Afgelopen vrijdag meldden we dat hacker Charlie Miller binnen twee minuten Mac OS X op een MacBook Air wist te kraken. Mac OS X, Ubuntu en Vista werden in een hacking-contest op de jaarlijkse beveiligingsconferentie CanSecWest op de proef gesteld.
Het was de bedoeling om middels een lek toegang te krijgen tot de computer en een daarop geplaatst bestand te lezen. Mac OS X werd als eerste gekraakt, later volgde Windows Vista via een lek in de Flash-player. De vraag die rest is waarom de Air als eerste gehackt werd en waarom zo snel. Hierop heeft de site RoughlyDrafted (RD) een uitgebreid antwoord dat we in dit artikel uiteen zullen zetten.
Ook komt het onderzoek van de Swiss Federal Institute of Technology aan bod en wordt uitgelegd waarom dit zo’n slecht onderzoek is.
Eerste dag geen succes, tweede dag wel
Op de eerste dag lukte het geen van de hackers om Mac OS X, Ubuntu of Vista te kraken. Alleen directe aanvallen over het netwerk waren toegestaan. Op de tweede dag werden de regels versoepeld en slaagde Charlie Miller er in de MacBook Air, met Mac OS X, via een lek in Apple’s Safari-browser te kraken. Hiervoor liet hij een geautomatiseerd script een website bezoeken, die vooraf geprepareerd was om het lek uit te buiten. Zo kreeg hij toegang tot de computer.
Geen politieke reden om Windows aan te vallen
Het eenvoudige antwoord, zoals RD het zelf noemt, is dat niemand een politieke reden had om Windows aan te vallen op een evenement dat gesponsord wordt door Microsoft. Zoiets zou volgens RD helemaal niet noemenswaardig geweest zijn. De snelheid waarmee dit alles zich voltrok is ook apart, maar hierover later meer.
Volgens RD is het een oncontroversieel feit dat er voor Windows tienduizenden virussen in omloop zijn, Windows-pc’s herhaaldelijk geïnfecteerd worden door malware en vaak ongewenst deel uitmaken van een botnet om spam of adware te verspreiden. Terwijl in tegenstelling tot Windows Mac OS X geen virussen, geen noemenswaardige malware en geen blootstelling aan spyware- of botnetproblemen heeft.
RD stelt echter dat de Mac voortdurend wordt aangevallen door onderzoekers en verkopers van beveiligingsproducten die niet alleen stellen dat Macs ernstige beveiligingsproblemen hebben, maar zelfs aan meer kwetsbaarheden dan Windows worden blootgesteld. Dit zijn volgens RD twee constateringen die niet samengaan.
Charlie Miller; Wie is het en wat deed hij
Allereerst wijdt RD een stuk uit over de bewuste OS X-hacker, genaamd Charlie Miller, die er eerder in slaagde de iPhone te hacken. Hiervoor presenteerde hij afgelopen jaar een kwetsbaarheid in de iPhone die gerelateerd was aan de open-source Perl Compatible Regular Expression Library software.
Deze kwetsbaarheid was van hetzelfde soort als de kwetsbaarheid die gebruikers de mogelijkheid bood om hun iPhone te jailbreaken. De nieuwe kwetsbaarheid in kwestie was echter ook geschikt om kwaadaardige code uit te voeren door iPhone-gebruikers naar een website met kwaadaardige code te leiden.
Hoewel Miller’s aanval op de iPhone, en de openbaring daarvan, hem in de beveiligingswereld bekendheid opleverde, leidde de kwetsbaarheid niet tot malware voor de iPhone. Hiervoor zijn verschillende oorzaken. Ten eerste patchte Apple de kwetsbaarheid binnen enkele weken na het bekendmaken ervan. Deze tijd bleek te kort voor malware-schrijvers om de kwetsbaarheid te kunnen uitbuiten. Daarnaast is de iPhone om een aantal redenen helemaal niet interessant als malware-doel:
- het aantal is momenteel te klein om gebruikt te kunnen worden voor botnet-spamming;
- de up- en downloadsnelheid is te langzaam en/of te onbetrouwbaar om gebruikt te kunnen worden voor spampraktijken;
- in tegenstelling tot het ‘open’ Windows, is de iPhone ‘gesloten’ en kwetsbaarheden kunnen daardoor eenvoudiger in de kiem gesmoord worden;
- software-updates voor de iPhone zijn eenvoudiger en sneller te distribueren dan pc-updates;
- in tegenstelling tot een pc kan de iPhone met een druk op de knop met behulp van iTunes hersteld worden.
Al deze zaken zorgen ervoor dat het voor malware-schrijvers niet rendabel is om er zoveel werk in te steken. RD stelt dat hoewel bewezen is dat de iPhone door middel van een lek misbruikt kon worden, nooit gebleken is dat dit tot serieus misbruik van dit lek gereedsleid heeft.
Marktaandeel geen oorzaak voor malware-verspreiding
Dat brengt ons bij het volgende onderwerp, waarop RD uitgebreid ingaat. Veel mensen noemen marktaandeel als de oorzaak waarom er voor Mac OS X zo weinig malware is en voor Windows juist heel veel. Dit is volgens RD verkeerd en simpelweg misleidend.
Ten eerste is het zo dat het marktaandeel van de Mac op een dusdanig niveau is dat, mocht het zo kwetsbaar zijn als bijvoorbeeld Windows, dit onherroepelijk zou leiden tot grote problemen. Hoewel Apple slechts een klein gedeelte van de wereldmarkt bezit, heeft het in de Verenigde Staten een marktaandeel van meer dan acht procent.
Juist omdat Apple slechts een beperkt marktaandeel in de bedrijfssector heeft, bedraagt het marktaandeel in de consumenten- en educatieve-sector een kleine tien tot twintig procent. Ondanks dat, zien we dat Apple nog altijd geen problemen heeft door reeds bestaande malware. Effectief gezien hebben Macs geen malware-problemen. Het is ook zo dat het merendeel van haar gebruikers niet eens anti-virus-software draait, om nog maar niet te spreken van spy- en adware-scanners. Volgens RD hebben Macs nog geen fractie van de problemen waar Windows-pc’s onder lijden.
Vervolgens stelt RD dat juist in die markten waar Apple de grootste afzet heeft, het schrijven van malware het interessantst is. Volgens RD is de Mac een van de meest gewilde doelen voor spyware-makers en identiteitsdieven omdat de gebruikers van de Mac doorgaans meer geld te besteden hebben dan bijvoorbeeld Windows-gebruikers. Ondanks het aantal Macs en de interessante doelgroep voor malware-schrijvers, is het een feit dat de Mac nog altijd geen virussen of andere belangrijke malware kent. Hetgeen volgens RD meer zegt over de reële kijk op kwetsbaarheden dan een hoop cijfers en grafiekjes dat doen.
Het rapport van het Swiss Federal Institute of Technology
Dit brengt ons bij een onderwerp dat al in een eerder nieuwsbericht is behandeld. Uit het onderzoek van het Swiss Federal Institute of Technology (SFIT) zou naar voren komen dat Microsoft sneller patcht dan Apple dat doet.
Onderzoekers van het Swiss Federal Institute of Technology hebben bekeken hoe vaak het de afgelopen zes jaar voorgekomen is dat een oplossing voor een probleem dezelfde dag nog werd opgelost, in het wereldje bekend als een "0-day patch rate".
De onderzoekers concludeerden dat het aantal onopgeloste kwetsbaarheden bij Apple groter bleek te zijn dan bij Microsoft. Die conclusie bleek voor media-tycoon IDG voldoende reden om iets extreem bizars aan het artikel toe te voegen. In de disclaimer voegde IDG toe dat het resultaat van het onderzoek dé bevestiging was voor Microsofts toenemende focus op beveiliging.
Daarnaast vermeldde men een vraag van de directeur van Microsofts Security and Research aan SFIT-onderzoeker Stefan Frei of Microsoft het onderzoek gesponsord had. Hierop antwoordde Frei met een korte "nee". Volgens RD is het alleszins vreemd dat een website dergelijke vragen aan hun artikel vastplakt. Ondanks dat Microsoft bekend staat om het financieel ondersteunen van onderzoeken ter promotie van het eigen product, zijn er volgens RD voldoende feiten waarom het onderzoek van het SFIT ‘onverantwoordelijke rommel’ is.
Verschillende soorten kwetsbaarheden
Allereerst vergelijkt het onderzoek 0-day patches tussen twee verschillende platformen die totaal geen relatie met elkaar hebben. Veel kwetsbaarheden worden vaak dezelfde dag nog opgelost, terwijl andere kwetsbaarheden wel weken of zelfs jaren blijven liggen vooraleer ze van een pleister voorzien worden.
Een publieke, maar ongepatchte kwetsbaarheid klinkt gevaarlijker dan een kwetsbaarheid die zich verstopt onder de sluier van "beveiliging bij obscuriteit". Volgens RD zijn er echter ook veel kwetsbaarheden die ontdekt worden door kwaadwillenden, die deze vervolgens verkopen of direct uitbuiten voordat deze gepatcht zijn of zelfs maar openbaar gemaakt zijn. Hetgeen betekent dat 0-day kwetsbaarheden alleen voor de maker van het besturingssysteem interessant zijn.
Het onderzoek negeerde kwetsbaarheden die, hoewel ontdekt, niet in de openbaarheid kwamen vanwege het simpele feit dat deze veel moeilijker te identificeren zijn. Windows wordt volgens RD geteisterd door vele ontdekte, maar niet geopenbaarde kwetsbaarheden. Bij Mac OS X is dat niet het geval.
Geen aandacht voor de omvang en relatieve dreiging
Als eerste noemt RD de omvang en de relatieve dreiging die van een kwetsbaarheid uitgaat. Dit laat men links liggen wanneer men de statistieken presenteert. Als voorbeeld noemt hij Windows’ "shatter-attack", een bijzonder serieuze en fundamentale kwetsbaarheden in de architectuur van het Microsoft Windows besturingssysteem. Volgens RD was de kwetsbaarheid geen simpele ‘buffer overflow error’ maar een gevaarlijk probleem. Microsoft had Windows (NT/2000/XP) zo ontworpen dat alle services binnen de interactieve desktop dezelfde mate van privileges hebben. De omvang van deze kwetsbaarheid werd uitgebreid gerapporteerd in 2002, maar werd pas in Vista echt aangepakt.
Andere versies van Windows voor 2008 zijn nog altijd kwetsbaar voor deze ontwerpfout van het Windows-besturingssysteem, maar volgens RD nemen onderzoekers dit totaal niet serieus waardoor het gewoon genegeerd wordt. Dit is dan ook een van de voorbeelden hoe onverantwoordelijk en negerend het vergelijken van aantallen kwetsbaarheden tussen ongerelateerde besturingssystemen is. Mac OS X aan de andere kant ondervindt geen problemen van deze typische Windows-problemen vanwege de stabiele Unix-basis.
Unix is herhaaldelijk aan tests onderworpen en volledig gedeassembleerd en is volledig open voor de gehele wereld, hetgeen ook het geval is bij Darwin, de basis van het Mac OS X-besturingssysteem. Volgens RD heeft het onderzoeken van 0-day kwetsbaarheden dan ook niets meer als doel dan het presenteren van nieuwe feiten en statistieken. Van relevantie met echte beveiliging is er totaal geen sprake.
Closed source vs. Open source
Tweede punt van aandacht is het verschil tussen een besturingssysteem met een "closed source" en een besturingssysteem met een "open source", hetgeen aangeeft of de broncode vrij beschikbaar is voor een ieder. Zo is Windows closed source en is Mac OS X gedeeltelijk closed- en gedeeltelijk open source. Relatief weinig onderzoekers mogen een kijkje onder de motorkap nemen en hebben daardoor niet eerder zicht op een kwetsbaarheid dan wanneer deze gepatcht is. Hoewel zowel Apple als Microsoft ongeopenbaarde kwetsbaarheden patchen, daar zit volgens RD wel een verschil in.
Dit verschil heeft onder andere te maken met de media. Wanneer Microsoft een patch uitbrengt, beschouwt de media dat als geweldig. Als Apple ook een patch uitbrengt is het huis te klein, wordt de lijst met kwetsbaarheden weer aangevuld en hoor je de zoveelste opmerking dat Apple’s software toch wel erg veel problemen kent. Dit is volgens RD bijzonder hypocriet, maar gebeurt wel telkens als Apple een patch uitbrengt.
Ten tweede worden kwetsbaarheden in Microsoft Windows altijd samengeraapt tot bugs die in de kernel, shell of daaraan gerelateerde onderdelen van het systeem gevonden zijn. Kwetsbaarheden in gewone sofware zoals Internet Explorer, Windows Media Player enzovoorts, worden vrijwel altijd buitengesloten. Voor Mac OS X en Linux echter telt men alle open source-pakketten in het besturingssysteem bij elkaar op. Hiervan maken de browser, e-mailprogramma’s en webservers ook deel uit.
Hoewel je redelijkerwijs kan beweren dat een kwetsbaarheid in Microsoft’s IIS geen gevaar voor een desktop-gebruiker oplevert omdat slechts weinigen deze service gebruiken, stelt men voor Mac OS X en Linux juist het tegenovergestelde. Diezelfde onderzoekers tellen elke kwetsbaarheid in PHP, Apache, Samba of elk ander open source product dat gebundeld is met Mac OS X of Linux bij elkaar op en stellen vervolgens dat Mac OS X en Linux meer problemen kennen, ook al zijn er voor veel kwetsbaarheden geen exploits. Waarbij het gebruik van de tools helemaal buiten beschouwing wordt gelaten. RD noemt dit "hypocriet" en "oneerlijk".
Aan de andere kant kunnen beveiligingsonderzoekers zoals MacBook Air-hacker Charlie Miller eenvoudig kwetsbaarheden in open source-onderdelen ontdekken, deze bewaren en vervolgens tijdens een groot evenement als de CanSecWest het ontdekken compleet opblazen. Dat het in twee minuten gebeurde is slechts een gedeelte van het verhaal. Overduidelijk wist Miller volgens RD al maanden van tevoren welke kwetsbaarheid hij kon uitbuiten. Dit verklaart ook het gegeven dat het hem pas na fysieke toegang tot de Air lukte.
Verder, zo stelt RD, is het zo dat het probleem is dat de bekendheid van Miller met kwetsbaarheden in open source pakketten buiten zo’n contest niet tot een echt beveiligingsprobleem leidt. Miller focust zich volgens RD op de zwakheid van open source, die in werkelijkheid juist een sterk punt van de software is. Apple kan, en doet dat ook, voor het patchen van beveiligingslekken van de community gebruikmaken voor alle pakketten die het met Mac OS X levert.
De kwetsbaarheden in Windows zijn echter verborgen. En hoewel deze dus ook minder bekend zijn dan bij open-source software, is er voor Windows ook geen community om Microsoft te ondersteunen. Dit is dan ook de kracht van open-source, een community-systeem wat actief meedenkt en werkt om oplossingen te vinden. Veel onderzoekers stellen dat Apple sneller updates voor de open source pakketten moet verschaffen en hoewel dit een serieus gevaar betreft, hebben Mac OS X-gebruikers wel de mogelijkheid om deze open-source software zelf te installeren. Iets wat bij Windows ondenkbaar is.
Aantal vs. aantal
Elk open-source pakket heeft zowel volledige transparantie als documentatie beschikbaar. Doordat Apple veel van deze software met Mac OS X bundelt maakt dat het voor onderzoekers eenvoudig om grote aantallen ontdekte en bekende kwetsbaarheden te vinden. Aan de andere kant bevat Microsoft geen open-source-software en maakt dat het voor onderzoekers juist weer veel moeilijker om problemen te vinden en te rapporteren. Ondanks Windows’ voordeel van ‘geheime code’ en haar "veiligheid door obscuriteit" worden er nog altijd veel kwetsbaarheden in het besturingssysteem gevonden. Volgens het onderzoek van SFIT werden in Microsoft-producten 658 kwetsbaarheden en in Apple-producten (inclusief alle open-source software) 735 kwetsbaarheden gevonden.
Volgens RD zullen kwetsbaarheden in de open-source-software sneller en vaker openbaar worden gemaakt dan kwetsbaarheden in Windows, die niet bekend zijn voordat er een patch is uitgegeven.
In het onderzoek maakt men onderscheid tussen de volgende vier aspecten:
- Discovery time
Wanneer de kwetsbaarheid voor het eerste is ontdekt; - Exploit time
Wanneer een virus, hacker tool enzovoorts, is gemaakt om de kwetsbaarheid uit te buiten; - Disclosure time
Wanneer de ontdekking van de kwetsbaarheid publiekelijk bekend wordt gemaakt; - Patch time
Wanneer de maker de kwetsbaarheid oplost door een workaround of patch.
Een 0-day is een kwetsbaarheid die nog dezelfde dag opgelost wordt. Logischerwijs is dit voor Microsoft, omdat het closed source is, geheim te houden en heeft Microsoft hiermee dus een duidelijk voordeel ten opzichte van Apple die met open-source werkt en niet altijd op tijd een patch klaar heeft.
Daarnaast negeert het Zwitserse onderzoek 0-day kwetsbaarheden die door derden zijn gepatcht. Volgens RD zijn de resultaten daarom bevooroordeeld, omdat alleen naar closed source wordt gekeken, deze kan de maker immers alleen patchen, en alleen naar open-source wordt gekeken in het geval van Apple. Patches die door de community beschikbaar worden gesteld worden volledig genegeerd. Ook stelt het Zwitsers onderzoek dat een patch elke vorm van workaround of instructie om de kwetsbaarheid te ontwijken betreft, of deze informatie nou wel of niet naar de gebruikers gecommuniceerd wordt.
Een voorbeeld dat RD aanhaalt is dat wanneer Microsoft een Knowlegde Base-artikel zou maken en daarin zou aangeven dat er een probleem is, met daarbij een beschrijving hoe dit verholpen kan worden, dan beschouwt het Zwitsers onderzoek dat als een patch. Aan de andere kant, als Apple een community-patch beschikbaar stelt voor het patchen van een kwetsbaarheid dan beschouwt men deze nog steeds als niet-gepatcht. Volgens RD kan het echter nog veel erger.
Het Zwitsers onderzoek onderscheidt drie kleuren om het risico voor een kwetsbaarheid aan te geven. Te weten:
- Black Risk
De tijd tussen ontdekking en openbaring, waarbij de gebruiker onbekend is met een mogelijke kwetsbaarheid; - Grey Risk
De tijd tussen ontdekking en een patch, waarbij de gebruiker bekend is met een kwetsbaarheid maar er nog geen oplossing is; - White Risk
De tijd tussen beschikbaarheid van een patch en de installatie, waarbij de gebruiker toegang tot de patch heeft, maar deze nog niet heeft geïnstalleerd.
Het onderzoek fixeert zich volgens RD volkomen op de tweede categorie (Grey Risk), waarbij Microsoft als een closed-source maker in het voordeel is. De echte problemen voor Windows-gebruikers bevinden zich echter in de eerste categorie (Black Risk) en derde categorie (White Risk). In die categorieën worden gebruikers of aangevallen door exploits waarvan ze niets weten, er bestaan patches waarvan gebruikers niet weten dat ze deze moeten installeren. Volgens RD zijn dit juist de grote problemen waarmee Windows-gebruikers te maken hebben en die in het onderzoek totaal niet behandeld worden. Het Zwitserse onderzoek focust zich primair op de periode waartussen een kwetsbaarheid gepubliceerd en vervolgens gepatcht wordt. Volgens RD is het ‘belachelijk’.
Nieuws: Apple brengt meer patches uit dan Microsoft
Dit is vermeld in het onderzoek, alleen heeft geen enkele nieuwssites hier aandacht aan geschonken, gezien de bevooroordeelde conclusie dat Microsoft het beter doet dan Apple. Apple bracht in de afgelopen zes jaar 815 patches uit, terwijl Microsoft er 678 uitbracht. Microsoft heeft het aantal patches verbeterd, maar Apple maakte een snellere progressie door alleen al afgelopen jaar meer dan twee keer zoveel patches uit te brengen.
Daarnaast maakt het onderzoek melding van het aantal releases van een besturingssysteem in de afgelopen zes jaar, maar telde hierbij Service Packs als een grote release en de grote updates voor Mac OS X (10.5.*) niet mee. Als we vervolgens het aantal belangrijke updates optellen vanaf 2002 kunnen we concluderen dat Apple (iPhone niet meegerekend) er 33 en Microsoft er 7 gereleast heeft. Voor Windows zijn ook de Server-edities daarbij opgeteld, voor Mac OS X echter niet. Zou je dat doen dan stijgt het aantal van Apple naar 66 en blijft Microsoft op 7 staan. Volgens RD zou dit ook mee moeten spelen in de 0-day rapportage van het onderzoek.
Op de vraag waarom het Zwitsers onderzoek in haar rapport op sensatie uit is en derhalve ontkent dat Mac OS X geen virussen of andere malware kent en dus de geloofwaardigheid van haar eigen onderzoek in twijfel zou trekken, antwoord RD als volgt. Volgens RD zou het aanvallen van de veiligheid van Windows niet noemenswaardig zijn, men zou er geen aandacht aan besteden. Suggereren dat Apple zou liegen in haar advertenties wanneer het stelt dat Macs geen virussen hebben en dat gebruikers verschoond blijven van malware en dergelijke is niet alleen verkoopbaar nieuws, maar speelt volgens RD direct in op de vooroordelen van een idioot publiek dat iets anders dan de waarheid wil geloven.
IDG wil volgens RD haar "Windows-Enthousiastelingen" prikkelen door Apple in diskrediet te brengen, terwijl het weet dat de feiten anders zijn. Aan de andere kant willen de Zwitserse onderzoekers hier schijnbaar graag aan meewerken door een dergelijke misleidend rapport te schrijven. RD vindt dat beide partijen berucht zijn geworden door het volledig bij het onjuiste eind te hebben en tegelijkertijd het publiek te misleiden.
[b]Waarom volgens Roughly Drafted Windows-enthousiastelingen de waarheid ontkennen[/b]
Er zijn veel mensen die hun voordeel doen met het idee dat Macs problemen ondervinden van latente beveiligingsproblemen die de Mac "zo slecht als Windows" hebben gemaakt. Enkele daarvan zijn:
- beveiligingsonderzoekers zoals Miller die carriëre maken door sensationele, maar inconsequente kwetsbaarheden te rapporteren;
- beveiligingsdenktanken zoals de Zwitserse groep, die wanhopig op zoek zijn naar de aandacht die een sensatierapport als deze hun brengt;
- columnisten en geleerden die naam maken door de realiteit met zorg geciteerde statistieken ontkennen;
- Groeperingen die direct gesponsord worden door Microsoft om het idee weer te geven dat Windows niet de meest onverantwoordelijke en door beveiligingsproblemen geteisterde besturingssysteem in het universum is.
Ondanks alles blijft het een feit dat Windows ernstige kwetsbaarheden kent en hier ook schade van blijft ondervinden. De verbeteringen in beveiligingen die Microsoft in Vista doorvoerde zijn volgens RD belangrijk, maar dienden alleen als theoretische oplossing voor veel gebruikers die Vista niet kunnen gebruiken vanwege de systeemeisen. De veranderingen in architectuur die bedrijfsgebruikers met een "wacht en zie"-perspectief laat zitten, de toename in prijs, verandering in het licentiebeleid en haar performance-problemen, die alleen verslechterd zijn door Service Pack 1.
Wat moet er volgens Roughly Drafted gebeuren
Volgens RD moeten beveiligingsonderzoekers toegeven dat Windows veel problemen kent in plaats van doen alsof deze niet bestaan. Microsoft moet volgens RD haar kapitaal investeren om de beveiliging van haar OS te verbeteren, en haar gebruikers niet meer en meer voor een product vragen.
Tot slot vindt RD dat de media ondanks de enorme bedragen die het van Microsoft ontvangt om propaganda te schrijven de echte waarheid en niets dan deze waarheid moet verkondigen.
10 uur geleden
