Abonneer je gratis op Techzine!

Mac OS X Leopard, de onlangs uitgekomen versie van Mac OS X, heeft een groot beveiligingsprobleem. De firewall staat standaard uitgeschakeld en zelfs wanneer deze ingeschakeld is, is het een gatenkaas, aldus verschillende beveiligingsonderzoekers.

Volgens Rich Mogull, onafhankelijk beveiligingsonderzoeker van Securosis, is Leopards firewall een stap terug in vergelijking met die van Tiger. Het eerste probleem is dat de firewall zichzelf uitschakelt bij de installatie, zelfs al stond de firewall aan voordat een upgrade werd uitgevoerd. Die keuze is het tegengestelde van wat Microsoft met Windows Vista heeft gedaan, namelijk de beveiliging door goede instellingen verhogen.

Beveiligingsonderzoekers zijn ook bedroeft dat er alleen maar kan worden gekozen tussen alles toestaan, alles blokkeren en kiezen per applicatie en dat de firewallregels compleet verborgen worden voor de gebruiker. Mogull vertelde tegen eWeek zelfs dat de optie alles blokkeren alles behalve dat doet. Ook vonden zij deze keuzes verwarrend, omdat de termen gebruikt in het applicatievenster niet overeenkomen met die in het helpbestand.

‘De hoofdtaak van een firewall is niet-uitgenodigde gasten van het systeem afhouden, dit betekent dat alle lokale services van vijandige netwerken moeten worden afgeschermd, zoals van het internet of draadloze netwerken,’ aldus Heise Security’s Jürgen Schmidt in een blogposting, ‘Een snelle blik op de firewallconfiguratie van Leopard laat echter zien dat dit onmogelijk is.’

Verder vertelde hij dat, in tegenstelling tot bijvoorbeeld Windows Vista, Leopard faalt in het onderscheiden van vertrouwde netwerken, zoals het bedrijfsnetwerk, en potentieel gevaarlijke, draadloze netwerken, van bijvoorbeeld vliegvelden. ‘Leopard behandelt in het begin alle netwerken gelijk.’

Schmidt kwam er ook achter dat eerder ontdekte systeemservices na de instelling alles blokkeren nog steeds toegankelijk zijn. Ondanks alle minpunten is het toch moeilijk om de exacte dreiging van de lakse Leopard-firewall in te schatten. ‘Wat verontrustend is, is dat Apple oude versies van ntpd (Network Time Protocol daemon) en Samba gebruikt. Er zijn reeds nieuwe versies uit met verscheidene bugfixes,’ aldus Schmidt.

Het is niet duidelijk of de bugs van deze programma’s relevant zijn, maar volgens Schmidt is het worst-case-senario goed mogelijk, gezien het feit dat ntpd en Samba beiden als root draaien en geen gebruikmaken van de nieuwe Sandbox-feature in Leopard. Als er dus een beveiligingsprobleem is, kan een aanvaller het complete systeem overnemen. Met alle gevolgen van dien, tot een massa-distributie via wormen aan toe.

Apple kiest ervoor om geen verduidelijking rondom de problemen van de Leopard-firewall te geven. In plaats van de problemen aan te pakken, vertelde een Apple-medewerker dat het bedrijf veiligheid zeer serieus neemt en ‘een goede geschiedenis heeft met het snel dichten van beveiligingslekken’.