Tag der Abrechnung: Month of Apple Bugs

commander

Baldwins roter Pepping
Unvergessen
Registriert
25.02.04
Beiträge
3.206
Betrachtung der gefundenen Lücken


Mit gemischten Gefühlen wurde der von einigen Crackern ausgerufene 'Month of Apple Bugs' im Januar 2007 erwartet. Die Crackertruppe hatte die Veröffentlichung etlicher schwerwiegender Lücken in Mac OS X angekündigt - allerdings sollte Apple vorher nicht über die Details in Kenntnis gesetzt werden, um angeblich mehr Druck auf den Hersteller auszuüben. Das stellte für viele Beobachter die Aufrichtigkeit der Cracker in Frage, denn sollten tatsächlich schwerwiegende Lücken der Öffentlichkeit Preis gegeben werden, so bestünde die Gefahr von Angriffen auf Mac User.

Wie angekündigt startete der MoAB am 1.1.2007 mit einem nicht zu verachtendem Bug in Apples Quicktime-API (siehe News vom 04.01.2007). Doch schon der 2. und viele folgende Bugs fanden sich nicht in Apple-Produkten, sondern in Software für die Mac-Plattform - das war zwar von vornherein auf der Webseite des MoAB-Teams angekündigt, führte jedoch zu einigem Spott angesichts des Mottos 'Apple-Bugs'. Etliche der 'echten' Apple-Bugs bauten aufeinander auf und waren somit nur Varianten ein und derselben Lücke.

Auf der Gegenseite formierte sich alsbald um Landon Fuller eine Truppe fähiger Mac-Spezialisten, die Patches für die meisten Lücken bereitstellte (via APE). Die sich fast zwangsläufig ergebende Kontroverse zwischen den beiden Lagern spitze sich ein erstes mal zu, als ausgerechnet eine Lücke in dem von Fullers Team verwendetem Tool APE veröffentlicht wurde (Bug Nr. 8).

Die findigen Cracker taten auch ihrerseits einiges, um ihre Seriosität zu untergraben. Die teilweise albernen Bilder auf den Bug-Seiten sowie äusserst flapsige Kommentare führten allenthalben zu Verwunderung. Weiterhin wurden Neugierige, die Seiten der noch nicht veröffentlichten Bugs anzusurfen suchten, mit extrem abstossenden Pornobildern konfrontiert. Des weiteren wurden Colloquy-User vor der Veröffentlichung des Bugs 16 angegriffen, das MoAB-Team bestritt aber, daran beteiligt gewesen zu sein. Die Scherze der Hacker gipfelten schliesslich auf der Veröffentlichungsseite des Bugs 28, die über ein manipuliertes JPEG2000 - Bild die CoreGraphics-Library in eine Endlosschleife schickt - mit CPU Maximallast. Dass das kein Zufall war zeigt der dazugehörige Source-Code:

Code:
<img src="images/paul.jpg" width="160" alt="The Beatles and Bugs Own Apple"/>
<img src="bug-files/heat-up.jp2" alt="" height="1" width="1" />
<!-- Never use the macbook at bed again when browsing the MoAB or you will fry your balls, looper -->

Frei übersetzt: "Den Beatles (Käfern) und den Bugs (Wanzen) gehört Apple" und: "Benutze kein MacBook im Bett wenn Du die MoAB Seiten ansurfst, sonst grillst du Deine Nüsse, Schleifendreher!", in Anspielung auf die entstehende Abwärme bei CPU-Volllast.

Ungeachtet des unseriösen Verhaltens muss man dem MoAB-Team zugestehen, immerhin 5 haarsträubende Fehler in Mac OS X gefunden zu haben. Damit hat der MoAB der Mac-Plattform vielleicht eher genützt als geschadet, denn über ausgenutzte Exploits von dritter Seite wurde bisher nichts bekannt. Apple hat inzwischen mit dem letzten Security-Update die erste Schwachstelle gestopft.

Die Lehre, die man aus dem MoAB ziehen kann, ist, dass ein Unverwundbarkeitsgefühl, das bei vielen Apple-Usern vorherrscht, fehl am Platze ist. Mac OS X ist Software und keinesfalls fehlerfrei. Selbstredend geniest man durch die relative geringe Verbreitung und dem soliden Unterbau des Betriebsystems eine weit größere Sicherheit als dies bei Windows-Rechnern gegeben ist, und so existieren immernoch keine funktionierenden Viren für Mac OS X. Dennoch sollte bei Apple-Fans langsam die Erkenntnis erwachsen, dass ein Virenscanner kein Windows-Teufelszeug ist, auch bei den Tux (Linux & Co) ist das längst bekannt. Spätestens wenn die ersten wirklichen Viren (nach immerhin 6 Jahren OS X) auftauchen, sollte man gewappnet sein. Die Wahrscheinlichkeit dafür hat durch den MoAB weder ab, noch zugenommen - viele Löcher können im Moment immerhin händisch gepacht werden - aber eventuell wurden auch Cracker, die nicht nur über schlechten Geschmack, sondern darüber hinaus noch über kriminelle Energie verfügen auf den Plan gerufen.

Gemeinde, seid vorbereitet.

Eine kleine Bewertung der veröffentlichten Bugs und ihre Patches findet ihr im Anhang.

Gruß, Euer

.commander
 

Anhänge

  • MOAB.pdf
    29,3 KB · Aufrufe: 488
Zuletzt bearbeitet:

Peter Maurer

Pommerscher Krummstiel
Registriert
16.03.04
Beiträge
3.077
Danke fuer die schoene Zusammenfassung!

Die Lehre, die man aus dem MoAB ziehen kann, ist, dass ein Unverwundbarkeitsgefühl, das bei vielen Apple-Usern vorherrscht, fehl am Platze ist.
Ich frag' mich immer, wie viele das wirklich sind. Wahrscheinlich ist es nur einer, und der heisst Artie MacStrawman. Letzterer wird uebrigens auch in diesem lesenswerten Abriss zum selben Thema erwaehnt -- nicht ganz ohne Grund. Wer noch weniger lesen will, kann sich auch die gewohnt pointierte und witzige Zusammenfassung bei The Macalope zu Gemuete fuehren.

Und ehrlich gesagt bleiben bei mir hauptsaechlich zwei Eindruecke haengen:

1. Wie commander schon sagt: Mac OS X ist nicht absolut sicher. Theoretisch. Praktisch ist die Gefahr derzeit aber ueberraschend gering; und sie wird hauptsaechlich von Leuten aufgeplustert, die Beruehmtheit suchen (siehe 2.) und/oder wirtschaftliche Interessen haben (Paradebeispiel: zwei Heissluftproduzenten namens Maynor & Ellch).

2. Die MoAB-Initiatoren sind eitle Kleinkinder mit schwerem Aufmerksamkeitsdefizitsyndrom (*). Auch das hat commander schon schoen illustriert, aber einen Aspekt kann man noch hinzufuegen: Reparierte Sicherheitsluecken werden vom MoAB nicht erwaehnt; denn schliesslich wuerde die Anerkennung der teilweise sensationell schnellen Reaktionen (z.B. von OmniGroup und Panic) das Katastrophenszenario schon wieder schmaelern. Andererseits ist das nur konsequent: Wer die Leute nicht vorwarnt, weil er weiss, dass die meisten Bugs dann bis zur Veroeffentlichung repariert gewesen waeren, der hat ja schon bewiesen, dass es ihm nicht um die Sache geht.

--

(*) Dies ist einer der seltenen ADS-Faelle, die zugleich aktiv und passiv sind:
  • Aktiv: Die Verantwortlichen haben im klassischen ADS-Sinne eine zu kurze Aufmerksamkeitsspanne, um die Heilung der von ihnen angeprangerten Sicherheitsluecken wahrzunehmen und zu dokumentieren.
  • Passiv: Ausserdem leiden sie offensichtlich stark unter dem Gedanken, ihnen wuerde zu wenig Aufmerksamkeit zuteil. Der MoAB dient hier sozusagen als Selbsttherapie.
Zufrieden jetzt, Marco? :D
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Macholino und smb

stoebe

Uelzener Rambour
Registriert
23.12.05
Beiträge
371
Vielen Dank für diese Zusammenfassung, commander. :)
 

marcozingel

deaktivierter Benutzer
Registriert
07.12.05
Beiträge
9.960
Zitat Peter Maurer

2. Die MoAB-Initiatoren sind eitle Kleinkinder mit schwerem Aufmerksamkeitsdefizitsyndrom.

Aus medizinischer Sicht ist das so nicht ganz korrekt mit dem ADS Aufmerksamkeitsdefizitsyndrom. ;)

Und was lernen wir aus der ganzen Aktion.

Totale Sicherheit gibt es in keiner Lebenssituation.
Nur eines ist sicher,wir gehen alle nackt von dieser Erde.

Und verunsichern lassen,sollte man(n) sich auch von Niemanden.o_O
 

commander

Baldwins roter Pepping
Unvergessen
Registriert
25.02.04
Beiträge
3.206
(...)Mac OS X ist nicht absolut sicher. Theoretisch. Praktisch ist die Gefahr derzeit aber ueberraschend gering; und sie wird hauptsaechlich von Leuten aufgeplustert, die Beruehmtheit suchen (siehe 2.) und/oder wirtschaftliche Interessen haben (Paradebeispiel: zwei Heissluftproduzenten namens Maynor & Ellch).(...)

Korrekt - kurzzeitig war ich zwar über die Quicktime-Lücke und den root-exploits entsetzt, bei ruhiger Betrachtung jedoch wurde schnell klar, das es sich um recht triviale Fehler handelt und nicht um fundamentale Design-Schnitzer wie bei einem anderen verbreiteten OS.

Gruß,

.commander
 

Macgyver

Oberösterreichischer Brünerling
Registriert
01.11.06
Beiträge
717
also ist doch egal ob es sicher ist oder nicht... wenn sich leute damit ausseinander setzen und bugs suchen ist das doch voll ok.. ich finde es gut!! somit macht man Mac OS noch sicherer als es schon ist !

so können die entwickler sich schon auf leopard einstellen und die bugs da fixen!
 

Macholino

Adams Parmäne
Registriert
02.08.04
Beiträge
1.303
Grundsätzliche Sicherungsmaßnahmen sind keinesfalls verkehrt. Dein Artikel, commander, verknüpft mit dem wachsenden Thread über separate Adminaccounts sind ein erster und guter Schritt zur Sensibilisierung.
 

Indigo0815

Rheinischer Winterrambour
Registriert
05.01.05
Beiträge
931
Guten Abend allerseits,

was heißt das jetzt für mich, der Nicht-ITler ist & schon Jahre
lang glücklich mit Apples OSX ist.
Über kurz oder lang, geht´s den Mac-Usern genauso,
wie den Windows-Usern, die Virenverseuchte PC´s haben?
 

commander

Baldwins roter Pepping
Unvergessen
Registriert
25.02.04
Beiträge
3.206
Guten Abend allerseits,

was heißt das jetzt für mich, der Nicht-ITler ist & schon Jahre
lang glücklich mit Apples OSX ist.
Über kurz oder lang, geht´s den Mac-Usern genauso,
wie den Windows-Usern, die Virenverseuchte PC´s haben?

Definitiv: Nein

Ich denke, dass auch in Zukunft immer wieder mal Exploits (ausnutzbare Schwachstellen) gefunden werden, eventuell wird dafür der ein oder andere Schädling geschrieben - aber, das sieht man ja am MoAB ganz gut, die meisten Schwachstellen sind trivialer Natur, sodass ein Fix schnell und einfach gefunden ist. Ich glaube keinesfalls an eine Flut, eher an ein Tröpfchen im Jahr - wenn überhaupt.

Durch die Softwareaktualisierung bleibt das System heutzutage meist uptodate, was das Zeitfenster für Schädlinge deutlich einschränkt. Die solide Basis von Mac OS X tut dann das ihrige - die Situation ist also vollkommen anders als bei Windows 'rotten by design' 2000/XP. Was ich bisher über Vista gelesen habe, deutet darauf hin, dass hier durch massive, umständliche Klimmzüge das System zwar sicherer ist als die Vorgänger, ob es der Realität standalten kann werden wir bald wissen. Lustige Exploits wie diesen wurden bereits gefunden ;)

Für Mac-User gibt es nur ein paar Sicherheitstips:

- nicht als Admin arbeiten
- Systemupdates einspielen
- Firewall einschalten
- bei akuter Gefahr Virenscanner installieren

Damit ist man schon auf einer ziemlich sicheren Seite.

Gruß,

.commander
 
Zuletzt bearbeitet:

MacApple

Schöner von Bath
Registriert
05.01.04
Beiträge
3.652
Für Mac-User gibt es nur ein paar Sicherheitstips:

- nicht als Admin arbeiten
- Systemupdates einspielen
- Firewall einschalten
- bei akuter Gefahr Virenscanner installieren
Den wichtigsten hast Du vergessen: Kopf einschalten! ;)

MacApple
 

yjnthaar

Schwabenkönig
Registriert
07.06.04
Beiträge
2.657
[..]Ist eh ein netter Podcast.
Du sagst es Kay. :)
Lustigerweise haben wir am Freitag eine Episode aufgenommen (noch nicht veröffentlicht), in der wir zeigen wie Mensch mit einer Playstaion Portable (PSP) unseren Podcast abbonieren kann. Und da Peer auch auf den "Bits und so" Geschmack gekommen ist, haben wir das gleich mit einem Audiopodcast - Bits und so eben - auch ausprobiert, davon abgesehen das er eh schon eine Episode auf dem Gerät hatte. :-D ;)

Salve,
Simon
 

Indigo0815

Rheinischer Winterrambour
Registriert
05.01.05
Beiträge
931
Definitiv: Nein

Ich denke, dass auch in Zukunft immer wieder mal Exploits (ausnutzbare Schwachstellen) gefunden werden, eventuell wird dafür der ein oder andere Schädling geschrieben - aber, das sieht man ja am MoAB ganz gut, die meisten Schwachstellen sind trivialer Natur, sodass ein Fix schnell und einfach gefunden ist. Ich glaube keinesfalls an eine Flut, eher an ein Tröpfchen im Jahr - wenn überhaupt.

Durch die Softwareaktualisierung bleibt das System heutzutage meist uptodate, was das Zeitfenster für Schädlinge deutlich einschränkt. Die solide Basis von Mac OS X tut dann das ihrige - die Situation ist also vollkommen anders als bei Windows 'rotten by design' 2000/XP. Was ich bisher über Vista gelesen habe, deutet darauf hin, dass hier durch massive, umständliche Klimmzüge das System zwar sicherer ist als die Vorgänger, ob es der Realität standalten kann werden wir bald wissen. Lustige Exploits wie diesen wurden bereits gefunden ;)

Für Mac-User gibt es nur ein paar Sicherheitstips:

- nicht als Admin arbeiten
- Systemupdates einspielen
- Firewall einschalten
- bei akuter Gefahr Virenscanner installieren

Damit ist man schon auf einer ziemlich sicheren Seite.

Gruß,

.commander

...danke für deine Antwort, die mich für´s
erste beruhigen wird, was meine Angst vor
Viren & Trojanern auf meinem Mac anbelangt.
 

Gunnar

Baldwins roter Pepping
Registriert
27.12.03
Beiträge
3.214
Ja, danke für die eingehenden Worte Commander. Aber was mich doch an Moab sauer aufstösst ist doch folgendes.

http://www.heise.de/newsticker/meldung/84611

Sicherheit und die Hinweise darauf in allen Ehren, aber solche kindischen Verhaltensweisen und sogar noch Pornos als Error 404s, das geht doch zu weit.

Gruss
Gunnar
 

TUL

Pferdeapfel
Registriert
23.01.04
Beiträge
80
Danke Commander,

ein wirklich gut recherchierter Artikel. Sachlich, nüchtern, objektiv. Hat mir sehr gefallen!

Ciao

Tul
 

cws

Pomme d'or
Registriert
04.01.04
Beiträge
3.103
Peinlich!

Kein Bug im Sinn dieses Artikels, aber einfach unendlich peinlich.

Man konnte es ja schon an vielen Stellen lesen: Der Taschenrechner kann nicht rechnen. Eine alte Meldung bei Heise.

Ich erinnere mich an die hämische Diskussion vor Jahren über Fehler in einem der INTEL-Prozessoren, der auch zu Rechenfehlern führen konnte, war das ein Geschrei um letztlich wohl nichts. Heute wird diese Peinlichkeit dezent übergangen, das ist auch vernünftig, denn es ist nicht mehr, als eine kleine Peinlichkeit. Eine große Peinlichkeit ist es, dass sie wohl noch nicht gefixed ist?