Hackwettbewerb: OS X und Vista verlieren, Ubuntu siegt

[Beinhorn]

Beim Tiger gut aufgehoben

Der Weg ist auf jeden Fall der Richtige. ... Sichere Software schützt Unternehmen vor Ideenklau, schützt persönliche Daten vor Missbrauch, schützt Privatleute vor Bespitzelung. Und über ein noch sichereres Mac OS X freuen wir uns schließlich alle

1. Ich freue mich auch über ein sicheres Vista. Das würde keinem Mac-User ernsthaft schaden.
2. Diese Blöße (eines Wettbewerbes) wird sich kein Betriebssystemhersteller freiwillig geben. Damit kann man ganz schnell auf die Schnauze fallen, wie soeben geschehen.
3. Das Sicherheitsrisiko sitzt in erster Linie vor dem Rechner - egal, ob bei PC oder Mac. Jeder Benutzer setzt außerdem andere Prioritäten in Sachen Sicherheit. Je nach Sensibilität der Daten.

Zum eigentlichen Thema:
Ich hätte nicht erwartet, dass Apple diesen Vergleich verliert. Man darf nicht vergessen, wie viel Anwender Microsoft bedienen und gleichzeitig beschützen muss - bei einer vielfachen Zahl von Applikationen. Man vergleiche die relativ geringe Zahl an Programmen für Mac. Und die offene Architektur von Linux (und dessen relativ kleinem Anwenderkreis) beschützt sich quasi selbst.

Die "Ich bin ein Mac - ich bin ein PC"-Werbespots können ganz schnell nach hinten losgehen. Man kann über Vista lächeln wie man will: wenn es in einem Sicherheitsvergleich Leo schlägt, ist das einen Applaus wert. Apple muss leider eingestehen, dass 10.5 ein halbes Jahr zu früh auf den Markt geworfen wurde. Vielleicht haben sie Glück mit schnellen Updates. Mittlerweile ist ja eine Seed von 10.5.3 schon bei den Entwicklern angekommen. Während bisherige OSX-Upgrades stets wirkliche Verbesserungen mit sich brachten, halte ich die aktuelle Katze für (noch) nicht gelungen.

 

[Beinhorn]

Die innere Sicherheit

Diesen Wettbewerb halte ich für sinnfrei. Toll, über Drittanbieter-Programme oO ins System kommen.

Arbeitest Du nur mit Apple-Programmen?
Ich glaube, manchen Leuten ist nicht bewusst, was ein Betriebssystem ist.

 

[harden]

Diesen Wettbewerb halte ich für sinnfrei. Toll, über Drittanbieter-Programme oO ins System kommen.

Für sinnfrei halte ich die Berichterstattung darüber zum Teil.

"In wenigen Minuten gehackt"
Das klingt so als hätte er sich hingesetzt: "oh man is mir langweilig, ich glaub ich hack mal einen Mac" tiptiptipzweiminutentiptiptip und fertig "boah is mir langweilig, hast mal nen Rätselheft?"

Dem war, wie in den anderen Threads zu dem Thema und meinetwegen auch hier zu lesen, nicht so. Denn Gewinnern war die Lücke vorher bekannt und die hatten dementsprechend eine Website vorbereitet, die die Lücke ausnutzt. In einem der anderen Threads war ein Link, nach dem die Gewinner da zwei oder drei Wochen dran gesessen haben.

Von "in wenigen Minuten gehackt" kann also keine Rede sein.

Des Weiteren: Was heisst gehackt oder übernommen in diesem Fall? Konnten die danach Programme ausführen/installieren? Daten kopieren oder z.B. den Schlüsselbund auslesen? Oder war die "Übernahme" auf Safari beschränkt?

 

[bluefisch200]

Für sinnfrei halte ich die Berichterstattung darüber zum Teil.

"In wenigen Minuten gehackt"
Das klingt so als hätte er sich hingesetzt: "oh man is mir langweilig, ich glaub ich hack mal einen Mac" tiptiptipzweiminutentiptiptip und fertig "boah is mir langweilig, hast mal nen Rätselheft?"

Dem war, wie in den anderen Threads zu dem Thema und meinetwegen auch hier zu lesen, nicht so. Denn Gewinnern war die Lücke vorher bekannt und die hatten dementsprechend eine Website vorbereitet, die die Lücke ausnutzt. In einem der anderen Threads war ein Link, nach dem die Gewinner da zwei oder drei Wochen dran gesessen haben.

Von "in wenigen Minuten gehackt" kann also keine Rede sein.

Des Weiteren: Was heisst gehackt oder übernommen in diesem Fall? Konnten die danach Programme ausführen/installieren? Daten kopieren oder z.B. den Schlüsselbund auslesen? Oder war die "Übernahme" auf Safari beschränkt?

Genau, und wie hoch sind die rechte(ich weis nicht genau wies bei OSX ist jedoch bei Linux ist es der Root User).

 

[civi]

Mac OS X ist an einer manipulierten Website gescheitert, über die mit Hilfe einer Lücke im Flashplayer Schadcode eingeschleust wurde. Die Schwachstelle wurde anschließend an Adobe gemeldet.
So berichtete jedenfalls Heise in den letzten Tagen, wo man den Wettbewerb verfolgt hatte.

DAs stand so nicht bei heise.
OS X ist an Safari gescheitert. Denn bis zu dem Zeitpunkt war Software von Drittanbietern nicht erlaubt.
Vista ist am Flash Player von Adobe gescheitert.

 

[civi]

Diesen Wettbewerb halte ich für sinnfrei. Toll, über Drittanbieter-Programme oO ins System kommen.

Aber, das ist doch ein realistisches Szenario.

 

[civi]

Es ist jedoch ein wenig beunruhigend, dass Windows Vista deutlich länger durchhielt: Erst am dritten Tag war es erlaubt, Schwachstellen in Programmen von Drittanbietern auszunutzen - die von Microsoft mitgelieferte Software konnte alle Angriffe unversehrt abwehren, die Drittanbietersoftware brachte aber auch Vista zu fall. Vollkommen unversehrt konnte Ubuntu überstehen: Keinem Hacker war es gelungen, in das System einzubrechen. Die Gewinner gehen mit einem kleinen Gewinn und Preisgeld nach Hause, Apple sollte sich beschämt in die Ecke stellen.

Warum soll sich Apple schämen?
Wenn du viele Megabyte an Software hast, dann macht man auch Fehler bzw. übersieht etwas.
Man sollte sich nur schämen, wenn man diese Fehler nicht schnell genug patcht.

Microsoft hat seine Hausaufgaben gemacht, jetzt ist Apple dran gleichzuziehen. Diese Konkurrent bringt uns am Ende alle voran.

 

[harden]

Zumal der der Weg über Drittanbieter Software erst ab Tag drei erlaubt war und somit genug Gelegenheit war etwas neues fürs Betriebsystem zu präsentieren.

 

[Leraje]

Die Veranstalter hatten zwei Macbooks für den Hack-a-Mac-Wettbewerb zur Verfügung gestellt, die auch als Preis für die Hacker ausgeschrieben waren. Nachdem es am ersten Tag der Veranstaltung nicht gelungen war, in eines der Apple-Notebooks einzudringen, hatten die Veranstalter die Regeln gelockert. Für den erfolgreichen Angriff am zweiten und letzten Tag der Veranstaltung musste einer der Organisatoren eine präparierte Webseite mit dem Safari-Browser ansurfen, eine unter Windows-Nutzern bekannte Angriffsmethode.

Quelle ZDNet

Es ist also auch ein Zutun des Benutzers gefordert

 

[MacMan2]

Der Weg ist auf jeden Fall der Richtige. Es wäre mal interessant, zu vergleichen, wie Microsoft und Apple heutzutage generell mit gemeldeten Sicherheitslücken umgehen (wie schnell sie reagieren, wie umfassend bekannte Lücken behoben werden usw.). Eines der beiden Unternehmen war in den vergangenen Jahren diesbezüglich ja alles andere als vorbildlich

Ich halte Aktionen wie diese jedenfalls auch für sinnvoll, da Sicherheitslücken eine Bedrohung nicht nur in wirtschaftlicher, sondern in vielerlei Hinsicht darstellen.

Sichere Software schützt Unternehmen vor Ideenklau, schützt persönliche Daten vor Missbrauch, schützt Privatleute vor Bespitzelung. Und über ein noch sichereres Mac OS X freuen wir uns schließlich alle

Hallo Stefan,

Microsoft bringt unmittelbar nach Bekanntwerden einer Sicherheitslücke einen Patch heraus, dieses kann mitunter sogar am selben Tag der Bekanntgabe stattfinden. Microsoft bedankt sich sogar bei den Findern der Sicherheitslücke. Apple ist eher nachlässig was die Sicherheitsaktualisierungen angeht. Der Wettbewerb hat wieder einmal bewiesen das es nicht nur das Scheppern das bessere und sichere System hervorbringt.
Man brauche nur die Sicherheitsrichtlinien und Firewalleinstellungen in Windows Vista anzusehen und sie mit den Möglichkeiten unter OS X zu betrachten, das sind Welten. Das Update von Safari hat dem Nutzer auch keine weiteren Sicherheitseinstellungen ermöglicht. Nachwievor kann man nur vier Punkte ein und ausschalten, da betrachte man sich doch mal den Internetexplorer mit dessen Sicherheitseinstellungen und was alles gemacht werden kann. Mich wundert es nicht mehr das OS X so leicht das Opfer von talentierten Hackern geworden ist und es zeigt das Apple diesbezüglich ein wenig mehr auf der Hut sein muss, nicht das sie das Opfer ihrer eigenen Überheblichkeit werden.
Christian

 

[James Grieve]

Apple sollte sich beschämt in die Ecke stellen

Microsoft sich aber auch! Drittanbietersoftware ist ja heutzutage Standard.

Meiner Meinung nach folgt aus diesem Wettbewerb nur ein Schluss: Linux ist sicher!

 

[thrillseeker]

Nachdem doch relativ viele User auf meinen kleinen Seitenhieb reagiert haben, möchte ich nochmal darauf verweisen, dass ich ganz bewusst von den "vergangenen Jahren" gesprochen habe. Früher war Microsoft in Sachen Sicherheit oftmals regelrecht ignorant. "Schwerwiegende Sicherheitslecks" im Internet Explorer wurden über Monate hinweg ignoriert.

Selbst ein riesiges Quasi-Monopol wie MS konnte die immer schärfer werdende Kritik und den Spott der Konkurrenz nicht ewig ignorieren, und hat in dieser Hinsicht um einiges nachgelegt.

Bei der Diskussion sollte aber bedacht werden...

• dass eine handvoll Leute nicht repräsentativ für die Gesamtheit aller "Hacker" sind,
• dass die gefundenen Lücken teilweise garnicht vor Ort gefunden wurden, sondern den Findern bereits bekannt waren,
• dass die heiß diskutierte Lücke in WebKit nur ausgenutzt werden kann, wenn der User (der dazu Admin sein muss?) willentlich eine fremde, speziell präparierte Website aufrufen muss,
• dass die Einbindung von Sicherheitstechniken die Aktivität des Users unter OS X deutlich weniger fordert als die inflationär aufpoppenden "Wollen Sie wirklich..."-Meldungen unter Vista. Sicherheit hat ihren Preis, und der sollte nicht in ununterbrochenem "OK"-Klicken des Users liegen

Es war schon vorher klar, dass wir Apple-Fans manchmal eingestehen müssen, dass unser OS X nicht perfekt ist. Aber es ist auch klar, dass das Ergebnis dieses Wettbewerbs von manchen Leuten bewusst oder unbewusst überbewertet wird - eben gerade, weil OS X als supersicher gilt.

 

[harden]

Webkit? Dann ist/war Opera und der Konqueror also genauso betroffen?

 

[thrillseeker]

Webkit? Dann ist/war Opera und der Konqueror also genauso betroffen?

Sorry, ich will keine Gerüchte streuen. Ich meine, ich hätte da was von WebKit gelesen. Die exakte Lücke wurde ja bewusst geheim gehalten.

UPDATE: Hier ist etwas darüber zu lesen.

 

[AgentSmith]

Webkit? Dann ist/war Opera und der Konqueror also genauso betroffen?

Opera?

 

[Bier]

Apple fährt MacOS leider mehr und mehr gegen die Wand, und das mit einem Tempo, dass man da fast nicht mehr hinterher kommt. In den nächsten Monaten ist das System den Bach runter, was die sicherheitstechnische Lage betrifft. Sicherheitstechnisch hat Microsoft enorm dazugelernt in den letzten Jahren, BlueHats und so. Apple vergammelt in der Entwicklung.

Sehe ich nicht alleine so: http://www.theregister.co.uk/2008/03/31/apple_security_response_pants/

"While I think that there are quite a few reasons why this is probably so, I’d be inclined to say that Apple’s biggest problem appears to be that they treat every new vulnerability as a potential PR disaster rather than an opportunity to visibly reinforce their work in securing their customers,

ernsthaft: Ich weiß nicht was die für Leute da haben, aber die müssen echt am Personal sparen. Wer SQL Abfragen in Webkit via Javascript machbar gestalten will und gleichzeitig ein solches Vorgehen durchzieht, wird das nächte IT Jahr nicht mehr erleben.

http://media.blackhat.com/bh-usa-07/video/2007_BlackHat_Vegas-V12-Miller-Hacking_Leopard.mp4 - die Redaktion möge den Link bei Nichtgefallen entfernen.

 

[sb91]

Is eigentlich klar warum bei Windows nicht mit der mitgelieferten Software eingedrungen werden konnte.
Bei Windows gibt es kaum mitgelieferte Software!

 

[tharwan]

Ich denke ebenfalls Apple solle sehr aufpassen was Security angeht vorallem unter dem vorzeichen der steigenden Marktanteile.
Das man unter Windows viel getan hat was Codesicherheit angeht ist definitiv richtig, war aber ach notwendig. Das Kern-OS scheint ja aber auf beiden Seiten recht Wasserdicht zu sein. (Der Internet Explorer aber z.B. bekommt noch lange nicht die Überprüfung wie der WinKernel)
Was mich wundert ist eigentlich warum ausgerechnet in einem der wenigen opensource projekten von Apple eine lücke ausgenutzt wurde, bei Linux hätte man die sicher eher gefixt als ausgenutzt.
Zudem stellt sich für mich die Frage warum man nicht einfach so was offensichtlich anfälliges wie Browser, Mail, und NewsReader in eine Sandbox packt wenn sie doch schon da sind und sogar auf dem iPhone genutzt werden.

 

[ApplePope]

Jetzt mal einige vielleicht dumme Fragen:

Wann und wie gerate ich ungewollt in einen "kleinen Hack-Wettstreit"? Ist das alles nur graue Theorie oder bekommt ein MacUser jetzt "mehr" Probleme als ein Windows User? Oder versucht Tipping Point den MacUsern nur Angst zu machen um anschließend mehr Sicherheitskram zu verkaufen (Den Wondowslern haben sie ja schon allen Angst gemacht)?

Gruß

 

[Leraje]

Kann es sein, dass viele hier die Vorposts nicht richtig lesen?

Um die Sicherheitslücke ausnutzen zu können, muss der jeweilige Benutzer als Admin angemeldet sein und eine vorher präparierte Website aufrufen.

Da gehört ja schon ein bisschen mehr dazu als dass man unbedarft einfach das Opfer eines Angriffes wird.

Die Quelle hatte ich übrigens auch schon mal angegeben.