„Der Mythos vom sicheren Mac“

MacEnroe

Mitglied
Mitglied seit
10.02.2004
Beiträge
19.592
Ein Vergleich ist ein Vergleich ist ein Vergleich ... ja, war blöd :shame:
 

asg

Mitglied
Mitglied seit
21.10.2003
Beiträge
1.163
Ich nehme da einfach Wardle oder Charlie Miller oder andere, die schlicht Ahnung von der Materie haben ernst.
Und die sagen oder sagten, das macOS nicht sicherer ist.
Auch gibt es Studien wie die, die vor einiger Zeit im Zuge der Blackhat veröffentlicht wurde:
https://www.crn.de/software-services/artikel-91749.html

Auch der CCC hat sich vor längerer Zeit bereits ähnlich geäußert:
https://www.heise.de/mac-and-i/arti...rende-Sicherheitsluecken-1194782.html?seite=2

Hier geht es nicht um Getrolle sondern um Spezialisten, die sich kritisch gegenüber der Sicherheit von macOS äußern.
Viele Aussagen sind alt, keine Frage, aber das zieht sich eben durch bis zu der sehr ernst zu nehmenden aktuellen Aussage von Wardle.
Eben weil Apple sich jahrelang nicht unbedingt Mühe gegeben hat.
Wenn wir im Jahre 2011 wären, aus dieser Zeit sind die Artikel, dann könnte und müsste man sich das genauer ansehen. Sind wir aber nicht ;-)
In den 8 Jahren wird sich so einiges, sowohl bei MS als auch Apple getan haben (ja, ich weiß, wo sind die Fakten...alles nur eine Behauptung meinerseits).
Bin ich mir fast sicher. Aber nur fast...
 

maba_de

Mitglied
Mitglied seit
15.12.2003
Beiträge
15.526
In den 8 Jahren wird sich so einiges, sowohl bei MS als auch Apple getan haben
richtig.
Ich schrieb ja auch, das vieles veraltet ist. Vieles war in einer Zeit, als Apple DEP und ASLR noch nicht implementiert hatte.
ABER, die Aussagen von Wardle sind aktuell und sehr ernst zu nehmen.
Deshalb auch mein Hinweis, dass sich die Probleme in der Zeit eben nicht erledigt haben. Vielleicht verlagert, aber eben nicht erledigt.

Security Experten waren, im Gegensatz zu so manchem unbedarften User, schon immer der Meinung, das teilweise eklatante Probleme existieren. Das war unterm Strich meine Aussage.
 
  • Gefällt mir
Reaktionen: dg2rbf

asg

Mitglied
Mitglied seit
21.10.2003
Beiträge
1.163
widerlegt wird ja nichts, nur weil man ein paar top ten listen verlinkt.
wenn ich mir beispielsweise im aktuellen jahr 2019 die top score liste mit schwerpunkt complexity ansehe,
hat MS von 73 fällen gerade mal 1 fall mit
score=9,0 / access=remote / complexity=low / authentication required=yes.

apple hingegen hat 14 von 47 fällen mit
score=10,0 / access=remote / complexity=low / authentication required=no.

so betrachtet, bleibt mir kaum anderes übrig, als Patrick Wardle zuzustimmen.


das ist ein klassischer fehlschluß, nur weil du als user keinen zugriff auf das, wie man sich unschwer vorstellen kann, vorhandene dateisystem hast. und was dabei herauskommt, wenn man doch draufschauen kann, hat man bei @i0n1cs info-app gesehen, die aber ganz schnell aus dem appstore verbannt wurde.
Ok, Complexity=low unterstreicht das zitierte "trivial".
Mich würde da aber eher interessieren, was sind die Auswirkungen auf Verfügbarkeit, Vertraulichkeit und Integrität. Und für die DSGVO Liebhaber auch noch die Widerstandsfähigkeit.

2019;
https://www.cvedetails.com/product/156/Apple-Mac-Os-X.html?vendor_id=49
https://www.cvedetails.com/product/32238/Microsoft-Windows-10.html?vendor_id=26

Ich picke mal bewusst raus: Code Execution: Mac 1, Windows 86

Das sind dann aber auch nur die Schwachstellen welche bekannt sind. Aber wie dem auch sei, mit den entsprechenden Maßnahmen kann jedes OS "löchrig" sein, oder eben gehärtet (was dann zumindest gegen bekannte
Angriffe auf bekannte Schwachstellen hilft). Und dann ist da noch der wirtschaftliche Faktor, und da lohnt es eben mehr Windows Systeme anzugreifen, durch die Verbreitung von diesen, als eben MacOS (was nun aber
keine Feststellung/ Behauptung sein soll das Mac OS sicherer ist).
So könnte man schlussfolgern: Mac OS ist "sicherer" weil die Verbreitung der von Windows hinterherhinkt. Daher sollte man, aktuell, bei Mac OS nicht das Ziel breiter Angriffe sein, bei Speer Attacks, wenn jemand genau
mich angreifen will, weil ich eben das Rezept für Tante Mathildas Kirschkuchen habe, dann wird er das auch schaffen (wenn man hier nicht selbst sein System entsprechend härtet und die Mauer etwas höher zieht).

Btw, Würmer wie Mirai und Co zeigen auch, dass Linux genauso wenig vor Schwachstellen und Angriffen geschützt ist.
 
  • Gefällt mir
Reaktionen: Birma und ElectricWizard

asg

Mitglied
Mitglied seit
21.10.2003
Beiträge
1.163
richtig.
Ich schrieb ja auch, das vieles veraltet ist. Vieles war in einer Zeit, als Apple DEP und ASLR noch nicht implementiert hatte.
ABER, die Aussagen von Wardle sind aktuell und sehr ernst zu nehmen.
Deshalb auch mein Hinweis, dass sich die Probleme in der Zeit eben nicht erledigt haben. Vielleicht verlagert, aber eben nicht erledigt.
Klar, aber wir sollten dann auf dem aktuellen Stand bleiben ;-). Probleme wandern, wenn das eine abgesichert ist, hat man an zwei anderen Stellen Probleme.
Und ja, ernst nehmen sollte man das, aber eben auch differenziert betrachten.
 
  • Gefällt mir
Reaktionen: dg2rbf und pdr2002

maba_de

Mitglied
Mitglied seit
15.12.2003
Beiträge
15.526
Und dann ist da noch der wirtschaftliche Faktor, und da lohnt es eben mehr Windows Systeme anzugreifen, durch die Verbreitung von diesen, als eben MacOS (was nun aber
keine Feststellung/ Behauptung sein soll das Mac OS sicherer ist).
So könnte man schlussfolgern: Mac OS ist "sicherer" weil die Verbreitung der von Windows hinterherhinkt. Daher sollte man, aktuell, bei Mac OS nicht das Ziel breiter Angriffe sein, bei Speer Attacks, wenn jemand genau
mich angreifen will, weil ich eben das Rezept für Tante Mathildas Kirschkuchen habe, dann wird er das auch schaffen (wenn man hier nicht selbst sein System entsprechend härtet und die Mauer etwas höher zieht).
Zustimmung von mir!
 

tocotronaut

Mitglied
Mitglied seit
14.01.2006
Beiträge
23.861
Windows mag als System mehr Sicherheitfunktionen haben oder gar sicherer sein, aber die konkreten Bedrohungen auf dem Mac bleiben in meiner Wahrnehmung bislang aus.

Wobei ich definitiv auch einen Anstieg an PUPsen und Adware bei den Nutzern registriere.
Malwarebytes Free drüberlaufen zu lassen reicht bislang aber im Normalfall aus.

Jetzt stellt sich die frage, ob ein Cryptominer der ein virtualisiertes Windows mitbringt eine Windows- oder eine Mac-Schadsoftware ist ;)
 
Zuletzt bearbeitet:

JeZe

Mitglied
Mitglied seit
07.05.2009
Beiträge
3.603
Und Dank DSGVO wird dann der Hausmeister zum Datenschutzbeauftragten ernannt und er lässt sich ein TÜV-Zertifikat ausstellen, dass alles sicher ist und die Mitarbeiter werden nicht geschult.
Und jeder Skandal wir so schnell vergessen, wie er in die Medien kam.
Und um die Systemsicherheit kümmert man sich erst recht nicht.
Ich würde sagen das kommt auf‘s Unternehmen an. Bei uns versendet man sogar gefakete Fishing-Mails und wertet aus, wieviel Prozent der User auf den Link klicken. Der größte Unsicherheitsfaktor ist in der Tat der User und da ist die Plattform erstmal irrelevant.
 
  • Gefällt mir
Reaktionen: dg2rbf

tocotronaut

Mitglied
Mitglied seit
14.01.2006
Beiträge
23.861
Oh wie Cool, Endlich mal wieder ein Jailbreak.
Leider hat man wegen der Apple-Sicherheitsvorkehrungen vermutlich nur wenige tage, Geräte damit auszurüsten...
 

Mike13

Mitglied
Mitglied seit
29.01.2009
Beiträge
1.424
Das ist in etwa so sicherheitshgefährdend, wie wenn BMW es nicht verhindert, dass man für für die Zeitdauer weniger Tage platte Reifen auf ein Modell aufziehen kann.
Gähn...

Total putzig wie immer die selben gleich anspringen. Vor kurzem noch iOS als heiligen Gral der Sicherheit bezeichnet und wenn man einen Tag später eine bedeutende Sicherheitslücke findet wird sofort relativiert :D

Entschuldige bitte dass ich solche Forenteilnehmer wie dich einfach nicht ernst nehmen kann.

Und dein Vergleich ist sowas von platt wie die von dir genannten Reifen:)

Und dass es genügend Lücken gibt zeigt ja alleine das Vorhandensein von Forensiksoftware zum auslesen von Mobilgeräten. Aber lassen wir das...
 
  • Gefällt mir
Reaktionen: Dextera und maba_de

ElectricWizard

Mitglied
Mitglied seit
13.08.2019
Beiträge
109
Widerlegt wurde da nichts, wie Olivetti schon schrieb:
CVEs sind nicht unbedingt das beste beste Mittel um die momentane Sicherheit zu bewerten. Schaut man sich einzelne Schwachstellen an in der Liste, sieht man das ja auch.
Das Datum des Entdeckens einer Sicherheitslücke hat nichts damit zu tun ob sie in einer aktuellen Software noch vorhanden ist.

Beispiel: Finde ich einen Bug im Nov 2018 und gebe Apple drei Monate zeit ihn zu schließen bevor ich ihn veröffentliche, kann ich natürlich erst auch nach dieser zeit eine CVE-Nummer bekommen. D.h. ich bekomme eine 2019er CVE-Nummer.

Beispiel 2: Ich finde morgen eine Sicherheitslücke in MacOS X 10.9. Jetzt bekomme ich trotzdem eine 2019er Nummer obwohl das System schon lange nicht mehr Unterstützt wird.

Auch wird in den Beispielen alleine Windows 10 mit allen macOS-Versionen verglichen.
Wenn man das also machen will, sollte man entweder nur 10.14 mit Win10 vergleichen. Oder alle Systeme für die der Hersteller noch Updates anbietet.
Also Win7, Win8, Win10 und was weiß ich was bei Apple noch Support bekommt.
 

Lor-Olli

Mitglied
Mitglied seit
24.04.2004
Beiträge
9.025
Man darf sicher noch ein wenig mehr differenzieren:

1.) Es gibt und wird immer hacks geben, die der Öffentlichkeit, aber auch Fachleuten, nie oder nur sehr spät bekannt werden. Die Geheimdienste der Welt (der GCHQ rühmt sich sogar damit…) horten mögliche Lücken für Angriffe. > Niemand der sich mit der Materie ernsthaft beschäftigt wird sich in Sicherheit wiegen…

2.) Es gilt die verschiedenen Attacken zu differenzieren, die "Jedermannangriffe" (Erpressungsversuche etc.) haben in der Welt der Sicherheitstechniker in der Regel schnell einen Bekanntheitsgrad der eben auch ein zügiges Schließen dieser Lücke ermöglicht. (einen Patch oder eben ein komplettes Umschreiben dieses Teils der Software

3.) gegen die "sophisticated attacks" (NSA und Co.) helfen dem User letztlich nur große Umsicht beim Surfen, oder eben NICHTS preisgeben (defacto nur lesen, nicht schreiben und selbst das ist schon aufschlußreich), gegen einfache Angriffe hilft bereits normale Umsicht. (ergo ein gezügelter Klickfinger…)

4.) ein wasserdichtes System kann man letztlich nur in einem abgeschlossenen Bunker ohne Fremdanbindung betreiben - ein irreales Szenario für normale User. (Es gibt aber tatsächlich gar nicht so wenige Rechner die so betrieben werden, allerdings nicht von Privatpersonen eher von Firmen, Unis und auch Behörden)

5.) das entscheidende Kriterium gegen Schwachstellen der Software heißt Hirn einschalten, Hirn einschalten, Hirn einschalten… und im Zweifel NICHT posten. Der überwiegende Großteil der posts, mails, Surfhistorien, Kontakte etc. ist für die Überwacher eh nur Ballast, gegen den sie mit immer höherem finanziellen und technischen Aufwand entsprechend filternd vorgehen. (müssen ;) )

Die Frage ob windows, Mac OS, Linux "sicherer" ist, ist müßig, solange der bedienende Zweibeiner immer noch 95% des Risikos darstellt.
 
  • Gefällt mir
Reaktionen: Birma, dg2rbf und ekki161

ElectricWizard

Mitglied
Mitglied seit
13.08.2019
Beiträge
109
4.) ein wasserdichtes System kann man letztlich nur in einem abgeschlossenen Bunker ohne Fremdanbindung betreiben - ein irreales Szenario für normale User. (Es gibt aber tatsächlich gar nicht so wenige Rechner die so betrieben werden, allerdings nicht von Privatpersonen eher von Firmen, Unis und auch Behörden)
Selbst da gibt es Beispiele, dass diese Systeme nicht "wasserdicht sind". Ein populäres wäre Stuxnet.
 

maba_de

Mitglied
Mitglied seit
15.12.2003
Beiträge
15.526
Selbst da gibt es Beispiele, dass diese Systeme nicht "wasserdicht sind". Ein populäres wäre Stuxnet.
mmmh, zwei der besten Geheimdienste investieren ungefähr 100 Millionen für einen Angriff, der exakt auf ein Atomkraftwerk eines Landes zugeschnitten ist. Das zeigt zwar, das es geht, aber man sieht auch, welcher Aufwand dahinter steht.
 
  • Gefällt mir
Reaktionen: dg2rbf