Konkretisierung des Vorpostings
ich glaube, ich muß hier nochmal konkretisieren, da hier einige vielleicht mein Vorposting nicht richtig verstanden haben:
Es IST schwierig Malware zu entwickeln, die wir verstärkt unter Windows sehen - ich denke, daß ist eigentlich auch genau der Punkt, auf den MacMark hinweisen möchte.
Ich glaube ernsthaft, das hier einige den Aufwand unterschätzen, wie schwer es mittlerweile ist (das gilt für ALLE Betriebssysteme), einen Exploit zu finden, der sich dann
auch tatsächlich verwerten lässt. Ich nehme mal den Safari als Beispiel, der dank interner ASLR Verwürfelung lange nicht so schutzlos ist, wie manche denken, dem zu-
grunde liegenden Webkit sei Dank.
Es reicht bei weitem nicht aus, mit einem Fuzzy-Tool "mal eben" schnell nach e.g. fehlerhaften Verarbeitungen in der Anwendung zu suchen, diese Lücke muß dann auch
praktisch ausnutzbar sein. In meiner Zeit auf Windows-Rechnern habe ich beispielsweise vor 6 Jahren (so gegen 2005) gegen Entgelt an einem Kerneltreiber gearbeitet,
der quasi unsichtbar auf Windows alles und jedem Versuch widerstand, sich bemerkbar zu machen AUSSER dem User gegenüber. Das Design wurde so angelegt, das
dieser Treiber weder im Speicher gefunden werden konnte, nicht abgeschossen werden konnte, nicht aus der Registry herausgeworfen werden konnte, vorgenannte Einträge verschlüsselte und sämtliche ATA-Befehle auf sich selbst umgebogen hat. Wohlgemerkt, er blockierte selbst Mark Russinovichs hochgelobten "Rootkit-Revealer",
was selbiger zum Anlass nahm, auf uns virtuell einzuprügeln (hier ging es um rein philosophische Fragen ob es ok ist, ein solch mächtiges Rootkit zu entwickeln zum DIENST an den Anwendern), obschon unser Treiber eben gerade NICHT vor dem User Tarnung aufgebaut hat. Aber selbstverständlich hätten wir das locker so umsetzen
können und damit das wohl mächtigste Rootkit aller Zeiten erschaffen. Dennoch wurde unser Produkt von Firmen im großen Umfang lizensiert, u.a. GrunmanNorthrop,
Lockheed Martin etc etc., alles große Rüstungskonzerne. Wie auch immer, um solche Techniken zu entwickeln muß man schon SEHR SEHR umfangreiche Systemkenntnisse besitzen, das ist eben nichts für "normale" Entwickler. Die Entwicklung solcher Kenntnisse kommt nicht über Nacht, es gibt auch keinen VHS Kurs an dem
man das lernen könnte. Das ist eine meist autodidaktische Entwicklung und nicht wenige dieser Leute kommen ursprünglich aus der Crackerszene, die sich naturgemäß
eben mit Reverse Engineering beschäftigt. Auch hier haben wir das Glück, das es eine solche Szene im Macbereich kaum gibt, weil ganz einfach kaum Kopierschutzheraus-
forderungen auf dem Mac existieren. Was hier unternommen wird, um das Cracken zu verhindern beschränkt sich Triviallösungen die keinesfalls mit dem vergleichbar
sind, was wir so alles in Windowsprogrammen vorfinden, wo es eine schier unerschöpfliche Menge an Herausforderungen in dem Bereich gibt.
Ich behaupte mal, das die Bösartigkeit mancher Softwareentwicklungen nur zustandekommen kann, wenn es sich beim Entwickler um einen hervorragenden Reverse-Engineer handelt. Eben genau diese Gruppe fehlt großteils auf dem Mac - das ist zwar nur meine Meinung, aber es würde erklären, warum wir in der Vergangenheit so
wenig ernsthafte Mac-Schadsoftware gesehen haben, die so ausgefuchst ist wie es auf Windows nach wie vor regelmäßig zu beobachten ist.
Ich bin jetzt 40, davon habe ich mich größtenteils mit Reverse Engineering und Programmierung beschäftigt, auf dem Mac quasi garnicht mehr mit RE sondern nurnoch
mit der Entwicklung kommerzieller Software. Ich kann aber nur davor warnen (an Apples Adresse gerichtet) zu glauben, das die Sicherheit des Macs irgendeiner zugrundeliegenden Technik geschuldet ist. Wenn ich mich ernsthaft damit beschäftigen würde, würde ich genug Einstiegspunkte finden. Alleine Quicktime und auch Safari
hatten in der Vergangenheit genug Lücken, Flash ebenso. Es wäre naiv, anzunehmen, daß man da nichts zur Eskalation vorfindet.
Wie gesagt, ich denke, man sollte aufhören, Panik zu verbreiten, es gibt z.Zt. so gut wie keine ernsthafte Bedrohung für OSX. Ich kann aber auch nicht verstehen, wie
man so naiv sein kann, zu glauben, dies wäre OSX "Verdienst". Gerade MacMark, der zumindest (so scheint es mir) rudimentäre Kenntnisse von Windows besitzt und
(vielleicht) selbst Coder unter OSX ist, sollte wissen, daß Halbwissen gefährlich ist. Ich habe seine Argumente gesehen, seine Schlußfolgerungen sind aber grundsätzlich
falsch, da irgendeine Hürde für Malwareentwickler zu sehen, ebenso wie seine Einschätzung der Sicherheit von Windowssystemen.
Abschließend möchte ich eine mir persönliche Einschätzung geben: Ich denke, einen sehr großen Anteil der (meiner Meinung nach) hoffnungslosen Situation unter Windows ist neben dem
Marktanteil die Tatsache, das viele alte Zöpfe nicht abgeschnitten wurden, aus Kompatibilitätgründen wurden sehr viele Altlasten mitgeschleppt. Aus denselben Gründen
dauerte es sehr lange, bis neuere Techniken Einzug fanden, wie beispielsweise der recht scharfe Patchguard unter Windows XP64, das Entrümpeln uralter Librarys, die
(anfangs inkonsequente) Umsetzung von DEP/ASLR.
Marktpolitisch betrachtet bekommt man unglaublich viel Software und Hardware für Windows, zum absoluten Dumpingpreis. Macs kosten richtig Geld, besonders in den
Ländern, aus denen häufig zu vernehmen ist, das dort viel Ungemach entwickelt wird, wie beispielsweise die ehemaligen Sowjetrepubliken, der Großraum Asien. Vor dem
Hintergrund wird - meiner Meinung nach - erklärbar, warum es so wenig Schadsoftwareentwickler im Macbereich gibt. Es ist meiner Meinung nach auch wichtig auf den
Zusammenhang Piratierie -> Infektionen hinzuweisen. Auf OSX gibt es eine ganz andere Mentalität der Endnutzer, es wird deutlich weniger "Raubmord"kopiert. Nicht nur
ist dies einer DER Haupteinfallstore für Malware (da ja der Nutzer auch lange Wege geht, um die nach seiner Meinung so wichtige Software zu installieren), aus den
Reihen der Szene rekrutieren sich oft das Personal, das dieses Ungemach überhaupt entwickelt. Das soll nicht verallgemeinert werden, ich möchte nur auf die Signifikanz
hinweisen, das sich die meisten Windowsnutzer vor allem über Tauschbörsen etc. den Feind erst selbst auf die Maschine holen. Ich kann nicht behaupten, daß ich den Über-
blick über alle Macuser weltweit hätte, aber die, die ich kenne - und das sind schon einige - lizensieren ihre Software größtenteils. Mac und Raubmordkopien, das scheint
irgendwie nicht so richtig verbreitet. Ja, die Kopien gibt es, es gibt einschlägige Foren, wo fleißig Serials getauscht werden, Kekse etc., dennoch ist der Anteil der
Kopierer deutlich niedriger als auf vergleichbaren Plattformen
Wie schon im Vorposting möchte ich dennoch darauf hinweisen, daß die OSX Attraktivität steigt und sei es nur durch ihre Verwandschaft zu iOS. Insofern erscheint es
mir absolut logisch, daß es (ich streiche nochmals hervor: MEINER MEINUNG NACH) in Zukunft Malwaresoftware auf OSX geben wird, die diesen Namen auch "verdient".
Man muß sich meiner Meinung nicht anschließen, keine Frage, aber wenn man schon darüber diskutieren möchte, dann sollte man auch entsprechendes Fachwissen
mitbringen. Ein ewig gleicher Link auf MacMark kann da nicht als Argument dienen. Sicher, Windows hat einige Systemschwächen, das kann man allerdings auch über
OSX sagen. Ich bin sicher, es wird - eines Tages, wann das sein wird, weiß ich nicht - zum großen Knall kommen. Ist dieser "Dammbruch" erstmal eingetreten - und hat
dieser erste Versuchsballon Erfolg - wird der Mac in den Focus derer treten, die wissen, wie man am Big Brother vorbeikommt. Bis das passiert, hat Apple mit Lion oder
einem Nachfolger hoffentlich genug in die Sicherheit der Plattform investiert, daß allzu triviale Angriffe erschwert, die jetzt noch möglich wären.
Meine Meinung, die auch von vielen echten Experten geteilt wird, ist die, das die Hürde sehr hoch ist (so wie Vista oder 7), Schädlinge zu schreiben.
Und die, die das können, haben einen anderen Fokus.
Unter Windows sind die unendlichen Raubkopien ein Problem, die völlig ungepatcht sind und somit anfällig für den Virus / Trojaner eines
Baukastenprogrammierers. Ein voll gepatchtes Windows Vista oder 7 macht es ungleich schwerer.
Deiner ersten Aussage stimme ich nicht zu, die Hürde, die Win7 auferlegt, ist deutlich schwerer zu überwinden. Das ASLR unter SL ist quasi nicht vorhanden, man hätte
es auch genausogut weglassen können. DEP für sich alleine genommen ist auch kein Problem, erst die Kombination verschiedener Techniken machen es zu einer
effektiven Hürde.
Wo ich aber ausdrücklich zustimme: Die, die es können, haben (noch) einen anderen Fokus. Ich hoffe, daß dies noch eine Weile so bleiben wird, dank der gestiegenen
Popularität wird sich dies aber mMn noch ändern.
Auch dem letzten Satz stimme ich uneingeschränkt zu, es sind diese Baukästen und Raubkopien, die die Windowssituation schlimmer erscheinen lassen, als sie ist.
Ich denke, daß auch diese Tatsache der OSX Plattform geholfen hat und helfen wird, es gibt hier keine so starke Raubkopiererszene, weder auf Seiten der Anbieter, noch
auf Seiten der Nachfrage! Es sind aber eben nicht die Baukastentrojander, es sind nicht die Skriptkiddies, die eine Plattform bedrohen. Diese Szenarien können mit
"Brain 1.0" vermieden werden auf Seiten der Endnutzer. Vielmehr sind es die Exploitentwickler, die Schwachstellenanalysten, die maßgeblich an der Sicherheit eines
Systems sägen. Die Erfahrung zeigt, daß auf die eine oder andere Weise deren Wissen letztendlich dann auch in den Untergrund sickert. Glücklicherweise ist aber die
Mac"szene" auch hier weiter, sehr viele Macnutzer patchen ihr System und viele Anwendungen deutlich zeitnaher als unter Windows (eben weil ja auch quasi keine
Raubkopierproblematik unter OSX auf der Originalplattform - sprich Macrechner - existiert).