch im Google-Cache sind die Code-Schnipsel mehr zu finden. Bleibt ein unverfrorenes E-Mail eines der Programmierer, das der Washington Post vorliegt : "Apple sagt uns, OS X sei völlig sicher, schafft aber nicht, das selbst zu beweisen. Wir selbst müssen herumexperimentieren und unsere eigene Sicherheit testen. Und allzu oft entdecken wir dabei, dass wie gar nicht so sicher waren, wie wir geglaubt haben." Manche Einwände mögen richtig sein, sie erklären aber nicht, warum ein Trojaner Tastatureingaben ausspioniert, Bilder von Bildschirm und Anwender ins Internet schickt und das System schwächt, beispielsweise die Firewall außer Gefecht setzt.

Mehrere Sicherheitsfirmen wollen die Schadsoftware in freier Wildbahn entdeckt haben. Allerdings zeigt der aktuelle Fall vor allem, dass so mancher digitale Sempel nur allzu großes Interesse daran hat, so viele Apple-Computer wie möglich mit einem funktionierenden Virus außer Gefecht zu setzen, warnt Dino Dai Zovi in einem Artikel für ZDNet . Der Autor selbst hat auf der Sicherheitsmesse CanSecWest in Vancouver 2007 den Wettbewerb PWN2OWN gewonnen, indem er eine Sicherheitslücke in Mac OS X offenlegte. Im vorliegenden Fall allerdings hält er die entdeckte ARDAgent-Lücke nicht für kritisch, auch wenn man sie ernst nehmen müsse. Dass sich Schadsoftware für den Mac verbreiten werde, sei bei wachsendem Marktanteil aber ohnehin abzusehen. Apple gibt er für die Entwicklung von Snow Leopard eine Reihe von Tipps mit, die er in der nächsten Systemversion gerne verwirklicht sehen würde und die Attacken auf Macs erschwerden würden. In Sachen Sicherheit nämlich gehe Microsoft Windows Vista inzwischen mit gutem Beispiel voran: Adress Space Layout Randomization (ASLR) hat usprünglich Microsoft in Windows Vista eingeführt, die Technik soll Bibliotheken an zufälligen Speicheradressen einbinden.

Falls wirklich einmal schädlicher Code in ein System eindringt, kann sich dieser nicht gezielt an statische Adressen festsetzen. Zwar hat Apple in Leopard ASLR-Techniken umgesetzt und auch QuickTime benutzt sie seit Version 7.4.5, allerdings wird der Dynamic Link Editor (dyld) weiterhin an eine fixe Adresse geladen - ein Unding, so Dai Zovi. Auch müsse Apple den Speicherschutz Non-eXecutable Memory (NX) unterstützen. Bislang erlaube der Hersteller nur, die Stack-Bereiche als nicht ausführbar zu kennzeichnen. Allerdings werde bösartiger Code schon lange nicht mehr ausschließlich auf den Stack eingeschleust. Alle sicherheitskritischen Prozesse sollten unter Leopard ausschließlich als native 64-Bit-Applikationen laufen, Funktionsargumente werden dann in Prozessorregistern übergeben anstatt wie bisher auf dem Stack. Damit sind ASLR und NX kaum mehr zu umgehen. Auch müssen sowohl Apple-Programme als auch Anwendungen von anderen Herstellern in den Sandkasten, verlangt Dai Zovi. In einer Sandbox wird Software bei der Ausführung vom Rest des Systems abgeschirmt und kann so im Infektionsfall theoretisch keinen Schaden anrichten. Kernel Extensions schließlich dürfen spätestens mit Snow Leopard nicht mehr unsigniert und -zertifiziert auf den Rechner gelangen, so die letzte Forderung.

0 Kommentare zu diesem Artikel
996074